一些關于公共云計算的重要風險清單非常廣泛而且復雜，比如：云安全聯(lián)盟整理的云計算重要風險1.0版。大部分風險清單中會包含下面這些項：

 

 

從IT管理人員的關注程度看，這一條仍然是遙遙領先占據(jù)第一位。這一條還包括一些數(shù)據(jù)保護和隱私子分類，來自軟件即服務（SaaS）供應商的物理安全和應用安全，還有過度宣傳泄露。

 

Steve MacLellan是波士頓富達科技集團金融服務企業(yè)架構高級副總裁，他說，大家不要相信“相信我，我是SaaS-y”的市場。他還補充說，一定要問清他們安全方面的策略，視察他們的數(shù)據(jù)中心，確保數(shù)據(jù)在物理上是安全的。

 

然后，盡自己的努力來保護數(shù)據(jù)。Peter Toth是總部位于新澤西州普林斯頓北美Gfk定制研究所（德國研究和開發(fā)公司Gfk集團的一個部門）的IT運營經(jīng)理，他說：“我們確保我們的數(shù)據(jù)離開時是加密的，這是在發(fā)生問題之前就在數(shù)據(jù)中心完成的。”

 

對于另一部分人，安全不再是云計算中的一個威脅，而是別人自己后院里的事。Rich Mogull是總部位于菲尼克斯的咨詢機構Securosis有限責任公司的CEO和分析師，他說：“我想說的是云（甚至公共云）并不是生來就比你的內部環(huán)境更安全或者更不安全，這完全取決于采用了什么樣的控制以及你如何實施它們。”

 

 

密碼是個問題，尤其是因為破壞分子現(xiàn)在擁有了計算能力來搞破壞（有意思的是，他們可以使用公共云的計算能力）。聯(lián)邦政府正著手開發(fā)聯(lián)邦ID生態(tài)系統(tǒng)，它可以保護避免受到網(wǎng)絡破壞分子的侵害。本月早些時候，奧巴馬政府宣布它將創(chuàng)建一個網(wǎng)絡中可信的身份程序，由新成立的“國家計劃辦公室”領導，該機構歸國家商務部領導。

 

 

就邊界而言，它們實際上可能是虛擬的，但是它們也可能是物理存在的。新規(guī)定對金融服務，醫(yī)療保健以及保險業(yè)物理數(shù)據(jù)駐留在哪里以及保留多久都做了限制。MacLellan說：“確實，我們也聽說了一些（關于遵從這些新規(guī)定的消息），規(guī)定的環(huán)境多少有點不太友好”，可能反駁了‘云是一個自由貿(mào)易區(qū)’這一觀念。例如，一些信息可能不能跨越國家邊界，但是，它幾乎不可能知道公共云數(shù)據(jù)保存在哪里。此外，Drue Reeves是Gartner公司副總裁以及知名分析師，他認為，負擔在云客戶身上，他們要確保云供應商遵守影響他們公司數(shù)據(jù)的規(guī)定。

 

 

在使用公共云服務時有一個風險，就是如何在云豎井中自然地整合數(shù)據(jù)。利用企業(yè)后端系統(tǒng)集成駐留在云服務中的數(shù)據(jù)不是一件輕松的事。尤其是在企業(yè)沒有經(jīng)歷過組織級信息集成挑戰(zhàn)的情況下。James Staten是馬薩諸塞州劍橋Forrester研究公司副總裁兼首席分析師，他認為，已經(jīng)把他們的數(shù)據(jù)設置的足夠方便跨多個平臺使用的公司處在最佳位置，可以發(fā)揮云服務的全部優(yōu)勢。

 

按照EMC公司信息優(yōu)勢領導委員會（一個IT主管組織，其成員主要討論云計算中的挑戰(zhàn)）的觀點：養(yǎng)成加密數(shù)據(jù)的習慣也非常重要，還要標記穩(wěn)定的數(shù)據(jù)并鞏固存儲資產(chǎn)庫。該組織建議，要徹底避開大量的集成工作，要先盡量限制必須支持的云平臺數(shù)量。

 

云專家們還建議，采用ETL（抽取，轉換，加載）工具可以簡化數(shù)據(jù)從一種格式到另一種格式的轉換。目標是把信息轉換成一種通用格式——最可能轉換成可擴展標記語言（或者叫XML）——這樣數(shù)據(jù)就更容易移動和搜索了。

 

 

這個棘手的問題歸結為，在不同云服務供應商之間標準互操作性的變革問題。我們假定你不喜歡你公共云供應商的策略變化，想選擇另一家供應商。在這種情況下，云可能會出現(xiàn)眾所周知的巴別塔問題，盡管許多供應商正在提供更好的互操作性。微軟的Azure平臺本來是直接連到。NET的，現(xiàn)在也有一個開源軟件開發(fā)工具包支持開發(fā)者使用PHP腳本語言；而Salesforce.com公司一度專用的Force.com開發(fā)平臺也支持Java應用開發(fā)了。

 

Tom Bittman是Gartner公司的著名分析師，他聲稱目前涉足云服務的這樣或那樣的供應商有一萬家。他說：“需要有人幫助我們從中判斷”，并給企業(yè)“拿拿注意”。他預計，云經(jīng)紀人作為新的系統(tǒng)集成者數(shù)量會上升，他們會幫助企業(yè)在后端系統(tǒng)和云服務之間做數(shù)據(jù)集成。他還預測，到2015年，20%的云服務將會通過云服務代理人進行，而不是直接交互，目前這個比例是5%。

 

這種“同聲同氣”也可能是云服務供應商之間整合的結果。隨著競爭日趨激烈，較小的供應商不見得一定會失敗。按照Bittman的觀點選擇正確的供應商是IT主管今年要做的關鍵決策之一。他說：“我們看到有的供應商倒閉了，數(shù)據(jù)也隨之丟失了。”

 

 

云服務可能并沒有提供與企業(yè)預期一致的管理水平。按照一些CIO的觀點，這種想法是對按需定制和云應用程序單方面的，端對端的看法。其中包括Gainsco公司CIO Phil West，該公司是總部位于達拉斯俄一家非標準汽車保險供應商。去年秋天，包括Vizioncore（現(xiàn)在是Quest軟件公司的一部分），Veeam軟件公司，LogMeIn公司，Precise軟件解決方案公司，Compuware公司以及微軟在內的一些供應商發(fā)布了監(jiān)視工具，計劃為企業(yè)對云服務提供端對端的可見度。

 

 

企業(yè)不能忍受服務中斷，不管什么原因，從帶寬限制到分布式拒絕服務（DoS）攻擊都不行。Lalitendu Panda是總部位于日本的D&M控股公司的全球CIO，他說：“這都是關于質量的問題，不是關于低成本服務的問題。服務中斷是一個問題；我們有幾種‘情況’。希望你自己擁有（基礎設施）并且你自己能修改是不現(xiàn)實的。你完全沒法控制運行在云中的其他應用，它們會導致云服務性能降低。”

 

 

由于公共云多租賃的性質，會有許多公司共享一套基礎設施的資源。Drew Bartkiewicz是CyberRiskPartners有限責任公司（紐約一家云保險供應商）的CEO，他認為對共享同一個云資源的所有“住戶”的依賴造成了一個潛在的災難性風險。他說：“公共云供應商只會通過合同來轉移風險，并且祈禱災難不要發(fā)生在自己身上來。”

 

Tanya Forsheit是InfoLawGroup有限責任公司的合伙創(chuàng)始人，她認為，另一方面，云服務的關鍵在于你共享了空間。她說：“如果你繼續(xù)使用（公共）云，你必須接受這一事實，否則你就用私有云獨立保留數(shù)據(jù)吧。”

 

 

事實是，云服務中的責任并不是非黑即白，這是由于缺少這類公共案例可以作為先例參考。Gartner公司的Reeves說，如果某一家公共云計算供應商出了監(jiān)管問題丟失了數(shù)據(jù)，那么該供應商應該分擔責任。他還說：“IT組織應該在他們的合同中明確寫清，供應商理解制度監(jiān)管問題并且會承擔責任。如果他已經(jīng)告訴供應商數(shù)據(jù)需要什么服務了，為什么消費者還要承擔所有責任？”他還補充說，云服務中的責任劃分問題目前還在發(fā)展階段；供應商們在服務連接中斷時可能免受托管費，但是對業(yè)務損失沒有連帶賠償。在塵埃落定之前，設想一下云保險代理商營造的新生態(tài)系統(tǒng)吧。

 

 

這與其說是風險，還不如說是考慮現(xiàn)實。因為處在IT戰(zhàn)壕的人們擔心的是，一旦企業(yè)采納了公共云計算，他們會失去什么。Danny Jenkins是德州Plano的J.C. Penney公司黑莓管理員，他說：“一旦你走出私有空間，進入公共云服務，你需要或者再想回頭幾乎是不可能的。”這里的風險在于，你“放棄了你自己內部的知識基礎。”