安全专家对于Amazon web服务与应用（AWS）发布的更新版“安全措施概述”给予了有限的褒奖。该文档的早期版本就曾经招致尖锐批评，而此次更新版本虽增加了更多的信息量，但仍缺乏说服力。

　　虽然许多个人用户对安全问题并不太关心，但是企业级用户则希望对安全措施有更详细的了解，而不是不明就里地马上实施云计算，North Carolina State University（NCSU）计算机科学系主任Mladen Vouk博士如是说。Vouk在该大学中建立并运行一个基于IBM的云基础设施。

　　该AWS文档主要介绍了AWS保护数据中心部署和计算基础设施，避免受在线和真实世界威胁所采取的基本安全措施。此外，它列举了一些类似SAS 70 II审核的指标。

　　Amazon安全专家Steve Riley曾在六月份表示：“我对我们已完成的这项不可思议的工作而感到自豪。”当时，他表示他了解大多数人都认为SAS 70 II审核只是一纸空文。审核包括一个设置自身安全目标和指标的组织和一个评估满足自选标准的审核事务所。尽管大多数审核事务所为那些他们已考虑或未考虑的事务设置他们自己的标准，但那也意味着对什么是良好的安全并不存在着一个真正客观的标准。

　　“人们可能无法真正理解我们所从事的工作。”Riley说。他解释说，AWS设置了获得SAS 70 II认证所需的最高安全要求，其中包括评审Amazon在每一个层次上的运行，而这一过程是非常复杂并令所有人精疲力竭。他表示最终目标是制定世界级的安全措施，相当于或优于目前世界上大多数的高度安全环境。为了能够实现启动，Amazon过去的业务记录表明，大多数对其基础设施诸如拒绝服务攻击（DDOS）的侵犯和在线威胁都是无法轻易解决的。

　　更新的安全白皮书反映了所有的努力，Amazon也借此向其客户说明它是如何保护用户重要资产的。与之前版本相比，该版本内容要更为详尽。

　　还有哪些问题？

　　专家认为新版本相对更好，但仍不够完善。

　　“我认为其内容空洞无物，且令人诧异。它没有任何深度的技术探讨。”Forrester研究机构安全领域博士、首席分析师王晨曦说。王博士表示她很高兴拜读到Amazon的新开发内容，例如为用户提供链接安全工具和使用指南的新安全中心，但是对于Amazon如何实现自己所宣称在从事工作的实际信息却寥寥无几。

　　例如，在安全中心章节有一个段落解释密钥更新，即周期性修改用户访问AWS的指定密码。这对于未授权用户误使用问题是一个出色的预防措施，但是，王博士表示文章中完全没有任何关于当用户要求时Amazon是如何完成密钥更新的相关信息。王博士表示如果用户不能明白任务是如何执行的，就无法判断其安全性进而信任它。

　　她指出在其他方面的内容也存在着明显的不足。该白皮书宣称AWS使用SSL防止位于用户和AWS之间的中间人攻击（MITM）：“所有的AWS API都是通过服务器授权安全接口（SSL）保护的端点实现应用。并鼓励用户对其所有与AWS的交互使用SSL。”

　　“那就是问题所在。”王博士说。她认为事实上SSL仅提供了服务器端的认证，而非客户端认证。因此，断言SSL端点可防止MITM攻击俨然是错误的。无论AWS采取何种措施，一个使用受感染机器的用户，或者一个通过非安全通道发送数据的用户都是脆弱应用的潜因。王博士认为AWS应该对此心知肚明，但这一点还未得到确认。“白皮书中并没有提及这一点。”她说。