去年八月，云安全聯盟(CSA)在拉斯維加斯舉行的黑帽安全大會上宣布了一個注冊項目，云安全聯盟希望通過這個項目云用戶能夠方便地評估和比較云供應商的安全控制情況。但是到目前為止，只有三家公司提交了他們的云安全數據，使這個注冊項目的使用非常有限。

　　安全、信任與保證注冊項目 (簡稱“STAR”)旨在使用170分的問卷調查來評估運供應商的安全功能，最終用戶隨后能夠查看這些評估結果。在云安全聯盟宣布STAR項目不久后，一些大品牌(例如谷歌、英特爾、McAfee、Verizon和微軟等)都同意參加該項目，然而，到目前為止，微軟是這些供應商中唯一提交了數據的。

　　云計算行業Gartner分析師Kyle Hilgendorf對于沒有更多供應商加入這個項目感到失望。這個項目可能為最終用戶提供關于云供應商有價值的信息，但只有當大部分公司加入這個項目才能實現這個目的。

　　Hilgendorf表示：“如果你只有三四個供應商，最終用戶根本無法從整個市場的角度來衡量云供應商。”

　　云安全聯盟執行總監Jim Reavis仍然看好這個項目，并表示預計在今年年底將會有更多供應商提交數據，幾個供應商正在提交數據的后期階段。他表示：“一切從頭開始。”

　　影響這個項目的關鍵的問題在于供應商愿意和能夠透露哪些信息。Jon Heimerl是托管安全服務供應商Solutionary公司的安全戰略主管，這家公司是向STAR提交數據的三家供應商之一。而云端電子郵件優化和安全服務公司Mimecast是第三家提交數據的公司。

　　Heimerl表示：“我們盡可能明確地回答這些問題，而沒有透露太多關于我們安全協議的機密信息。”Solutionary采取的辦法是回答一些問題，然后如果感興趣的客戶需要額外的信息時，可以聯系他們。

　　例如，Heimerl表示，在回答關于信息加密的問題時，該公司的回答是：他們使用256字節的加密代碼和設備硬化方法。然而，他們沒有透露究竟這些設備硬化方法是什么。

　　STAR工作人員稱注冊項目旨在審查供應商的云安全做法，而不是泄露可能破壞供應商網絡或者客戶數據的信息。

　　Reavis表示：“我們詢問的信息并沒有詳細到會帶來安全風險。”不過，他表示供應商必須權衡哪些安全信息他們能夠公開而不會帶來安全風險。Reavis表示，所有云供應商都有STAR需要的信息，問題是他們如何選擇公開哪些信息。

　　Hilgendorf表示，一些供應商猶豫是否參加STAR的另一個原因是因為他們已經以不同方式透露了大部分這些信息。Amazon Web Services、谷歌和其他供應商在其網站上有專門的安全控制板塊。一些供應商可能正在權衡提交信息到云安全聯盟的價值，因為這些信息已經在其他地方公開了。還有一些安全證書標準，例如國際標準化組織(ISO)合規、支付卡行業(PCI)合規和聯邦信息安全管理認證(FISMA)。如果企業已經遵守FISMA，Hilgendorf不知道這些企業是否覺得有必要參與云安全聯盟的項目。

　　Reavis表示，這個問卷調查基本上是基于這些認證，并且詢問相同類型的信息。

　　Hilgendorf表示，這些是對客戶有用的信息。云安全聯盟的網站提供了這個問卷調查的下載，這份問卷調查由170道是否題組成。問題范圍從供應商的合規和認證情況，到有多少客戶數據存儲在云端，還有是否客戶可以訪問供應商的審計信息，以及供應商進行了何種類型的審計和漏洞測試。另外還有關于數據是如何分離以確保來自多個客戶的數據不會混淆的問題，也有關于數據中心安全的問題。

　　向STAR提交了數據的三家公司之一的Mimecast公司產品營銷經理Orlando Scott-Cowley表示，對于供應商而言，他們能夠向客戶正面他們對待安全的認真態度。

　　“任何人都可以聲稱自己是云供應商，但是讓客戶了解你的安全控制情況是非常重要的，”他表示，“我們不會透露任何關于數據是如何保護的重要信息。”

　　Hilgendorf預計也許這個注冊項目能夠幫助中小企業供應商證明他們的安全控制情況以向市場展示其實力。但是只有當云安全聯盟的其他130位成員參加這個項目，才能夠實現真正的價值。