首先，我認為我需要做一個聲明：我是一個云計算的懷疑者。

　　我知道，作為一個關注于虛擬化和數據中心管理的IT分析師，如同我的眾多同行一樣，我本應該是云計算的倡導者。

　　但是，當我試圖尋找其正面信息時（其效益顯得如此特殊，以至于我確實要相信），與那些在大型企業中有經驗的IT專業人士談論云計算越多，我聽到的它負面消息越多，他們都在抱怨說云計算不能適應實際IT工作。在本文中，我將介紹為什么我同意與云計算唱反調；特別是當涉及到安全性和可靠性時。

　　云計算環境中的安全問題

　　在企業內部和可見系統中，大多數組織特別關注IT安全性并為之投入了大量資源。整個的團隊維持著嚴格細致的身份識別和訪問控制機制。產品數據不能混雜于測試數據，客戶通道不與開發通道混雜，同時敏感性工作負荷被分別保存在開放或混雜的應用中。需要對安全補丁程序不斷進行更新，對配置進行監控，工作區實現零日威脅并不斷更新惡意軟件檢測系統。虛擬映像、硬盤和備份采用加密和密碼保護程序。

　　所有這些活動在平臺、應用、發布級別、版本和其他基礎設施細節都是完全不同的。在這些細節都被認為無關緊要的云中，誰將對安全管理的復雜性負責？企業如何確定云供應商——特別是外部供應商能堅持提供他們所能提供的補丁、更新、工作區、訪問限制等？誰能夠確定管理員從事的是他們應該從事并只能這樣做的工作？假定他們的行為有被記載，誰將對其進行維護和審計追蹤？

　　在云中確保可靠性

　　當談到可靠性，就會出現很多問題，而問題的答案卻很少。舉個例子，如果您在一個信用卡服務云供應商那里有業務需求。那么，您將如何確保PCI可靠性？如果您有金融和賬戶信息在云中，您將如何確保審計和金融信息的控制能夠滿足美國的Sarbanes法案（SOX）第404條、英國的金融工具市場指令（MiFID）、日本的JSOX、或澳大利亞的公司法律經濟改革計劃（CLERP）？如果您有客戶數據在云中，如何確保您自由出版的私有政策和現行法規信息的可靠性？如果您有任何云存儲資源的一種正式記錄——文件、文檔、電子郵件、即時信息、備忘錄、表格、掃描圖像等在云中，您如何確保保留政策符合聯邦民事訴訟規則步驟或國防部5015.2規定？

　　監控服務水平協議（SLA）和合同

　　當然，對于比較謹慎的組織而言，他們可以創建一個基于過程和/或合同的控制流程。因云的不透明性，使得您對于提供IT服務的平臺、系統和技術是未知的，而這或許就是確保安全和可靠的唯一方法。

　　但由誰來監查監查員？

　　在設置服務水平協議和簽訂合同時，誰負責監督、審計和執行呢？如果違反了安全性或審計失效，誰將負責衡量和報告這些行為呢？由于云服務的消費者在云內部不具備可視性，那么唯一的選擇就是信任供應商。不幸的是，由于沒有機會獨立核查，供應商也很少或根本不會去承認錯誤。從本質上來說，我們是在讓狐貍來看守雞舍。
 
　　最根本的沖突：可見度

　　在這里，根本的沖突是云計算否認了細節可見度；然而，作為IT專業人員，我們需要將其細化，以確保安全和可靠性。

　　對于眾多的利益相關者，缺乏可見度是一個不錯的現象，同時也是云計算真正驅動因素之一。事實上，沒有人真的想要對細節管理的低層次IT組件負責。
 
　　但是，一個安全和可靠的環境是不會無視這些低層次組件的細節可見度的。IT專業人員必須密切參與功能細節的最低層次——并不是因為他們想，而是因為他們需要。

　　有沒有可能搭建一個安全可靠的云？

　　當然，這并不是說沒有可能的解決方案。從內心來說，我希望在未來至少部分地看到信任的關系、聯合服務、可審計標準、第三方監控、偽云和其他解決這些問題的解決方案。而在具體的職能領域，云計算甚至可以直接實現安全和可靠性（例如基于云服務的消息過濾、防火墻、漏洞測試等。）

　　不過，最終關鍵因素可能歸結為一種表面上的因素：公司是否能接受風險？這遠遠不同于公司是否理解風險。隨著虛擬化的深入，企業只看到了云計算的好處，卻忽視了一個個他們將要面臨的風險。

　　但與此同時，IT專業人士以及他們所支持的業務部門必須對完全的云計算廣告采取非常謹慎的態度。至少在目前，當談論確保安全和可靠性的時候，云計算和關鍵IT業務之間是根本脫節的。