一个接一个的调查表明，潜在用户采用公有云最大的顾虑是安全问题。例如，2010年4月的一项调查指出，45%的以上的受访者认为，云计算的风险要超过其能带来的利益。CA 和Ponemon Institute进行的一项调查研究，也发现了相似的担忧。但是他们也发现，尽管有安全的顾虑，他们依旧部署了云计算。然而，依旧有诸如此类的调查和研究结果不断发布，指出对于云安全的不放心继续存在。

　　当然，大多数对云计算的担心与公有云有关。全球IT从业者不断地对使用一个公有云服务提供商提出同样的问题。例如，这周我在台湾，在台湾云SIG会议上发表了演讲。并做了一篇关于台湾云计算SIG的演讲。250人参加了这个会议，正如预料的那样，人们向我提出的第一个问题就是，“公有云计算足够安全吗，我是否应该使用私有云以避免所有的安全问题？”所有地方的人们似乎都认为公有云服务提供商是不可信赖的。

　　然而，把云安全的讨论归结为“公有云不安全，私有云安全”的公式似乎过于简单化。简单地说，这个观点存在两个大谎言(或者说是两大主要的误解)。产生这两大误解的主要原因是，这种新的计算模式迫使安全产品和操作手法发生了巨大变化。

　　误解一：私有云是安全的

　　这个结论的依据仅仅是私有云的定义：私有云是在企业自己的数据中心边界范围内部署的。这个误解产生于这样一个事实：云计算包含与传统计算不同的两个关键区别：虚拟化和活力。

　　第一个区别是，云计算的技术基础平台是一个应用的管理程序。管理程序能够把计算(及其相关的安全威胁)与传统的安全工具隔离开，检查网络通讯中不适当的或者恶意的数据包。由于在同一台服务器中的虚拟机能够完全通过管理程序中的通讯进行沟通，数据包能够从一个虚拟机发送到另一个虚拟机，不必经过物理网络。一般安装的安全设备在物理网络检查通讯流量。

　　至关重要的是，这意味着如果一个虚拟机被攻破，它能够把危险的通讯发送到另一个虚拟机，机构的防护措施甚至都不会察觉。换句话说，一个不安全的应用程序能够造成对其它虚拟机的攻击，机构的安全措施对此无能为力。仅仅因为一个机构的应用程序位于私有云并不能保护这个应用程序不会出现安全问题。

　　当然，人们也许会指出，这个问题是与虚拟化一起出现的，没有涉及到云计算的任何方面。这个观察是正确的。云计算代表了虚拟化与自动化的结合。它是私有云出现的另一个安全缺陷的第二个因素。

　　云计算应用程序得益于自动化以实现灵活性和弹性，能够通过迅速迁移虚拟机和启动额外的虚拟机管理变化的工作量方式对不断变化的应用状况做出回应。这意味着新的实例在几分钟之内就可以上线，不用任何人工干预。这意味着任何必要的软件安装或者配置也必须实现自动化。这样，当新的实例加入现有的应用程序池的时候，它能够立即作为一个资源使用。

　　同样，它还意味着所有安全软件必须自动化地安装和配置，不能有人工干预。遗憾的是，许多机构依靠安全人员或者系统管理员人工安装和配置必要的安全组件，通常作为这台机器的其它软件组件安装和配置完毕之后的第二个步骤。

　　换句话说，许多机构在安全做法与云要求的现实方面是不匹配的。估计私有云本身是安全的这个观点是不正确的。在你的安全和基础设施做法与自动化的实例一致之前，你会有安全漏洞。

　　而且，使它们一致是非常重要的。否则，你可能出现这种情况：你的应用程序自动化超过了你的安全做法的应对能力。这不是一个好现象。毫无疑问，人们不喜欢解释为什么好像安全的私有云最终还是有安全漏洞，因为云计算的自动化特征还没有扩展到软件基础设施的所有方面。

　　因此，关于云计算的第一个大谎言的结果是私有云本身就是不安全的。