2013年的RSA信息安全大會再一次談到了云計算的安全問題。在云計算真正落地之前，其安全性必須首先獲得企業客戶的認可。但在目前看來，這個障 礙并不容易掃除。云計算服務商和云安全聯盟（Cloud Security Alliance——行業協會）盡了最大的努力卻收效甚微，云安全問題依然讓IT主管們頭疼。

在本屆大會云安全分會場，IT安全專家抱 怨云計算服務商缺乏透明度，致使客戶面對云服務時踟躕不前。云服務的不透明性主要體現在服務水平協議、管理功能以及安全責任這些領域。與會者指出，當前云 安全沒有權威認證，云計算服務商又不允許企業客戶去實地考察接觸機器，IT主管不知從何處入手。

對于云服務的不透明性，舉個具體的例 子，云計算服務軟件漏洞對客戶不透明，這直接阻礙了客戶對漏洞相關運行風險的管理。會上，Zynag公司前CSO Nils Pulhman提醒企業客戶：面對安全漏洞，云計算服務商們首先考慮的是降低對自己的影響，其次才會考慮客戶，所以客戶必須建立對云計算服務的控制。

Nils Pulhman建議IT高管嚴格考察云計算服務商。“像警察一樣去調查，”他說。“摸清服務商是否成熟。”——根據他的經驗，尤其是初創公司，十有八九被盤問擊潰。

在透明度問題上，專家的意見是一致的。 vScaler云計算業務副總裁Patrick Foxhoven補充說：“你必須對服務商提出透明度的要求，沒有足夠透明度，你不可能進行審計。”

但很多與會者指出，單憑一個企業客戶的力量，不足以挑戰強大的云計算服務商一貫的不開放的安全策略。

還有一位參會者提出了問題：如果想評估一個SaaS服務商，它運行在另一個PaaS服務商的平臺上，而且又是托管在第三個云計算基礎設施服務商處——“這是否意味著需要評估三次？”

Foxhover把這個問題擱置一邊，而是說起作為一個服務商，他收到過大量與安全相關的調查問卷，這些都來自潛在客戶，其中很多問題并不適用云計算實現安全。

然后他回到剛才的問題，僅說到答案沒那么簡單。最后，在服務商的選擇上，他建議IT高管多與其他客戶交談，針對一個特定的服務商了解他們的經驗。“這是我們今天所面臨的不幸的現實。”Foxhoven總結說。