虽然颇有吸引力的云计算听上去可以作为一种很不错的外包选择，但是对企业和政府部门来说，它同时也代表着一种对安全和法律问题的普遍担忧。云服务商常常会围绕数据中心及其运营过程刻意营造一种神秘气氛，还大言不惭地声称这样做可以提高安全性，哪怕让所有人陷入黑暗中都无所谓。

商业和工业分析家们极其讨厌这种"不许问，不告知"的云计算模式，在这个圈子中，盛行的是保密协议(NDA)，任何问题都得不到回答，甚至连云服务商数据中心的位置和运营也好像是国家安全机密似地密不外泄。而公有云提供商们却争辩说，此种对于保密的偏好是云服务模式所必须的。他们还常常祭出SAS-70 审计准则作为挡箭牌，以安抚客户们的忧虑。

"企业存储在谷歌云中的数据是安全的，"谷歌产品营销总监Adam Swidler在近期召开的一次Gartner安全会议上如是说。他还强调说，谷歌的多租户分布式模式必须"跨多个硬盘拼接数据"，所以在这"上百个Linux堆栈"中，就必须"对各个硬盘上所有文件的所有碎片进行快速更新"，他称此过程为"文件的无边界化"。

Swidler承认，有关数据存放的位置确实得有一定的密级，因为"我们认为暴露数据文件的存放位置可能会引发安全风险。"但是，"谷歌正在尽其可能地进行一些开放性尝试。"

数据中心的位置问题在云服务合同中是一个重要问题，牵扯到立法和司法两方面的问题。举例来说，在某些数据隐私法律，如欧盟的一些法律中，数据的位置就是不允许公开的。但是客户们往往要关心他们的数据到底存放在了哪个物理位置上，而谷歌"则认为，关心数据在物理上究竟存放在何处的概念多少已经有些过时了，"Swidler说。

然而，并非所有人都对此表示赞同。

很多客户就是想知道云服务商的数据中心究竟在哪儿，必能宝下属的OnDemand的部门经理Kurt Jackson说。该部门主要提供SaaS应用，如用于市政、企业和政府客户的地图服务。

云服务商Terremark很乐意让用户对其数据中心进行现场参观，因为数据中心的物理安全和网络安全对于用户是否决定采用Terremark 的服务甚为重要，Jackson说。"如果数据中心在迈阿密，企业就知道自己的数据是在迈阿密，"他说。"但是有些服务商则没有这么透明。"

关于云计算究竟应该透明还是神秘的争论正在引发一场文化冲突，冲突的一方是传统的数据处理外包模式，另一方则是新起的云计算使用模式及其观念模式。

Gartner分析师John Pescatore认为，不太可能简单地弄清楚，谷歌"在上百万个地点处理数据"的技术究竟是更安全还是更不安全，因为没有可对其进行评估的手段。 Pescatore在Gartner的安全会议上做演讲说，任何公有云服务商的SAS-70证书对于一些客户来说可能会认为是合适的，但是别的客户则不会这么看。"从安全等级上看，SAS-70是相当无意义的，但是它能让审计人员相当轻松。"

云计算还在挑战着传统的审计和安全概念，有必要形成一种新的审计手段。

"如果你的服务商不能为你提供有关安全流程的信息，以及为达安全目的而必须采取的措施和计划，那么你就不能信任这家服务商，"美国《Network World》专栏作家Andreas Antonopoulos说。

"不透明即安全"的陈旧理念是企图对所有事情保持沉默和神秘感，以为如此便能最好地保障安全，这显然是一种误导。"这种理念是行不通的。因为总会有人知道你的秘密，"Antonopoulos说。如果有人企图用"不透明即安全"来说服你的企业上钩，那你最好"尽快离他远远的"。

法律专家们注意到了洛杉矶市和谷歌签订的云服务合同，该市将会在IT服务公司CSC的帮助下迁移到谷歌的e-mail和协作服务上去。

信息法律集团的首席律师David Navetta最近完成了对洛杉矶市与谷歌和CSC签订的各项合同，这些合同规定了每一方在可能的数据泄漏和危险赔偿方面的责任。

他注意到，谷歌在合同中把CSC定义为一家"子承包商"，"因此，在破坏保密协议或丢失城市数据方面，CSC有责任为谷歌的行为或失误买单。" 但是他认为，"数据丢失"这一术语应在合同中规定得更为清晰才行。