在最近一次向大型組織的IT專家們做得演講中，筆者解答了一些有關私有云計算的問題。談話過程中，話題很快被轉(zhuǎn)向了公共云計算。

這是經(jīng)常發(fā)生的事情，特別是在一群不完全明白二者概念的IT專家之間。二者的不同實則源于情感，而并非技術上的差異，這著實讓我也有些吃驚。說白了大型組織的IT并不信任任何人。

指責似乎落在了合法的潛在風險和為大型組織提供IT需求的供應商身上。

在我看來，正是這種觀念讓許多大型組織止步于公共云計算。不論你在考慮何種形式的公共云計算，大型組織的內(nèi)部文化和流程都不適合擴展其上。

主要需要處理的就是數(shù)據(jù)安全性和數(shù)據(jù)所有權的問題以及一些行業(yè)和政府條例。早在公共云概念進入大眾視線之前，某些規(guī)則和安全策略就已經(jīng)建立起來。多數(shù)情況下，這些規(guī)則禁止存儲，處理或是數(shù)據(jù)傳輸?shù)椒枪�司所有的財產(chǎn)上。

暫時忽略這些有關安全策略或是法規(guī)遵從需求的細節(jié)，讓我們思考一下如何來克服這些障礙。聆聽他們的意見，多半人只是喜歡云計算，你會聽到同樣的爭論：

“我們不能保證在云服務上的數(shù)據(jù)安全。”

“我們不能保證在云服務上滿足法規(guī)遵從。”

“我們不能保證在云服務上禁止不當訪問。”

由于滿足安全策略，實現(xiàn)法規(guī)遵從，他們所保證的問題是絕對有效的。問題是，能否有機制促使實現(xiàn)所說的策略。

夢想云計算可以實現(xiàn)法規(guī)遵從

在我們的行業(yè)內(nèi)，鮮有人敢稱自己是法規(guī)遵從上的專家，大多數(shù)人都知道如果在配置和維護系統(tǒng)時能服從特定的商業(yè)流程，他們會在審計時獲得不錯的評級。

實現(xiàn)安全和法規(guī)遵從既是合同上也是技術上的事情。試想一下，你的業(yè)務受一些像Sarbanes-Oxley（SOX）的規(guī)則影響。對每個設備和服務，你將需要一系列活動來保證規(guī)則的遵守：啟動防火墻、配置事件日志設置、限制權力和權限等等。完成這些步驟，并確保他們沒有被改動才意味著實現(xiàn)了要求。

但誰說另一方就不能在你的利益前提下完成這些活動？誰說對方就不能合法地按合同證兌現(xiàn)承諾？如果外方可以提供一個合法，按合同實現(xiàn)SOX的證明，難道還不夠滿足你的審計需求嗎？

你已經(jīng)在幾個方面這樣做了。你把IT管理任務交給外部承包商，承包商工作在你的范圍內(nèi)，卻并不是你的雇員。從法律的角度看，這樣的公司/承包商關系和公司與云服務供應商的關系之間并沒有很大差異：他們履行服務，按照合同兌現(xiàn)承諾。反過來，你也給了他們自己應用的鑰匙。

不管怎樣，一定程度的審計是需要的。面對云計算時，假如審計由供應商的審計人員完成，結果會關聯(lián)到你自己的結果。如果每個審計員都獲得相同的認證并遵守相同的規(guī)則，這將會是一個完美的世界，這樣的聯(lián)合審計可以是有效的。

我們可能不會有這樣的條件，出于天性，安全和法規(guī)遵從常常是跟蹤功能。這說明，這顆種子的未來狀態(tài)已經(jīng)被限制。在今年1月，美國國家標準與技術研究院（NIST）發(fā)布了它的第一份有關云計算的特別文獻。目前還處于起草階段，該文檔概括了NIST對云計算的定義和交付高等級的指南，指南介紹了移入或移出公共云服務所需考慮的事項。

最后，供應商承諾服從法規(guī)遵從就足夠了嗎？可能。希望這樣的承諾可以很快地提供必要的法律支持來促進云計算被大型組織采納。轉(zhuǎn)移的經(jīng)濟基礎已經(jīng)建立了，剩下的就是信任問題了。