حصول اطمینان از مدیریت موثر ، ریسک و پذیرش فرآیند های موجود : بسیاری از سازمانها دارای سیاست های امنیتی می باشند که برای محافظت از اموال شرکت و همچنین داراییها به کار گرفته می شود، به خصوص که این سازمانها در فضای فناوری اطلاعات باشند.
کنترل های امنیتی برای خدمات ابری ، شبیه به کنترل امنیتی در محیط های سنتی می باشد ، با این حال ممکن است خطرات و ریسک ها در دو محیط فوق به دلایل ذیل متفاوت باشد :
تقسیم مسئولیت بین مشتری سرویس ابری و ارائه دهندی خدمات ابری .
این واقعیت که طراحی فنی و کنترل عملیاتی سرویس ابر در دست ارائه دهنده خدمات ابری می باشد.
رابط یا میانجی که بین مشتری سرویس ابری و خود سرویس ابر وجود داشته باشد.
به عنوان بخشی از انتقال به محاسبات ابری ، بسیار مهم است که مشتریان خدمات ابری درک مناسبی از خطرات مرتبط با استفاده از خدمات ابری و سطح خطرات و ریسک های خودشان در محیط شرکت راداشته باشند و سپس این دو را با هم مقایسه کنند و همچنین بر خطراتی که سازمان شان واقعا نمی تواند متحمل شود، متمرکز شوند.مشتریان خدمات ابری ، مطابق با سیاست های امنیتیشان یک توافقنامه بین خودشان و ارائه دهنده ایجاد کرده و اسناد مرتبط از قبیل سطح خدمات (SLA) شامل همه ی نیازهای خود را ضمیمه می کنند ، و این نکته برای مشتری بسیار حیاتی خواهد بود که درک کاملی از کلیه ی شرایط مربوط به امنیت و همچنین رفع نیازهای خود داشته باشد .اگر یک قرار داد مناسب و SLA در دسترس نیست، استفاده از خدمات ابری برای این سازمان به هیچ عنوان توصیه نمی شود، ( جهت اطلاعات بیشتر به راهنمای کاربردی مراجعه گردد).
انواع سرویس های ابری که توسط ارائه دهنده عرضه می گردند، (SaaS، IaaS ، PaaS) دارای تفاوتهای قابل توجهی در تقسیم مسئولیت بین مشتری و ارائه دهنده در جهت مدیریت امنیت و ریسک های مرتبط خواهند بود.
در IaaS ، ارائه دهنده ی سرویس ، مسئولیت تامین امنیت و منابع عمومی IT مانند ماشین ، دیسک و شبکه را برعهده دارد .مشتری نیز معمولا مسئول سیستم عامل و کلیه ی نرم افزار های لازم برای اجرای برنامه های کاربردی می باشد و همچنین مسئول داده های خود که در محیط محاسبات ابری قرار می گیرد نیز می باشد.در نتیجه بسیاری از مسئولیت های امنیت برنامه ها و داده های مشتری برروی دوش خود مشتری قرار می گیرد . در مقابل ، در خدمات نرم افزار به عنوان سرویس ، زیر ساخت ، نرم افزار و داده ، مسئولیتش با ارائه دهنده ی سرویس خواهد بود. بنابراین مشتری کنترل کمی روی هر یک از این ویژگی ها خواهد داشت . این موارد می بایست در قراداد با جزئیات مکتوب گردد.
به طور کلی ، ارائه دهندگان خدمات ابر در مورد وقوع هرگونه نقص در سیستم خود، باید به مشتریان خود اطلاع رسانی کنند .ارائه دهنده می بایست اطلاعات دقیق را برای مشتری ارسال و اقدامات لازم را در اسرع وقت جهت رفع مشکل انجام دهد، دسترسی امن را در اسرع وقت به مشتری بازگرداند، تحقیق و بررسی شرایط و عیب یابی نقص بوجود آمده ، و در نهایت تغییرات بلند مدت جهت اصلاح ریشه ای نقص که اطمینان حاصل شود که مجددا مشکل تکرار نمی شود. با توجه به هزینه های مالی بالا ناشی از نقص ، مشتریان ممکن است از ارائه دهنده بخواهند که جبران خسارت کند، البته اگر مشکل از سمت ارائه دهنده باشد. طرح اساسی فرضی در محاسبات ابری بدین شکل است که به عنوان مشتری ، ممکن است اطلاعات شما در هریک از سرورها یا دستگاههای ارائه دهنده ی سرویس ابری ، ذخیره گردد.
در برخی موارد، داده های مشتری ممکن است در مراکز داده های متعدد و در حوزه های مختلف ذخیره شده باشد، این بدان معنی است که در صورت بروز مشکل گاهی ممکن است تشخیص اینکه داده های مشتری ، دقیقا کجا قرار دارند، مشکل باشد.
قبل از انتقال برنامه ها و داده ها به یک محیط محاسبه ی ابری ، مهم است که درک دقیقی از قوانین و مقررات و همچنین وظایف مربوطه و تعهدات مشتری و ارائه دهنده داشته باشیم.
یکی از روش های مفید برای مواجهه با چالش های امنیتی برای ارائه دهنده ی خدمات ابری ، این است که نشان دهد مطابق با مجموعه های ایجاد کنترل امنیتی عمل می کند.گواهینامه های مربوطه می تواند به مشتریان بالقوه ، آرامش خاطر بیشتری دهد.
شناخته شده ترین استاندارد بین المللی ، جهت انطباق امنیت اطلاعات ISO/IEC 27001 می باشد. همچنین ISO ، استانداردهای جدیدی با ورژن و نسخه های متعدد نیز دارد که در متن موجود است.