鉴于公共云的当前状态，我认为在许多情况下它实际上比本地存储更安全。诚然，我为微软工作，但我的观点都早于我的工作，并延伸到亚马逊和谷歌等竞争对手。商业模式建立在数据中心运营专业知识和卓越性之上的公司，总是会比那些将 IT 和数据仅仅视为需要严格控制的成本的公司做得更好，更好地运行和保护他们的资产。

也就是说，肯定有几件事我会仔细研究。

• 他们如何加密数据？加密很容易出错，而且对于像 SSN 那样结构化的数据以及如此小的域，出错可能会导致严重的机密性泄露。

• 他们如何管理访问权限？为此，您不仅需要查看谁可以通过应用程序和机器进行访问，还需要从特定于 Azure 的角度来看，谁可以访问资源组和订阅？

• 密钥管理。Azure 提供基于 HSM 的密钥存储。对于非常敏感的数据，应确保它们使用受 HSM 保护的 Key Vault。

为了增加 Xander 的答案，有几件事需要考虑：

• 公司的政策
• IaaS、PaaS 和 SaaS 多租户
• 密钥管理
• 当前的内部安全态势

公司的政策

一些公司对 *aaS 没问题，一些公司说一定级别的 PII 可以在没有加密的情况下在外部存储，或者需要加密到一定级别，并且说在该级别之上，没有外部存储。如果公司没有这些政策，鼓励他们获得这些政策。

多租户

多租户，或在平台或网络空间中托管多个客户。这使得流量的旋转和嗅探变得更容易。

如果您愿意支付少量（或大量）额外费用，一些提供商会为您提供专用实例。

密钥管理

正如 Xander 所提到的，一些供应商（亚马逊和微软肯定会这样做，我不知道谷歌，尽管我猜他们会这样做）提供用于密钥管理的 HSM。公司是否信任 HSM 中的 SEE 代码？公司是否愿意提供加密和解密身份重要数据的密钥？公司可以控制 SEE 码吗？

公司安全态势

这家公司是否有成熟的供应商管理流程？事件响应流程？如果这些提供商之一遭到破坏，会发生什么？公司 IR 团队是否有能力与提供商合作？如果检测到违约，供应商是否会遵守合同通知公司？日志会转发到公司日志监控解决方案吗？该日志监控解决方案是否受到监控和维护？公司是否有成熟的安全测试和审查计划？

除了“安全吗？”之外，这些都是应该问和回答的问题。因为政策、安全态势和提供商环境会影响“安全吗？” 很多。