企業網D1Net導語:目前,云計算已經成為一種趨勢,不僅變革著企業IT的運行方式,也在潛移默化地改變著人們的思維,那就是向服務轉移。在向云計算遷移前,謹慎地評估是一個非常重要的環節,特別是對云計算供應商的評估。那么,應該從哪些方面來進行評估呢?遷移前應該做哪些準備呢?
眾所周知,云服務提供商Nirvanix公司最近宣告破產,讓其客戶陷入困境中。Nirvanix給企業提供不到一個月的時間來轉移數據。為了避免淪落到和這些客戶相同的境地,企業應該遵循下面的最佳做法來安全地移動數據。
盡職調查:財務狀況擺在首位
云安全聯盟的2013年2月報告“2013年云計算面臨主要威脅”中表明,缺乏盡職調查是對云計算的持續威脅。當企業在評估云計算供應商時,他們對事情的看法顯得有些片面。云安全聯盟首席運營官John Howie表示:“云計算用戶過分重視信息安全和隱私性,或者說,過分專注于減少和節約成本,而沒有對供應商的財務狀況進行調查。”
“盈利能力并不意味著公司或者服務提供商的穩定性,”New Horizons Computer Learning Centers首席信息安全官Adam Gordon表示,“企業的管理戰略可以在一夜之間取得財務方面的成功,提高盈利能力,如果沒有人關注的話,該公司及其合作伙伴可能很快會‘落入懸崖’。”
企業應該評估云服務提供商的財務狀況。企業可以通過美國證券交易委員會檢查其監管備案(例如10K)來調查上市公司,Howie表示:“這將詳細介紹云服務提供商的財務狀況和自我識別的風險。”
“如果可能的話,至少應該檢查在過去兩三年里的財務審計報表,”Gordon表示:“這些應該能夠顯示企業在資產增長和管理方面的總體趨勢。雖然在一段時間內我們會看到波動和負面結果,但在兩到三年的時間范圍內,我們應該會看到收入和盈利能力的正增長以及擴展。”
財務狀況也會顯示企業管理和企業發展戰略,這些能夠表明企業是否有著明確的發展方向、長期規劃、完善的風險管理以及渡過危機的能力。“投資于長期戰略來促進企業發展以及提高市場份額也是企業穩定性的重要指標。”
Howie建議大型企業考慮通過云經紀人來分析云計算需求,確定自己的風險承受能力,并選擇與之匹配的云服務提供商。Howie表示:“云經紀人將會檢查供應商的整體財務狀況,并確定供應商將會退出服務的潛在可能性。”美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)發布的Special Publication 500-292就定義了云經紀人的角色。
首席信息官或者其他C級管理人員應該參與到與云經紀人的合作中,以建立必要的戰略調整,通過推動和引導云服務的消費來從經紀人中獲得價值。Gordon補充說:“你可以聯邦和州政府級別的政府部門找到與云經紀人合作的成功的真實世界用例,例如,德克薩斯州2011年以來一直在使用云計算經紀模式,還有很多聯邦機構也在使用。”
做好離開的準備:合同語言、云可移植性
Howie表示:“對于無法聘請經紀人的企業,云安全聯盟建議企業解決合同語言中服務終止的問題。”合同條款和規定應該明確:云服務提供商必須對服務終止發出充分的通知,并明確從云中轉移數據使用的工具和供應商將提供的協助,確保企業能夠在另一個云服務中繼續使用數據。
根據Howie表示,云計算合同可以要求云服務提供商做出很多保證,包括供應商在第三方服務托管賬戶預留資金以用于協助客戶提取數據。這些協議也可以明確存儲和處理設備,以供企業客戶在供應商破產后使用。合同還可以進一步涵蓋第三方擔保或保險。最后,合同中還可以要求供應商公布其每季度的財務狀況,如果財務狀況顯示供應商陷入困境時,允許企業客戶解除合同。
但是,如果企業選擇的是私營公司或者初創云計算公司,上述合同要求并不夠。企業必須考慮當供應商突然停止提供服務時,他們是否能夠承擔相應的風險。Howie表示:“企業應該始終有一個退出戰略,作為業務連續性管理計劃的一部分。”
云安全聯盟的《云計算關鍵領域的安全指南》(Security Guidance for Critical Areas of Focus in Cloud Computing )的Domain 6提供了一些建議,讓企業考慮他們將如何從云服務提供商的服務中轉移數據。Howie表示:“在6.2的便攜性介紹中提到,在選擇云服務提供商時,便攜性是要考慮的一個重要方面,我們特別提到了災難恢復。”
云服務提供商的經營失敗是一個災難,企業的業務連續性管理計劃中應該涵蓋這一點。在談到云安全聯盟的上述安全指南時,Howie說道:“6.3.2--便攜性建議和6.3.3—針對不同云模式的建議提供了具體的指導和高層次的考慮。”
在第6.3.2節中,云安全聯盟的安全指南建議企業了解不同服務和不同云架構的平臺依賴性。當企業的應用程序和數據依賴于一個平臺,那么,當使用轉移到使用不同的架構的供應商時,可能會存在技術挑戰。
專有認證技術和身份管理系統將阻礙云數據、應用程序和服務移動到沒有使用相同認證和身份識別標志的云環境和供應商。根據云安全聯盟的安全指南顯示,通過使用開放標志IAM平臺(例如SAML),企業在轉移到另一個云服務提供商時,可以實現這些機制的可移植性。
云安全聯盟還敦促企業保持對加密密鑰的控制,以確保能夠安全地適宜地從現有云供應商轉移。同樣地,企業應該采取措施來確保當轉移到新的云計算環境時,他們能夠從現有云服務提供商消除所有元數據,這樣避免出現數據泄露事故。這些最佳做法也包含在云安全聯盟的安全指南中。這個安全指南提供了詳細的指導,來幫助企業從每種云模式中安全轉移出來。
“預防為主,治療為輔” —本杰明·富蘭克林
企業在轉移到云計算環境之前,應該盡一切努力來確保可以毫發無損地將其應用程序和數據轉移出來。這樣做可以避免企業落入和Nirvanix客戶相同的困境。
京公網安備 11010502049343號