还有，我们的另一部分挑战是，让我们的安全程序对用户透明。在面向软件即服务的快速发展的环境中，我们的安全服务应尽可能的对用户透明，因为客户的主要安全都是由我们提供的。

　　Ghosh：有个问题一直困扰着我：我们已经有一些主流的云服务提供方，他们显然是砸重金投入到基础建设中并积累了很多用户。在这样的形势下仍旧存在很多跟安全和信任相关的问题，那么，怎样的数据是你们公司不会放到公共云中的呢？原因又是什么呢？

　　微软的哪些数据不会放到公共云中呢？

　　Howie： 这是个绝好的问题。Tony Scott（我们的CIO）和Steve Ballmer（我们的CEO）要求，只要有可能，必须将所有数据放入到Azure（微软的平台即服务产品；www. microsoft.com/azure）中，所以我们正在设法将所有的内部行业应用迁移到Azure。不过目前，有些东西绝对不会进入Azure，比如，我们的SAP后端，就不会放进Azure中，但其余的一些包括业绩考核、工资以及我们的年度捐赠活动，我们公司的社会责任活动，所有这些都会进入Azure，而且目前很大一部分已经放进去了。所以我们肯定会努力贯彻这一要求尽可能地将数据放入Azure中。

　　不过还是有些东西我们目前是暂缓执行的。PCI DSS（译者注：支付卡行业数据安全标准）就是其中之一，因为支付卡行业中的虚拟化（安全标准）使用存在一个灰色地带，所以对部分这类事情我们暂缓处理，但是大部分我们内部的行业应用都已经做准备开始迁移到Azure中，并且，事实上，有部分已经放在那里了。剩下的也正在进行当中。

　　Grosse：是的，我赞成那个说法。还没有放到我们云里的数据已经寥寥无几了，包括我们那些最敏感的材料。比如，为高层管理人员做演示的有关并购的幻灯片。当我的小组在做一些最敏感的内部安全调查时发现那些记录真的已经在云中了——比如某个业绩考核资料。我们打心底里信任我们自己的云系统，我们每天都依赖于它们。

　　Ransome：如果连我们自己都不信任我们的云，又如何让我们的客户去相信我们的云呢？但也有例外，显然地，有时规章制度或政府要求某些云必须是私有的，这时我们就要讨论讨它们应该是混合云，私有云，亦或是公有云呢，不过目前而言，我们放进云的东西是从企业角度出发的，所以我还是同意前面两位的说法的。

　　Schmidt：完全同意前面几位的说法，事实上，我们在给客户（尤其是企业客户）列举很多示范的时候，我们会将内部开发的单独系统转移到云中作为其中的案例分析。这个例子诠释了我们如何思考将事情做到位，保证安全，而且还要做得相当有效。我仅以我们将内部SAP操作转移到云中为例，具体说来，实际上SAP的按需提供的云服务已经运行在Amazon Web服务上了，所以你可以想象到的任何类型的内部数据，我们都将转移到云中。

　　Iván Arce：前面多次提到规章制度和合规要求，而且事实上关于云的规章制度压力和合规需求也已经反反复复讨论很久了。但我想搞清楚其中有多少是真正发生了的，而又有多少是臆想出来的？

　　Jim Reavis：和以往一样，技术总会走在规章制度之前，因此当我们碰到一些实际问题时，我们会尽力向制度制定者作出解释，他们可能关心这些问题，关心如何保自己的国家里市民的信息。所以，我们需要解释如何保护这些信息，以及，我们能否保证信息不会泄漏到别的国家。

　　Arce：我赶紧再补充两句，Jim，你刚刚说的是某种遵循监察框架宗旨的补偿控制吗，还是某个行业或管辖区域所需的安全么？实际上，这些够不够？云计算提供商通过这些就能足够表明他们符合安全要求了吗？监管员、审计员的要求是否要严格很多呢？

　　Howie：在微软，我们经常碰到存在法规间互相冲突的情况，这时候我们不得不去了解法律法规所管理的范围并且尽我们最大努力去领会并遵循法律提倡的宗旨。

　　这儿有个典型案例：欧洲数据保护法令和欧洲数据保留法令。数据保留法令由欧盟于2006年发布。基本上各成员国都可以编写各自的一套法规——事实上，他们也不得不编写法规，而对那些与电信和数据通讯相关的某些特定的元数据他们可以为各自的法规限定一个保存期限，该期限为6个月到2年之间。在爱尔兰，我们有一个对外公开的数据中心，此处的数据保留时间是2年。而德国规定的是6个月。我们经常被问到这么个问题，“如果一个德国公民在德国本土经过我们的数据中心访问在都柏林的服务，数据该保存2年呢还是6个月呢？”德国法规明确是6个月；而爱尔兰法规认为是2年，所以我们的答案是2年，然后德国就跟我们说了，“瞧，你们违反了德国法规。”那如果这个德国人到西班牙旅游了怎么办？西班牙对数据保留周期是1年。西班牙申明他们的法规优先。德国又讲，“不，这是一个德国公民，因此，我们的法规优先，”而我们的数据其实是存放在爱尔兰的——爱尔兰法规要求是2年。

　　所以你只能尽力去领悟法律精神并与之保持一致，因为对于一个全球性组织而言，你不可能做到能遵守你业务所涉及到的每个国家的法律。那样太不切实际了。回到Jim的观点，许多的规章在撰写的时候用意都很好，但它却没有考虑其中潜在的技术。

　　微软首席隐私安全执行官Brendon Lynch喜欢引用一句名言，它是这么说的，“所有的数据都是国际化的，所有的法律都是本土化的，”其结果必然是，你无法遵守这个世界上的每一条法规，因为那样太不切实际。

　　Grosse：我来补充几句。尽管受这些法规的条条框框约束让人很不爽，但还是有必要的。比如之前我们去申请FISMA（译者注：联邦信息安全管理法案）认证，那就只能去适应那些规定，但是我们会发现运行那些框架的人的确都理解云计算的独特性，而且他们都很通情理，所以这部分还算好。但是真正的问题在于有很多人想要制定一种全新的云安全框架。我听说过有人罗列了几十条不同的竞争提案。要知道我们已经有太多不同的框架需要去满足了。

　　我真的很希望在安全框架基础上能有一些整合，这样当我们面对客户时就可以说，“好的，我们知道你需要我们提供一些证明才能相信云中数据是安全的，”如果等待我们解决的不同要求能少点的话，那每个人的效率都会大大提高的。