云计算之安全策略r
在向云计算迁移之前，做好充分地准备，进行充分地调查和评估。r
r
通过可靠的安全标准对云服务提供商进行安全评估。规模最大且参与者众多的安全标准机构是CSACloudSecurityAllia
ce，即云安全联盟。r
r
当对云服务提供商进行评估时，如果云服务提供商能够保证一个审计标准，这样要好于只听供应商一面之词。r
r
评估云服务提供商时，不要把重点放在SAS70认证上。r
r
在对云服务提供商进行评估时，要对基于云的系统进行安全评估和审计，这个过程必须包括：网络和系统漏洞评估、服务器工作站移动设备合规性评估、云管理程序基础设施评估。r
r
企业用户需要确保在服务水平协议中云服务提供商有自己的业务连续性、备份和灾难恢复计划，并确保该协议涵盖恢复时间目标恢复点目标RTORPO以及性能和带宽基线要求。r
r
在向云计算迁移之前，企业用户需要考虑的因素有：企业用户希望迁移到云中的应用程序的关键程度、合规问题、必需的服务水平、负载的使用模式，以及应用程序与其它企业功能的集成程度。r
r
企业需要全面调查云服务供应商的安全技术和过程，并检查云服务供应商如何保障企业数据及他们自己的基础架构的安全。企业尤其需要关注如下方面：r
r
应用程序和数据的可移植性：供应商是否允许企业将现有的应用程序、数据和过程导出到云中能轻松地将这些导回来吗r
r
数据中心的物理安全性：云服务服务供应商如何从物理上保护其数据中心他们使用哪种类型的数据中心他们的数据中心操作员得到过怎样的培训，有什么技能r
r
访问和操作的安全性：云服务供应商如何控制对物理机器的访问谁能够访问这些机器它们如何管理这些机器r
r
虚拟数据中心的安全性：云架构是效率的关键。企业应当查明独立的组件如网络节点、存储节点等是如何构建的，还要调查这些组件的集成和安全保障方法。r
r
应用程序和数据的安全性：云解决方案必须支持由企业自己定义组、角色，要有精细的基于角色的访问控制，还要有正确的口令策略和数据静态数据和传输的动态数据加密。r
r
通过一些问题弄清楚云服务提供商安全控制架构的具体情况，避免陷入云计算提供商们的“留客”陷阱。其中的问题包括：r
r
企业用户发送到云服务提供商处的数据到底该归谁所有企业用户一定要在合同中注明，由业务流程生成的所有数据在协作周期内都归用户方所有，这非常重要。r
r
云服务提供商如何将数据返还给用户企业用户需要在合同中明确数据应以哪类格式进行返还，而且返还的r
r