1.云端問題

云安全聯盟與惠普公司共同列出了云計算的七大問題，主要是基于對29家企業、技術供應商和咨詢公司的調查結果而得出的結論：

1）數據丟失/泄漏。云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄露，并且還可能缺乏必要的數據銷毀政策。

2）共享技術漏洞。在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環境中的很多虛擬服務器共享著相同的配置，所以必須為網絡和服務器配置執行服務等級協議（Service-Level Ag.’eement，SLA）以確保及時安裝修復程序以及實施最佳做法。

3）內奸。云計算服務供應商對工作人員的背景調查力度可能與企業數據訪問權限的控制力度有所不同，很多供應商在這方面做得還不錯，但并不夠，企業需要對供應商進行評估并提出如何篩選員工的方案。

4）賬戶、服務和通信劫持。很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱，那么入侵者就可以輕松獲取用戶賬號并登錄客戶的虛擬機，因此建議主動監控這種威脅，并采用雙因素身份驗證機制。

5）不安全的應用程序接口。在開發應用程序方面，企業必須將云計算看作新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程 開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。

6）沒有正確運用云計算。在運用技術方面，黑客通常能夠迅速部署新的攻擊技術在云計算中自由穿行。

7）未知的風險。透明度問題一直困擾著云服務供應商，賬戶用戶僅使用前端界面，他們不知道供應商使用的是哪種平臺或者修復水平。

2.客戶端問題

客戶云安全有網絡方面的擔憂。有一些反病毒軟件在脫離互聯網之后，性能大大下降。而實際應用中也不乏這樣的情況。由于病毒破壞、網絡環境等因素，在網絡上一旦出現問題，云技術就反而成了累贅。

針對客戶端問題，解決的方式是采用混合云技術，即將公有云與私有云相結合，既發揮了公有云用戶量大的優勢，又保留了本地的數據能力，結合了傳統技術與新技術的優點，可解決不少應用問題。

3.企業云安全解決方案

（1）內部私有云，奠定云計算基礎

提升云安全的第一個方法了解自己。企業需要對現有的內部私有云環境，以及企業為此云環境所構建的安全系統和程序有深刻的理解，并從中汲取經驗。在過去數十年中，大中型企業都在設置云環境，雖然他們將其稱之為“共享服務”而不是“云”。這些“共享服務”包括驗證服務、配置服務、數據庫服務、企業數據中心等，這些服務一般都以相對標準化的硬件和操作系統平臺為基礎。

（2）風險評估，商業安全的重要保障

提升云安全的第二種方法—一對各種需要IT支持的業務流程進行風險性和重要性的評估。企業可能很容易計算出采用云環境所節約的成本，但是“風險/收益比”同樣不可忽視，必須首先了解這個比例關系中的風險因素。云服務供應商無法為企業完成風險分析，因為這完全取決于業務流程所在的商業環境。對于成本較高的服務等級協議（ SLA）應用，云計算無疑是首選方案。作為風險評估的一部分，企業還應考慮到潛在的監管影響，因為監管機構禁止某些數據和服務出現在企業、州或國家之外的地區。

（3）不同云模型，精準支持不同業務

提升云安全的第三種方法 企業應了解不同的云模式（公共云、私有云與混合云）以及不同的云類堃（ SaaS，PaaS，IaaS），因為它們之間的區別將對安全控制和安全責任產生直接影響。根據自身組織環境以及業務風險狀況（見第（2）條的分析），所有企業都應具備針對云的相應觀點或策略。

（4） SOA體系結構，云環境的早期體驗

提升云安全的第四個方法——將面向服務的架構（ Service Oriented Architecture，SOA）設計和安全原則應用十2：（樸蛻。多數企業在幾年前就已將SOA原則運用于應用開發流程。其實，云環境就是SOA的大規模擴展。面向服務的架構的下一個邏輯發展階段就是云環境。企業可將SOA高度分散的安全執行原則與集中式安全政策管理和決策制訂相結合，并直接運用于云環境。在將重心由SOA轉向云環境時，企業無須重新制訂這些安全策略，只需將原有策略轉移到云環境即可。

（5）雙重角色轉換，填補云計算生態鏈

提升云安全的第五個方法 從云服務供應商的角度考慮問題。多數企業剛開始都會把自己看作云服務用戶，但是不要忘記，企業組織也是生態鏈的組成部分，也需要向客戶和合作伙伴提供服務。如果能夠實現風險與收益的平衡，從而實現云服務的利益最大化，那么企業也可以遵循這種思路，適應自己在這個生態鏈中的云服務供應商的角色。這樣做也能夠幫助企業更好地了解云服務供應商的工作流程。

（6）網絡安全標準，設置自身“防火墻”

提升云安全的第六個方法Ljil悉企業自身，并啟用網絡安全標準。長期以來，網絡安全產業一直致力于實現跨域系統的安全和高效管理，已經制定了多項行之有效的安全標準，并已將其用于或即將用于保障云服務的安全。為了在云環境世界里高效工作，企業必須采用這些標準，它們包括安全斷言標記語言（ Security Assertion Markup Language，S/UML），服務配置標記語言（Service Provisioning Markup Language，SPlvIL），可擴展訪問控制標記語言（Extensible Access Control Markup Language， XACML）和網絡服務安全（WS-Security）。