越來越多的時候，CIO(Chief Information Officer) 和CSO(Chief Security Officer)們被賦予負責企業(yè)核心業(yè)務向云上遷移的任務，最起碼這些問題是安全從業(yè)人員的頭痛和挑戰(zhàn)，如何快速形成一套可遵循的安全規(guī)范是一個挑戰(zhàn)。出現的另一個問題是，雖然大多數企業(yè)已經在使用了網絡的安全規(guī)范，但這些規(guī)范都是傳統(tǒng)第三方安全廠商對于傳統(tǒng)安全所制定的，往往有一些不是真正適合云服務的。

　　但是云維護和傳統(tǒng)的第三方解決方案不同，如賣方負責的云中的安全控制，通常情況下，安全專家只需要負責管理和維護關鍵的安全控制。舉個例子，一家企業(yè)作為一套PaaS(平臺即服務) 的云服務提供商，該企業(yè)一般會負責應用程序本身的安全性。 PaaS的云服務提供商將負責固定平臺和基礎設施的配套應用。能清晰地勾勒出誰負責哪個組件的要求提供所需的安全等級，同時足夠靈活的適應這些不同的服務模式是至關重要的。

　　首先需要建立一個框架：

　　構建云的安全性，需要創(chuàng)建一個規(guī)則來審查，批準和管理的云服務提供商。這里我舉一個企業(yè)的例子：

　　為了開發(fā)這種框架，需要先和相關人員收集業(yè)務、技術和安全方面的要求。然后分析云服務提供商在對數據進行存儲和處理相關的細節(jié)問題。在你充分了解了這些后，你就可以利用現有的企業(yè)安全策略和標準，來進行添加額外的內容來匹配云計算環(huán)境。前提要求制定的策略要足夠靈活，在應對一些突發(fā)情況時可以從容應變。

　　一旦制定的策略完全滿足云安全框架(Cloud Security Framework)，那么就需要在企業(yè)會議上討論如何有效執(zhí)行的問題，會議中要傳達該框架的重要性，并討論企業(yè)如何調整現有安全策略到該云框架。一旦該框架被企業(yè)采用，那么不僅僅是IT部門，企業(yè)全部的業(yè)務部門都可以使用業(yè)務，最終企業(yè)所有的業(yè)務平臺全部遷移到云，而這個框架就可以統(tǒng)一所有員工的操作規(guī)范，從而保證企業(yè)數據在云中的安全性和穩(wěn)定性。

　　云服務的安全管理：

　　除了應用云安全框架之外，企業(yè)的IT人員也應該即時審查云服務提供商的安全性，測試一下該云計算提供商的服務是否可靠，如果有類似服務中斷或者員工的使用問題可以及時解決。

　　安全工程師也要及時跟蹤在工作中產生的問題，企業(yè)雖然使用云服務來存儲和處理大量的文件數據，但是云服務也總有不穩(wěn)定的時候，及時同步數據到本地，并對這些數據加以管理就變的至關重要。

　　解決這個問題的最好辦法是通過與云服務提供商來協(xié)調，共同開發(fā)一個程序來審查、審批以及管理。這個方案需要云服務提供商允許我方企業(yè)的安全人員深度接觸該云服務提供商的技術流程，以便于應對該提供商的業(yè)務來進行修改云安全框架。在使用云服務過程中，收集員工對該服務的評價和問題，也可以通過調差問卷的形式進行收集意見，通過匯總得到的信息和云服務提供商協(xié)調溝通，一方面可以解決企業(yè)的需求問題，另一方面可以改進該云服務提供商產品的使用體驗。

　　在使用過程中，及時的收集員工在云安全框架上的執(zhí)行度，對出現的業(yè)務操作漏洞進行處理，以避免企業(yè)敏感數據泄漏。

　　通過利用你所了解的知識，并利用現有的技術，作為一個安全專業(yè)人員，對于任何業(yè)務需求你都能夠快速響應，同時最大限度地減少核心應用程序到云環(huán)境的風險。這種解決方案不僅可以讓我們對云提供商可以進行及時的穩(wěn)定性審查，還可以提供一個應用來管理我們自己的云服務，從而讓我們企業(yè)的數據在云上依然可以受到和本地同樣的保護。