Intel Security針對云計算部署的***研究給企業同時帶來了好消息和壞消息。好消息是，根據對1200多名IT決策者的調查顯示，云技術相關的數據泄露事故發生頻率很低。但壞消息是，這些決策者稱遷移挑戰是他們面臨的最常見問題。從安全的角度來看，當轉移工作負載和數據到云計算時肯定會有挑戰，無論是從內部數據中心到云還是從云提供商到另一個云提供商。

[[169284]]

***個云遷移挑戰是確保根據政策和數據分類要求只有適當類型的數據遷移到云端。很多企業發現敏感數據出現在云端，而他們并沒有計劃將其放在云中，這通常是因為與項目團隊缺乏溝通或者缺乏對風險的了解，或兩者皆有。在Intel Security的報告中援引了SANS的調查，40%的受訪者稱他們在云中存儲或處理敏感數據。而另外60%沒有這樣做的受訪者稱，需要制定政策來明確哪些數據可遷移到云中，而哪些數據不可用。

很多企業可能面臨的另一個云遷移挑戰是認識到并非所有云服務提供商提供相同的服務和功能，并且，供應商鎖定非?？赡馨l生。在項目團隊在特定云服務提供商內構建基礎設施后，轉移特定格式的數據和系統到其它環境可能非常困難，如果說不是不可能的話。同時，從云環境導出數據也可能很困難，這里有兩個原因：首先，從云服務提供商檢索非常大量的數據可能需要合同中有特別處理的規定，還可能需要運輸存儲硬件到提供商來傳輸。其次，數據的格式可能與其他提供商或者內部系統及應用不兼容。這是必須解決的問題，才能確保所有數據可以企業可處理的格式導出。

在云數據遷移之前，安全團隊應該花時間來評估當前內部使用的安全控制，然后將其與云服務提供商環境中可用選項進行比較。有些安全控制在云服務提供商環境不可用，如果這些空白沒有填補或者適當處理，這可能導致云環境部署缺乏關鍵安全控制。當云環境中的安全控制無法匹配企業目前的安全控制，這可能導致數據泄露和違反合規。

混合云允許用戶在內部存儲部分數據，但對于云數據遷移，哪種***呢?分析師Mike Matchett介紹了如何作出決定。

云遷移挑戰的另一個大問題是：缺乏盡職調查以適當評估服務提供商及其安全功能和態勢。大多數有信譽的提供商會提供SSAE 16 SOC 2，有些提供更深入的報告--側重ISO 27001或者PCI DSS或HIPAA等合規要求。供應商管理、法律和安全及合規團隊應該要求云服務提供商回答安全調查問卷，并確定該供應商的風險水平。很多企業選擇依據云安全聯盟的《共識評估倡議調查問卷》，有些提供商已經為此準備好答案。查看提供商的答案可了解很多主要安全挑戰，例如加密密鑰管理和訪問、身份管理兼容性、可用的網絡控制，以及云服務提供商是否能夠滿足租戶的法律和取證要求。

對于緩解云遷移挑戰的簡單建議是：提前規劃。企業應制定政策要求安全團隊參與所有云計算項目，確定盡職調查程序，并確保不要選擇任何控制缺失或存在數據兼容性問題的云服務。