Nowy dokument, opracowany przez CSA, przyjmuje definicję cloud computing zgodną z definicją NIST (National Institute of Standards and Technology), która obejmuje samoobsługę na żądanie, szerokopasmowy dostęp do sieci, tworzenie puli zasobów, szybkie udostępnianie zasobów i ich skalowalność oraz mierzalne ich użytkowanie.

NIST dzieli także usługi cloud na trzy kategorie: SaaS (Software-as-a-Service) - dostarczanie aplikacji przez usługodawcę; platforma jako usługa - narzędzia i języki programowania, zapewniane przez dostawcę dla użytkowników wdrażających swoje własne aplikacje; infrastruktura jako usługa -platformy sprzętowe udostępniane użytkownikom w ramach sieci dostawcy usługi.

"Security Guidance for Critical Areas of Focus in Cloud Computing V2.1" zawiera niektóre z punktów rozważanych we wcześniejszej wersji roboczej, a także bardziej specyficzne rekomendacje dla każdego z trzynastu obszarów, które powinny być uwzględniane przez dobre praktyki mające na celu właściwe zabezpieczanie danych w chmurze.

Dokument zaleca dostawcom usług cloud przyjęcie standardu ISO/IEC 27001 dla systemów zarządzania informacją związaną z bezpieczeństwem. Z kolei użytkownicy powinni upewniać się, czy ich dostawcy mają odpowiedni certyfikat i jeśli nie, to czy maja zamiar go uzyskać. Dostawca powinien wykazać, że jego praktyki są zgodne, co najmniej, z zaleceniami ISO 27002.

Z zawartych w dokumencie wskazówek wynika, że użytkownicy muszą sobie uświadamiać, iż typ usług cloud, jaki chcą zamówić, ma wpływ na to jaki zakres odpowiedzialności ponoszą za bezpośrednie zapewnienie bezpieczeństwa i zarządzania swoim danym i aplikacjom. Im mniejszy stos usług po stronie dostawcy, tym więcej odpowiedzialności użytkownika za bezpieczeństwo własnych danych i aplikacji.

I tak np. infrastruktura Amazon EC2 jako usługa zapewnia bezpieczeństwo fizyczne, środowiskowe i bezpieczną wirtualizację, ale już nie zapewnia bezpieczeństwa wirtualnych instancji systemów operacyjnych, aplikacji i samych danych. Przy modelu SaaS, takim np. jak CRM oferowany przez Salesforce.com, dostawca usługi odpowiada również za aplikacje i dane.

Biznes musi w pełni rozpoznać środki bezpieczeństwa zapewniane przez dostawcę lub ocenić ryzyko zagrożenia swoich danych. Generalnie, potencjalny użytkownik cloud services powinien wykonać ocenę ryzyka biorąc pod uwagę znaczenie dla biznesu danych udostępnianych w chmurze i bezpieczeństwo, jakie dostawca może zapewnić w sposób sprawdzalny.

Tak jak w każdej dziedzinie związanej z bezpieczeństwem, przy wejściu "w chmurę" i wyborze związanych z tym opcji zabezpieczeń, organizacje powinny stosować podejście oparte na ocenie ryzyka. CSA zaleca następujące kroki, jakie w tym celu powinno się wykonać:

- dokładne określenie, które dane oraz funkcje mają być przeniesione w chmurę;

- dokładna ocena jak istotne dla organizacji są te dane i te funkcje;

- określenie, które z opcji cloud są do zaakceptowania: publiczna, prywatna - wewnętrzna, prywatna - zewnętrzna, hybrydowa;

- ocena zakresu dostępnej kontroli pozwalającej na łagodzenie zagrożeń;

- odwzorowanie przepływów danych "do i z" cloud, w celu określenia miejsc narażonych na ryzyko.