一些關(guān)于公共云計算的重要風險清單非常廣泛而且復(fù)雜，比如：云安全聯(lián)盟整理的云計算重要風險1.0版。大部分風險清單中會包含下面這些項：

 

 

從IT管理人員的關(guān)注程度看，這一條仍然是遙遙領(lǐng)先占據(jù)第一位。這一條還包括一些數(shù)據(jù)保護和隱私子分類，來自軟件即服務(wù)（SaaS）供應(yīng)商的物理安全和應(yīng)用安全，還有過度宣傳泄露。

 

Steve MacLellan是波士頓富達科技集團金融服務(wù)企業(yè)架構(gòu)高級副總裁，他說，大家不要相信“相信我，我是SaaS-y”的市場。他還補充說，一定要問清他們安全方面的策略，視察他們的數(shù)據(jù)中心，確保數(shù)據(jù)在物理上是安全的。

 

然后，盡自己的努力來保護數(shù)據(jù)。Peter Toth是總部位于新澤西州普林斯頓北美Gfk定制研究所（德國研究和開發(fā)公司Gfk集團的一個部門）的IT運營經(jīng)理，他說：“我們確保我們的數(shù)據(jù)離開時是加密的，這是在發(fā)生問題之前就在數(shù)據(jù)中心完成的。”

 

對于另一部分人，安全不再是云計算中的一個威脅，而是別人自己后院里的事。Rich Mogull是總部位于菲尼克斯的咨詢機構(gòu)Securosis有限責任公司的CEO和分析師，他說：“我想說的是云（甚至公共云）并不是生來就比你的內(nèi)部環(huán)境更安全或者更不安全，這完全取決于采用了什么樣的控制以及你如何實施它們。”

 

 

密碼是個問題，尤其是因為破壞分子現(xiàn)在擁有了計算能力來搞破壞（有意思的是，他們可以使用公共云的計算能力）。聯(lián)邦政府正著手開發(fā)聯(lián)邦I(lǐng)D生態(tài)系統(tǒng)，它可以保護避免受到網(wǎng)絡(luò)破壞分子的侵害。本月早些時候，奧巴馬政府宣布它將創(chuàng)建一個網(wǎng)絡(luò)中可信的身份程序，由新成立的“國家計劃辦公室”領(lǐng)導(dǎo)，該機構(gòu)歸國家商務(wù)部領(lǐng)導(dǎo)。

 

 

就邊界而言，它們實際上可能是虛擬的，但是它們也可能是物理存在的。新規(guī)定對金融服務(wù)，醫(yī)療保健以及保險業(yè)物理數(shù)據(jù)駐留在哪里以及保留多久都做了限制。MacLellan說：“確實，我們也聽說了一些（關(guān)于遵從這些新規(guī)定的消息），規(guī)定的環(huán)境多少有點不太友好”，可能反駁了‘云是一個自由貿(mào)易區(qū)’這一觀念。例如，一些信息可能不能跨越國家邊界，但是，它幾乎不可能知道公共云數(shù)據(jù)保存在哪里。此外，Drue Reeves是Gartner公司副總裁以及知名分析師，他認為，負擔在云客戶身上，他們要確保云供應(yīng)商遵守影響他們公司數(shù)據(jù)的規(guī)定。

 

 

在使用公共云服務(wù)時有一個風險，就是如何在云豎井中自然地整合數(shù)據(jù)。利用企業(yè)后端系統(tǒng)集成駐留在云服務(wù)中的數(shù)據(jù)不是一件輕松的事。尤其是在企業(yè)沒有經(jīng)歷過組織級信息集成挑戰(zhàn)的情況下。James Staten是馬薩諸塞州劍橋Forrester研究公司副總裁兼首席分析師，他認為，已經(jīng)把他們的數(shù)據(jù)設(shè)置的足夠方便跨多個平臺使用的公司處在最佳位置，可以發(fā)揮云服務(wù)的全部優(yōu)勢。

 

按照EMC公司信息優(yōu)勢領(lǐng)導(dǎo)委員會（一個IT主管組織，其成員主要討論云計算中的挑戰(zhàn)）的觀點：養(yǎng)成加密數(shù)據(jù)的習(xí)慣也非常重要，還要標記穩(wěn)定的數(shù)據(jù)并鞏固存儲資產(chǎn)庫。該組織建議，要徹底避開大量的集成工作，要先盡量限制必須支持的云平臺數(shù)量。

 

云專家們還建議，采用ETL（抽取，轉(zhuǎn)換，加載）工具可以簡化數(shù)據(jù)從一種格式到另一種格式的轉(zhuǎn)換。目標是把信息轉(zhuǎn)換成一種通用格式——最可能轉(zhuǎn)換成可擴展標記語言（或者叫XML）——這樣數(shù)據(jù)就更容易移動和搜索了。

 

 

這個棘手的問題歸結(jié)為，在不同云服務(wù)供應(yīng)商之間標準互操作性的變革問題。我們假定你不喜歡你公共云供應(yīng)商的策略變化，想選擇另一家供應(yīng)商。在這種情況下，云可能會出現(xiàn)眾所周知的巴別塔問題，盡管許多供應(yīng)商正在提供更好的互操作性。微軟的Azure平臺本來是直接連到。NET的，現(xiàn)在也有一個開源軟件開發(fā)工具包支持開發(fā)者使用PHP腳本語言；而Salesforce.com公司一度專用的Force.com開發(fā)平臺也支持Java應(yīng)用開發(fā)了。

 

Tom Bittman是Gartner公司的著名分析師，他聲稱目前涉足云服務(wù)的這樣或那樣的供應(yīng)商有一萬家。他說：“需要有人幫助我們從中判斷”，并給企業(yè)“拿拿注意”。他預(yù)計，云經(jīng)紀人作為新的系統(tǒng)集成者數(shù)量會上升，他們會幫助企業(yè)在后端系統(tǒng)和云服務(wù)之間做數(shù)據(jù)集成。他還預(yù)測，到2015年，20%的云服務(wù)將會通過云服務(wù)代理人進行，而不是直接交互，目前這個比例是5%。

 

這種“同聲同氣”也可能是云服務(wù)供應(yīng)商之間整合的結(jié)果。隨著競爭日趨激烈，較小的供應(yīng)商不見得一定會失敗。按照Bittman的觀點選擇正確的供應(yīng)商是IT主管今年要做的關(guān)鍵決策之一。他說：“我們看到有的供應(yīng)商倒閉了，數(shù)據(jù)也隨之丟失了。”

 

 

云服務(wù)可能并沒有提供與企業(yè)預(yù)期一致的管理水平。按照一些CIO的觀點，這種想法是對按需定制和云應(yīng)用程序單方面的，端對端的看法。其中包括Gainsco公司CIO Phil West，該公司是總部位于達拉斯俄一家非標準汽車保險供應(yīng)商。去年秋天，包括Vizioncore（現(xiàn)在是Quest軟件公司的一部分），Veeam軟件公司，LogMeIn公司，Precise軟件解決方案公司，Compuware公司以及微軟在內(nèi)的一些供應(yīng)商發(fā)布了監(jiān)視工具，計劃為企業(yè)對云服務(wù)提供端對端的可見度。

 

 

企業(yè)不能忍受服務(wù)中斷，不管什么原因，從帶寬限制到分布式拒絕服務(wù)（DoS）攻擊都不行。Lalitendu Panda是總部位于日本的D&M控股公司的全球CIO，他說：“這都是關(guān)于質(zhì)量的問題，不是關(guān)于低成本服務(wù)的問題。服務(wù)中斷是一個問題；我們有幾種‘情況’。希望你自己擁有（基礎(chǔ)設(shè)施）并且你自己能修改是不現(xiàn)實的。你完全沒法控制運行在云中的其他應(yīng)用，它們會導(dǎo)致云服務(wù)性能降低。”

 

 

由于公共云多租賃的性質(zhì)，會有許多公司共享一套基礎(chǔ)設(shè)施的資源。Drew Bartkiewicz是CyberRiskPartners有限責任公司（紐約一家云保險供應(yīng)商）的CEO，他認為對共享同一個云資源的所有“住戶”的依賴造成了一個潛在的災(zāi)難性風險。他說：“公共云供應(yīng)商只會通過合同來轉(zhuǎn)移風險，并且祈禱災(zāi)難不要發(fā)生在自己身上來。”

 

Tanya Forsheit是InfoLawGroup有限責任公司的合伙創(chuàng)始人，她認為，另一方面，云服務(wù)的關(guān)鍵在于你共享了空間。她說：“如果你繼續(xù)使用（公共）云，你必須接受這一事實，否則你就用私有云獨立保留數(shù)據(jù)吧。”

 

 

事實是，云服務(wù)中的責任并不是非黑即白，這是由于缺少這類公共案例可以作為先例參考。Gartner公司的Reeves說，如果某一家公共云計算供應(yīng)商出了監(jiān)管問題丟失了數(shù)據(jù)，那么該供應(yīng)商應(yīng)該分擔責任。他還說：“IT組織應(yīng)該在他們的合同中明確寫清，供應(yīng)商理解制度監(jiān)管問題并且會承擔責任。如果他已經(jīng)告訴供應(yīng)商數(shù)據(jù)需要什么服務(wù)了，為什么消費者還要承擔所有責任？”他還補充說，云服務(wù)中的責任劃分問題目前還在發(fā)展階段；供應(yīng)商們在服務(wù)連接中斷時可能免受托管費，但是對業(yè)務(wù)損失沒有連帶賠償。在塵埃落定之前，設(shè)想一下云保險代理商營造的新生態(tài)系統(tǒng)吧。

 

 

這與其說是風險，還不如說是考慮現(xiàn)實。因為處在IT戰(zhàn)壕的人們擔心的是，一旦企業(yè)采納了公共云計算，他們會失去什么。Danny Jenkins是德州Plano的J.C. Penney公司黑莓管理員，他說：“一旦你走出私有空間，進入公共云服務(wù)，你需要或者再想回頭幾乎是不可能的。”這里的風險在于，你“放棄了你自己內(nèi)部的知識基礎(chǔ)。”