3.2.6.2  安全管理缺失

云計算服務安全管理的范圍將隨著服務交付模式、提供商能力和成熟度的變化而變化。用戶必須在靈活性與服務提供商提供的控制這兩者之間進行權衡。服務的靈活性越強，用戶在服務中實施的控制就越多，同時也帶來更多額外的安全管理責任。

目前，用戶主要依靠云服務提供商的安全服務來測量和管理云計算中服務的安全性和可用性。但不幸的是，云服務提供商往往對標準的支持不足，在虛擬環境中監控功能也比較弱，從而增加了云計算服務管理的難度。

對于大型用戶，特別是成熟的企業用戶來說，主要的安全威脅就是管理復雜系統與安全風險。當企業用傳統的方式管理本地系統，其往往傾向于分解基本組織部分，如網絡、防火墻、存儲結構、計算服務器、災難恢復等，并識別每部分的風險大小和類型。這種對基礎設施的分析方式總體上具有很大的透明度。但是，當企業轉向云計算時，分析的復雜事物和安全風險等因素的職能將交給云服務提供商，這對透明度來說具有一定的潛在影響，同時也將影響企業復雜事物和風險管理的總體策略。企業已有的系統化解決方案可能無法延伸至云服務提供商。由于大多數云服務提供商的企業級訪問管理功能缺失，在服務水平協議、提供商管理功能、安全責任等領域缺乏透明度，即使企業有能力在基礎設施層安裝系統可使用的檢測探針，但受到資源瓶頸的限制也可能無法為企業提供深入分析所必要的信息，因此企業的云計算管理功能將是個持續的挑戰。