趋势二

　　云计算的风险

　　既然维护物理的IT基础设施是很费钱的，那么用云服务来取代机房与繁杂应用的想法就显得非常诱人，很多企业都很难抵制住这种诱惑。然而，匆匆忙忙地闯入云中而没有采取任何安全策略，那也是极其危险的。

　　根据报告，有43%的受访者正在使用云服务。例如SaaS或者IaaS（基础设施作为服务）。而更多的企业在投资有助于云计算实施的虚拟化技术。67%的受访者称，他们在使用服务器虚拟化、存储虚拟化和其他形式的IT资产的虚拟化。其中有48%的企业确认它们的信息安全状况得到了改善，而有42%的企业却认为他们的安全状况和以前基本一样。只有10%的企业称，虚拟化产生了更多的安全漏洞。

　　采用云服务，安全可能会改善一些，但是像思科公司云计算与虚拟化经理Chris Hoff这样的专家则认为，企业和服务商都需要充分认清楚与技术、运营以及因技术而产生的组织变化等相关因素的各种风险。

　　“你可以去看看人们是怎么认识虚拟化的，他们对虚拟化的理解要么非常狭窄——基本上就是服务器的整合、应用与操作系统的虚拟化，把所有的东西整合到较少的物理盒子里，要么就涵盖一切：客户端桌面、存储、网络、安全等等。”“然后还得加上云计算概念的混淆，你就是挠破头也想不明白这一切对于企业来说意味着什么。它们到底会对企业的基础设施造成何种影响。”

　　幸运的是，有些企业在这方面还是谨慎从事的。一个例子就是Atmos能源公司。它正在使用Salesforce.com来缩短对客户的响应时间，帮助营销部门管理越来越庞大的客户池。Atmos能源的CIO Rich Gius说。

　　这种努力相当成功，所以Gius正在研究将公司的电子邮件系统放入云中的可行性。“云能够帮助我们解决日益增加的挑战。比如像黑莓一类的移动设备在我们的员工中间已相当普及，而移动设备的邮件服务就成了个大问题，”他说。但他又说还没有准备好迈出这样一步，就是因为风险问题，包括安全问题，使他还难以下决心。一个实例就是今年5月，一批云依赖的企业就因为Google的大面积断网而影响到了企业的业务。一旦出现这种情况，很多依靠云应用（如e-mail）的企业就得被呛个半死。

　　Google今年5月的断网事件并非黑客造成的，但是已有种种迹象表明，犯罪分子们正在寻找各种手段，以便利用云服务来实现其险恶目的。就在断网事件刚刚发生之后，攻击者们就用恶意链接导致Google搜索结果紊乱而火上浇了一把油。结果美国计算机应急响应中心（U.S.CERT）不得不发出警示，提醒人们注意云服务网站的潜在危险。

　　U.S.CERT称，这次攻击是利用了Adobe软件的漏洞，在肉鸡上安装恶意程序，结果波及到了数千个合法网站。该恶意程序会盗取肉鸡上的FTP登录证书，并利用这一证书进一步扩散。它还能劫持肉机上的浏览器，用攻击者们选定的链接取代Google的搜索结果。

　　IT部门经常会因为对物理的和基于云的IT设施配置不当，很容易留下易于找到的可利用的漏洞，而使攻击者们更容易施展其攻击手段。在对企业虚拟化环境的潜在弱点一项进行调查时，36%的受访者谈到了配置不当和实施不当的问题。51%的受访者提到缺乏训练有素的IT人员，还有22%的受访者认为，培训不足和审计不足是它们公司云计算策略的最大安全危险。

　　正是觉察到了这一点，而让Atmos能源的Gius不得不谨慎。“我们没有首席安全官。假如我们是一家金融服务公司，或者有大把大把的钱，那情况可能会完全不同。”Gius说。“但我们只是一家中型企业，人才的不足使得这些技术的实施变得相当困难。”

　　即便有了好的资源，云中的安全仍然是非常重要的，因为它必须要跨多个平台去管理各种风险。不存在单一的云，而是“有很多个云，它们彼此之间不存在联邦制，在应用层上也不会天然地具有互操作性，大多数都是专属各自平台的专门应用。”Hoff称。“大家把内容和应用都拿出来放在某个建筑在某家企业的基础设施上的公用仓库里，这种想法其实很不现实。”

　　普华永道的Lobel认为，完美的安全是不存在的。“在你打算进入云服务时，就必须积极主动地去关注安全控制问题。”他说。企业如果想收回已经放任不管的数据和应用的话，那将是相当困难的，因为他们可能已经扔掉了自己的硬件和人才。

　　“你要是没有绑一根救生索就一下子潜得很深，你就会发现，你要的水倒是有了，但没有了救生索你已经不可能再浮出水面了。”因此他说，“一旦发生违约情况，你想要从云中撤出来该怎么办？如果不得不撤出的话，你还能回来吗？”