向五個不同的人提出一個有關(guān)云安全的問題，可能會得到五個不同的觀點(diǎn)。

云現(xiàn)象正在迅速地發(fā)展和變化，以至于安全等相關(guān)的規(guī)定很難跟上其發(fā)展。適用于的云的概念，如多租戶和統(tǒng)一用戶身份識別等，正在迫使安全廠商提供新的和更好的應(yīng)對措施。但是，當(dāng)他們準(zhǔn)備好的時候，云可能已經(jīng)產(chǎn)生了一套全新的安全挑戰(zhàn)。

標(biāo)準(zhǔn)也許是一個答案，也許不是一個答案，因?yàn)闃?biāo)準(zhǔn)有一個固定的時間以跟上或者預(yù)測快速發(fā)展的創(chuàng)新。因此，必須有一種方法對一些東西實(shí)施標(biāo)準(zhǔn)化以幫助不斷地提出有關(guān)云安全的關(guān)鍵概念的架構(gòu)和協(xié)議。

這正是非盈利組織云安全聯(lián)盟(Cloud Security Alliance)要做的事情。云安全聯(lián)盟創(chuàng)建于2009年，擁有2萬個成員，經(jīng)常被當(dāng)作向云計算提供安全方面的主要聲音。正如云安全聯(lián)盟成員和Sallie Mae公司首席安全官杰里·阿切爾(Jerry Archer)解釋的那樣，這個組織并不想成為一個標(biāo)準(zhǔn)組織，而是尋求一些方法推廣最佳做法。這些最佳做法將是用戶、IT審計人員、云和安全解決方案提供商一致認(rèn)可的。

一個成果是云安全聯(lián)盟的GRC棧。這是一套工具，可幫助人們根據(jù)行業(yè)最佳做法、標(biāo)準(zhǔn)和重要的遵從法規(guī)的要求評估和指導(dǎo)云。同云安全聯(lián)盟制作的所有其它工具一樣，這個GRC棧免費(fèi)提供給這個組織的任成員下載(不過，企業(yè)贊助商提供費(fèi)用)。

阿切爾在接受《網(wǎng)絡(luò)世界》采訪中解釋了云安全聯(lián)盟的工作方式以及我們?nèi)绾文軌蚪鉀Q云中的安全問題，他還解釋了云將如果改善我們的安全。

問：向我們高水平地解釋一下云安全聯(lián)盟做什么?

阿切爾答：你可以把我們做的事情分為五個大的方面。1.我們正在制定戰(zhàn)略，特別是為圍繞你如何進(jìn)入云和你需要考慮什么事情。2.教育。幫助教育人們了解云安全問題。3.我們正在圍繞審計和遵從法規(guī)建立最佳做法框架。我們正在把一些典型的SAS 70控制和其它審計體制轉(zhuǎn)變?yōu)橛糜谠频目蚣堋?.我們正在研究評估問題，如果從評估安全的角度觀察云。5.我們在觀察未來是什么樣子。

問：云安全聯(lián)盟如何確定研究什么項(xiàng)目?

答：云安全聯(lián)盟使用嚴(yán)格的組外包或者云外包。我們目前擁有2萬個成員。任何成員都可以提出想法。你可以向這個組提出一個想法。如果你的想法有吸引力，人們將與你合作，然后你會得到批準(zhǔn)。

在開始的時候，我們沒有研究資金�，F(xiàn)在，我們擁有資金，因?yàn)槲覀冇匈澲�的企業(yè)并且還有人投資一些工作。但是，保證客觀性對于我們來說是重要的。因此，這個委員會不斷地進(jìn)行檢查以保證沒有廠商超額認(rèn)購，也就是為一個指定領(lǐng)域的研究提供過多的資金。我們不想虧欠任何一家公司。

問：你們曾說云安全聯(lián)盟不想制定任何類似于SAS 70或者PCI那樣的硬標(biāo)準(zhǔn)。為什么會這樣，你如何評價你們對云計算行業(yè)的貢獻(xiàn)?

答：我們認(rèn)為，行業(yè)標(biāo)準(zhǔn)應(yīng)該由ISO(國際標(biāo)準(zhǔn)組織)和其它善于制定標(biāo)準(zhǔn)的那些組織來制定。我們經(jīng)常與現(xiàn)有的標(biāo)準(zhǔn)組織合作以提供忠告和指導(dǎo)。但是，我們認(rèn)為，如果我們不與任何具體的標(biāo)準(zhǔn)捆綁在一起，我們會更靈活一些。我們與國際標(biāo)準(zhǔn)組織和國際電信聯(lián)盟有正式的聯(lián)盟關(guān)系。我們向他們提供研究成果和資源，幫助他們的工作。我們還與NIST(美國國家標(biāo)準(zhǔn)及技術(shù)研究所)合作。我們希望與其它標(biāo)準(zhǔn)組織建立合作關(guān)系。

問：你認(rèn)為用戶要求云提供商詳細(xì)介紹有關(guān)他們的云安全措施的權(quán)利與云提供商處于安全考慮對這些細(xì)節(jié)保密的權(quán)利有什么沖突嗎?

答：提供商也許永遠(yuǎn)不想告訴任何人他們的防火墻是如果設(shè)置的以及類似的事情。另一方面，如果正確地傳遞，有大量的信息從遵從法規(guī)或者安全觀點(diǎn)看是非常有用的。

如果我們把事實(shí)與夸張的宣傳區(qū)別開來，作為云的消費(fèi)者，我就會得到有關(guān)我的應(yīng)用今天在什么地方運(yùn)行以及如何運(yùn)行的足夠信息，并且完全不會影響你的安全。因此，向我提供我需要的這些信息，我就會信任我所在的環(huán)境。

事實(shí)上，從消費(fèi)者的方面看，事情會變得更加簡單，因?yàn)閼?yīng)用程序會變得儀表化，你可以確定這些應(yīng)用程序是否處在正確的環(huán)境中。DARPA(美國國防部高級研究計劃局)已經(jīng)對多租戶環(huán)境進(jìn)行了大量的研究。他們研究了應(yīng)用程序的控制，讓應(yīng)用程序匯報它的環(huán)境的安全。