預計未來12個月中，將有越來越多的企業采用云技術，其中涉及到的包括架構即服務（IaaS），平臺即服務（PaaS），軟件即服務（SaaS）以及私有云。

    然而，在云計算安全性方面，大家頭上都懸著個問號。云計算將企業數據存放在企業防火墻外的數據中心，并通過互聯網進行訪問的概念，確實讓很多企業都覺得不靠譜。

    雖然對于任何企業技術項目來說，安全性都是需要考慮的，但由于在云技術中，數據的移動，存儲和訪問都與以往有所不同，因此它的安全性問題就顯得比別的技術項目更重要了。

    企業應該對云計算安全性擔憂嗎？

    與傳統技術項目相比，云計算確實引出了一系列新的安全問題，但是從專家角度看，云計算實際上要比傳統技術項目更具安全性。

    Ovum 首席分析師Graham Titterington認為，云計算供應商對于數據安全的重視程度遠高于普通企業的內網安全管理人員。

    專家認為，企業不應等到所有安全問題都得到完善解決后再采用云計算

    Titterington 說：“大多數企業內部安全技術人員都無法像云服務供應商那樣提供優質的安全服務，云服務供應商不但具有專業的安全水平，而且具有一定的信譽，這在行業中非常重要。因此一旦某個服務商出現了安全問題，那么該服務商的業務將遭受毀滅性的打擊，尤其是目前這種大部分企業都在觀望的時期。”

    他又補充說：“對于目前大約95%的企業來說，采用云服務所實現的安全性要比他們自己在企業內部搞的安全系統更加可靠。黑客們入侵企業內部服務器的難度要遠低于入侵云服務環境中的服務器。”

    Quocirca 公司經理 Bob Tarzey表示，在企業防火墻內部建立一個私有云架構，并不會帶來什么額外的安全隱患，而僅有的安全問題可能是關于虛擬機的，但這方面的問題大部分早就已經得到解決了。

    Tarzey同意 Titterington 的觀點，他也認為專業的云服務提供商所實現的安全性要高于普通企業自己的安全系統，他說：“企業很容易忽略的一個問題就是，云服務供應商所使用的架構是最先進的，位于高級的數據中心，這遠比企業在自己的內部網絡搭建的安全系統要安全的多，更能滿足企業對業務連續性的需求。”

    Field Fisher Waterhouse 律師事務所的總經理 Eduardo Ustaran 同樣認為云計算所涉及的數據安全問題不會比將企業IT服務外包出去所面臨的安全風險更大。

    由于云計算是將數據備份在不同的位置，因此會比傳統方式有更大的安全性。

    Ustaran 表示，從客戶的角度看，這樣會感覺更容易失去對數據的控制，他說：“面對潛在客戶，云服務供應商必須非常小心面對這一問題，讓客戶明白供應商所提供的安全性遠非他們之前所想象的那樣。”

    雖然云服務供應商能夠實現高等級的安全性，但是企業在向云服務邁進之前，仍然需要注意一些問題，從而盡可能安全的實現云計算。

    數據的移動

    傳統的企業內部計算與云計算的不同之處在于，后者需要通過互聯網將數據在云供應商和客戶間進行傳送，而一些企業認為這個過程有可能出現安全隱患。

    實際上，如今的網絡技術已經能夠讓企業在互聯網上傳輸數據時確保數據安全，不被惡意份子監控和截獲了。

    Ustaran 在回答ZDNet 記者采訪時表示：“如今的網絡已經越來越安全了，與以往開放式的網絡相比，現在通過網絡傳送數據的安全性很高。”

    Ovum公司的Titterington 補充說：“ SSL- 和 VPN-類型的技術可以很好的在公眾網絡上進行數據安全傳輸。”

    對數據進行加密，是數據在客戶和服務供應商之間傳遞時提升安全性的另一種方法。這意味著數據無論是在企業內部還是在向云服務環境移動過程中，或者存儲在云服務環境，都是安全的。

    云架構的物理位置

    數據的物理移動和存儲也是有嚴格的法律要求的，因此在討論云計算時，這一點不能忽略。

    比如，在歐洲，個人數據只能被出口轉移到其它歐盟國家，比如簽署有安全港協議的美國。

    如果云服務供應商將企業的數據備份在兩臺位于不同位置（一般不是在美國，或者在不同的國家）的服務器上，企業可能就會擔心數據最終是否會丟失。

    這種擔憂雖然不無道理，但是可以通過與服務供應商的談判得到解決。

    Field Fisher Waterhouse 的Ustaran 表示：“不論數據存在世界哪個角落，只要具備良好的安全性，地理位置就不應該成為什么問題。”

    Titterington認為，企業應該確定他們的數據被保存在無安全港協議地區的可能性。他說：“企業能否從供應商那里得到所需的保證？供應商是否擁有類似的安全港協議，或者正在與那些地區簽署類似協議？”

    一旦企業很高興的看到供應商能夠提供相應材料，他們就會很樂意的簽署相關的云服務協議，因為他們知道自己的數據在遷移時能得到保證。

    Titterington 認為，如果數據在傳輸和存儲過程中都經過加密，那么就不用擔心其存儲在第三方數據中心的安全性問題了。如果除了企業自己，其它機構和個人都無法解讀數據內容，那么數據移動也就沒有太多的安全性要求了。

    使用訪問控制和加密技術是云服務確保信息安全的關鍵

    運供應商知道企業擔憂數據存儲的地理位置問題，以及相應數據的安全新問題，因此在主要市場通過更多的開設云數據中心的方式來解除企業顧慮。

    一旦數據到達了云平臺的存儲位置，就開始進行下一步數據安全措施了。Titterington說：“一般來說，實際的傳輸階段是擔憂最少的階段，這時用戶所關注的是數據到達后會被如何存儲。”

    Titterington 認為，對于云技術來說，訪問控制技術的運用是至關重要的，他說：“訪問控制必須被重視。云服務的大門永遠是面向互聯網的，不論采用的是軟件即服務（SaaS），平臺即服務（PaaS）還是架構即服務（IaaS）模式。在開放環境和企業數據之間只有訪問控制機制在起作用。”

    Ovum 建議機構將訪問控制集成進他們自己的云服務中，這樣內部和外部的身份認證和登錄系統將同步進行，減小了出現安全風險的機會。

    企業同樣需要確保他們能夠得到最新的數據訪問記錄。這個策略意味著，一旦用戶離開辦公環境，他們的接入權限馬上會被收回，這樣他們就不能從辦公地點以外的非授權系統訪問云服務。

    和數據傳輸過程一樣，數據存儲時同樣需要進行數據加密，以提高信息的安全性。

    Ovum的 Titterington 表示，有些加密技術允許企業將數據加密所使用的密鑰保留在云環境中，這樣，只有具有完全控制權限的人才能夠在虛擬機中查看解密的信息。

    Titterington 說：“目前已經有針對云環境的數據加密技術了，企業都應該考慮使用。”

    企業所考慮的另一個有關云環境下數據存儲的問題是，有可能與自己的數據存儲在相近空間，或者存儲在緊鄰的虛擬機中的，就是競爭對手的數據。

    而分析人士表示，數據混雜存儲甚至被錯誤的用戶訪問的情況基本不會發生。

    Field Fisher Waterhouse的 Ustaran表示：“我還從沒見過那個服務提供商會將不同客戶的數據混雜在一起，并被錯誤的客戶訪問。”

    Titterington 也補充說：“對于絕大多數機構來說，他們建立云架構時使用的技術和架構就是用來防止出現數據交叉感染的。”

    符合監管的云

    在考慮采用云服務時，企業首先要考慮的是自己的哪個業務流最適合采用云服務，并牢記符合監管部門的規章制度，如Sarbanes-Oxley法案。比如，財務信息一般被看做不適用于云計算，因為與其它方面的信息來說，有太多的監管制度圍繞著財務信息。

    Titterington認為，云服務供應商正好趁這個機會更詳細的介紹他們的安全方案，因為客戶提供的其它信息并沒有那么嚴格的監管要求。

    他說：“對于那些需要非常詳細而嚴格審批報表的企業，供應商是很難拿出有關云服務的正規的符合審查要求的文書的。因此，作為云服務供應商，你對于這類企業的吸引力是很有限的。”

    Quocirca的 Longbottom 表示，企業都需要根據規章和監管要求對自己的數據進行分類。數據的類型可以包括公開，商業，保密，以及機密。

    之后就可以針對不同的信息制定策略了，比如哪類數據可以分布存放，是否可以被打印出來。在云計算方面，企業需要云服務提供商能夠支持這種數據分類方式和對應的策略。

    Longbottom 說：“由于不受網絡，平臺或設備的限制，這種數據分類方法可以很好的適應云計算環境。”

    Field Fisher Waterhouse的 Ustaran 認為，云服務供應商可以選擇將歐洲數據保護條例作為他們的服務標準提供給客戶，這樣客戶在與供應商洽談前就知道他們的數據將會符合監管要求。

    他補充說，企業和供應商需要找到一個既能滿足數據安全和監管要求，又能實現足夠的靈活性的平衡點。供應商將根據這個平衡點提供相應的服務。

    Ustaran 表示：“合同應該注重現實，而不是設立過多的法律條款，這樣供應商將受到太多限制而無法為用戶提供所需的服務。”

    企業應考察供應商是否能夠提供數據核查和從系統中移除數據的方法

    從云中取回數據

    企業面對云計算時需要考慮的最后一方面內容是，如果以后決定更換云服務供應商，那么該如何從前一個供應商那里把自己的數據取回來。

    Quocirca的 Tarzey 認為，企業要考慮的關于云計算的幾件大事之一，就是企業數據在未來的情況。

    企業應該考慮他們如何將數據從云架構中取回，并確保所有數據備份都從供應商的服務器中刪除了。

    Titterington 表示：“如果你不能簡單方便的將你的數據取回來，那么你就算是跟這個服務商綁定在一起了，不論他怎么樣你都離不開了。這是任何企業都不愿意見到的。”

    因此企業在選擇云服務供應商時一定要將這個問題提出來，他說：“提出所有恰當的問題，并將所有的服務承諾列在合同中。”

    網絡的最后一公里

    當然，這些考慮都是必須的，但是是不是我們對于這些外部因素關注的太過分了？CIO們是不是過多的擔心按需問題，而忽略了他們的管理問題，以及所謂的網絡最后一公里的問題？

    IT 領導者們可以花費時間和金錢來與供應商建立強大的合作關系，以達到緊密的信息安全和數據訪問需求。但是任何來自外部的合作，以及根據需求所使用的外部技術，都要在內部架構支持的前提下才能發揮應有的價值。

    看上去 CIO們面對云技術時更關心外部問題，而不是內部架構的支持問題

    其實云計算最關鍵的是網絡連接。如果你的公司整體遷移到云計算平臺，那么所有員工都需要確保所使用的程序以及信息都是可訪問的。因此，網絡的最后一公里，才是云計算普遍應用的關鍵。

    高速寬帶接入點是關鍵

    支持這一觀點的Quest Software CTO Joe Baguley認為，如果沒有高速寬帶接入，任何對于云計算的嘗試都會失敗。因此，這個寬帶接入點將成為云計算的關鍵點。他說：“我們仍然沒有像樣的隨時隨地的互聯網寬帶接入能力，因此仍然要考慮離線狀態的企業運作。”

    這是一個盲點。在有關云計算的討論會議上坐兩個小時，你可能聽不到一句有關于此的討論，卻能明顯的感覺到所有CIO都在關注外部的問題，比如信息安全和法規遵從性。這種忽視的狀態必須被糾正。

    Baguley 認為：“從企業的角度，如果你將企業應用遷移到外部云服務平臺，那么你勢必將所有辦公應用連接到互聯網，這樣一來，原先大量在內網傳輸的數據就不得不穿過防火墻，進入運供應商那里。”

    一旦在網絡上出現任何有關云計算的相關問題，那些做好了完全準備的CIO們在采取任何手段應對風險時，所依賴的就只是這一小段穩定而高速的網絡了。

    云風險和企業需求

    工程咨詢公司Hurleypalmerflatt的CTO Robert Thorogood,表示，IT經理必須考慮到企業需求和風險相關成本之間的關系。他說：“問題總是集中在如果硬件或軟件出現故障，企業會受到什么影響上。”

    “不同的企業能承受不同程度的風險。對于財務公司來說，丟失訂單（不論是何種原因）之類的潛在風險是非常大的。任何CIO都必須明白，對業務失去控制意味著什么。”

    只有明白這個風險，CIO們才能開始認真對待云技術。雖然這項技術仍然處于起步階段，但是按需計算能夠用高效率的方式將員工與信息連接起來。對于Star Technology Services的前任CEO John Adey來說，處理網絡最后一公里的問題其實就是創造一種平衡。

    他認為：“最大的機會位于希望永久在線與提供所需能力之間的平衡點上。云技術是令人興奮的。它讓IT變得更加有活力，也讓人們對于IT的未來更加充滿希望。”

    雖然宣傳的很火熱，但是我們還是要回到現實。研究機構 Gartner建議廣大CIO在2011年將云技術作為首要技術熱點，但同時該機構也認為企業目前對于按需供給的技術都還處于嘗試階段。

    云普及率較低

    僅有3%的企業 CIO將他們大部分的IT架構遷移到了云服務平臺或采用軟件即服務（SaaS）技術。而盡管未來幾年里，按需技術將有長足發展，我們可能仍然很難見到服務的大范圍應用，以及網絡最后一公里問題被解決。

    Bird & Bird 貿易部法務官Barry Jennings認為，企業向云技術轉換，需要有關鍵的供應商獲得企業的信任，企業才能將控制權交予供應商。這其中需要解決很多關鍵性的問題。

    “按需服務何時才能真正應用？它是否適合企業關鍵信息和系統？比如政府希望知道，如果通過云技術降低成本，是否會帶來太多的風險。對于云技術，潛在的用戶很多，但是做到按需服務還需時日。”

    Westminster City Council的CIO和IT經理David Wilde 對此作了總結，即知道按需服務在IT行業普遍實施，云計算的時代才真正開始。

    他表示，對于信息的關注是清晰和容易理解的。而目前改變的，正如Gartner所發現的，是企業真正想購買和使用云服務，但是供應商還沒準備好。

    云計算潛在的業務準備和深入服務

    Wilde 說：“你要么選擇公眾云，同時別去擔心你的數據被保存在了哪里，或者你可以購買自己的私有云，當然費用很昂貴，還需要系統集成。市場需要通過云平臺提供完善的業務準備和深入的管理服務，這是企業服務買家所需要的。”

    但是隨著未來幾年云計算將爆發式發展的宣傳， KPMG 顧問Steve Salmon 也表示，企業CIO們必須考慮企業內部和外部的環境，看是否能夠與云供應商形成合適的伙伴關系，同時網絡最后一公里的問題也至關重要。

    他說：“你已經購買了一個彈性云服務，具有按需服務能力，并且具有擴展性，但是你的網絡連接能夠支持這種服務模式嗎？企業在考慮云服務時，需要看看自己是否擁有靈活的網絡接入能力，讓他們有能力充分發揮按需服務的特色，從而真正降低運營成本。”

    根據企業現有的接入狀況， Salmon認為大部分企業都需要更新接入連接，而這需要6-9個月時間。他說：“隨著越來越多的服務遷移到云環境，企業應該注意他們的內部網絡，確保內部網絡能夠提供富媒體內容，滿足高質量服務的需求。”