对于一个要实现云中端到端的安全的企业而言，虽然其必须首先重视访问范围、控制范围以及针对云环境的安全控制方式能且必须适用那些转换范围。

企业可以直接管控具体的云模型，采用一种直接的方式进行安全控制，但是当缺失这个层级的控制时，端到端的层模式保护需要减少恶意以及偶然的威胁。不论哪种可能发生的入侵载体，分层保护理论上可以停止攻击或者，至少能够对企业的安全团队做出事件警告。随着云不断延伸到企业网络边界，这些都成为迫切的需求。

定义控制范围

       应用端到端的安全控制的能力首先依赖于企业能够理解访问范围，这意味着理解连接企业资产的设备类型，以及他们所利用的连接类型。

       例如,大多数企业为其员工购买笔记本电脑，但是这样的设备的移动性意味着他们并不总是面临着相同的威胁情况。当员工将其笔记本电脑带回家，并且通过消费者级别的网络或者厄运服务进行连接，他们在企业网络云环境中运行的用例将会发生改变。这种用例在员工出差时再一次发生变更，因为他们会用酒店和机场以及会议中心的WiFi热点连接企业网络。

云安全控制

       新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上，安全控制在用户在可信网络上时需要远离，而在其处于不可信网络上时要紧贴用户。因此，当用户在非可信云环境中操作时，企业应该考虑大量的近距离安全控制，以便阻止恶意攻击，包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。

       企业进行云安全控制需要落实到位，并非一直如此直接，然而由于控制范围发生改变，企业必须为类似的转移做准备。控制在企业云上减少威胁的例子就是内容过滤技术，本质上限制了用户可能访问的网站类型，因此减少了受Web服务器牵连的客户端攻击的数量。然而，如果用户转到非可信云中，比如酒店或者甚至是家庭网络，他们可能在上网时有一个更好的自由度，绕过企业在云端设立的内容过滤技术，增加了客户端攻击的风险。

       不受重视的用例就是一个值得信任的客户，如果这个客户连接到企业云上，会对以前的可信环境带入一种完全不同的威胁因素。没有合适的远离控制，企业可能无法检测到可信客户充满恶意的行为，潜在地导致问题，减少客户的信心。

每一种场景都需要控制

       不管企业是否提供云服务或者从云提供商处购买服务，需要理解端到端的云安全控制，这种控制要求减少各种可能的威胁。安全团队必须意识到云安全控制必须在用户的访问范围发生改变时做出改变。这也意味着技术必须在可信和非可信云之间合适的位置设置规则，方便通过不同的设备和网络访问。没有这样的控制，复杂且专业的攻击者不可避免地会找到攻击企业云基础架构的方法。