云安全联盟(CSA)日前对其云控制矩阵(CCM)进行了升级，该矩阵的目的是帮助组织审核其云服务提供商的安全证书。

　　CCM为保障云安全而推荐各类最佳实践。此类实践涵盖了众多领域，从数据中心、硬件和应用安全，到业务连续性和安全隐患评估等。上周最新发布的CCM第三版引入了五个新类别的指南：移动安全；供应链管理；透明与问责；互操作性与兼容性；以及加密和密钥管理。

　　CCM工作组联合主席SeanCordero称，移动安全是他们所关注的新的安全最佳实践类别，因为移动正在成为云中的流行用例。移动最佳实践不仅涵盖了如何通过移动设备访问云服务，而且说明了诸如移动设备管理(MDM)等工具软件如何通过SaaS服务来交付。

　　例如，该工作组推荐的一个最佳实践就有明确定义的移动使用策略，并确保组织内的所有人都能熟悉此策略。而如今很多企业客户都缺乏控制用户可通过移动设备访问哪些服务的基本策略。

　　另一个新的类别是供应链管理、透明与问责。CSA推荐企业要清晰准确地理解他们的数据是如何由提供商所处理的。因为有些时候，其提供商可能会与其他第三方组织合作，但这么做是存在风险的。

　　例如在部署虚拟桌面时，企业可能会与一家VDI厂商签订合同，但是在部署后端时，该VDI厂商却有可能会使用另一家的第三方存储平台。那么企业就应该知道其数据的整个供应链，以确保数据在整个过程中是安全的。另一个越来越常见的场景是PaaS市场。PaaS通常是在底层的IaaS上运行的。企业应该意识到服务等级协议(SLA)和安全控制的重要性，这不只要针对其PaaS提供商，也要针对任何基础的IaaS提供商。

　　遵循CCM所概述的这些安全最佳实践，也是企业保护自己的一种方式。最近发生的云存储厂商Nirvanix即将关停的事件对企业来说就敲响了一记警钟，这实际上是要求企业客户必须强化其业务连续性和数据出口计划的重要性。

　　非赢利组织CSA始终关注云安全的发展，会定期升级CCM以确保其能够与业界所采用的最新安全标准如ISO27001/2相适应。而像Cordero这样的成员会与云用户、顾问和服务提供商合作，以便确认业界的最新趋势能够反映在CCM中。