谈及云安全，人们的话题大都集中于“云服务供应商应该怎样做”，因为数据与应用服务都由供应商提供。然而赛门铁克专家从云安全角度提出企业才是收集数据的实体。以下六种方法，可以让企业走上通往“云安全”的大道：

1. 内部私有云，奠定你的云计算基础

提升云安全的第一个方法：了解自己。企业需要对现有的内部私有云环境，以及企业为此云环境所构建的安全系统和程序有深刻的理解，并从中汲取经 验。不要辩解说你的企业并没有建立私有云，事实上，不知不觉中，企业已经建立了内部云环境。在过去十年中，大中型企业都在设置云环境，虽然他们将其称之为 “共享服务”而不是“云”。这些“共享服务”包括验证服务、配置服务、数据库服务、企业数据中心等，这些服务一般都以相对标准化的硬件和操作系统平台为基础。

2. 风险评估，商业安全的重要保障

提升云安全的第二种方法：对各种需要IT支持的业务流程进行风险性和重要性的评估。 你可能很容易计算出采用云环境所节约的成本，但是“风险/收益比”也同样不可忽视，你必须首先了解这个比例关系中的风险因素。云服务供应商无法为企业完成 风险分析，因为这完全取决于业务流程所在的商业环境。对于成本较高的服务水平协议(SLA)应用，云计算无疑是首选方案。作为风险评估的一部分，我们还应考虑到潜在的监管影响，因为监管机构禁止某些数据和服务出现在企业、州或国家之外的地区。

3. 不同云模型，精准支持不同业务

提升云安全的第三种方法：企业应了解不同的云模式 (公共云、私有云与混合云)以及不同的云类型(SaaS，PaaS，IaaS)，因为它们之间的区别将对安全控制和安全责任产生直接影响。根据自身组织环 境以及业务风险状况(见上文第2条的分析)，所有企业都应具备针对云的相应观点或策略。关于这个问题，欧洲网络与信息安全局 (ENISA)最近出版的 《云计算-利益，风险，和信息安全建议》(Cloud Computing – Benefits, Risks, and Recommendations for Information Security)一书可以作为参考，从中可以找到这个问题和其他云安全问题的支持资源。在风险分析的过程中，法律机构也应发挥重要作用，因为涉及担保和 债务的事务也是分析的重要内容。

4. SOA体系结构，云环境的早期体验

提升云安全的第四个方法：将SOA(面向服务的架构) 设计和安全原则应用于云环境。多数企业在几年前就已将SOA原则运用于应用开发流程 。其实，云环境不就是SOA的大规模扩展吗?面向服务的架构的下一个逻辑发展阶段就是云环境。企业可将SOA高度分散的安全执行原则与集中式安全政策管理 和决策制定相结合，并直接运用于云环境。在将重心由SOA转向云环境时，企业无需重新制定这些安全策略，只需将原有策略转移到云环境即可。

5. 双重角色转换，填补云计算生态链

提升云安全的第五个方法：从云服务供应商的角度考虑问题。多数企业刚开始都会把自己看作云服务用户，但是不要忘记，你的企业组织也是价值链的组 成部分，你也需要向客户和合作伙伴提供服务。如果你能够实现风险与收益的平衡，从而实现云服务的利益最大化，那么你也可以遵循这种思路，适应自己在这个生 态系统中的云服务供应商的角色。这样做也能够帮助企业更好地了解云服务供应商的工作流程。

6. 网络安全标准，设置自身“防火墙”

提升云安全的第六个方法：熟悉企业自身，并启用网络安全标准 -长期以来，网络安全产业一直致力于 实现跨域系统的安全和高效管理，目前已经制定了多项行之有效的安全标准，并已将其用于、或即将用于保障云服务的安全。为了在云环境世界里高效工作，企业必 须采用这些标准，它们包括：SAML(安全断言标记语言)，SPML(服务配置标记语言)，XACML(可扩展访问控制标记语言)和WS- Security(网络服务安全)。对于那些已经将浏览器会话与SAML结合的企业，下面这句话则是最好鼓励：你们已经把云安全IQ提高了!

为了提高云服务的安全性，企业必须确保安全专家们是云服务的理性提倡者，而非反对者或者怀疑者，这是对企业最重要的要求之一。