A felhőt a vállalat adatközpontjának egyfajta kiegészítéseként érdemes kezelni, ezért a következő kérdéseket kell feltenni: alkalmazhatunk egy általános biztonsági stratégiát minden területre? Milyen biztonsági rések vannak? Milyen biztonsági szolgáltatásokat nyújt az általunk választott konstrukció? Milyen adatbiztonsági gyártókkal kompatibilis? Mit tesz azért a cloud szolgáltató, hogy megvédjen minket az új fenyegetésektől és nulladik napi sebezhetőségektől?
A felhő egy dinamikus rendszer, ami folyamatosan igényli a biztonsági felülvizsgálatot, hogy ki tudja védeni a legújabb támadásokat. Derítsük ki, hogy a megosztott biztonsági modellekben hol vannak a szolgáltatással járó határok. Fontos tisztában lennünk azzal is, hogy mi a szolgáltató felelőssége, és mi a miénk. Némely felhő szolgáltatás esetében, mint amilyen az IaaS (Infrastructure as a Service), a céget terheli a felelősség, hogy megfelelő védelemmel lássa el az alkalmazásait, és az adatait.