摘要:SCOR Velogica公司選擇了AWS和2nd Watch以幫助其實現(xiàn)SOC2安全審計認證,他們認為這樣會比單純依靠自己而獲得該項認證更輕松容易。一旦確定了實現(xiàn)SOC2安全審計認證是該公司的業(yè)務(wù)關(guān)鍵,其首席信息安全官克拉克·羅杰斯便分析了能夠幫助他們達成目標(biāo)的不同的方式,并最終確定遷移到云服務(wù)則是他們最有效的途徑。最近,羅杰斯與Network World網(wǎng)站的首席編輯約翰·迪克斯分享了他的經(jīng)歷。讓我們從對于貴公司的一個簡短的業(yè)務(wù)描述開始吧。
在一個較高的水平上,SCOR保險公司是一家集三種業(yè)務(wù)模式于一體的企業(yè)。我們下屬有一家人壽再保險業(yè)務(wù)實體,一家財產(chǎn)保險和再保險業(yè)務(wù)實體和一家投資集團。在再保險業(yè)務(wù)方面,我們基本上是提供其他保險公司的投保服務(wù)。 所以,如果您選擇了一家人壽保險公司進行直接投保,那么,該保險公司會承擔(dān)部分的風(fēng)險,然后把剩余的風(fēng)險再保險。
SCOR Velogica屬于SCOR公司全球人壽美洲業(yè)務(wù)部,其即是一個業(yè)務(wù)部門,同時又是一款軟件即服務(wù)產(chǎn)品。Velogica產(chǎn)品是一款自動化的人壽保險承保引擎,所以,如果一名投保客戶坐下來填寫完了我們的一名保險代理人交給您的表格之后,其后端系統(tǒng)就會聯(lián)系Velogica,其將通過一些算法來運行您所提交的表格上的信息,數(shù)據(jù)處理完畢之后,將反饋給保險代理人三種決策之一,而這三種決策分別是:接受這名客戶的投保、拒絕這名客戶的投保或?qū)⒖蛻舻男畔⑥D(zhuǎn)交給一名專職保險人以待做出最后的決定。
您是從貴公司自己的數(shù)據(jù)中心提供這項服務(wù)嗎?又是什么原因促使您選擇遷移到AWS的呢?
正如您可以想象的那樣,在壽險業(yè)務(wù)方面,我們?nèi)粘U谔幚硪恍┳顬槊舾械臄?shù)據(jù)信息,包括客戶的健康記錄、處方用藥歷史、拜訪醫(yī)生的記錄以及任何其他會困擾客戶的信息——所以我們必須要竭盡全力的保護這些數(shù)據(jù)信息的安全,這不僅僅是為了最終用戶(被保險人),但也是為了我們所支持的和持續(xù)有著生意往來的企業(yè)。既然我們?nèi)绱巳Φ娜ケWo這些數(shù)據(jù)信息,我們自然想要獲得第三方的認證,進而能夠進一步的展示我們保護數(shù)據(jù)的能力。而在我們看來, SOC2認證顯然是行業(yè)內(nèi)首屈一指的第三方認證報告。而正是為了獲得該項認證,促使我們考慮遷移到AWS。
SOC2是基于一套信任服務(wù)的原則框架,由美國注冊會計師協(xié)會(AICPA)定義,涉及以下的全部或部分——安全性、保密性、可用性、處理完整性和私密性。一旦您企業(yè)提交了認證請求,第三方審計機構(gòu)將負責(zé)評估您企業(yè)的服務(wù),并確定您企業(yè)的服務(wù)是否符合標(biāo)準(zhǔn)。 而我們認為安全性、保密性和可用性這三方面會有助于提升我們的業(yè)務(wù)價值,同時我們的客戶也是最為看重這三方面的。
所以,您正是因為看到了SOC2認證對于貴公司的重要意義,才開始尋找實現(xiàn)這一目標(biāo)的方法的,對嗎?
對的。您通常會從您企業(yè)目前的環(huán)境看起來像什么的一個評估開始。 您要么可以自己來完成這項評估工作;要么可以聘請一家審計服務(wù)機構(gòu)來執(zhí)行這項工作,而且,我們就是這樣做的。 與很多其它企業(yè)一樣,我們也發(fā)現(xiàn)了有相當(dāng)多的有待改進的空間,然后我們尋找了一些最佳的修復(fù)方法。當(dāng)查看我們的系統(tǒng)時,我們發(fā)現(xiàn)一些補救措施可能會影響到SCOR保險公司的其他業(yè)務(wù)部分,并且意識到我們可能難以實現(xiàn)如此高水平的安全性,而且整個企業(yè)組織也并不需要如此的安全級別。
所以我們開始考慮說,“如果我們從技術(shù)的角度來研究處理這項業(yè)務(wù)會是什么樣的情況呢?”我們?nèi)匀豢梢允褂煤诵暮笈_服務(wù),包括諸如人力資源和法律服務(wù),但從一個純粹的IT和安全的角度來看,也許我們可以將其提取出來,以便實現(xiàn)更高效的通往SOC2認證的道路。 其是否可以如同獲得不同的托管設(shè)施,而且僅僅只是把所有的Velogica資產(chǎn)進行托管這么簡單嗎? 我們是否要看看采用云服務(wù)? 還有什么其他方面的工作時我們可以做的呢?
很快,我們就明顯的意識到遷移到采用云服務(wù)是阻力最小的途徑,而在我們所研究的市場上的所有云服務(wù)產(chǎn)品中,AWS則無疑又是領(lǐng)軍中的佼佼者。
一旦我們確定了AWS似乎是我們應(yīng)該選擇的正確的道路,我們便創(chuàng)建了一份關(guān)于我們的AWS環(huán)境會是什么樣子的粗略的草稿。 但我們很快就遇到了問題,我相信很多公司都會有同樣的問題——即我們企業(yè)對于具備AWS云認證工程師資質(zhì)的員工的缺乏。 云服務(wù)與我們之前的IT服務(wù)是明顯不同的,所以您企業(yè)真的需要具備相應(yīng)的專業(yè)知識來指導(dǎo)您的工作,否則想要獲得云的項目的成功是不可能的。 通常,像我們這樣的公司會有幾種選擇。其中 之一是便是招牌新的員工,專門招聘那些具備這些證書和專長的專業(yè)人才;或第二種選擇,訓(xùn)練您企業(yè)的現(xiàn)有員工。
但是,基于我們必須盡快獲得SOC2認證的時間的緊迫性,無論是培訓(xùn)企業(yè)內(nèi)部原有員工或事臨時招聘新的員工都不太現(xiàn)實。所以我們開始尋找專業(yè)化的第三方服務(wù)公司,這樣的服務(wù)公司是AWS的合作伙伴,他們的工作人員肯定具備相應(yīng)的專業(yè)知識,或者曾經(jīng)有過這方面的工作經(jīng)驗。
我們最終評估了三家供應(yīng)商,而2nd Watch公司的評估成績顯然優(yōu)于其他兩家。他們曾經(jīng)部署過與我們類似的遷移工作,他們甚至經(jīng)手過更高級的遷移、更大規(guī)模的大遷移工作,他們對于云服務(wù)的遷移有著真正的理解。而這就是我們需要的服務(wù)。
一旦貴公司選定了2nd Watch公司,遷移工作的進展如何呢?
我們雙方在2014的秋天簽訂了合同,初步分析遷移項目可能會是在當(dāng)年十二月完成,并于2015年一月實施遷移測試,并開始開發(fā)環(huán)境,而QA工作將在春季進行,然后搭建核心基礎(chǔ)設(shè)施…活動目錄、電子郵件系統(tǒng)和最終用戶計算,網(wǎng)絡(luò)安全,AWS安全群組等等。我們測試了災(zāi)難恢復(fù)環(huán)境,并由一家第三方機構(gòu)來執(zhí)行滲透測試,然后在2015年六月開始遷移我們的生產(chǎn)數(shù)據(jù)。我們于七月末開始遷移了交換機,并由此開始從AWS為客戶提供全面的服務(wù)了。
摘要:SCOR Velogica公司選擇了AWS和2nd Watch以幫助其實現(xiàn)SOC2安全審計認證,他們認為這樣會比單純依靠自己而獲得該項認證更輕松容易。一旦確定了實現(xiàn)SOC2安全審計認證是該公司的業(yè)務(wù)關(guān)鍵,其首席信息安全官克拉克·羅杰斯便分析了能夠幫助他們達成目標(biāo)的不同的方式,并最終確定遷移到云服務(wù)則是他們最有效的途徑。最近,羅杰斯與Network World網(wǎng)站的首席編輯約翰·迪克斯分享了他的經(jīng)歷。讓我們從對于貴公司的一個簡短的業(yè)務(wù)描述開始吧。
您能否為我們介紹一下該項工作的規(guī)模是有多大呢?
在AWS中大約創(chuàng)建了200臺計算實例,以映射我們企業(yè)內(nèi)部的環(huán)境,然后是相應(yīng)的數(shù)據(jù)和應(yīng)用程序的遷移。
正如您可能已經(jīng)知道的,當(dāng)前有大量的云遷移策略。 一種策略被稱為“平移(lift and shift)”,該策略能夠?qū)δ髽I(yè)的應(yīng)用程序的運作產(chǎn)生最小的破壞,您企業(yè)只需將應(yīng)用程序從您公司內(nèi)部部署遷出,安置到云服務(wù)即可,這種策略幾乎同您企業(yè)以前的方式相同,只是在另一家供應(yīng)商的基礎(chǔ)設(shè)施上運行。另一種選擇是將您企業(yè)的應(yīng)用程序和基礎(chǔ)設(shè)施分解為核心組件,讓您的云服務(wù)供應(yīng)商可以很容易地管理這些核心組件,然后利用云服務(wù)供應(yīng)商的一些獨特功能,成為您的企業(yè)的優(yōu)勢。而AWS的案例包括簡單存儲服務(wù)、彈性負載平衡、自動規(guī)模化縮放和多AZ、高可用性架構(gòu)等等服務(wù)。我們選擇了前一種策略,因為我們的項目部署受到了時間的限制。但是現(xiàn)在,我們已經(jīng)在采用AWS方面得心應(yīng)手了,我們開始利用一些本地原生的功能和讓應(yīng)用程序?qū)ξ覀兊钠脚_變的更有彈性、更高效、更耐用和更具高可用性。
但是您又很快撤下了該遷移。
當(dāng)我們遷移了交換機時,Velogica公司的工作方式是一個全有或全無的經(jīng)驗。我們在后端的秘密武器必須從一個位置才能真正得以安全地運行。這就是為什么測試至關(guān)重要的原因所在了。我們有一家第三方公司執(zhí)行了一個完整的AWS環(huán)境的滲透試驗,確保AWS平臺不僅提供了我們所預(yù)期的安全,同時還需要確保交由2nd Watch公司及其他供應(yīng)商工作能夠得到有效控制。
一個值得注意的關(guān)鍵點是:隨著我們在AWS執(zhí)行了我們的測試,我們主動聯(lián)系了我們的客戶,告訴他們我們在做什么。 我們合同規(guī)定我們有義務(wù)告訴客戶他們的數(shù)據(jù)存儲在什么地方,所以我們利用與我們的客戶接觸的機會向他們解釋我們?yōu)槭裁匆w移到AWS,以及該遷移工作將如何支持我們的SOC2認證申請順利通過。 除了遷移到AWS所能夠為客戶們帶來的安全利益,我們還向我們的客戶證明了我們能夠通過新的平臺為其提供更高水平的服務(wù)。 無處不在的加密,高度可用的Web服務(wù),持久存儲和強大的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性解決方案方面都作了一個有說服力的說明。
沒有一名客戶表達了猶豫。 有少數(shù)客戶不熟悉AWS,所以我們必須對他們進行進一步詳細的說明教育。 之后就沒有人對此表示猶豫了,剩下的這些少數(shù)客戶現(xiàn)在也開始期待著看到我們將某些運營轉(zhuǎn)移到AWS了。
然后,貴公司就很快獲得您的SOC2認證了嗎?
不,我們并沒有很快就獲得SOC2認證,因為我們必須能夠證明我們已經(jīng)成功的運行了一段時間了。 我們在2015年九月獲得了SOC2 Type 1,而SOC2 Type 1與SOC2 Type 2的不同之處在于,您不僅需要證明您的相關(guān)服務(wù)已經(jīng)達到并符合標(biāo)準(zhǔn)了,您還必須展示您的運營情況,以及您的企業(yè)還將隨著時間的推移繼續(xù)這樣做。 當(dāng)我們的審核員在季度末對我們進行審查時,我們會有一個為期六個月的審查期,以運行SOC2的控制操作,而審核員們將要做的便是審查我們是如何達到一定標(biāo)準(zhǔn)的。隨著近一步的審計工作, SOC2/Type2報告才會基于我們的年度工作最終公布。
在這一過程是否又發(fā)生過任何意外呢?您能否分享一些貴公司從中所學(xué)到的任何經(jīng)驗教訓(xùn)呢?
現(xiàn)在來回顧我們當(dāng)初所不得不做出決定。我會反思我們的“平移”策略,或者考慮是否需要從最開始就嘗試建立了原生云? 這些都是很好的點,是我認為企業(yè)在考慮遷移到云服務(wù)時有必要探討的一些想法。彼時,當(dāng)我們需要盡快獲得SOC2認證時,由于收到時間因素的限制,因此我在那時是真心推動做出該決策的。
而既然我們現(xiàn)在已經(jīng)在AWS中運行了一段時間了,我們要回去使事情變得更加高效和原生云。 而爭論的點就在于,我們是否會做出更好的前臺呢? 也許是,也許不是,但我們不會按時達成我們獲得SOC2 認證的目標(biāo),也就無法實現(xiàn)商業(yè)目的了。而這是當(dāng)企業(yè)組織在規(guī)劃他們的云遷移時真的需要花費一些時間來思考的一個主題。
另一件事,而這是特別針對AWS而言的,他們創(chuàng)新這樣的速度,使得用戶很難能夠隨著時間的推移跟上他們所發(fā)布的創(chuàng)新技術(shù)的步伐。例如,有些功能是我們需要自行開發(fā)的,因為他們沒有這方面的一些功能。而在我們等了六個星期之后,他們就有這方面的功能了。
我們不應(yīng)該抱怨在云中創(chuàng)新的速度,因為這方面的創(chuàng)新總是積極的,但我們也必須圍繞這方面進行一些開發(fā),現(xiàn)在我們把這些東西弄回企業(yè)內(nèi)部部署,并利用本地的工具了,這也是非常棒的,但這仍然是一個我們所從未經(jīng)歷過的的相當(dāng)大的工程挑戰(zhàn)。 也許這是早期采用者的困境吧!
您企業(yè)會如何量化遷移到云服務(wù)的好處呢?
有效的安全是非常奇妙的,因為我們公司現(xiàn)在有了一支可擴展的安全團隊,能夠有效的執(zhí)行24/7全天侯的工作。而AWS的安全團隊則是要保證核心基礎(chǔ)設(shè)施和服務(wù)以安全的方式運行,我們聘用了Alert Logic公司(我們的托管安全服務(wù)提供商)的分析師負責(zé)監(jiān)控我們的安全狀況,他們會對我們在AWS云中的任何一部分威脅發(fā)出報警;同時,我們還有2nd Watch公司的安全團隊負責(zé)管理補丁、病毒庫更新、防火墻規(guī)則和報告。 三個安全團隊無縫地協(xié)同工作,使得SCOR velogica公司安全團隊的力量倍增。
摘要:SCOR Velogica公司選擇了AWS和2nd Watch以幫助其實現(xiàn)SOC2安全審計認證,他們認為這樣會比單純依靠自己而獲得該項認證更輕松容易。一旦確定了實現(xiàn)SOC2安全審計認證是該公司的業(yè)務(wù)關(guān)鍵,其首席信息安全官克拉克·羅杰斯便分析了能夠幫助他們達成目標(biāo)的不同的方式,并最終確定遷移到云服務(wù)則是他們最有效的途徑。最近,羅杰斯與Network World網(wǎng)站的首席編輯約翰·迪克斯分享了他的經(jīng)歷。讓我們從對于貴公司的一個簡短的業(yè)務(wù)描述開始吧。
這讓我們的員工能夠?qū)⑺麄兊慕裹c集中在Velogica 平臺,并讓數(shù)據(jù)中心管理、網(wǎng)絡(luò)管理以及云服務(wù)管理領(lǐng)域的專家們來為我們執(zhí)行其他方面的工作。我們的業(yè)務(wù)是確保Velogica應(yīng)用程序能夠提供我們的客戶所需要的,并提供適當(dāng)?shù)陌踩Wo。 二這也是遷移到云計算的巨大好處之一,使得我們能夠?qū)W⒂谧约旱暮诵臉I(yè)務(wù)。其性能是一樣的,還說更好或更糟糕了呢?
性能保持不變或更好,將取決于我們談?wù)摰氖鞘裁捶?wù)。 能夠啟動,并在我們不需要的情況下關(guān)閉實例的功能是相當(dāng)重要的。這在我們的開發(fā)過程中顯著的實現(xiàn)了成本節(jié)約,我想這符合了很多公司的情況。 您企業(yè)不可能保持24/7全天侯的研發(fā),因為您的員工需要在某個時候回家。 在您企業(yè)內(nèi)部部署的環(huán)境下,您仍然要為計算周期支付成本,仍然要為許可證支付成本,仍然要為網(wǎng)絡(luò)帶寬支付成本,哪怕在凌晨兩點的時候根本沒有人在工作。
我們可以關(guān)閉我們的開發(fā)和測試環(huán)境,而在我們需要時開啟。這將幫助我們節(jié)省了大量的金錢,因為他們可以每天維持數(shù)小時或整個周末時間的休息。而這在您企業(yè)內(nèi)部部署的環(huán)境是無法實現(xiàn)的。
每個人都在談?wù)撛朴嬎闶顾麄兏`活了。這方面有任何的好處嗎?
絕對是啊。我們可以從AWS的東海岸地區(qū)和西海岸地區(qū),或者坦率地說AWS擁有服務(wù)的其他任何地區(qū)為我們的客戶提供服務(wù)。所以,如果我們決定擴大Velogica的平臺國際化,而鑒于有AWS服務(wù)的存在,創(chuàng)造一個環(huán)境就如同點擊一個再創(chuàng)建那么簡單了,例如,我們可以為法蘭克福、新加坡地區(qū)的客戶保持他們的數(shù)據(jù)在當(dāng)?shù)兀⒆袷禺?dāng)?shù)氐臄?shù)據(jù)隱私保護法律。 那是相當(dāng)意義重大的。 我們不需要從基礎(chǔ)設(shè)施的角度再造任何東西;云服務(wù)已經(jīng)足夠了。我們可以打造一個模版環(huán)境,并將其復(fù)制到其他地區(qū)。
當(dāng)貴公司第一次探討遷移到云服務(wù)時,您的IT工作人員們是否擔(dān)心他們未來的工作是什么樣的,或者說他們是否對于能夠在這樣一個新的環(huán)境中工作而感到高興呢?
SCOR Velogica 公司的IT人員們可能是我見過他們最興奮的時候了。他們意識到他們將采用最為先進、最前沿的平臺工作,而學(xué)習(xí)和使用該平臺讓他們感到興奮。我信任他們能夠?qū)W習(xí)并了解更多關(guān)于AWS的能力是源自于他們內(nèi)心的一個巨大的激勵作用。
這可能是一把雙刃劍。 如果回到一年前的話,您企業(yè)可能已經(jīng)失去其中的10%的員工了。
這是運行云服務(wù)的風(fēng)險所在。 但如果您企業(yè)不積極的接觸和采用新技術(shù)的話,也同樣會面臨繼續(xù)運行的風(fēng)險。 現(xiàn)在他們充分參與到了其中,這些人積極參與是非常重要的,因為這有助于您獲得最好的效果,因此,才能夠使您企業(yè)能夠提供最好的產(chǎn)品。
遷移到云服務(wù)還帶來了其他方面的輔助效益嗎?
有一件事是我沒有提到的,除了將我們的基礎(chǔ)設(shè)施和應(yīng)用程序遷移到AWS之外,我們也把我們的終端用戶計算系統(tǒng)遷移到了亞馬遜的工作空間。從敏捷性的角度來看,這的確是一個很大的幫助。我們可以借助所有他們需要預(yù)裝的應(yīng)用程序很快的為員工們配置工作空間,從大局來看,其仍然保持了業(yè)務(wù)連續(xù)性。
在SCOR Velogica公司位于夏洛特的辦事處,我們所采用的唯一的SCOR全球IT服務(wù)是連接到互聯(lián)網(wǎng)和辦公桌上電話的網(wǎng)絡(luò)。 所有SCOR Velogica員工所使用的臺式機均由AWS云托管,并且都進行了加密。工作人員所正在使用的任何設(shè)備與工作區(qū)之間的連接也被加密,所以從安全角度來看,我很放心。我不必擔(dān)心人們復(fù)制和粘貼數(shù)據(jù)或使用可移動媒介,因為我們有這些功能禁用這些東西。
您企業(yè)是否確定了最終用戶可以用來訪問工作區(qū)的設(shè)備呢?
任何AWS支持的設(shè)備都是可以的。AWS有面向Windows、Mac、iPad、Android和其它等等的客戶端,所以,基本上只要是其位列AWS支持的清單上,就是可以訪問的。讓虛擬臺式機在傳統(tǒng)企業(yè)環(huán)境下的工作是不容易的。 但讓其在AWS運行則只需輕輕的一個點擊。而從安全的角度來看,這也是非常好的。企業(yè)員工來上班時,他們會有一個用戶ID,以及一個配套的密碼,他們有兩個因素認證,他們無法復(fù)制任何數(shù)據(jù)出來。所以,作為一名首席信息安全官,我還有什么要擔(dān)憂的呢?
關(guān)于虛擬桌面解決方案所存在一大奇談怪論之一便是如果您不能連接到互聯(lián)網(wǎng),那是您的運氣不好。這是否是一個問題呢?
如果您不能連接到互聯(lián)網(wǎng),您無法連接到您的工作空間,這是真的。 但是我發(fā)現(xiàn)現(xiàn)在的互聯(lián)網(wǎng)連接是相當(dāng)普遍的。 如果您是在跨國界的主要航線上飛行,也是有互聯(lián)網(wǎng)連接的。在其工作空間利用PCoIP技術(shù)方面,AWS已經(jīng)做得非常好了。通過其連接的真的只有像素,而沒有實際的數(shù)據(jù)流。 我在飛行了不少距離后,曾對我的工作空間執(zhí)行操作,沒有遇到過任何問題。而借助好的4G或LTE連接,您可以在您的iPad上也能實現(xiàn)。
京公網(wǎng)安備 11010502049343號