不知處報告全文云深2016企業(yè)上全策略指南

在對價值支點的判斷上，云是大勢所趨已經(jīng)深入人心。IT企業(yè)在將轉(zhuǎn)移IT解決方案到云計算的同時，由于企業(yè)客戶基礎(chǔ)設(shè)施和應(yīng)用程序的外部化使需要。面對安全問題，企業(yè)要基于對外部信息結(jié)合自身IT能力和需求進(jìn)行判斷，這無疑是難度更大的，尤其是難以形成量化結(jié)論。難以言喻的IT企業(yè)是否具備了客觀審視云的風(fēng)險特征的足夠信息支撐？企業(yè)是否有充足的云安全認(rèn)知能建了19個細(xì)化指標(biāo)的云安全能力指標(biāo)體系，對云服務(wù)商的安全實踐進(jìn)行比較。 所有權(quán)和控制權(quán)轉(zhuǎn)移，促使客戶依賴高標(biāo)準(zhǔn)安全控制........................................... 云服務(wù)商的合規(guī)性認(rèn)證是給客戶企業(yè)安全保障的.............................................. 結(jié) 致 咨詢研究機(jī)構(gòu)Gartner對云安全市場的分析報告，歐洲網(wǎng)絡(luò)與局（ENISA）關(guān)于我們希望通過企業(yè)IT部門高管、技術(shù)，了解中國企業(yè)對上云決策理開發(fā)、ITIT主要為企業(yè)CTO、CIO或技術(shù)總監(jiān)等相關(guān)職位。對部分不明確信息，我們通過企業(yè)公開的進(jìn)行了詢問確認(rèn)控制權(quán)遷移的不安全感可能錯估上云時例如什么可以依托給云，云服務(wù)商以什么安全理念為企業(yè)而服務(wù)？無此，則安全無從談起。CSA構(gòu)建了19個細(xì)化指標(biāo)體系。IT、微軟制圖：互聯(lián)網(wǎng)，2015年12物理基礎(chǔ)設(shè)施部署。云計算基礎(chǔ)設(shè)施遠(yuǎn)離云用戶所在地，這是市場對云服務(wù)擔(dān)定性是前提，穩(wěn)定性達(dá)不到傳統(tǒng)架構(gòu)不會考慮上云?！蹦乘軝C(jī)企業(yè)CIO。持續(xù)時間下的功能可獲得性是企業(yè)對IT部門的基本需求，而在上云背景下，這一需求作為外包合作模式，上云企業(yè)難以如對待內(nèi)部IT部門一樣進(jìn)行詳細(xì)資源，這是不安全云市場規(guī)模是上云企業(yè)的重點指標(biāo)。某互聯(lián)網(wǎng)金CIO認(rèn)為“規(guī)模是第一要云計算企業(yè)的經(jīng)營不穩(wěn)定是一種現(xiàn)實風(fēng)險。2013GraydonUK谷歌與Amazon)總計收得54%營收比例。例如，2015年惠普1和戴爾2相繼放棄了其部分云計算項目，顯示了在云計算這一新興商業(yè)VMwareOpenStack的云計算放大了IT服與之安關(guān)加。，國外主流云服務(wù)商為代表的安全責(zé)任共擔(dān)模式和國內(nèi)主流云服務(wù)商為代表的托管模式是我國云計算的合作伙伴能力——云服務(wù)商接納并整合基服務(wù)的中間商從而發(fā)展成為具有一致標(biāo)準(zhǔn)的伙伴關(guān)系——也是亞馬遜AWS率先提出并被行業(yè)普遍接納的概念。在GartnerAWSCartner2015年初發(fā)布的技術(shù)發(fā)展趨勢報告顯示，2014年全球云計算服務(wù)市場規(guī)模達(dá)1528億，增長率達(dá)17.9%，其中公有云開支將達(dá)700億。作為laaS（基礎(chǔ)ResearchGroup）20152AWS在公有云基礎(chǔ)性服務(wù)方面的表現(xiàn)創(chuàng)下了5年新高，在2014年Q4中，其全球市場份額增長了30%，營收的年同比增長也達(dá)到了51%。市場份額2～4名的微軟、IBM及也在營收方面增長明顯，年同比增幅分別達(dá)到96%，48%和81%。2015年10月，F(xiàn)orrester發(fā)布了中國區(qū)2015年第三季度的企業(yè)公有云服務(wù)Wave2020年中國公有云市場規(guī)模預(yù)計將達(dá)到38億。根據(jù)IDC的數(shù)據(jù)，阿里云在2014年上半年的領(lǐng)域市場份額為22.8%，位居首位。微軟Azure和亞馬遜AWS則亞馬遜AWS：2015年亞馬遜首次披露了亞馬遜AWS（AmazonWebService，亞服務(wù)）的部分財務(wù)狀況：2014年凈收入46.4億，較2013年上漲49%。2015年一季度凈收入15.7億，二季度收入18.2億。CEOBezos在一份中表示，“亞馬遜AWS是一個50億的業(yè)務(wù)，并且依然在加速增長中，亞馬遜AWSAzure：2014Office365，AzureDynamics的持續(xù)推動下，企業(yè)級云服務(wù)收入增長114%，實現(xiàn)55億的年收入。阿里云：2015年10月，阿里巴巴發(fā)布2015年第三季度財報，阿里巴巴旗下云計算業(yè)務(wù)阿里云營收6.49億元。此前的財報顯示，2015年前兩個季度阿里云營收分別為收入在2015年上半年達(dá)到19.7億元。由于本部分涵蓋“電子商務(wù)、提供商標(biāo)、一種評估方式為通過云服務(wù)商服務(wù)的客戶來評估其服務(wù)的計算能力。在2015年Gartner發(fā)布的 做出，其中亞馬遜AWS擁有多元化的客戶基礎(chǔ)和最廣泛的使用案例，包括企業(yè)和關(guān)鍵任務(wù)應(yīng)用。亞馬遜AWS客戶使用的云計算能力超過其他14個云服務(wù)商3總和的10倍。3這份報告評估的企業(yè)，除亞馬遜AWS外，其余14家為：、、CenturyLink、Communications、Joyent、DimensionData。的2倍。ForresterResearchForresterWave：2015其中對微軟Azure和阿里云5的服務(wù)能力打分為4.00和3.75。同期評估中阿里巴巴、微時隨地可獲得。因此除了云服務(wù)商本身計算、資源的規(guī)模外，網(wǎng)絡(luò)環(huán)境成為影響云計務(wù)穩(wěn)定性重要制約因素。在解決這個問題上，無論是選擇分運營商部署、多線多IP、靜態(tài)BGP或動態(tài)BGP，都將增加企業(yè)上云的成本。這甚至企業(yè)選擇云服務(wù)商的時候必4原文名：TheForresterWave:EnterprisePublicCloud tformsIn ,Q32015：The11ProvidersThatMatterMostAndHowTheyStackUp圖表3AWS提供的云安全服務(wù)措施是通過工具和操作保障“安全的云”；AWS阿阿保障平臺安全，并通過為客戶提供三類安全能力：1）云產(chǎn)品托管服務(wù)，按照SLA提供服務(wù)。近似責(zé)任共擔(dān)近似責(zé)任共擔(dān)制圖：互聯(lián)網(wǎng)，2015年122015年7月網(wǎng)信辦牽頭出臺了《關(guān)于加強(qiáng)部門云計算服務(wù)管理的意見》，該文件確定了部門在采購使用云計算服務(wù)過應(yīng)遵守的4的原則規(guī)定：安全管理責(zé)任不變，數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變，敏感信息不i。其ITITAWS如在安全領(lǐng)域亞馬遜AWS的最高等級且合作最成技術(shù)合作伙伴（AdvancedTechnologyPartner）之一的趨勢科技就是在全球云計算安全市場上第一位的安全廠商。，亞馬遜AWS在合作伙伴的選擇上也依照這一標(biāo)準(zhǔn)。此外一些云服務(wù)商選擇建圖表4國內(nèi)主流云服務(wù)商第合作計劃比第2014AWS趨勢科技、山石網(wǎng)科、奇虎360等ii。阿2015年6月9日，宣布啟動全球合作伙伴計劃(MarketceAllianceProgram，簡稱MAP計劃)。9月與企業(yè)安恒信息達(dá)成戰(zhàn)略合作伙伴關(guān)系。10月阿安全市云安寶等30多家安全廠商的產(chǎn)品。標(biāo)準(zhǔn)。顯示在安全方面與安全狗形成了合作。制圖：互聯(lián)網(wǎng)，2015年12中，上云企業(yè)對第能夠提供的補(bǔ)充性功能比較期待，同時也希望云服務(wù)商能夠?qū)Τ械奖Ｕ弦揽糠?wù)商的管理能力”某互聯(lián)網(wǎng)金融企業(yè)CIO。目前從公開的信息看國內(nèi)提供第合作伙伴接入服務(wù)的云服務(wù)商中，僅有亞馬遜AWSAWS較大偏差。在我們盡力搭建的統(tǒng)一比較平臺上，以亞馬遜AWS專家為基礎(chǔ)設(shè)施部署提供方案與意見，這是一般傳統(tǒng)IT企業(yè)所不具備的能力。中國電子工程設(shè)計院編寫的GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》和國學(xué)會（ANSI）批準(zhǔn)頒布的《數(shù)據(jù)中心電信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》，是數(shù)據(jù)中心建設(shè)過通用的遵循標(biāo)準(zhǔn)之一。ANSI-TIA-942-2005將數(shù)據(jù)中心劃分為Tier1—Tier4（Tier4）T1-T4。6更高的等級代表數(shù)據(jù)中心建511區(qū)域(Regions)，30可用區(qū)(AZ)，53邊緣站點（EdgePoints）v；區(qū)由光環(huán)新網(wǎng)提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)，網(wǎng)宿科技提供CDN服務(wù)，位于的第二個中國Region正在建設(shè)。亞馬遜AWS能夠?qū)崿F(xiàn)2建設(shè)依據(jù)T4標(biāo)準(zhǔn)）在19個地區(qū)vi設(shè)有數(shù)據(jù)中心，還計劃再納入5個區(qū)域；中國有和兩處數(shù)據(jù)中心，由世紀(jì)互聯(lián)運營;微軟Azure數(shù)據(jù)中心將云用戶的數(shù)據(jù)為3個副本，即在和兩個距離1000公里以上數(shù)據(jù)中心可共數(shù)據(jù)的6個副本。viiii6GB50174ACABC1234T4AT4AT3A準(zhǔn)低一下，所以A級標(biāo)準(zhǔn)是處于T3和T4之間的。本、歐洲、中東等地設(shè)立新的數(shù)據(jù)中心ix；目前從用戶界面可以看到阿用戶數(shù)據(jù)在一個數(shù)據(jù)中心的多個系統(tǒng)內(nèi)部進(jìn)行存放,并在某些情進(jìn)行多個數(shù)據(jù)中心進(jìn)行存放。—“8+2+X”數(shù)據(jù)中心布局：8是指東北、華北、華東、東南、華南、西南、西北和華中8個區(qū)域中心；2是指內(nèi)、兩大綠色云數(shù)據(jù)中心；X則指根據(jù)客戶實際需求按需布點，自家掌握豐富互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）20ms。數(shù)制圖：互聯(lián)網(wǎng)，2015年12 2聰慧 亞馬遜AWS中國區(qū)域服務(wù)的用戶需要創(chuàng)建一個亞馬遜AWS(中國)賬戶，這個賬戶不同于其他全球亞馬遜AWS賬戶而且獨立存在，只有擁有亞馬遜AWS(中國)賬戶的客戶才能夠使用亞馬遜AWS中國（）區(qū)域的服務(wù)資源。保存區(qū)域的數(shù)據(jù)或信亞馬遜區(qū)由光環(huán)新網(wǎng)提供數(shù)據(jù)中心，有兩個可用區(qū)。微軟在全球19個地區(qū)設(shè)有數(shù)益于中國電信在網(wǎng)絡(luò)和自有IDC牌照方面的優(yōu)勢，在國內(nèi)有廣泛的數(shù)據(jù)中心分布。綜合對性、電氣、制冷、接地、防火等不同的要求，依次提供99.671%、99.671%、99.982%、99.995%的可用性。xv5ANSIT4ITIT制，24小時出入檢查登記，重要區(qū)域的，嚴(yán)格的進(jìn)入、操作的備案不僅可6—權(quán)控制，實行7×24出入檢查登記；還設(shè)有BMS系統(tǒng)、CCTV阿離職后，人力資源部將通過系統(tǒng)禁止離職人員賬號 網(wǎng)絡(luò)。要遵守與公司簽訂的協(xié)議?！?/p>

制圖：互聯(lián)網(wǎng)，2015年12部量復(fù)的會被化，地一夠自動完成任務(wù)的工具。這樣做的優(yōu)勢在于自動化工具可減少人員可能帶來的多種意外結(jié)亞馬遜AWS、阿、騰訊云的人力資源流程規(guī)定員工離職時對其權(quán)限消除。云服務(wù)事故響應(yīng)(IR）是管理的基石之一，即使最周詳?shù)挠媱?、實施并?zhí)行了相關(guān)的機(jī)制和工具與云計算新特點對應(yīng)起來，與云服務(wù)商如何對接聯(lián)手處理。一方面對企業(yè)內(nèi)IR發(fā)了企業(yè)用戶擔(dān)憂云服務(wù)商能否快速提供用以分析事故的日志。i云服務(wù)商提供的日志服務(wù)，能幫助企業(yè)更快速進(jìn)行事故分析與故障排除。7亞馬遜AWS使用亞馬遜AWSStorageAWS云亞馬遜AWS通過AmazonEC2C三個嚴(yán)重性，對應(yīng)有2、4、8小時或更短時間響應(yīng)，A支持僅提供執(zhí)行到Azure或輔助本地數(shù)WindowsAzure公有低于99.95%。可用性99.9510%服務(wù)99%，是25%信用減免。xxii利用AzureHDInsight阿 支持；淘寶及1688賬99.9%；100日志服務(wù)（LogService，簡稱LOG）正在公測，該提供7*24服務(wù)支QQ（即將上線）,7x24小時技術(shù)團(tuán)隊在據(jù)自身需求最多可設(shè)置24個為720小時?！茍D：互聯(lián)網(wǎng)，2015年12備份和恢復(fù)服務(wù)是保障企業(yè)用戶數(shù)據(jù)安全性的重要，納入對比的5家云服務(wù)商幾2014年，追蹤公司CloudHarmony監(jiān)測了48家云服務(wù)商的宕機(jī)故障頻率，亞馬遜AWS和谷歌云平臺（Cloudtform）的公有云正在接近被部分人認(rèn)為是可用性的終極目標(biāo)——五個9（即99.999%），尤其是亞馬遜AWS的正常運行時間最長。亞馬遜的彈性計算云（EC2）2014202.41這意味著亞服務(wù)的正常運行時間百分率達(dá)到了99.9974%。此案例只用來表明云服務(wù)五家云服務(wù)商均對其主要服務(wù)承諾提供國際水準(zhǔn)的99.95%服務(wù)等級協(xié)議，通過上面2014AWS為服務(wù)周期計算，在不達(dá)標(biāo)服務(wù)商以不同方式提供補(bǔ)償。該方面阿和騰訊云的補(bǔ)償力度最高，都提供100倍的時間補(bǔ)償。且每家的分類不盡相同。99.95%SLAAWSAzure者行為，發(fā)現(xiàn)趨勢。亞馬遜AWS的相關(guān)服務(wù)能精確到上一分鐘的統(tǒng)計信息，并可自動透明性和不可控性上云企業(yè)對云服務(wù)有效和安全共享等方面產(chǎn)生一定的安全風(fēng)險顧絡(luò)組織和APT的“標(biāo)靶”。究其原因：首先，大規(guī)模的數(shù)據(jù)資源云端，對于IT 當(dāng)前市場上國內(nèi)外云服務(wù)商在以上三大維度上的優(yōu)勢也不盡相同,通過查閱截止到2015年12月五大云服務(wù)商的信息、所發(fā)布的安全白皮書，如阿并且遷移到IT亞馬遜間、來源IP地址、是否使用SSL等xxv 標(biāo)識管理策略間、來源IP地址、是否使用SSL等xxxi 阿通過數(shù)據(jù)結(jié)合動態(tài)令牌實現(xiàn)雙因素認(rèn)素驗證證,推出和勢驗證制圖：互聯(lián)網(wǎng)，2015年12圖表亞馬遜 AWS推出數(shù)據(jù)傳輸產(chǎn)品Snowballxxxix使用端到端AES-256在碎片化基AES-256如S3xli等類AES-256遜AWSCloudHSM遜AWS使用SSL/TLS加密網(wǎng)關(guān)和Azure通信等xliv,微軟AzureAES-256在內(nèi)能，如：NETRMS)等服務(wù)xlviDatabaseonAzure阿ssl與江南天安合作，提供基于LogService、CloudMonitor，服務(wù)通過 采用自動切片，分布式結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)務(wù)采用SSL加密傳輸技 制圖：互聯(lián)網(wǎng)，2015年12圖表亞馬遜提供Web應(yīng)用程序lxi、網(wǎng)絡(luò)內(nèi)置及相關(guān)加密措施等提供檢測、防DDOS、設(shè)置阿Networks30計、數(shù)據(jù)庫安全、、密鑰管理等方面基礎(chǔ)防護(hù)：DDoSWAF9DDOS等能力360lxx。覆

制圖：互聯(lián)網(wǎng)，2015年12亞馬遜AWS和微軟Azure提供更有力的IAM，國內(nèi)阿在跟亞和微軟Azure所提供的認(rèn)證、控制功能比較完善，除了支持多因素驗證、用戶自定義權(quán)限實現(xiàn)精細(xì)化控制之外，還可集成企業(yè)活動，降低成本，AWSAzure國外云服務(wù)商在實施碎片化的基礎(chǔ)之上，提供高標(biāo)準(zhǔn)的加密服務(wù)，如AES-256位云服務(wù)商基本上都與第合作伙伴合作，強(qiáng)化云服務(wù)安全。整體來看，微軟AzureAWSAWS盡管虛擬化的云服務(wù)使企業(yè)工作部署變得簡單起來,但卻著安全合規(guī)性問題。目前的理解安全合規(guī)性，可以解決企業(yè)CIOs和CEOs在上云過對如何遵守云規(guī)則和避免自管工確務(wù)夠企全性要決鍵云服務(wù)商通過一系列性認(rèn)證向企業(yè)用戶展示自身合規(guī)性的事實價值和對企業(yè)的安全意義。服的認(rèn)客全客解術(shù)成的中國系統(tǒng)等級保美聯(lián)邦信息處理標(biāo)準(zhǔn)者重要數(shù)據(jù)的保護(hù)驗證的系統(tǒng)，通過該標(biāo)準(zhǔn)意味著在數(shù)據(jù)加密美風(fēng)險與管理計劃FedRAMP是機(jī)構(gòu)的一個強(qiáng)制性計劃,對于在機(jī)構(gòu)部署相關(guān)的云防部云安全模型評估數(shù)據(jù)安全港協(xié)議（EUSafe通過該認(rèn)證，其安全標(biāo)準(zhǔn)比BSI更嚴(yán)苛。全程序進(jìn)行的IT基線保護(hù)式安全認(rèn)證。澳大利 評估新西蘭總監(jiān)認(rèn)證（NZ新西蘭資訊科技總監(jiān)發(fā)布了105個問題的框架，這些問題主要集中在新加坡多層云安全管理標(biāo)準(zhǔn)于對HBI數(shù)據(jù)具有最嚴(yán)格安全要求的組織。制圖：互聯(lián)網(wǎng)，2015年12可信云是國內(nèi)行業(yè)組織數(shù)據(jù)中心組織聯(lián)合工信部電信推出的針對云服務(wù)的認(rèn)證體系。通過認(rèn)證意味著從服務(wù)協(xié)議(SA)性、數(shù)據(jù)可靠性、用戶數(shù)據(jù)私密性、業(yè)務(wù)可用性、功能完備性、指南ISO27017標(biāo)準(zhǔn)認(rèn)證計的指來管基。個人保護(hù)ISO/IEC27001CSA和BSI控制矩陣（CCM）開發(fā)出全新的STAR云安全評估，根據(jù)控制措方認(rèn)證而獲得，STAR級別則是通過自我評估和的方式表示滿支付卡行業(yè)數(shù)據(jù)安全性標(biāo)準(zhǔn)保障框架（ENISAIAF）制圖：互聯(lián)網(wǎng)，2015年12圖表SOC2SOC1AWS含的AICPA安全受信原則、企業(yè)管理對于控制有效性的以及企云安全推出了一項在云提供商中鼓勵安全實踐透明性的行動12CSA-STAR屬于一系，此處的透明行動為STAR級別。制圖：互聯(lián)網(wǎng)，2015年12各國相關(guān)法健康流通與責(zé)任法（FDAITARITAR局物指南（ 部數(shù)據(jù)庫的任何州立或地方機(jī)構(gòu)均需要使用遵守CJIS安全策略自行論證產(chǎn)品或Web服務(wù)遵循了Section508循了Section508標(biāo)準(zhǔn)。制圖：互聯(lián)網(wǎng)，2015年12估非常好的價值證明。通過認(rèn)證來展現(xiàn)云服務(wù)商的全球最優(yōu)操作規(guī)范方面的努力和符合程頒的性規(guī)全（數(shù)）云務(wù)認(rèn)蓋合蓋夠大分、涵政府要及特域等佳。EU權(quán)權(quán)——阿————————————————————以上認(rèn)證均未獲取，獲有中國中心管理系統(tǒng)EAL3制圖：互聯(lián)網(wǎng)，2015年12亞馬遜AWS以及阿、騰訊云均已獲得等級保護(hù)三級認(rèn)證。認(rèn)證。而同為國外云服務(wù)商的微軟Azure僅獲得二級認(rèn)證。亞馬遜AWS成為第一家獲得國防部允許處理高安全級別信息權(quán)力的商業(yè)云服務(wù)商。防部的臨時允許亞可在滿足等級2的標(biāo)準(zhǔn)上提供服務(wù)，即允許亞馬遜AWS處理的“敏感”數(shù)據(jù)工作。亞馬遜AWS加入歐美數(shù)據(jù)安全港協(xié)議認(rèn)可，并通過歐盟29條數(shù)據(jù)保護(hù)工作小但在2015年10月歐盟對數(shù)據(jù)安全港協(xié)議提出質(zhì)疑后，亞馬遜AWS了，2015329遜所國安準(zhǔn)來具性但是亞馬遜對獲得包括我國新版等保在內(nèi)的各類云安全認(rèn)證努力表明了其為滿足在敏感—有有——有—有阿有——————有——有—————有——2005版—————制圖：互聯(lián)網(wǎng)，2015年12該標(biāo)準(zhǔn)執(zhí)行中遵從了工信部對IDC牌照認(rèn)證的要求，所以對云服務(wù)商具有嚴(yán)格限制。ISO27017是的針對云服務(wù)管理方面的標(biāo)準(zhǔn)，目前五家云服務(wù)商中只有亞馬遜AWS獲得了該認(rèn)證。亞馬遜AWS獲得ISO27017認(rèn)證代表了其在管ISO27018是首個云端隱私數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，旨在保證客戶的數(shù)據(jù)隱私和AWSAzureISO27018AWS亞馬遜AWS在滿足企業(yè)需求時更具有性。圖表CSA有有有有有有—估有 —————騰訊云——————————制圖：互聯(lián)網(wǎng)，2015年12亞馬遜AWS和微軟AzureSOCSOC1和SOC2重要審計準(zhǔn)則認(rèn)證。亞馬遜AWS的SOC審計優(yōu)于微軟Azure一個SOC3，其是公開提供的亞馬遜AWSSOC2。該報告包括外部審計員對控制操作的看法、亞馬遜AWS管理對AWSAzureCSA通過查閱加盟企業(yè)此和服務(wù)是否滿足其安全需要。亞馬遜AWS已經(jīng)完成了CSA的一致性評估問卷，提供參考和記載亞馬遜AWS的產(chǎn)品中存在了哪些安全控制體系的方法。問卷包括了云客戶和云審計師可能希望服務(wù)商提問的140多個問題。微軟Azure提出會定期公開《要求報告》，他們收到的要求的范圍和數(shù)量。相比較而言，亞馬遜AWS既非“棱鏡門”中的八大企業(yè)，也沒映出了國內(nèi)云服務(wù)市場仍不成熟。由計算發(fā)展十分迅速，且云計算安全不同于傳統(tǒng)的信FDA——阿————————————————————————制圖：互聯(lián)網(wǎng)，2015年12國外云服務(wù)商尤其明確遵從教育和醫(yī)療行業(yè)對數(shù)據(jù)傳輸限制的法律。亞馬遜AWS和微軟Azure都遵守家庭教育權(quán)和隱私權(quán)法案和健康流通與責(zé)任法案的要求，明確云服務(wù)處理環(huán)境學(xué)生和醫(yī)療方面的信息，限制傳輸相關(guān)的數(shù)據(jù)。亞馬遜AWSHIPAAAWSHIPAA和HITECH合規(guī)性的系統(tǒng)。亞馬遜AWS嚴(yán)格遵從特殊敏感領(lǐng)域?qū)?shù)據(jù)流動安全的限制條例。出口遜AS球景數(shù)動護(hù)須的。數(shù)遵從方面的有益實踐可以讓國內(nèi)用戶企業(yè)感受到作為一個負(fù)責(zé)任的云服務(wù)商切實遵從法律的AWS，多年的發(fā)展經(jīng)驗使其在市場規(guī)模及計算微軟Azure通過合作方式，加快的產(chǎn)業(yè)落地。微軟Azure天然的安全保障能力也得益于完善的政策、法律和市場環(huán)境，其擁有亞馬遜AWS未獲得的FISC等認(rèn)證，但是缺少國內(nèi)針云市場的ISO27017和ISO27018認(rèn)證。另外，在計算能力和商業(yè)價值方面略遜色于亞馬遜AWS。2015對服務(wù)商來說，其一，云服務(wù)商需要提高自身安全服務(wù)能力，也有責(zé)任和義務(wù)為相當(dāng)一部分傳統(tǒng)IT企業(yè)技術(shù)能力較為薄弱，部分企業(yè)也存在責(zé)任失衡的錯誤認(rèn)知，企業(yè)也種新的IT供應(yīng)模式、計算模式與企業(yè)自身環(huán)境結(jié)合在一起，將對云的IT投資視為在新的領(lǐng)目前國內(nèi)云計算市場參與逐鹿的企業(yè)屬性呈現(xiàn)多元化的特點，不僅有傳統(tǒng)的IT在搭建云安全能力框架時，我們重點參考了CSA的《云安全指南》中涉及到的14個 mendationsforInformationSecurity》中所提及云計算存在的35個風(fēng)險。但是由安全所涉及的知識領(lǐng)域相對復(fù)雜，涉及到法律風(fēng)險、技術(shù)風(fēng)險、以及對于非云特有的風(fēng)險，無論對于企業(yè)決策者還是負(fù)責(zé)相關(guān)職能的IT從業(yè)人員，均很難對上述領(lǐng)域的知CloudSecurityGuideforSMEsCloudcomputingsecurityrisksandopportunitiesforSMEs》《CloudComputingBenefitsRisksand mendationsforInformation由于強(qiáng)調(diào)基于來幫助企業(yè)構(gòu)建充足的關(guān)服務(wù)商安全能力的研判信當(dāng)企業(yè)已經(jīng)進(jìn)行、PaaS、SaaS等不同的云服務(wù)模式選擇時，在所不同的。以企業(yè)向轉(zhuǎn)移為例，的合規(guī)性責(zé)任分擔(dān)合理模型是：公司控制數(shù)據(jù)和應(yīng)我們在項目周期內(nèi)與小規(guī)模的不同類型的企業(yè)進(jìn)行了或者面對面交流，但是報告中亞馬遜AWS：以亞馬遜AWS截止到2015年11月的公開內(nèi)容和上可供微軟Azure：以Azure公開更新時間為2015年5月的內(nèi)容和世紀(jì)互聯(lián)截止到2015年11月的公開內(nèi)容為主要參考材料，并輔以國內(nèi)外各類專業(yè)資訊類阿：以2014年1月發(fā)布的《阿安全白皮書》中文版和截止到2015年11月天翼云：以截止到2015年11月天翼云公開的內(nèi)容為主要參考資料，并輔以服務(wù)商。截止2016年1月4日，項目組收到亞馬遜AWS、阿、騰訊云的回復(fù)，并根據(jù)反饋意見結(jié)合對部分細(xì)節(jié)進(jìn)行了修正。微軟Azure及天翼云未回復(fù)確認(rèn)信息，決方法等問題進(jìn)行了解答。2015年12月報告成型后，再次組織召開專家小組會議安全保障教授，IDF互聯(lián)網(wǎng)威懾積極防御創(chuàng)始人，中關(guān)村誠授，IT中國IT治理、數(shù)字中國信息化創(chuàng)新與治理副，大學(xué)法學(xué)院鑒定中心副，中國互聯(lián)網(wǎng)研究部助理，中國計算機(jī)安全專委會嚴(yán)明，網(wǎng)際技術(shù)總監(jiān)，郵電大研究過，還在小范圍內(nèi)與中國企業(yè)IT部門高管、技術(shù)進(jìn)行了交流，發(fā)、ITITi中國采購網(wǎng)《云安全來臨云服務(wù)商如何解讀》http: ii天極網(wǎng)，《亞馬遜AWS發(fā)布AWS中國區(qū)合作伙伴計劃》http iii阿·云市場https:/ ivCSA,《云計算關(guān)鍵領(lǐng)域安全指南V3.0》,D7:傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和恢復(fù)；D9:事故v亞馬遜AWS官網(wǎng)-全球基礎(chǔ)設(shè)施http vii微軟Azure官網(wǎng)-備份/home/features/back- ix網(wǎng)易財經(jīng)，《阿擴(kuò)建數(shù)據(jù)中心滿足亞太資源需求 xi阿開發(fā)者h(yuǎn)tt xiiii天下網(wǎng)商，《阿確認(rèn)開建迪拜數(shù)據(jù)中心全球部署增至7個》 xvi和訊網(wǎng)，《2013計算的九大 xviiiAWSRiskandComplianceWhitepaperAppendixxx亞馬遜AWS官網(wǎng)-AmazonEC2服務(wù)水平協(xié)議亞馬 xxii微軟Azure官網(wǎng)-服務(wù)級別協(xié)議 xxiv阿官網(wǎng)-服務(wù)等級協(xié)議（SLA） xxv阿官網(wǎng)-日志服 xxvi騰訊云官網(wǎng)-服務(wù)等級協(xié)議（SLA）