我知道,下面所要提及的觀點可能與云計算模型的普遍訴求有所抵觸 – 面向廣泛的客戶群、低成本和按需供給。在絕大多數情況下,定制化并不是云計算的必要元素,但是也不應該就此被拋棄。
數據安全和合規一直是使企業回避公有云的主要原因。但是,有些云服務提供商已經開始意識到滿足特定行業數據安全需求的價值。比如,微軟在今年五月發布了針對政府客戶的office 365產品,可以將各個政府部門的數據存儲到多租戶的公有云環境中。微軟同時提供了office 365 ITAR -- 一個滿足FISMA(Federal Information Security Management Act,聯邦信息安全管理法)和ITAR(International Traffic in Arms Regulations,國際武器貿易條例)的數據中心環境。美國聯邦航空管理局(Federal Aviation Administration)已經開始了公有云的實踐,計劃為其8萬名雇員提供Office 365工具。
Michael Daly是國防和航空系統制造商Raytheon Co.的信息技術安全總監,在訪談中他闡述了在云計算和移動計算時代下安全策略的變化趨勢。Daly認為根據行業的不同,云計算可以是有所區別的。以其所在的行業而言,由于安全性的顧慮,云計算的使用可能比較受限制;但是其他行業則可能在公有云計算方面把步子邁得更大一些 – 如果能向云服務提供商提出自身行業特定需求的話。
Daly認為企業安全政策應該在法規框架下重建并進行測試。那么,應該從哪里開始重建工作呢?
“我覺得應該從對供應商的要求入手,這樣很多框架性的工作就可以由行業組織來完成,而不是僅僅由少數企業來推動。”Daly說:“應該由行業組織來告訴云服務商和移動設備廠商,針對本行業該做些什么,有哪些法規需要遵守。”
不僅僅Daly是這么認為的。一家全球商業和個人保險提供商的CIO也表示,他的想法是首先聯合其他保險公司一起構建一個單點登錄的公有云服務。綜合各家保險服務商的服務交集,為保險代理提供單一認證的云服務,可以推動整個行業的公有云實踐進程。
垂直戰略不適合于云服務提供商
但是有人也認為,這種已經開始實踐的戰略可能前景不妙。Gartner的分析師John Pescatore曾經見過某個行業聯合起來制定特定的技術標準,但是結果令人沮喪。“比如,保險行業就曾經聯合起來制定了一個標準,但是當某個公司需要做出一些微調時,整個技術規范就分崩離析了。”Pescatore說:“這是業內競爭所導致的必然結果。”
對于讓云服務商滿足一些諸如HIPAA(The Health Insurance Portability and Accountability Act,美國醫療保險及責任法案)和PCI DSS(支付卡行業數據安全標準)之類的特定法規,Pescatore是認同的:“由于這些法規不會頻繁變更,因此云服務商可以進行應對,并且這也符合其長遠利益的。”但是對于各行業的安全政策,由于其可變因素太多,云服務商恐怕會疲于應付。
盡管如此,對某些行業來說,協同一致總是好過各自為政。比如政府部門,在政令的強制推動下以公有云來削減成本,基于各自已有的云服務進行協同。波士頓就是一個例子,其CIO試圖同其他部門一起共享公有云資源和服務。有些政府部門自身就可以支撐公有云服務,比如位于華盛頓特區的National Business Center(NBC),構建了NBC CLOUD,面向150個政府部門提供云計算服務 – 如今,各個政府客戶已經可以將其自身的應用放到NBC的大型機或者x86服務器上。
至此,這個議題的答案也許就是:各個行業可以基于自身特定需求來進行統一應對,包括遵循數據安全規范等;而云服務商則應該慎之又慎。
京公網安備 11010502049343號