上云已經是不爭的事實，但如何讓企業客戶放心地將業務搬到云上，卻成為了云服務商們需要考慮的問題。客戶要的是不僅是云計算的彈性擴展、按需租用的便利，更有權利了解背后的利益點和潛在風險。 

對于任何一家企業來說，每年的巨額IT支出難以避免，而且買來的資源能否充分利用也要畫一個問號，更不要說背后的運營成本。因此，把業務搬上公有云成了很多企業的選擇。通常，大型企業出于安全隱私、數據歸屬等方面的考慮，會優先考慮自建機房，控制基礎設施、網絡管道、上層應用，但這種方式對中小企業可能就是入不敷出了。

作為一項系統性工程，IT云化不是買幾臺服務器就可以，也不是單純將物理機架在虛擬機上。要知道，不僅各自系統之間會有隔離，網絡層面也要涉及復雜的拓撲關系，而且應用兼容性的話語權也掌握在不同的軟件開發商手里，這些因素能否發揮聯動作用，需要在遷移之前做好規劃。舉例來說，把應用從小型機遷移到x86平臺，是要針對后者進行專門調試的。

然而，企業上云也不是一本萬利的事情，除了必要的安全可靠，還要讓云服務商為潛在的風險和成本做好預估和準備。對于采購者來說，不能只關注服務的初始購買價格。云服務商會按照客戶提供的業務數量和使用情況來分配計算資源，后續也會有按秒計費等功能。不過隨著數據的爆發式增長，相應占據的網絡、存儲、計算資源也會水漲船高，使得開發者要針對實時情況對應用做出調整。這樣一來，新服務的使用必然伴隨著成本的增長。

安全廠商McAfee曾一份報告中提到，云計算行業所面臨的安全性問題遠比想象中的嚴重，這種危機難以跟上高速發展的云技術。以AWS為例，某業務部門運行了約14個配置不當的IaaS實例，每20個AWS S3存儲服務中就有一個是公開對外的。根據McAfee的調研，S3存儲實例中約有5.5%的設置是“全局讀取”，也就是說，任何知道S3存儲器地址的人都能看到其中的內容。

此外，傳統的防火墻等安全和防護系統多是針對網絡和主機的邊界進行檢測，對未知威脅和已有漏洞缺乏足夠深入的解析能力，而在云計算環境中是沒有拓撲邊界的，一個基礎設施會承載多個業務系統，虛擬化之后的某一個業務層的虛擬機有一定概率不在同一個安全區域之下，虛擬彼此之間的數據交換也不被外部網絡可見。如果是依靠單一方案，是難以阻止像APT這樣的威脅，因為動態檢測往往會用于攻擊過程中的異常響應，而受攻擊前后仍需要流量監視和回滾技術去發現潛在的風險。

在公有云領域，開源和云原生是繞不開的話題，但即使是云原生這樣的模式也會有不少隱性成本。一項調查顯示，有相當數量的受訪者將風險隱患列為云原生的攔路虎。擔憂不無道理，據稱這些企業受攻擊的次數至少是上一年的兩倍，被黑原因之一就是開源架構和代碼的使用，同樣為攻擊者提供了便利。

更重要的一點是，多數企業對潛在的網絡威脅缺乏可見性，并且難以具有識別或處理風險預警的能力。如果是傳統的方法，員工只能通過優化算法和數據模型來加強準確性。有了云原生的環境，企業在分析數量流量時就可以調用CSP的開放接口，在不影響業務運行性能的前提下，結合數據進行預測或風控。

同樣的，開源也不是簡單的拿來就用。企業往往會直接看到開源能夠以低廉的價格創造新的功能，但他們并不清楚要開展部署軟件工具需要花費多少資金，而且因此還會額外的漏洞風險。同時，企業還要在新技術應用前在員工培訓、業務適配等方面做足準備。

造成這些問題的一大原因是，企業不知道使用開源工具的隱性成本，那么如果企業在選擇IT架構之初就設立一定的標準或者等級劃分，就可以對預期開銷進行評估，并且對潛在的風險做出預測，一旦成本入不敷出就能及時選擇替代的方案。當用戶選擇開源框架時會被第三方服務商要求取得合法授權，而這筆費用通常并不低。

選擇開源方案的時候先要了解什么是開源，并且熟知開源代碼的相應風險，尤其是對于項目采購或負責人來說。首先開源是需要許可證的，是的你沒有看錯，代碼免費不代表背后的商業模式免費，而且開源也會有一些附加信息，Open Source Initiative公布的數十種開源許可證(license)就是一種，借助其版權所有者有權是否允許他人免費使用、修改、共享版權軟件。

換言之，如果版權所有者禁止共享，那么用戶就只有看看代碼，不能直接拿來使用，否則就是侵權。在當前80多種開源許可證中，基本都可以讓用戶免費使用，但使用條件則更有不同，例如permissive類的許可證可以讓用戶在修改代碼后做閉源處理，但有些是要著名原始作者的。再如像另外一些常見的許可證，只有在分發的時候才要遵守許可，如果自己用(公司內部)就不用遵守。

綜上所述，無論是以何種形式上云，一方面企業要結合自身需求去制定價值策略，另一方面云服務商更有必要提前讓客戶知道上云的“額外負擔”，只有這樣才能安心上云。