敏感信息(客戶數據、關鍵任務應用、生産級別信息)需要特殊保護，很多場合下需要自己的安全控制來提供全面保護。“Gartner副總裁兼安全分析師John Pescatore認為：用戶不應仰仗雲服務商的安全功能去保護他們至關重要的數據。

　　當企業想要遷移到雲模式之時，有些事情你可以信賴雲提供商，但是對於關鍵業務數據和監管控制信息來説，雲提供商所提供的基礎設施夠用的情況可謂少之又少。”Pescatore在Gartner主板的一次網絡會議上如是説。

　　Pescatore指出，雖然安全依然是企業在部署雲戰略時的首要擔憂，但是已經有一些方法可以減輕這些擔憂。他説，其中的一個關鍵就是必須要設計好安全條款，專門保護雲應用、數據或工作負載。一個顯著的例子就是信用卡信息。支付卡行業(PCI)的認證要求任何客戶的信用卡數據必須以電子方式存儲，並且加密。一些雲服務商會在其雲存儲産品中提供加密服務，但是客戶也可以購買第三方應用，專門針對自己的雲部署進行定制，以提供加密服務、DDoS防範，以及接入控制等。其中不少服務都是以雲格式交付的。

　　市場上已經有了不少雲安全産品，功能也眾多。如Zscaler、Websense或思科的ScanSafe等廠商的産品都是在用戶和雲服務商之間建立一道“門戶”，監控有哪些數據流入了雲中，以便確保惡意數據或惡意應用不會滲透到用戶的系統中。如果雲是被某個網站託管的，那麼也有一些網站保護服務，例如Imperva、CloudFlare，還有出自Akamai的服務等。

　　Pescatore認為，整體而言，雲安全尚處於初級階段。很多大企業都是以私有雲或內部雲開始其雲征程的，這也是便於進行安全控制的一個好起點。他的建議是，“首先要確保私有雲的安全，然後再擴展到混合雲和公有雲。”由於保護虛擬化環境免受外部攻擊的流程十分重要，所以“需要系統具備可視性，變更控制和漏洞防護等功能”。這包括保護架構編排的安全，預配置新的賬戶、域名和虛擬機。

　　向私有雲之外的遷移通常都會納入一些公有雲服務。很多時候，企業會把一些非關鍵任務應用向公有雲擴展，如測試、開發或擴充容量等。所以，並非所有東西都需要獲得最高級別的安全。“保護敏感數據，只把不太敏感的數據放在本地雲中，”他將這一過程稱為數據分割。

　　Pescatore稱，對雲安全的關注應放在保護雲的流程上。為雲安全創建政策，然後確保這些政策在整個雲部署期間被堅決執行和貫徹。只要存在政策的不一致或者沒有強制執行安全控制，就會出現安全漏洞。“我們迄今為止尚未看到企圖危害雲基礎設施或虛擬化層的新型攻擊，”他説。“當今的現實情況是，黑客們攻擊使用雲服務的企業是比較容易賺錢的。”

　　好消息是客戶擁有大量的選擇。對低級別的安全需求來説，雲服務商(無論是IaaS還是SaaS服務商)通常都有他們自己的安全功能。亞馬遜Web服務是遵從FISMA的；另外一家雲服務商FireHost是遵從PCI的。Pescatore説，用戶至少應該看看他們的雲服務商是否遵從ISO 27001、SOC 2或SOC 3認證。除此之外，尤其對敏感信息而言，還有很多第三方安全産品可供選擇。