几年前，波音公司的E.J. Jones就有了一个美好的设想。作为IT安全软件专业的专家，他希望能够不受影响而客观公正地评审Amazon web服务与应用（AWS）应用程序的源代码。这非常适合应用程序和他的需要，而且费用并不高，也不会增加基础设施团队的负担。

　　问题在于除了Jones一个人慎之又慎之外，他所供职的公司完全不把安全当一回事。波音公司需要一个在组织内部实现云计算的实施方案，Jones和IT安全部门就担负起这一重任。

　　“我希望在云中发布波音公司的一个首批应用。”Jones说。小项目实施云计算的源动力就是便捷、廉价和快速，这已是老生常谈了。“我们没有足够的带宽，所以我们就尝试使用云计算。”他说。

　　波音公司对云计算供应商进行评估

　　尽管技术上可行，但是将概念性的理论在波音公司的复杂组织架构中进行实施就成了一项不小的挑战。Jones认为，安全团队希望为具有凝聚力和实用性的云开发一个程序和一个框架，但是他们遇到了许多法律、战略和实际障碍。

　　Jones按计划推进，他们将开发一个软件工具用于评估云计算供应商能提供哪些功能以及不能提供哪些功能。安全团队从云计算供应商相关针对性的标准建议需求书（RFP）入手，这完全有别于波音公司以往对合同项目的常规做法。

　　“我们得到的回应是可笑的。”Jones说。他指出，大多数RFP都始于一个业务需求，而不是一个安全协议，因此他的团队提出了关于信息需求书（RFI）的105个问题文件。

　　但是之后得到的回应（即便是那些来自于云供应商和管理托管供应商的回应）也都是出自于那些不谙技术、缺乏足够信息的销售和市场人员之手。显然，波音公司无法依靠厂商来得到对自身产品的功能需求。

　　Jones表示，有效的解决方法是由供应商公正地完成一个打分评估表。波音公司设计了一个包括五部分内容的核对表，并对每个供应商进行分级。其中包括诸如“该供应商是否能够告诉我们何时以及如何发生故障？”以及“他们是否能够保证正常运行时间？”等这样的问题。Jones说，这些通常也是云计算供应商无法回答的问题。

　　他说，作为一个安全性从业人员，他无法仅仅“纸上谈兵”来空谈服务的安全性。他也惊讶于在实际工作中了解到的情况，即在合同中安全性往往是最后考虑的一项。

　　“作为一个信息安全从业人员，我之前并不是非常了解服务级别协议（SLA），我也不了解相关法律。”他说：“嗯，但是现在我比较了解了。”

　　在云中导航

　　Jones补充道，他工作的极大部分是为组织进行导航。他回忆他向首席信息安全官（CISO）介绍时的情况，公司的重要律师在场，尽管Jones正在与律师团队进行广泛的协商，律师也并不知道波音公司正在考虑对IT应用程序使用外部服务资源。他对此感到极度的惊喜。Jones认为，那是一个有趣的会议。

　　波音公司能够为评估和选择云计算供应商创建一个模板。Jones表示，但是如果企业和供应商能够采用行业中较好的安全标准，那么许多难题都可迎刃而解。

　　供应商需要为用户提供周到的安全措施服务，Jones说。他还补充道，由于将传统产品与云计算产品相混淆，IT服务业其他领域的问题正在以惊人的速度变得越来越严重。“由这一问题所引发的方式是惊人的。”

　　Jones目前正在将云安全联盟的指南和建议融入到波音公司中的实际工作中。Jones认为，联盟的工作与自己的学习曲线相互平行，因此它成为了企业着手实施云计算所考虑的模型。他说，他的部门已经对云供应商们进行了30次的评估，这里面没有捷径可以走。“从安全的角度来说，这的确需要大量的时间。”他说。

　　在最后的分析中，Jones表示，显然云计算是值得作出如此付出的。但是对于企业来说，要想真正安全地实施云计算，唯一可行的方法就是统一思想，做好宣传和准备工作，踏踏实实地执行合适的安全（和法律），促使云供应商公开明确有意义、普遍认可的技术资料。

　　“如果所有人都是人云亦云，那么这个任务将难以实现。”他说。