安全性是云计算服务的一大软肋。关于数据泄漏或访问中断事件的噩梦吓跑了许多潜在的云计算客户，使他们放弃了使用云计算服务。云计算供应商们必须立即着手消除这一类对云计算服务安全性的担忧。

　　对于云计算供应商来说，仅仅减轻云计算安全风险是完全不够的。为了赢得客户们的信任，云计算供应商们还必须与客户们保持直接而透明的联系，以帮助他们直接面对这些安全风险，Savvis公司的CTO Bryan Doerr说。他于近期接受了SearchCloudProvider.com的采访，讨论了供应商们所面临的云计算安全问题。请不要错过我们与Doerr精彩问答的第二部分，其中主要涉及构建一个安全的云计算，从多租户到混合托管。

　　当客户们表示他们担心云计算的安全问题时，他们最关注的问题到底是什么？

　　Bryan Doerr:当云计算解决方案面世时，客户完全不理解解决方案到底是什么样的，而围绕云计算的赞誉声有些过滥，其真正的价值并没有真正显现。我们发现，他们对解决方案的关心程度极其有限，“如果云计算不在我的数据中心里，而且仅仅只是别的什么人的一个什么解决方案，那么很显然其安全等级必然大打折扣。”这里，并不特指任何东西，因为在大多数情况下大多数人都不了解云计算的真正含义。我认为，安全问题的核心更多地在于“如果应用程序或数据不在我的控制范围内，那么我就一定会为之忧心忡忡了。但是，这个想法已经非常过时了。

　　随着业界对于服务定义的日趋完善，而客户也越来越了解云计算技术，他们是什么和他们不是什么，两种与安全性相关的关注也逐渐显露出来。一方面云计算安全关注源于这样的想法，即通常可用的云计算技术并不允许数据中心的设计者或运营者提供与他们自行提供安全等级相同的安全性。值得注意的是，如果你不是非常非常小心，你在云计算中运行应用程序的安全性很有可能要低于你在你自己的数据中心中运行相同的应用程序。这是一个非常现实的关注：‘如果我没有相同的可用工具，那么我可能不能够提供与我之前所拥有相同的安全性。’

　　另一方面的关注源于这是首次这么多人考虑多租户，即在相同物理基础设施中与其他公司一起运行他们应用程序的主意。当然，那是他们以前从未注意过的新问题。他们正在试图理解云计算中一个用户如何与其它客户相互隔离，以及其中所蕴含的何种风险或漏洞。有可能有怀有恶意的某人会危及云计算的安全，授权访问其他云计算租客，等等这样的想法都变为非常关注“黑盒子”。在一定程度上，我们仍然处于该模式下。

　　那么，云计算供应商需要采取些什么措施以便于解决这些云计算安全问题？

　　Doerr:关于之前拥有足够安全措施的关注，客户正变得越来越能够问出正确的问题，而服务供应商也正使他们所提供服务越来越先进，因此整体云计算安全性都得到了提升。我认为，我们正集中于理解云计算安全问题和最终形成安全能力的开发能力，从而能够在安全性方面能够与私有数据中心比肩。

　　在多租户关注中，服务供应商实现这一目标的唯一真正解决方法：A) 通过尽职的必要调查，以确保他们的环境受到极佳保护；B）愿意分享用于实现与客户隔离的设计。换而言之，一定程度的透明度是必要的，因为没有透明度和全面的解释，客户只能听到你作为服务供应商为云计算安全功能所做的辩解。

　　随着时间的推移，安全关注和对这些关注的响应正向不同的新方向发展。其中一个突出的云计算安全问题是安全的非技术方面：流程、角色、范围。它包括限制业务中某一角色能够完成所提供门户功能的能力，以及在某一处理等级上与IT组织本身集成的门户在何种程度上完成任务。

　　这里，仅举一个例子：曾几何时在专用数据中心的时代，IT部门有非常严格的流程要遵循以实施应用程序与基础设施部署、基础设施故障排除和变更，所有这些任务都意味着安全性和高可用性。设计他们雇员的角色：助理管理员、安全工程师、网络工程师，物理设备有助于确定这些角色的权威。安全工程师可能还没有登陆网络路由器。系统管理员无法更改防火墙之类的工作。因此，以良好安全性的方法集成这些流程和基于角色的访问权限。

　　现在，你转往云计算，你也拥有了一个网站，其中包括与多个雇员共享登录的环境，他们可以在这个环境中做任何事。那么，众多这样的角色和流程都消失了。因此，云计算供应商和客户在这方面都充满了希望。这方面正在不断发展，一些供应商已肯定拥有了这样的能力，其中也包括了Savvis公司。

　　对于关注云计算安全问题的客户，Savvis正在采取哪些措施以增加两者之间的透明度？

　　Doerr:Savvis以企业市场为目标，而这个市场对安全性的要求极高。他们设有专门的雇员来承担首席安全官的职责。他们有很大的义务来确保组织内部满足遵守需求，我们变得非常善于帮助我们的客户了解云计算安全问题和提升我们设计解决方案的透明度。我们不仅为他们提供他们所一直寻找的技术特点，而且还帮助他们了解我们的设计，以便于他们能够确定他们的环境处于一个多租户配置的保护中。

　　今年早些时候，Savvis的云计算安全战略是否受到有组织黑客团伙的安全性高调挑战的影响？

　　Doerr:跨公司大量人员的安全实践等级是非常广泛的。这在很多方面是高低不一致的。长期以来，我们一直在担心和处理安全关注。使得，我们相信，威胁正变得越来越先进。我们必须继续寻找各种方法来抵御这些威胁，但是从网络和安全角度来看，毫无疑问这个世界中的各种威胁永不会有所减少。这一工作永远不会结束，但是它也没有改变进程或成为任何近期事件的迫切结果。它只是不断在提醒我们工作的重要性、工作方式、以及工作价值。

　　待续与Savvis精彩问答的第二部分，其中主要包括构建安全云计算，从多租户到混合托管。