摘要:SCOR Velogica公司選擇了AWS和2nd Watch以幫助其實現SOC2安全審計認證,他們認為這樣會比單純依靠自己而獲得該項認證更輕松容易。一旦確定了實現SOC2安全審計認證是該公司的業務關鍵,其首席信息安全官克拉克·羅杰斯便分析了能夠幫助他們達成目標的不同的方式,并最終確定遷移到云服務則是他們最有效的途徑。最近,羅杰斯與Network World網站的首席編輯約翰·迪克斯分享了他的經歷。讓我們從對于貴公司的一個簡短的業務描述開始吧。
在一個較高的水平上,SCOR保險公司是一家集三種業務模式于一體的企業。我們下屬有一家人壽再保險業務實體,一家財產保險和再保險業務實體和一家投資集團。在再保險業務方面,我們基本上是提供其他保險公司的投保服務。 所以,如果您選擇了一家人壽保險公司進行直接投保,那么,該保險公司會承擔部分的風險,然后把剩余的風險再保險。
SCOR Velogica屬于SCOR公司全球人壽美洲業務部,其即是一個業務部門,同時又是一款軟件即服務產品。Velogica產品是一款自動化的人壽保險承保引擎,所以,如果一名投保客戶坐下來填寫完了我們的一名保險代理人交給您的表格之后,其后端系統就會聯系Velogica,其將通過一些算法來運行您所提交的表格上的信息,數據處理完畢之后,將反饋給保險代理人三種決策之一,而這三種決策分別是:接受這名客戶的投保、拒絕這名客戶的投保或將客戶的信息轉交給一名專職保險人以待做出最后的決定。
您是從貴公司自己的數據中心提供這項服務嗎?又是什么原因促使您選擇遷移到AWS的呢?
正如您可以想象的那樣,在壽險業務方面,我們日常正在處理一些最為敏感的數據信息,包括客戶的健康記錄、處方用藥歷史、拜訪醫生的記錄以及任何其他會困擾客戶的信息——所以我們必須要竭盡全力的保護這些數據信息的安全,這不僅僅是為了最終用戶(被保險人),但也是為了我們所支持的和持續有著生意往來的企業。既然我們如此全力的去保護這些數據信息,我們自然想要獲得第三方的認證,進而能夠進一步的展示我們保護數據的能力。而在我們看來, SOC2認證顯然是行業內首屈一指的第三方認證報告。而正是為了獲得該項認證,促使我們考慮遷移到AWS。
SOC2是基于一套信任服務的原則框架,由美國注冊會計師協會(AICPA)定義,涉及以下的全部或部分——安全性、保密性、可用性、處理完整性和私密性。一旦您企業提交了認證請求,第三方審計機構將負責評估您企業的服務,并確定您企業的服務是否符合標準。 而我們認為安全性、保密性和可用性這三方面會有助于提升我們的業務價值,同時我們的客戶也是最為看重這三方面的。
所以,您正是因為看到了SOC2認證對于貴公司的重要意義,才開始尋找實現這一目標的方法的,對嗎?
對的。您通常會從您企業目前的環境看起來像什么的一個評估開始。 您要么可以自己來完成這項評估工作;要么可以聘請一家審計服務機構來執行這項工作,而且,我們就是這樣做的。 與很多其它企業一樣,我們也發現了有相當多的有待改進的空間,然后我們尋找了一些最佳的修復方法。當查看我們的系統時,我們發現一些補救措施可能會影響到SCOR保險公司的其他業務部分,并且意識到我們可能難以實現如此高水平的安全性,而且整個企業組織也并不需要如此的安全級別。
所以我們開始考慮說,“如果我們從技術的角度來研究處理這項業務會是什么樣的情況呢?”我們仍然可以使用核心后臺服務,包括諸如人力資源和法律服務,但從一個純粹的IT和安全的角度來看,也許我們可以將其提取出來,以便實現更高效的通往SOC2認證的道路。 其是否可以如同獲得不同的托管設施,而且僅僅只是把所有的Velogica資產進行托管這么簡單嗎? 我們是否要看看采用云服務? 還有什么其他方面的工作時我們可以做的呢?
很快,我們就明顯的意識到遷移到采用云服務是阻力最小的途徑,而在我們所研究的市場上的所有云服務產品中,AWS則無疑又是領軍中的佼佼者。
一旦我們確定了AWS似乎是我們應該選擇的正確的道路,我們便創建了一份關于我們的AWS環境會是什么樣子的粗略的草稿。 但我們很快就遇到了問題,我相信很多公司都會有同樣的問題——即我們企業對于具備AWS云認證工程師資質的員工的缺乏。 云服務與我們之前的IT服務是明顯不同的,所以您企業真的需要具備相應的專業知識來指導您的工作,否則想要獲得云的項目的成功是不可能的。 通常,像我們這樣的公司會有幾種選擇。其中 之一是便是招牌新的員工,專門招聘那些具備這些證書和專長的專業人才;或第二種選擇,訓練您企業的現有員工。
但是,基于我們必須盡快獲得SOC2認證的時間的緊迫性,無論是培訓企業內部原有員工或事臨時招聘新的員工都不太現實。所以我們開始尋找專業化的第三方服務公司,這樣的服務公司是AWS的合作伙伴,他們的工作人員肯定具備相應的專業知識,或者曾經有過這方面的工作經驗。
我們最終評估了三家供應商,而2nd Watch公司的評估成績顯然優于其他兩家。他們曾經部署過與我們類似的遷移工作,他們甚至經手過更高級的遷移、更大規模的大遷移工作,他們對于云服務的遷移有著真正的理解。而這就是我們需要的服務。
一旦貴公司選定了2nd Watch公司,遷移工作的進展如何呢?
我們雙方在2014的秋天簽訂了合同,初步分析遷移項目可能會是在當年十二月完成,并于2015年一月實施遷移測試,并開始開發環境,而QA工作將在春季進行,然后搭建核心基礎設施…活動目錄、電子郵件系統和最終用戶計算,網絡安全,AWS安全群組等等。我們測試了災難恢復環境,并由一家第三方機構來執行滲透測試,然后在2015年六月開始遷移我們的生產數據。我們于七月末開始遷移了交換機,并由此開始從AWS為客戶提供全面的服務了。
您能否為我們介紹一下該項工作的規模是有多大呢?
在AWS中大約創建了200臺計算實例,以映射我們企業內部的環境,然后是相應的數據和應用程序的遷移。
正如您可能已經知道的,當前有大量的云遷移策略。 一種策略被稱為“平移(lift and shift)”,該策略能夠對您企業的應用程序的運作產生最小的破壞,您企業只需將應用程序從您公司內部部署遷出,安置到云服務即可,這種策略幾乎同您企業以前的方式相同,只是在另一家供應商的基礎設施上運行。另一種選擇是將您企業的應用程序和基礎設施分解為核心組件,讓您的云服務供應商可以很容易地管理這些核心組件,然后利用云服務供應商的一些獨特功能,成為您的企業的優勢。而AWS的案例包括簡單存儲服務、彈性負載平衡、自動規模化縮放和多AZ、高可用性架構等等服務。我們選擇了前一種策略,因為我們的項目部署受到了時間的限制。但是現在,我們已經在采用AWS方面得心應手了,我們開始利用一些本地原生的功能和讓應用程序對我們的平臺變的更有彈性、更高效、更耐用和更具高可用性。
但是您又很快撤下了該遷移。
當我們遷移了交換機時,Velogica公司的工作方式是一個全有或全無的經驗。我們在后端的秘密武器必須從一個位置才能真正得以安全地運行。這就是為什么測試至關重要的原因所在了。我們有一家第三方公司執行了一個完整的AWS環境的滲透試驗,確保AWS平臺不僅提供了我們所預期的安全,同時還需要確保交由2nd Watch公司及其他供應商工作能夠得到有效控制。
一個值得注意的關鍵點是:隨著我們在AWS執行了我們的測試,我們主動聯系了我們的客戶,告訴他們我們在做什么。 我們合同規定我們有義務告訴客戶他們的數據存儲在什么地方,所以我們利用與我們的客戶接觸的機會向他們解釋我們為什么要遷移到AWS,以及該遷移工作將如何支持我們的SOC2認證申請順利通過。 除了遷移到AWS所能夠為客戶們帶來的安全利益,我們還向我們的客戶證明了我們能夠通過新的平臺為其提供更高水平的服務。 無處不在的加密,高度可用的Web服務,持久存儲和強大的災難恢復和業務連續性解決方案方面都作了一個有說服力的說明。
沒有一名客戶表達了猶豫。 有少數客戶不熟悉AWS,所以我們必須對他們進行進一步詳細的說明教育。 之后就沒有人對此表示猶豫了,剩下的這些少數客戶現在也開始期待著看到我們將某些運營轉移到AWS了。
然后,貴公司就很快獲得您的SOC2認證了嗎?
不,我們并沒有很快就獲得SOC2認證,因為我們必須能夠證明我們已經成功的運行了一段時間了。 我們在2015年九月獲得了SOC2 Type 1,而SOC2 Type 1與SOC2 Type 2的不同之處在于,您不僅需要證明您的相關服務已經達到并符合標準了,您還必須展示您的運營情況,以及您的企業還將隨著時間的推移繼續這樣做。 當我們的審核員在季度末對我們進行審查時,我們會有一個為期六個月的審查期,以運行SOC2的控制操作,而審核員們將要做的便是審查我們是如何達到一定標準的。隨著近一步的審計工作, SOC2/Type2報告才會基于我們的年度工作最終公布。
在這一過程是否又發生過任何意外呢?您能否分享一些貴公司從中所學到的任何經驗教訓呢?
現在來回顧我們當初所不得不做出決定。我會反思我們的“平移”策略,或者考慮是否需要從最開始就嘗試建立了原生云? 這些都是很好的點,是我認為企業在考慮遷移到云服務時有必要探討的一些想法。彼時,當我們需要盡快獲得SOC2認證時,由于收到時間因素的限制,因此我在那時是真心推動做出該決策的。
而既然我們現在已經在AWS中運行了一段時間了,我們要回去使事情變得更加高效和原生云。 而爭論的點就在于,我們是否會做出更好的前臺呢? 也許是,也許不是,但我們不會按時達成我們獲得SOC2 認證的目標,也就無法實現商業目的了。而這是當企業組織在規劃他們的云遷移時真的需要花費一些時間來思考的一個主題。
另一件事,而這是特別針對AWS而言的,他們創新這樣的速度,使得用戶很難能夠隨著時間的推移跟上他們所發布的創新技術的步伐。例如,有些功能是我們需要自行開發的,因為他們沒有這方面的一些功能。而在我們等了六個星期之后,他們就有這方面的功能了。
我們不應該抱怨在云中創新的速度,因為這方面的創新總是積極的,但我們也必須圍繞這方面進行一些開發,現在我們把這些東西弄回企業內部部署,并利用本地的工具了,這也是非常棒的,但這仍然是一個我們所從未經歷過的的相當大的工程挑戰。 也許這是早期采用者的困境吧!
您企業會如何量化遷移到云服務的好處呢?
有效的安全是非常奇妙的,因為我們公司現在有了一支可擴展的安全團隊,能夠有效的執行24/7全天侯的工作。而AWS的安全團隊則是要保證核心基礎設施和服務以安全的方式運行,我們聘用了Alert Logic公司(我們的托管安全服務提供商)的分析師負責監控我們的安全狀況,他們會對我們在AWS云中的任何一部分威脅發出報警;同時,我們還有2nd Watch公司的安全團隊負責管理補丁、病毒庫更新、防火墻規則和報告。 三個安全團隊無縫地協同工作,使得SCOR velogica公司安全團隊的力量倍增。
這讓我們的員工能夠將他們的焦點集中在Velogica 平臺,并讓數據中心管理、網絡管理以及云服務管理領域的專家們來為我們執行其他方面的工作。我們的業務是確保Velogica應用程序能夠提供我們的客戶所需要的,并提供適當的安全保護。 二這也是遷移到云計算的巨大好處之一,使得我們能夠專注于自己的核心業務。其性能是一樣的,還說更好或更糟糕了呢?
性能保持不變或更好,將取決于我們談論的是什么服務。 能夠啟動,并在我們不需要的情況下關閉實例的功能是相當重要的。這在我們的開發過程中顯著的實現了成本節約,我想這符合了很多公司的情況。 您企業不可能保持24/7全天侯的研發,因為您的員工需要在某個時候回家。 在您企業內部部署的環境下,您仍然要為計算周期支付成本,仍然要為許可證支付成本,仍然要為網絡帶寬支付成本,哪怕在凌晨兩點的時候根本沒有人在工作。
我們可以關閉我們的開發和測試環境,而在我們需要時開啟。這將幫助我們節省了大量的金錢,因為他們可以每天維持數小時或整個周末時間的休息。而這在您企業內部部署的環境是無法實現的。
每個人都在談論云計算使他們更靈活了。這方面有任何的好處嗎?
絕對是啊。我們可以從AWS的東海岸地區和西海岸地區,或者坦率地說AWS擁有服務的其他任何地區為我們的客戶提供服務。所以,如果我們決定擴大Velogica的平臺國際化,而鑒于有AWS服務的存在,創造一個環境就如同點擊一個再創建那么簡單了,例如,我們可以為法蘭克福、新加坡地區的客戶保持他們的數據在當地,并遵守當地的數據隱私保護法律。 那是相當意義重大的。 我們不需要從基礎設施的角度再造任何東西;云服務已經足夠了。我們可以打造一個模版環境,并將其復制到其他地區。
當貴公司第一次探討遷移到云服務時,您的IT工作人員們是否擔心他們未來的工作是什么樣的,或者說他們是否對于能夠在這樣一個新的環境中工作而感到高興呢?
SCOR Velogica 公司的IT人員們可能是我見過他們最興奮的時候了。他們意識到他們將采用最為先進、最前沿的平臺工作,而學習和使用該平臺讓他們感到興奮。我信任他們能夠學習并了解更多關于AWS的能力是源自于他們內心的一個巨大的激勵作用。
這可能是一把雙刃劍。 如果回到一年前的話,您企業可能已經失去其中的10%的員工了。
這是運行云服務的風險所在。 但如果您企業不積極的接觸和采用新技術的話,也同樣會面臨繼續運行的風險。 現在他們充分參與到了其中,這些人積極參與是非常重要的,因為這有助于您獲得最好的效果,因此,才能夠使您企業能夠提供最好的產品。
遷移到云服務還帶來了其他方面的輔助效益嗎?
有一件事是我沒有提到的,除了將我們的基礎設施和應用程序遷移到AWS之外,我們也把我們的終端用戶計算系統遷移到了亞馬遜的工作空間。從敏捷性的角度來看,這的確是一個很大的幫助。我們可以借助所有他們需要預裝的應用程序很快的為員工們配置工作空間,從大局來看,其仍然保持了業務連續性。
在SCOR Velogica公司位于夏洛特的辦事處,我們所采用的唯一的SCOR全球IT服務是連接到互聯網和辦公桌上電話的網絡。 所有SCOR Velogica員工所使用的臺式機均由AWS云托管,并且都進行了加密。工作人員所正在使用的任何設備與工作區之間的連接也被加密,所以從安全角度來看,我很放心。我不必擔心人們復制和粘貼數據或使用可移動媒介,因為我們有這些功能禁用這些東西。
您企業是否確定了最終用戶可以用來訪問工作區的設備呢?
任何AWS支持的設備都是可以的。AWS有面向Windows、Mac、iPad、Android和其它等等的客戶端,所以,基本上只要是其位列AWS支持的清單上,就是可以訪問的。讓虛擬臺式機在傳統企業環境下的工作是不容易的。 但讓其在AWS運行則只需輕輕的一個點擊。而從安全的角度來看,這也是非常好的。企業員工來上班時,他們會有一個用戶ID,以及一個配套的密碼,他們有兩個因素認證,他們無法復制任何數據出來。所以,作為一名首席信息安全官,我還有什么要擔憂的呢?
關于虛擬桌面解決方案所存在一大奇談怪論之一便是如果您不能連接到互聯網,那是您的運氣不好。這是否是一個問題呢?
如果您不能連接到互聯網,您無法連接到您的工作空間,這是真的。 但是我發現現在的互聯網連接是相當普遍的。 如果您是在跨國界的主要航線上飛行,也是有互聯網連接的。在其工作空間利用PCoIP技術方面,AWS已經做得非常好了。通過其連接的真的只有像素,而沒有實際的數據流。 我在飛行了不少距離后,曾對我的工作空間執行操作,沒有遇到過任何問題。而借助好的4G或LTE連接,您可以在您的iPad上也能實現。
京公網安備 11010502049343號