之前TechTarget中国报道了新闻Amazon更新安全白皮书。那么用户和市场分析专家如何看待新版Amazon安全白皮书呢？

　　期待Amazon能够给出直接的安全性回答

　　最大的担忧在于，客户很难直接获取安全性回答。而这也恰恰是使用AWS得到推广的主要障碍。

　　“一些客户希望使用HIPAA，并已和Amazon进行了多轮谈判，但Amazon并不愿签署数据保护协议。”她说。HIPAA要求服务供应商在合同中明确担负起控制数据访问和管理标准的义务，就如同一名数据者访问一样。

　　王博士认为Amazon已改变了其说法，他们原先告诉客户，在任何情况下都不会访问用户数据，同样也不会为此承担任何责任。后来，他们承认在某些特定情况下会访问用户的数据。

　　“我希望能够看到关于技术细节非常详尽的内容，就如同真实的数据访问者一样。”她说。

　　王博士也并非对此持完全负面观点，她仅仅是认为它有不足，尤其是从企业角度考虑是否值得为其支付费用的适当安全控制和IT基础设施访问功能。企业在托管应用方面有着太多的选择，王博士表示，虽然Amazon web服务与应用是一项不可思议的成就，但它还未真正迎合企业客户的核心需求。

　　同样，白皮书中仍未阐明AWS是如何运行其防火墙的。它宣称用户打开端口之前，虚拟机（VM）与外部网络是断开的，但是AWS是否真的存在这样一个技术层呢？

　　“AWS是采用何种技术实现这一功能的？是否是虚拟防火墙，还是本地的技术？”她提出这样的疑问。

　　其他问题主要是关于如何确保主机操作系统的安全，安全配置是否与企业政策需求相匹配。那么客户虚拟机又如何？Amazon表示环0访问（即计算机指令直接与硬件交互的能力）在虚拟实例中受到严格限制，但王博士和其企业客户们都希望了解更多细节内容。

　　王博士对于Amazon的其他安全方面问题显得很包容。她喜欢多因素的授权方式，目前云供应商已开始采用，并拥有很多关于中断和更新的信息。

　　“他们并非只是提供有限的信息，我期待看到一个用于进行更多讨论的渠道。”她说。

　　其他的云供应商同样存在短板

　　虽然Amzaon处于舆论的焦点中，但它绝不是唯一面对这个问题的云计算供应商。Vouk补充道。

　　“供应商应为最终用户提供选择安全等级的功能。”他说。云供应商必须能够明确回答这些安全问题，即使其答案是提供不同安全等级的预定义服务。“至少你需要得到一个肯定的保证，即你是受到保护而免受其他用户影响的。”他说。

　　到目前为止，很少有云供应商能够接受这样一个挑战。他说。NCSU与Google谈判数月之后，Google才同意保证学校的电子邮件数据根据州法律不会离开该州。“试图让他们告诉你，你的数据存储在哪里。但遗憾的是他们还不具备这个能力。”

　　对于AWS安全信息的渴求永无止境

　　而另一方面，AWS的信息更新受到广泛关注。

　　“每一次我都是充满着期待兴奋的心情等待新版的Amazon白皮书。”Yankee集团首席分析师Ted Julian如是表示。Julian补充道，有趣的是在Amazon推出了新版白皮书之后，他们则要忙于回应众多的批评。

　　该问题可能属于文化范畴：作为零售组织，Amazon的本性是要求业务安全的，但在IT服务领域这并不是一个可行的模式，公司很难适应不同的态度。

　　Julian对新版本白皮书中包含了更多信息这一点深表赞同。尽管Amazon一再地试图满足企业客户的要求，但真正说明问题的技术细节并不在此。

　　有些问题则源于Amazon成熟度问题。事实上，所有成功的公司都遇到这个问题，每个人都在称赞Amazon公司的技术成就，其安全业务记录也是惊人的好。但是，Amazon将继续在安全问题上面临阻碍，直至它想出办法拓宽和满足安全从业人员和CIO们对安全性细节信息的渴求，Julian说。

　　“他们不会让别人对此负责，同时他们也不会自己来承担责任。除非他们解决了问题。”他说。

　　“在安全措施受到侵犯或其他方式的损害事件中，Amazon的责任是什么？”企业管理协会研究主任Scott Crawford通过电子邮件提出这样的疑问。该文档本身不错，具有高度的概括性，并明确界定了Amazon和客户各自的责任范围。但是其中在问责和底线方面还缺乏最为关键的详细信息，他说。如果客户因为违反Amazon的操作规则而非自己的疏忽受到损失，Amazon应当如何进行补偿的情况却只字未提。

　　Crawford表示可能Amazon会认为有必要坚持其自动化和单一模式的方法，毕竟，那是使用公共云环境的关键，但是公司将不得不在某些关键上掌握真实的安全需求。

　　“无论供应商作出怎样的承诺，责任之争将继续成为云计算推广的最大障碍之一。”他说。

　　“Amazon云服务是一个真正的创新飞跃，他们也有信心为其继续努力。”Forrester的王博士说。但归根到底，她补充说，黑箱形式的安全措施最终将拖累AWS的发展。安全措施的技术细节更为公开将招致某些技术领域的批评和更多的审议，但是如果AWS的安全措施与其宣称的同样优秀，那么额外的审议还具有非常积极的意义。

　　同时，王博士说企业用户和分析师有一个简单的要求，希望Amazon能更详尽地展示自己绘制的安全蓝图。目前，Amazon还未对新白皮书发表任何评论。