最近发生了多起美国政府人事系统遭遇攻击事件，由此可见，防止黑客和间谍入侵电子设备、网络、专有数据和信息已成为公共和私营机构最需关注与担心的问题。谷歌云平台、亚马逊AWS、微软Azure等正在逐渐获取一些政府机构的信任，托管他们的部分组织信息。尽管这些公司存储或处理的是公开非保密信息，并不是什么关键数据，但经过与政府机构的不断交流合作，他们终将成为国家安全方面的有力合作伙伴。

虽然政府机构的云迁移发展缓慢，但大多数终端用户组织已开始享受将数据转移到云端的诸多好处。要想成功，必须了解各个云供应商采取的安全措施，了解他们配备了什么样的专用安全设备、数据和应用程序、和每个独特的架构（以及潜在漏洞）。以下是云和应用程序供应商在帮助终端用户或政府组织进行云迁移时应考虑的一些因素：

1.并不是所有应用程序都需要放在云端。重要的是，在为客户制定云解决方案时，要弄清在不同具体情况下云端的价值所在。许多企业都有一些根本不会在云环境里工作的、本地部署的客户服务器应用。大型企业更不愿将关键任务、ERP或CRM解决方案放到云端，他们会认为让其他机构处理自己的关键业务和个人身份信息太过危险了。企业内发生的重大入侵事件，甚至让大型企业的IT部门看起来问题更大了。不过，中小型企业似乎更愿意求助于服务供应商，因为他们找不到（在某些情况下是负担不起）能够为他们运营IT部门的顶级安全人才。

2.（BYOD）和物联网（IoT）带来了更多的复杂性。BYOD和IoT必须与网管连接并尽量保持在最前端。新的架构、配置、特别是安全方面的考虑让企业必须在网络自动化和配置工具上进行大量投资。较高的复杂程度和安全隐患导致企业在网络设计上需要兼容“企业”和“个人”两种模式，二者各有不同的数据访问需求。

3.在云端无法提供许多本地服务器上的安全特性。许多云端应用通过虚拟化实现了与本地部署服务器和系统相同的优势，具体指的是硬件性能、定位、加密和熵。正因如此，许多企业都不愿将关键任务应用放到云和本地部署的工作负载混合模式中去保护数据和应用。云服务供应商应为客户准备多个场景路线图方案，帮助他们成功实现云迁移。

4.服务水平协议（SLA）的透明度。网络、应用和安全保障都无法得到担保证实。BYOD和IoT使性能和安全更难得到保证。尽管服务水平协议历来是服务供应商和客户之间签署的合同，在增强功能性上越来越多的第三方介入、以及云代理商的出现，令供应商之间的关系变得更加复杂。虽然无法提供担保，但云供应商需要设定绩效指标，以确保最高的可用性和性能。最终，云供应商还要解决服务失败、补救措施和责任权限等问题。这些方方面面的问题都应纳入威胁管理计划中，以明确如何应对突发事件。此外，在选择云供应商时，需要了解第三方的可审计性局限，以及他们通过了哪些认证。这一点十分重要。

毫无疑问，云将驱动企业战略和商业价值的发展。不过，向云端的迁移仍然存在许多安全问题。我坚持认为，很多云服务供应商都是在事后才考虑安全问题。大数据、物联网和BYOD都为那些想要利用安全漏洞的人创造了机会，所以有意于应用这些新技术的供应商应该考虑采取多重的安全措施。未来，犯罪分子必然还会发现和利用安全漏洞，随着云的普及以及攻击者越来越狡猾，我们也需要找到更聪明的保护方法。对企业来说，一定要去了解风险，选择适合自己需求的配置模式，在安全策略和实践上保持一致。最重要的是，选择最合适的云服务供应商。