流传不断的云安全误区（1）

一、大牌云服务提供商不需要核实

选择一家大牌云服务提供商似乎合情合理，毕竟它们通常拥有庞大的网络、遍布全球的数据中心和极高的业内知名度，很容易相信它们不犯错。它们太庞大了，不会倒闭。

别犯“相信对方而懒得核实”这个毛病。虽然对方公司不会倒闭，但你公司可能会倒闭。不合时宜的停运或故障可能会酿成重大危害。

要全面了解你与提供商之间的支持关系。如果本该安全的环境突然出现了漏洞，谁来处理投诉、谁来实际提供帮助?

二、云服务器有无穷无尽的资源

你的云服务器似乎有无穷无尽的内存和处理能力，但是消耗不必要的过多资源可能会导致性能问题、费用急剧上升。

云服务器在处理器、内存和输入/输出方面面临限制，用户请求时通常决定了这样。这些资源与云环境的其他用户共享，根据需要在诸云服务器之间转移。

云服务器使用所需的任何资源，但不得超过配置的资源数量。在许多公司，允许用户超额使用所配置的资源，但是成本要高得多，这非常像手机服务套餐。

三、没法核查第三方提供商其实在如何处理你的数据

人们在谈论公有云安全时，居心叵测的内部人员是最值得关注、未引起充分重视的问题之一。

如果将存储和计算这一块外包给第三方提供商，你现在不但需要信任自己的员工，还需要信任请来存储和处理数据的第三方提供商的员工。

一些云服务提供商以企业不希望或者可能侵犯员工隐私的方式挖掘企业数据。

确保云服务提供商能够为客户提供审计日志，查明可能访问企业数据的每个人，可能还要证明他们通过了必要的背景调查和许可。

四、云服务提供商会不断管理认证和合规

许多云服务商将平台的安全状况过于简单化了，把谈话的主题转向合规和第三方授予的认证上。

安全认证只是体现了当下的云平台及支撑性流程，刚获得认证，结果就过时了，这完全有可能。

注意力未必要放在实施合规政策上，而是应该放在满足合规的审计和报告上。

如果监管标准发生变化，知道哪里存在不足，这对于满足最新要求，并确保公司合规、遵守最新标准来说很重要。

五、云安全是一种产品或服务

安全不是一种产品或服务，而是一个过程。根据某一个应用程序或服务的用途对你的网络进行分段，部署防火墙，监控日志、系统和网络活动，制定并遵守安全程序和政策，确定谁可以访问数据，还要有万一出现安全泄密事件，可以遵循的方案。