首先，我认为我需要做一个声明：我是一个云计算的怀疑者。

　　我知道，作为一个关注于虚拟化和数据中心管理的IT分析师，如同我的众多同行一样，我本应该是云计算的倡导者。

　　但是，当我试图寻找其正面信息时（其效益显得如此特殊，以至于我确实要相信），与那些在大型企业中有经验的IT专业人士谈论云计算越多，我听到的它负面消息越多，他们都在抱怨说云计算不能适应实际IT工作。在本文中，我将介绍为什么我同意与云计算唱反调；特别是当涉及到安全性和可靠性时。

　　云计算环境中的安全问题

　　在企业内部和可见系统中，大多数组织特别关注IT安全性并为之投入了大量资源。整个的团队维持着严格细致的身份识别和访问控制机制。产品数据不能混杂于测试数据，客户通道不与开发通道混杂，同时敏感性工作负荷被分别保存在开放或混杂的应用中。需要对安全补丁程序不断进行更新，对配置进行监控，工作区实现零日威胁并不断更新恶意软件检测系统。虚拟映像、硬盘和备份采用加密和密码保护程序。

　　所有这些活动在平台、应用、发布级别、版本和其他基础设施细节都是完全不同的。在这些细节都被认为无关紧要的云中，谁将对安全管理的复杂性负责？企业如何确定云供应商——特别是外部供应商能坚持提供他们所能提供的补丁、更新、工作区、访问限制等？谁能够确定管理员从事的是他们应该从事并只能这样做的工作？假定他们的行为有被记载，谁将对其进行维护和审计追踪？

　　在云中确保可靠性

　　当谈到可靠性，就会出现很多问题，而问题的答案却很少。举个例子，如果您在一个信用卡服务云供应商那里有业务需求。那么，您将如何确保PCI可靠性？如果您有金融和账户信息在云中，您将如何确保审计和金融信息的控制能够满足美国的Sarbanes法案（SOX）第404条、英国的金融工具市场指令（MiFID）、日本的JSOX、或澳大利亚的公司法律经济改革计划（CLERP）？如果您有客户数据在云中，如何确保您自由出版的私有政策和现行法规信息的可靠性？如果您有任何云存储资源的一种正式记录——文件、文档、电子邮件、即时信息、备忘录、表格、扫描图像等在云中，您如何确保保留政策符合联邦民事诉讼规则步骤或国防部5015.2规定？

　　监控服务水平协议（SLA）和合同

　　当然，对于比较谨慎的组织而言，他们可以创建一个基于过程和/或合同的控制流程。因云的不透明性，使得您对于提供IT服务的平台、系统和技术是未知的，而这或许就是确保安全和可靠的唯一方法。

　　但由谁来监查监查员？

　　在设置服务水平协议和签订合同时，谁负责监督、审计和执行呢？如果违反了安全性或审计失效，谁将负责衡量和报告这些行为呢？由于云服务的消费者在云内部不具备可视性，那么唯一的选择就是信任供应商。不幸的是，由于没有机会独立核查，供应商也很少或根本不会去承认错误。从本质上来说，我们是在让狐狸来看守鸡舍。
 
　　最根本的冲突：可见度

　　在这里，根本的冲突是云计算否认了细节可见度；然而，作为IT专业人员，我们需要将其细化，以确保安全和可靠性。

　　对于众多的利益相关者，缺乏可见度是一个不错的现象，同时也是云计算真正驱动因素之一。事实上，没有人真的想要对细节管理的低层次IT组件负责。
 
　　但是，一个安全和可靠的环境是不会无视这些低层次组件的细节可见度的。IT专业人员必须密切参与功能细节的最低层次——并不是因为他们想，而是因为他们需要。

　　有没有可能搭建一个安全可靠的云？

　　当然，这并不是说没有可能的解决方案。从内心来说，我希望在未来至少部分地看到信任的关系、联合服务、可审计标准、第三方监控、伪云和其他解决这些问题的解决方案。而在具体的职能领域，云计算甚至可以直接实现安全和可靠性（例如基于云服务的消息过滤、防火墙、漏洞测试等。）

　　不过，最终关键因素可能归结为一种表面上的因素：公司是否能接受风险？这远远不同于公司是否理解风险。随着虚拟化的深入，企业只看到了云计算的好处，却忽视了一个个他们将要面临的风险。

　　但与此同时，IT专业人士以及他们所支持的业务部门必须对完全的云计算广告采取非常谨慎的态度。至少在目前，当谈论确保安全和可靠性的时候，云计算和关键IT业务之间是根本脱节的。