在企業(yè)安全決策方面，Gartner公司分析師Jay Heiser提出了警告：不能盲目跟風(fēng)，在邁向云計(jì)算的道路上必須頭腦清醒。 有些企業(yè)已經(jīng)開(kāi)始從云計(jì)算中受益匪淺。積極轉(zhuǎn)向公有云的企業(yè)并非不重視云安全的問(wèn)題，只不過(guò)，他們已經(jīng)感受到云計(jì)算的收益大過(guò)于相應(yīng)的風(fēng)險(xiǎn)。

這些企業(yè)IT***和那些躑躇不前者的不同之處在于，他們對(duì)于自己IT團(tuán)隊(duì)和所在企業(yè)的優(yōu)勢(shì)和弱點(diǎn)有清醒的認(rèn)識(shí)。在某些情況下，公有云方案可以提供更高的安全性，并且有助于災(zāi)難恢復(fù)的實(shí)現(xiàn)。

美國(guó)高爾夫協(xié)會(huì)（USGA）就是一個(gè)典型的例子。盡管USGA是一個(gè)全國(guó)性的組織，但是總部卻不是在繁忙的都市。實(shí)際上，USGA的總部位于新澤西州名為Far Hills的一個(gè)小鎮(zhèn) 在其IT高級(jí)總監(jiān)Jessica Carroll的嘴里，那就是一個(gè)偏荒之地。從IT的角度看，這種地理位置對(duì)于災(zāi)難恢復(fù)來(lái)說(shuō)是災(zāi)難性的。但是，Carroll對(duì)云方案供應(yīng)商的安全性非常滿(mǎn)意。

“我考察了他們（IBM）的環(huán)境，那是一個(gè)高度安全的地方。他們處理客戶(hù)數(shù)據(jù)的流程規(guī)范令人印象深刻。”Carroll說(shuō)：“這些都是我親眼所見(jiàn)，正因?yàn)镮BM所采取的措施和業(yè)界聲譽(yù)，我做出決定是非常容易的。”

Carroll向公有云的遷移并非是她***次體驗(yàn)云計(jì)算的安全和隱私性。在2006年USGA就采用了微軟的Live Meeting。通過(guò)訂閱費(fèi)的形式，USGA可以實(shí)現(xiàn)按使用付費(fèi)。“我不需要為保證隱私而費(fèi)心，不需要構(gòu)建災(zāi)難恢復(fù)方案，也不需要擔(dān)心服務(wù)失效的問(wèn)題。”

Carroll說(shuō)：“這種付費(fèi)方式對(duì)我們非常適用，無(wú)須任何基礎(chǔ)架構(gòu)方面的投入。而我對(duì)數(shù)據(jù)安全也非常放心，它們?cè)谡_的地方受到妥善的保管。”

云安全風(fēng)險(xiǎn)的差異性

在企業(yè)安全決策方面，Gartner公司分析師Jay Heiser提出了警告：不能盲目跟風(fēng)，在邁向云計(jì)算的道路上必須頭腦清醒。

“任何客戶(hù)都不能毫不顧忌安全性方面的問(wèn)題。”Heiser在一封郵件中說(shuō)到：“這里面的問(wèn)題很?chē)?yán)重基本上，沒(méi)有辦法能確定某個(gè)特定的外部服務(wù)商能夠提供足夠的安全性保證。”

“對(duì)于服務(wù)供應(yīng)商的保證，我覺(jué)得不僅不準(zhǔn)確，甚至有點(diǎn)負(fù)面比如當(dāng)他們拍著客戶(hù)肩膀說(shuō)，“不要白費(fèi)力氣了，你是無(wú)法保護(hù)自己的，把東西都放到?jīng)]有我這來(lái)吧，我會(huì)替你管好一切的。”時(shí)”Heiser描述到。

云計(jì)算的顧慮

Larry Bolick是Aquent LLC（位于馬薩諸塞波士頓）的CIO，他在云計(jì)算協(xié)作方案方面具有成功的經(jīng)驗(yàn)，包括Google的Gmail和電話(huà)會(huì)議。但是，盡管對(duì)合同進(jìn)行了嚴(yán)格地審查，安全性依然是Bolick的關(guān)注焦點(diǎn)。

“當(dāng)談到云計(jì)算時(shí)，這理所當(dāng)然是首先會(huì)想到的問(wèn)題，因此，沒(méi)人能忽視云的安全性。”Bolick說(shuō)。

然而，牢記歷史也是非常重要的。在不到15年前，托管其實(shí)就是當(dāng)時(shí)的公有云形式。但是在資源共享這個(gè)卓越創(chuàng)意的背后，其安全性以今天的標(biāo)準(zhǔn)來(lái)說(shuō)是令人難以接受的，比如公司的名字和IP地址在服務(wù)器上公開(kāi)可見(jiàn)。類(lèi)似的教訓(xùn)不甚枚舉，而安全性也在不斷演進(jìn)。

過(guò)去Google云存在的問(wèn)題已經(jīng)不再是前進(jìn)道路上的障礙，相反應(yīng)該將其視之為安全性方面的有益嘗試。Bolick認(rèn)為對(duì)于安全問(wèn)題關(guān)注并非出自于恐懼，他堅(jiān)信云安全其實(shí)是聯(lián)系企業(yè)和廠商的紐帶。真正的挑戰(zhàn)在于變更管理以及企業(yè)和廠商在安全實(shí)踐方面的溝通協(xié)調(diào)。

“這并非全是廠商的問(wèn)題，客戶(hù)也有一定的責(zé)任。”Bolick表示：“我們?cè)谠骗h(huán)境里所做的主要是在傳輸時(shí)保證數(shù)據(jù)的保密和完整準(zhǔn)確，在自己的環(huán)境里，我們已經(jīng)在確?；A(chǔ)架構(gòu)安全性方面費(fèi)盡力氣。當(dāng)然，盡管很多工作會(huì)落在客戶(hù)一端，但是讓廠商充分意識(shí)到我們面臨的安全挑戰(zhàn)是非常必要的。”

無(wú)論CIO的工作如何細(xì)致謹(jǐn)慎，仍然無(wú)法保證萬(wàn)無(wú)一失。在特定的時(shí)刻，你不得不寄信任于你的廠商和自己做出的決定。Bolick用坐飛機(jī)的例子來(lái)進(jìn)行類(lèi)比：雖然你不認(rèn)識(shí)飛行員或者機(jī)師，但是他們都有FAA（美國(guó)聯(lián)邦航空管理局）的認(rèn)證，你必須且只能給予充分的信任。

很擔(dān)心嗎？沒(méi)必要的，這只是一個(gè)瑕疵而已。如果因?yàn)槭韬龆鴮?dǎo)致了安全和隱私方面的事故，云服務(wù)供應(yīng)商就會(huì)感受到全面的連鎖反應(yīng)。

Bolick說(shuō)：“因此服務(wù)供應(yīng)商將不得不盡力做到***。從事安全性保障的工作人員盡管默默無(wú)聞，但是正因?yàn)樗麄兊呐Σ攀沟靡磺卸疾幻撾x正軌。世上沒(méi)有100%的保證，你需要理智一點(diǎn)，畢竟有時(shí)候少許的風(fēng)險(xiǎn)并不是壞事。”