眾所周知,云服務(wù)提供商N(yùn)irvanix公司最近宣告破產(chǎn),讓其客戶陷入困境中。Nirvanix給企業(yè)提供不到一個(gè)月的時(shí)間來轉(zhuǎn)移數(shù)據(jù)。為了避免淪落到和這些客戶相同的境地,企業(yè)應(yīng)該遵循下面的最佳做法來安全地移動(dòng)數(shù)據(jù)。
盡職調(diào)查:財(cái)務(wù)狀況擺在首位
云安全聯(lián)盟的2013年2月報(bào)告“2013年云計(jì)算面臨主要威脅”中表明,缺乏盡職調(diào)查是對云計(jì)算的持續(xù)威脅。當(dāng)企業(yè)在評估云計(jì)算供應(yīng)商時(shí),他們對事情的看法顯得有些片面。云安全聯(lián)盟首席運(yùn)營官John Howie表示:“云計(jì)算用戶過分重視信息安全和隱私性,或者說,過分專注于減少和節(jié)約成本,而沒有對供應(yīng)商的財(cái)務(wù)狀況進(jìn)行調(diào)查。”
“盈利能力并不意味著公司或者服務(wù)提供商的穩(wěn)定性,”New Horizons Computer Learning Centers首席信息安全官Adam Gordon表示,“企業(yè)的管理戰(zhàn)略可以在一夜之間取得財(cái)務(wù)方面的成功,提高盈利能力,如果沒有人關(guān)注的話,該公司及其合作伙伴可能很快會‘落入懸崖’。”
企業(yè)應(yīng)該評估云服務(wù)提供商的財(cái)務(wù)狀況。企業(yè)可以通過美國證券交易委員會檢查其監(jiān)管備案(例如10K)來調(diào)查上市公司,Howie表示:“這將詳細(xì)介紹云服務(wù)提供商的財(cái)務(wù)狀況和自我識別的風(fēng)險(xiǎn)。”
“如果可能的話,至少應(yīng)該檢查在過去兩三年里的財(cái)務(wù)審計(jì)報(bào)表,”Gordon表示:“這些應(yīng)該能夠顯示企業(yè)在資產(chǎn)增長和管理方面的總體趨勢。雖然在一段時(shí)間內(nèi)我們會看到波動(dòng)和負(fù)面結(jié)果,但在兩到三年的時(shí)間范圍內(nèi),我們應(yīng)該會看到收入和盈利能力的正增長以及擴(kuò)展。”
財(cái)務(wù)狀況也會顯示企業(yè)管理和企業(yè)發(fā)展戰(zhàn)略,這些能夠表明企業(yè)是否有著明確的發(fā)展方向、長期規(guī)劃、完善的風(fēng)險(xiǎn)管理以及渡過危機(jī)的能力。“投資于長期戰(zhàn)略來促進(jìn)企業(yè)發(fā)展以及提高市場份額也是企業(yè)穩(wěn)定性的重要指標(biāo)。”
Howie建議大型企業(yè)考慮通過云經(jīng)紀(jì)人來分析云計(jì)算需求,確定自己的風(fēng)險(xiǎn)承受能力,并選擇與之匹配的云服務(wù)提供商。Howie表示:“云經(jīng)紀(jì)人將會檢查供應(yīng)商的整體財(cái)務(wù)狀況,并確定供應(yīng)商將會退出服務(wù)的潛在可能性。”美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)發(fā)布的Special Publication 500-292就定義了云經(jīng)紀(jì)人的角色。
首席信息官或者其他C級管理人員應(yīng)該參與到與云經(jīng)紀(jì)人的合作中,以建立必要的戰(zhàn)略調(diào)整,通過推動(dòng)和引導(dǎo)云服務(wù)的消費(fèi)來從經(jīng)紀(jì)人中獲得價(jià)值。 Gordon補(bǔ)充說:“你可以聯(lián)邦和州政府級別的政府部門找到與云經(jīng)紀(jì)人合作的成功的真實(shí)世界用例,例如,德克薩斯州2011年以來一直在使用云計(jì)算經(jīng)紀(jì)模式,還有很多聯(lián)邦機(jī)構(gòu)也在使用。”
做好離開的準(zhǔn)備:合同語言、云可移植性
Howie表示:“對于無法聘請經(jīng)紀(jì)人的企業(yè),云安全聯(lián)盟建議企業(yè)解決合同語言中服務(wù)終止的問題。”合同條款和規(guī)定應(yīng)該明確:云服務(wù)提供商必須對服務(wù)終止發(fā)出充分的通知,并明確從云中轉(zhuǎn)移數(shù)據(jù)使用的工具和供應(yīng)商將提供的協(xié)助,確保企業(yè)能夠在另一個(gè)云服務(wù)中繼續(xù)使用數(shù)據(jù)。
根據(jù)Howie表示,云計(jì)算合同可以要求云服務(wù)提供商做出很多保證,包括供應(yīng)商在第三方服務(wù)托管賬戶預(yù)留資金以用于協(xié)助客戶提取數(shù)據(jù)。這些協(xié)議也可以明確存儲和處理設(shè)備,以供企業(yè)客戶在供應(yīng)商破產(chǎn)后使用。合同還可以進(jìn)一步涵蓋第三方擔(dān)保或保險(xiǎn)。最后,合同中還可以要求供應(yīng)商公布其每季度的財(cái)務(wù)狀況,如果財(cái)務(wù)狀況顯示供應(yīng)商陷入困境時(shí),允許企業(yè)客戶解除合同。
但是,如果企業(yè)選擇的是私營公司或者初創(chuàng)云計(jì)算公司,上述合同要求并不夠。企業(yè)必須考慮當(dāng)供應(yīng)商突然停止提供服務(wù)時(shí),他們是否能夠承擔(dān)相應(yīng)的風(fēng)險(xiǎn)。Howie表示:“企業(yè)應(yīng)該始終有一個(gè)退出戰(zhàn)略,作為業(yè)務(wù)連續(xù)性管理計(jì)劃的一部分。”
云安全聯(lián)盟的《云計(jì)算關(guān)鍵領(lǐng)域的安全指南》(Security Guidance for Critical Areas of Focus in Cloud Computing )的Domain 6提供了一些建議,讓企業(yè)考慮他們將如何從云服務(wù)提供商的服務(wù)中轉(zhuǎn)移數(shù)據(jù)。Howie表示:“在6.2的便攜性介紹中提到,在選擇云服務(wù)提供商時(shí),便攜性是要考慮的一個(gè)重要方面,我們特別提到了災(zāi)難恢復(fù)。”
云服務(wù)提供商的經(jīng)營失敗是一個(gè)災(zāi)難,企業(yè)的業(yè)務(wù)連續(xù)性管理計(jì)劃中應(yīng)該涵蓋這一點(diǎn)。在談到云安全聯(lián)盟的上述安全指南時(shí),Howie說道:“6.3.2--便攜性建議和6.3.3—針對不同云模式的建議提供了具體的指導(dǎo)和高層次的考慮。”
在第6.3.2節(jié)中,云安全聯(lián)盟的安全指南建議企業(yè)了解不同服務(wù)和不同云架構(gòu)的平臺依賴性。當(dāng)企業(yè)的應(yīng)用程序和數(shù)據(jù)依賴于一個(gè)平臺,那么,當(dāng)使用轉(zhuǎn)移到使用不同的架構(gòu)的供應(yīng)商時(shí),可能會存在技術(shù)挑戰(zhàn)。
專有認(rèn)證技術(shù)和身份管理系統(tǒng)將阻礙云數(shù)據(jù)、應(yīng)用程序和服務(wù)移動(dòng)到?jīng)]有使用相同認(rèn)證和身份識別標(biāo)志的云環(huán)境和供應(yīng)商。根據(jù)云安全聯(lián)盟的安全指南顯示,通過使用開放標(biāo)志IAM平臺(例如SAML),企業(yè)在轉(zhuǎn)移到另一個(gè)云服務(wù)提供商時(shí),可以實(shí)現(xiàn)這些機(jī)制的可移植性。
云安全聯(lián)盟還敦促企業(yè)保持對加密密鑰的控制,以確保能夠安全地適宜地從現(xiàn)有云供應(yīng)商轉(zhuǎn)移。同樣地,企業(yè)應(yīng)該采取措施來確保當(dāng)轉(zhuǎn)移到新的云計(jì)算環(huán)境時(shí),他們能夠從現(xiàn)有云服務(wù)提供商消除所有元數(shù)據(jù),這樣避免出現(xiàn)數(shù)據(jù)泄露事故。這些最佳做法也包含在云安全聯(lián)盟的安全指南中。這個(gè)安全指南提供了詳細(xì)的指導(dǎo),來幫助企業(yè)從每種云模式中安全轉(zhuǎn)移出來。
“預(yù)防為主,治療為輔” —本杰明·富蘭克林
企業(yè)在轉(zhuǎn)移到云計(jì)算環(huán)境之前,應(yīng)該盡一切努力來確保可以毫發(fā)無損地將其應(yīng)用程序和數(shù)據(jù)轉(zhuǎn)移出來。這樣做可以避免企業(yè)落入和Nirvanix客戶相同的困境。
京公網(wǎng)安備 11010502049343號