《企业网D1Net》10月22日讯

许多公司和团体都在用各种方法努力解决安全挑战。建立于2009年的云安全联盟（the Cloud Security Alliance,CSA）是最重要的举措之一，因为它可以说是对这个问题采取最全面看法的组织。它是一个非盈利组织，委员会的宗旨是提升最佳实践的使用，以便在云安全中提供安全保证，并在云计算的使用方面提供教育，以便帮助使计算之外的形式的安全。

红帽（Red Hat）加入CSA已经将近两年了，并一直致力于将CSA建设的工具带入公共视野并促进它们的使用，以便为物理的、虚拟的、混合的云环境提供安全性。现在，作为CSA的一个正式企业成员，红帽继续聚焦于开放标准和安全性上，来保护云中的企业工作负载。

CSA有超过130个以上的企业成员。包括IT供应商如面向很广范围行业的红帽。但是它还包括这样的公司，如保健技术供应者麦克森公司（McKesson），它们的工作尤其要求高水平的管制并显著受到数据隐私性要求的影响。它包括对安全性和合规问题感兴趣的专业服务公司，例如Ernst&Young&PwC。它还包括政府机构，如国防部门，以及这些机构的供应商，例如Raytheon。它还包括大型技术终端用户，如eBay。CSA在其Linkedln集团还有着庞大的几乎有40000个成员。

一个特定的CSA是它的云安全联盟云控制模型（Cloud Security Alliance Cloud Controls Matrix ，CCM）。CCM旨在提供基础安全原则以便“指导云供应商并协助未来允客户评估云供应商的总体安全风险。”它的目标本质上是提供结构使得安全能够以一个系统化的方式被评估。特别地，用CSA的话说，是提供“……针对云行业给组织们提供他们所需的结构、细节、牵涉到信息安全的明晰度。CSA CCM通过强调商业信息安全控制要求、减少和识别一致的安全威胁、云中的薄弱点，来强调现存的信息安全控制环境，提供标准化安全和操作风险管理，并寻求将云分类法、术语、安全预期、以及云中安全措施标准化。”

以这种方法去系统化是很重要的，因为安全性不是一东西。事实上，CCM认为98个不同的领域中控制地位的有13个不同领域：如合规、弹性、信息安全。这些控制领域中的每一个随后都被设置进了IT架构的领域，在那里它发挥作用，它的不同云服务交付模型的关联（IaaS，PaaS，SaaS）以及它与一个广泛的规则的联系。甚至一个详细模型的快速浏览都给我们一种CCM提供一个相当具体的组织可用的实用框架的程度的感觉。（根据欧洲网络信息安全机构进行的2009年研究提供的类似脉络的框架。）

CCM（或者称为共识评估计划调查问卷的另一个可选文档）能够被云用户使用来架构他们自己的云供应商评估。但是，这些文档也是给另一个名叫“CSAA安全、信任保证注册表（一个免费、公共地可访问注册表，编制了被各种类型云计算产品提供的安全性控制）”的输入内容。云供应商能够提交自我评估报告，记录了他们对CSA公开最佳实践的遵行情况。CSA的目标是使得云用户在做他们的尽职调查时更容易更统一，、以及一般移向一个安全实践更透明的环境，甚至被用作一个不同云供应商之间的区分者。