根据ESG的研究显示，63%的中端市场(即拥有250至999名员工的企业)，以及大型企业(员工超过1000余人)目前正在使用软件即服务(SaaS)，33%使用基础设施即服务(IaaS)，以及27%使用平台即服务(PaaS)。此外，72%的企业正计划在今年提高云计算的开支。

云计算部署中是否也存在安全风险？安全专家对此相当关注。在最近的ESG研究调查中，信息安全专业人士指出了几个云计算安全风险：

· 33% 的企业安全专业人士表示，缺乏对用于内部使用的IT资源相关的安全操作的直接控制。

· 31% 的企业安全专业人士表示，对由云计算基础设施供应商存储和/或处理的敏感数据和/或监管数据的隐私关注。

· 29%的企业安全专业人士表示，缺乏对云安全基础设施的安全可视性。

· 28%的企业安全专业人士表示，破坏云服务供应商的基础设施的安全泄漏事故。

· 27%的企业安全专业人士表示，在云服务提供商方面糟糕的信息安全做法。

这些安全担忧显然是合理的，企业也许会更加谨慎，但却并没有做出什么实际改进。

对于想要利用SaaS、IaaS和PaaS用于金融行业和获取商业利益的企业，安全专家必须想出一种办法来让企业在这样做的同时，确保不会带来任何不好的IT风险。

那么，我们应该怎么做呢？在IT控制正在减弱的时代，首席信息安全官必须更好地控制他们能控制的事物。在笔者看来，这可以归结为几个关键的优先领域：

1. 识别。 无论应用程序和数据在哪里，企业都必须知道谁正在访问这些资源，他们在使用何种设备，用户的位置。他们还需要不断地更新这些信息。在任何情况下，企业都应该确保这种监督水平，这意味着企业需要知道具体用户(员工或第三方)、具体设备、具体网络位置、具体时间日期等。此外，我们还需要业务背景，例如我们需要知道John Smith正在试图从公共网络访问财务数据，以及奇怪的IP地址、MAC地址和DNS查询。对于Centrify、ForgeRock、Okta、Ping以及McAfee、微软等公司而言，将这种识别带入到云应用程序是一个巨大的机会。

2. 数据。 网络攻击者可以发起DDoS[注]攻击来获取IT资产，但大多数攻击都是瞄准目标本身。因此，我们需要知道数据的位置、重要程度，以及谁在对数据做什么。这是CloudLock、Ionic Security、赛门铁克、Varonis、Verdasys和Vormetric等公司的领域。

3. 可视性。 作为首席信息安全官(+本站微信networkworldweixin)，你需要了解一切，你的内部网络在发生什么，端点在发生什么，云计算在发生什么等。此外，你还需要从不同角度获取内部和外部的态势感知。例如，如果你想要了解你的业务合作伙伴以及云计算供应商相关的风险。与此同时，随着工作负载从服务器到服务器跨内部和云供应商网络移动，你想要锁定日志数据、web会话和网络数据包，你还想要获取威胁情报来预测内部IT、整个行业或云供应商合作伙伴的情况，你会想要中央的命令和控制。

还有一个比这三个方面更重要的领域。管理现在的IT安全需要对所有IT资产、网络、传输的一致的完整的控制，无论它们位于企业内部还是云计算中。这可能需要一种联合的方法或者跨整个网络的单窗格视图，但作为首席信息安全官，你需要对一切事物的综合可视性。

毫无疑问，在未来云计算将会成为主导，但现在大多数企业仍然有很多内部资源。连接内部资源和云计算环境将会是成功的关键，聪明的首席信息安全官将会尽可能地构建更少的连接，并专注于弥合其最重要的监督和可视性方面的差距。

(责任编辑：安博涛)