现在，一些企业并不放心迁移到云中，因为这意味着他们的系统数据可能会放到其他地方，而不是他们自己的数据中心内。对于某些企业来说，这是很难接受的概念，特别是对于那些25年以来一直在企业内部保存企业系统和数据的企业。显然，假如云计算提供商没有为其客户的信息部署强大的安全控制的话，他们将很难在市场立足。但现实的情况是，现在很多领先的云计算解决方案提供的一些安全功能甚至超过了大多数企业自己能够部署的功能。

在这篇文章中，我们将了解领先的云服务提供商的安全做法，并为考虑部署云计算解决方案的企业提出了几个应该考虑的问题。

云计算解决方案是否有风险评估过程来评估信息资产面临的风险？

确保有效安全控制的起点是确定云服务提供商的信息安全风险。应该通过执行风险评估来确定各种来源的信息，以及这些信息可能如何被泄露。现在有很多不同的风险评估模式，云服务提供商已经有一个过程来识别信息风险。在识别风险后，企业随后应该部署控制来缓解这些风险。

云计算解决方案是否部署了安全政策和程序？

根据风险评估过程确定的风险，云服务提供商应该制定一套安全政策和配套程序来部署必要的控制，以解决其安全风险。特设的政策和程序或者没有被云服务提供商记录在案以及部署的政策，都应该因其重视。此外，企业还应该部署高级的安全政策和程序来确定企业的安全做法，并最终为实现控制目标建立问责制。

云计算解决方案是否执行安全漏洞或渗透测试？

渗透测试或者漏洞测试是对企业的基础设施进行扫描，来确定是否存在任何安全漏洞(例如，如果关键系统补丁没有修复，攻击者则可能利用这个漏洞)。这种类型的测试的目的是确定系统是否可能受到内部或外部攻击，以及确定企业可以采取哪些措施来抵御或者消除这些威胁。具有良好安全习惯的企业都会定期执行这些类型的测试，并采取行动来应对这些识别的威胁。

云计算解决方案部署了哪些措施来物理保护其数据中心？

保护云计算系统的关键在于，物理地保护这些数据中心。云服务提供商应该能够为这些数据中心提供有限制的访问，以及足够的物理屏障，以防止未经授权的访问。受到很好保护的数据中心可能会非常昂贵，很多企业无法提供像云服务提供商那种水平的安全保护。

云计算解决方案经过什么类型的第三方审计?

云服务提供商有很多第三方审计可供选择。第三方审计为云服务提供商的各种操作提供独立的保障。在云计算行业比较常见的报告包括SOC1，SOC2，在某些情况下，还有SOC3，这是由职业审计师执行和签署的“服务组织控制”报告。这些报告涵盖了云服务提供商的不同类型的控制。这些报告能够为企业提供关于云服务提供商的有价值的信息来源。