但將關鍵功能外包給第三方還請用戶們重點關注一下安全問題。當企業將IT業務運行在內部時，則可以進行安全協議的定義與控制。但當依靠云服務供應商時，你又怎么能了解到安全協議存在哪里？并且它們是怎樣執行的呢？

　　為了解決這些問題，云產業本身也在不斷演變與調整其架構。通過定義云的安全標準則是最佳的解決方法——在其行業范圍內提供一個統一的標準，使其成為云服務供應商公認的認證標準。通過貫徹與廣泛采用這類標準，潛在的云客戶將使用評估工具對云服務提供商進行安全評估。

　　但是，很多業內的云服務提供商還未采用統一的標準。他們采納了自己所認可的準則，現有的各種協議則致使了迷惑性引導的產生。

　　云安全聯盟

　　規模最大且參與者眾多的安全標準機構是CSA或稱作云安全聯盟（Cloud Security Alliance）。其中包括亞馬遜網絡服務公司、微軟、甲骨文、紅帽、RackSpace和Salesforce公司等（還包括幾十個企業），最有前景的云服務企業都支持CSA。

　　CSA已經開發出一個合規標準，被稱作為CCM或云控制矩陣（Cloud Control Matrix）。該標準被整理到Excel電子表格當中，CCM涉獵十多個云基礎設施領域，包括風險管理和安全信息等。CCM已超越了其本身安全問題的范疇，當中還包含了政府、法律法規和硬件架構等合規解決措施。

　　CCM闡述了數百條標準。例如，從類別“設施安全-安全區域授權”當中，你可以找到如下控制規范：安全區域的入口和出口應受到限制，并監視物理訪問控制機制以確保只有經過授權的人員才可以進入。

　　顯然，該標準講的是云服務供應商設施的物理安全問題。但標準并不完全支配其實施的行動。

　　針對客戶對云服務供應商的評估，如果該廠商可以向你保證一個審計標準，并在提供符合（在本例中）CCM V1.3控制規范FS-04的情況下，這將遠遠優于一無所知或是簡單地聽取供應商一面之詞的境況。

　　NIST、IEEE和ENISA

　　這些標準機構向全世界分享了一個有愛的名字，它們讀起來似乎是一輪拼字游戲。他們也正在開發自己的準則，其中也覆蓋到了云服務安全性的問題。

　　NIST，美國國家標準與技術研究所，該機構在去年公布了其公共云計算安全和隱私準則。不同于CSA的CCM標準，NIST的指導方針則是針對云客戶及其相關細節的——對于潛在的云服務提供商，客戶應考慮提出哪些咨詢問題。

　　IEEE，電氣和電子工程師協會，已著手開發自己的云安全標準。并稱其為P2301項目-云可移植性和互操作性指南-IEEE的標準定義主要集中在云供應商之間的互操作性上。

　　雖然安全只是互操作標準的一個方面，但云客戶互操作本身就是一個關鍵，以避免對云服務供應商產生潛在的依賴。若沒有這些標準，因此則很容易在云服務供應商之間產生數據的移動和流程的更改。客戶將能夠以此卡住供應商，這也將成為一個關于安全的法律責任標準。

　　為了不被冷落，歐洲網絡與信息安全局或稱作ENISA也已頒布了其速成的安全標準：云合同安全服務水平監測指南。該指南面向公共云客戶，ENISA將引導用戶向云供應商提出細節性問題，以確保云供應商能夠嚴格遵守安全協議。

　　謹防SAS 70

　　在這個云服務快速發展的世界中，這個SAS 70標準的光芒正在逐漸消退，該標準是美國會計師協會審計準則委員會所頒布的審計標準的一部分。雖然它最初的設計是用來監督企業遵守財務報告規則的，但一些云服務供應商依然使用SAS 70來作為一個所謂的安全協議認證。

　　包括Gartner在內的一些批評家說，在為客戶提供有用的安全保障下，SAS 70具備明顯的不足。有人認為該審計標準已與云服務安全性原意相去甚遠，根本無法滿足現代威脅評估的需求。此外，SAS 70已被批評為是一種瞬時標準，它基本上是無法反應服務供應商持續表現的。

　　高調的云服務，類似亞馬遜遇到的一些“挫折”，雖然其技術遵從SAS 70準則，但它仍對審核標準蒙上了污點。因此，現如今當客戶評估云服務提供商時，都被警告不要把太多的重點放在SAS 70認證上。Gartner建議用自我評估和協商過的審計程序來完善補充SAS 70標準。