一、云標準很薄弱

        ISO27001是一個相當全面的標準，它涵蓋了很多客戶關心的運行安全方面的問題。“這對于我來說，至少是評估SaaS供應商是否成熟的一個基本依據(jù)，”Wang表示。

        然而，將你的數(shù)據(jù)交給通過ISO27001標準的供應商并不能保證你的數(shù)據(jù)的安全性。調(diào)查發(fā)現(xiàn)，很多公司自稱符合ISO27001標準，然后卻承認“在特權用戶管理方面存在不足”，包括在用戶間管理員帳戶的共享以及向用戶授予非必要的更寬泛的特權。

         二、云計算中的身份驗證并不成熟

        Forrester分析師ChenxiWang表示，云供應商本身并不會周全地在他們的云計算平臺中加入身份驗證服務(通常存在于企業(yè)防火墻后面的服務)。有一些第三方技術可以讓IT部門加強云計算中基于角色的訪問控制。但總體而言，“這個領域目前仍然處于早期階段，”她表示。

        “對企業(yè)應用程序的身份驗證和訪問控制進行管理仍然是IT部門面臨的最大挑戰(zhàn)，”根據(jù)云安全聯(lián)盟的研究顯示，“雖然企業(yè)可以部署沒有良好身份驗證和訪問管理戰(zhàn)略的云計算服務，但從長期來看，將企業(yè)的身份驗證服務擴展到云服務中是非常必要的。”

         三、保密

        云供應商認為他們能夠比一般客戶本身更好地保護數(shù)據(jù)安全，并且SaaS實際上比大多數(shù)人所想象的更加安全。但是很多客戶覺得這很難相信，因為SaaS供應商通常對于他們的安全過程都相當保密。

        特別是，很多云服務供應商很少會發(fā)布關于他們數(shù)據(jù)中心及運行的詳細數(shù)據(jù)，并聲稱這樣做將會破壞安全性。然而，客戶和行業(yè)專家們早已受夠了所有懸而未決的問題以及保密協(xié)議。

        在某些情況下，如果供應商愿意，客戶可能可以調(diào)來自己的專家并試圖進入供應商的網(wǎng)絡進行安全測試。

         四、你并不總是知道你的數(shù)據(jù)的位置

        不過這仍然是比較少見的功能，即使數(shù)據(jù)存儲在一個國家內(nèi)，客戶也需要能夠確認數(shù)據(jù)的位置以滿足監(jiān)管要求，這也是EMC正在開發(fā)跟蹤和驗證云網(wǎng)絡中虛擬機位置的技術，但是這種技術要到明年才會面市，并且它要求EMC、VMware以及英特爾產(chǎn)品的整合。

        “現(xiàn)在，沒有任何技術可以驗證虛擬機的位置，”EMC公司VMware技術副總裁ChadSakac表示，“沒有任何失誤可以阻止你將一個虛擬機轉(zhuǎn)移到世界上任何位置，更重要的是，并沒有辦法對這種轉(zhuǎn)移進行審計。”