Cloud by obecně měl úroveň zabezpečení spíše zlepšit, otázkou ale zůstává, co vlastně v cloudu dále sledovat. Jako základ by podniky proto měly v první řadě zjistit, za co přebírá odpovědnost poskytovatel cloudu a co nadále musejí zajišťovat samy.
Zde se samozřejmě vše odvíjí hlavně od toho, o jaký model cloudových služeb se jedná, tedy zda jde o SaaS, PaaS nebo IaaS; obecně hrozí, že při při neporozumění v architektuře vznikne nějaké slepé místo/vrstva, kterou budou ignorovat obě strany.
Pro případné další spory je potřeba podrobně prostudovat informace o tom, jaké kontrolní mechanismy poskytovatel používá, jak jsou výsledky uchovávány (záznamy protokolů apod.) a za jakých podmínek k nim má zákazník přístup. Kelly Sheridan na DarkReading dále uvádí doporučení expertů ohledně nástrojů typu cloud access security broker. Různé nástroje řazené do kategorie CASB se ovšem značně liší svou funkčností, některé např. slouží de facto pouze k odhalování stínového IT. (Mimochodem, speciálně nástroji typu cloud access security broker se zabývá i analýza společnosti Gartner. Magický kvadrant za rok 2018 řadí mezi lídry McAfee, Bitglass, Netskope a Symantec, do skupiny challengers pak Microsoft a Oracle.)
Nástroje CASB jsou vhodné pro model software jako služba, nikoliv už pro cloudové služby typu IaaS.
Amazon, Microsoft i Google poskytují přístup k provozním datům a nabízejí i vlastní nástroje (mnohdy i v ceně služby); v některých případech může být ale vhodnější využít pro analýzu těchto dat specializovaná řešení od třetích stran. Obecně se data z Microsoft Azure Security Center zpracovávají o něco obtížněji než z Amazon Cloud Trail, uvádí Rich Mogull z firmy Securosis.
Firmy by se měly smířit s tím, že jejich stávající bezpečnostní nástroje a mechanismy nemusejí být pro cloud vhodné. Tak jako se bezpečnostní nástroje měnily např. s virtualizací, platí totéž pro kontejnery i cloud. Mnoho podniků přitom ale i v cloudu spoléhá na tradiční nástroje pro řízení přístupu založené na rolích (RBAC), které se ale pro dynamické prostředí cloudu nehodí; jinak ale nadále platí, že role a identity představují osvědčený prostředek, stejně jako požadavek na co nejméně oprávnění (respektive se při monitoringu soustředit na aktivity účtů s vysokými oprávněními, na rizika eskalace oprávnění atp.).
Otázkou také je, zda nasazovat nějaké speciální bezpečnostní nástroje pro sledování konfigurace cloudu, nebo se zde spolehnout na doporučení a bezpečnostní upozornění, jak je realizuje platforma poskytovatele. Více nástrojů namísto vyššího zabezpečení může vést k tomu, že prostředí se stává složité a náročné na údržbu a další práci s daty, což jde přímo proti podstatě cloudu.
Příliš složité prostředí navíc s sebou nese riziko, že podnik ani nebude vědět, jak reagovat na bezpečnostní upozornění, nedokáže je zařadit do potřebného kontextu; samozřejmě i zde jsou k dispozici nástroje typu orchestrace nebo správa bezpečnostních informací a událostí (SIEM), ovšem s dalším rizikem růstu nákladů na pořízení i provoz.