שירותים הפרוסים בענן פרטי או ציבורי עלולים להיות נתונים להתקפות של תוקפים הן פנימיים והן חיצוניים. שירותי אבטחת הענן מבוססים על שני שלבים עיקריים הבאים:

1. סקירת ארכיטקטורת ענן – בשלב זה נעשה תשאול עם אנשי מפתח לגבי מסמכי תכנון וארכיטקטורה של הארגון על מנת לזהות בעיות אבטחה וכן בעיות ארכיטקטורה.

כחלק משלב זה מסופקות המלצות ברמה גבוהה לגבי הפערים הבטיחותיים שנמצאו, היעדר בקרות אבטחה וסיכונים ביטחוניים בדרך שבה שירותי הענן נפרסים ומשתלבים בסביבת הארגון.

2. סקירת הקשחה בענן – שלב זה כולל בדיקת אבטחה ידנית על מנת לחשוף את הסיכונים הבטיחותיים הנמצאים בתצורות שירות המבוססות ענן. שלב זה מאמת את היישום בפועל של שירותי ענן בארגון.