La tua azienda si assume tutti i rischi associati a eventuali violazioni. Scoprirai che, registrandoti per ambienti cloud pubblici, dovrai firmare un documento accettando i Termini di servizio del fornitore. Tra questi TOS sarà qualcosa sulla falsariga di una totale rinuncia a qualsiasi responsabilità da parte del provider.
Anche negli ambienti cloud "conformi" (come in PCI / FISMA / ETC), vedrai lo stesso tipo di linguaggio, anche se in quei casi i provider hanno superato (si spera) un auditing piuttosto significativo dei loro politiche, procedure e misure di sicurezza.
Nessuno mantiene i dati critici in un cloud pubblico. Fino a quando gli hypervisor non saranno garantiti (non sono al momento), non mi fiderei mai di un cloud pubblico con dati che richiedano alcun tipo di conformità o supervisione normativa, come informazioni identificabili personalmente, dati finanziari, cartelle cliniche, ecc. .
Con un cloud privato, siete almeno relativamente certi che gli altri utenti (VM) nell'ambiente non stanno cercando di sfondare l'hypervisor per accedere ai vostri dati. Hai il pieno controllo dell'hardware (stack completo, non solo dei server), hypervisor, immagini VM, controlli di accesso, controllo e registrazione.
Una cosa che stiamo iniziando a vedere di più sono gli ambienti ibridi. Dove vengono conservati i dati critici in un ambiente privato, mentre le porzioni dello stack che non ospitano i dati critici potrebbero trovarsi nel cloud.
Ad esempio, mantieni il tuo SAN e i tuoi server DB nello spazio privato, ma mantieni i tuoi server web in cloud, dove puoi sfruttare l'elasticità del cloud computing per espandere e ridurre dinamicamente il numero di server in esecuzione in qualsiasi momento ospitare carichi di lavoro variabili. O forse solo i server web che servono contenuti statici, non PII, sono nel cloud, ma i server che accedono sono nello spazio privato.
Esistono diversi modi per sfruttare i vantaggi del cloud computing senza compromettere la sicurezza. Le persone lo fanno oggi. Il cloud computing è probabilmente il segmento in più rapida crescita dell'IT, al di fuori della sicurezza IT.