云計算領域伴隨各類安全風險。諸如亞馬遜的EC2服務和谷歌的Google App Engine就是云計算服務的例子。在認可一個供應商之前，聰明的使用者通常會提出一系列尖銳的問題并且考慮從獨立第三方獲取一份安全評估報告。

云計算的特有屬性決定了風險評估的重要性，包括數據完整性保護、故障發生后可恢復性以及私密性等領域。此外，諸如e-discovery（電子發現）和審計等方面的法律評估也是必不可少的。以下是使用者在選擇供應商之前需要防范的七方面風險：

優先訪問權

由于云計算服務供應商采用內部程序，以繞開物理、邏輯和個人控制，敏感數據在處理過程中存在被盜取風險，因此，盡可能掌握管理數據相關人員的信息至關重要。使用者需要向供應商索要其擁有優先訪問權管理人員的雇傭和監管的詳細信息。

監管

即使數據掌握在服務供應商手中，使用者也是其數據安全性和完整性的最終負責人。傳統服務供應商需要接受外部審計和安全認證等方式的監管，這對云計算服務供應商而言也是必不可少的。對于拒絕接受檢查的供應商，使用者最好避而遠之。

數據定位

當使用者享受云計算服務時，他們很可能對于數據所在方位一無所知，甚至不知道被存儲在哪一個國家。因此，使用者需要向供應商詢問其是否在特定地區存儲和處理數據，以及他們是否向使用者承諾遵照當地隱私保護要求。

數據分割

通常情況下，一個云內有很多使用者的數據處在共享環境中。盡管加密有效，但并非萬能。因此，使用者需要查實數據分割的方式。云計算服務供應商應該提供證據，證明其加密方案是由經驗豐富的專家設計和檢測的。加密事故可能造成數據完全癱瘓，即使一般的加密不當也會造成數據可得性復雜化。

數據恢復

即使不了解數據所在地，使用者也應該了解在極端情況下其數據將面臨哪些問題以及將被如何處理。如果云計算服務供應商不能通過不同來源復制數據，以及恢復應用程序，使用者將面臨很大風險。因此，使用者需要向供應商了解其能否完整恢復受損數據及恢復所需時間。

調查支持

在云計算領域，調查不當或非法活動幾乎是不可能的。由于大量使用者的記錄和數據可能同在一處，而且很可能在不同主機和數據中心傳遞，在云計算服務中的調查十分困難。如果沒有供應商支持各種類型調查的合約承諾，以及其有效支持各類調查的證據，那么調查和披露要求將不可能實現。

長期發展風險

一般而言，云計算供應商持續經營，不發生破產或被吞并是最理想的情況。一旦出現意外狀況，使用者必須確保仍然能夠使用數據。因此，使用者需要向云計算服務供應商咨詢當發生兼并收購等情況后如何找回數據。