盡管云計算對于當今的許多公司來說已經變得司空見慣了,但仍然有些公司正在努力了解其核心業務的哪些組件需要遷移到云端,以及應該采用哪些應用程序或服務。相反,另外一些企業組織雖然已經將其大部分基礎設施遷移到云端,但卻由于合規性或性能等方面問題而開始感到遺憾后悔。很多時候,上述這些問題其實與企業的云遷移無關,僅僅只是因為其不符合他們的業務需求或目標。
例如,一些律師事務所,金融機構和制造業公司正在研究采用云計算的混合模式,并在努力尋求機會,通過基于云的應用程序(如Microsoft Office 365)或災難恢復和在線備份服務(如KeepItSafe)來實現辦公現代化。
在本文中,我們將為幫助廣大讀者朋友們了解關于如何使您企業得以順利、安全和經濟高效地選擇和實施云遷移計劃的實用指南,避免常見的陷阱,并了解在審查您企業潛在的云服務供應商時需要咨詢哪些問題。
法律行業雜志《Inside Counsel》在2016年發表的一篇題為《調研顯示:現如今的企業認可遷移到云(Survey: Businesses are Okay with Moving to the Cloud Now)》的文章的標題很好地總結闡述了業界在業務流程和心態方面的重大轉變,他們對于如何存儲和傳輸其數據非常謹慎。該文章指出,現在有84%的律師事務所非常樂意將業務和數據遷移到云服務中,而僅僅幾年前這一比例還僅為68%。此外,超過三分之二的律師事務所表示,他們現在使用云計算工具進行電子計費,而有一半以上正在使用云服務進行事務管理。
文章中引用了受訪者對于越來越多的企業采用云服務的原因解釋說:“由于其成本優勢,以及無論數據存儲在哪里都可以被訪問到的便利性,而變得越來越有吸引力。”另一名受訪者描述了基于業務需求的云遷移工具:“企業并沒有內部專門的法務應用程序團隊,所以如果他們想要管理相關數據,需要在云端。”
隨著技術的進步使得進入壁壘不斷降低,以及幾乎所有行業企業日益增長的競爭壓力。迫使企業組織都在積極的尋求簡化的操作方式,以減少開銷,創造競爭優勢。而將內部技術和業務運營轉移到恰當的云服務供應商是實現所有這些目標的一種經過了驗證的可靠方法。
然而,太過匆忙地實施云遷移計劃項目——而沒有首先就任何業務關鍵功能轉移到云的優缺點、企業業務的整體目標,以及任何潛在的備選云服務供應商進行盡職的調查的話,或將使得許多匆忙上馬的企業發現在其遷移到新的基于云的過程中充滿了各種問題和挑戰。
隨著法律行業的企業發現,將關鍵業務流程甚至企業的整個網絡基礎架構外包給云服務可以產生顯著的業務收益。但是,在做出這樣的舉措之前,企業客戶必須首先學習如何避免在云遷移的過程中出現常見的風險問題以及要求任何潛在的云服務供應商必須提供的相應保障。
面臨如此眾多的選擇,今天的企業客戶要如何利用云計算
今天的企業在將哪些類型的服務和流程外包給云服務供應商,以及他們在管理這些流程中所具有的控制水平方面具有極大的靈活性。了解您企業可以選擇的備選方案以及每種備選方案各自的優缺點對于幫助您的團隊做出正確的云遷移決策是至關重要的。
例如,SaaS(軟件即服務)應用程序僅僅是可通過網絡訪問的第三方軟件工具(如Office 365)。對于應用程序本身,以及您企業借助該軟件工具所維護的數據通常則存儲在供應商的云端。您企業的員工只需通過Web界面訪問數據。這些系統通常不需要您企業的團隊來進行維護或下載(盡管有時候需要借助插件進行操作),但是它們幾乎沒有給用戶留出多少的定制化和控制的空間。
請務必牢記,SaaS提供商通常不負責保護您企業在云中的數據。
我們建議企業客戶務必仔細查看合同條款和條件,因為其中會清楚地說明,云服務供應商對您企業在云端存儲的數據的安全性不承擔任何責任。此外,根據云安全公司Skyhigh Networks最近的一份報告顯示,只有9.4%的云端供應商加密存儲在其環境中的客戶數據。
借助PaaS(平臺即服務)模式,您企業對您的應用程序和流程有了更多的控制(并負有相應責任)。PaaS供應商(微軟Azure便是一個例子)將為您企業提供包括了一款操作系統、數據庫和編程環境的平臺。這意味著您企業的團隊可以為您的業務開發定制化的應用程序,而IT團隊則可以將大量存儲和網絡管理工作留給云供應商。
最后,最靈活的云計算模式是IaaS(基礎架構即服務)。使用IaaS(示例包括Rackspace和HPCloud),您企業可以通過一臺服務器實現對云服務的完全控制。您企業的團隊負責管理操作系統、數據、中間件和應用程序,而您的IaaS提供商則負責處理虛擬化、服務器、硬盤驅動器和網絡。實質上,運行IaaS環境就像管理自己的數據中心一樣,但卻不必自行采購或維護任何物理硬件。
顯然,今天的企業客戶有眾多的選擇,您企業如何遷移到云端;將哪些應用程序和功能外包出去;您企業的團隊需要在流程中維護多少款定制程序;以及您企業(或管理您企業所屬行業的監管機構)愿意將何種等級水平的數據委托給云服務供應商呢。
即使您企業已經確定了哪些“即服務(as a Service)”選項適合您的業務云遷移,您仍然必須知道在遷移到云端時要避免的主要錯誤以及對于任何潛在的云合作伙伴需要查看的內容。
在云遷移中避免的常見陷阱
想象一下,您企業將大部分的關鍵業務數據遷移到云存儲供應商之后,然后了解到該供應商即將破產!
曾經有1000多家企業客戶將TB級甚至PB級的數據存儲到云服務公司Nirvanix之后就發生了上述情況。而這種在遷移之前缺乏盡職的調查還只是許多企業客戶所犯的幾大云遷移錯誤之一。
《CIO Magazine》的一篇題為《云恐怖故事(Cloud Horror Story)》的文章為我們總結了這些常見的云遷移陷阱:
1、您的云供應商停產
當Nirvanix公司在2013年宣布關閉時,該公司只留給其客戶兩周的時間從Nirvanix的云中遷走所有的數據,許多客戶認為這樣短的時間根本不夠,畢竟自己有帶寬限制。市場調研機構Forrester的研究分析師亨利·巴拉塔爾(Henry Baltazar)稱,這么短的時間簡直是“荒謬的”。
2、您的云供應商沒有災難恢復計劃
讓開發人員可以在云服務器上托管代碼的Code Space于2014年遭到黑客入侵。攻擊者破壞了該公司的亞馬遜網絡服務的帳戶,并刪除了所有用戶的數據。然后,曾經的警告成了真正恐怖現實——因為該公司曾發布過一個消息,提醒其用戶,他們將無法恢復數據,而且該公司本身正準備停產。
災難恢復(DR)計劃不僅僅只是一個很好的備份系統。良好的DR計劃還應該包括恢復數據,確保對應用程序和服務器的訪問等。這就是為什么另一項云服務:DRaaS(災難恢復服務)受到企業客戶如此的歡迎的原因所在了。
3、您的云服務供應商的流程不符合可接受的安全性和合規性標準
2015年被稱為黑客攻擊年,就是因為僅僅在醫療行業所發生的數據泄露事件就影響了超過1.12億人的私人記錄信息。
企業組織的云基礎設施是您的現場數據和計算服務的延伸。這意味著在將任何敏感數據委托給任何潛在的云供應商之前,您需要對他們進行徹底的調研。
向潛在的云供應商提出正確咨詢問題
在經驗、業績記錄和穩定性方面,市場上有各種的云供應商,既有具備數十年來為數千家企業客戶提供了滿意的服務的專家們,也有不可靠的、您企業決不會信任的將數據交到他們手上的供應商。
那么,您企業如何確定選擇了正確的云供應商呢?通過向供應商提出正確的問題,可以有助于您更為放心的選擇。您企業可以參考如下九個調查問題,要求任何潛在的云供應商進行解答:
1、 貴公司在該行業多久了?
由于互聯網已經降低了多個行業的進入門檻,因此建立小型企業比以往更容易,這也就包括云服務供應商。
這并不是說,云存儲領域的新進入者不能成為您企業可行的供應商。然而,很顯然,一家公司從事該領域業務的時間越長,就越有經驗,您也就會有越多的證據可以驗證他們的業績。
2、貴公司的財務狀況如何?誰在支持你?
與將其關鍵業務數據存儲在云提供商Nirvanix公司的1000多家企業客戶中,沒有任何一家企業客戶提前覺察到該公司即將破產(直到現在為時已晚)是不太可能的。
云服務供應商的財務狀況越穩定、資金越充足,您企業就越不可能面臨Nirvanix的客戶所曾遭受過的可怕經歷。
3、貴公司對企業客戶所存儲在云中的數據的安全性和完整性將承擔什么級別的責任?
根據云安全公司Skyhigh Networks的調研發現,僅僅只有不到十分之一的云服務供應商會按照標準做法加密客戶的數據。許多云服務條款和條件明確規定,供應商不負責保護用戶的數據。
根據云安全聯盟的報告顯示,一般而言,一名典型的企業員工會將企業數據存儲在大約500款云應用程序中,所以確保您企業數據的安全性是至關重要的,您應該實施一項政策,以了解云供應商承擔什么級別的責任之前,才允許您的員工將任何企業數據放其服務上。
4、貴公司對于周邊入侵防御是否只是在偵測到一次企圖違規的行為時才產生警報,還是主動防止這種入侵?
您企業的云供應商的周邊保護系統應該為其提供關于不斷發展的網絡攻擊、及嘗試訪問其客戶數據庫和應用程序的輕量級動態視圖。
僅僅是這種程度的保護是不夠的。例如,在將安全系統置于適當位置之前,將惡意文件植入您的存儲庫,可能已經損害了這種環境。這樣的文件可以保持多年未被發現,等待適當的觸發來激活它們。為了確保您可以檢測并消除這些風險,您還需要詢問云供應商是如何掃描和解決這些威脅的。
目前用于定位和排除休眠惡意軟件(通常被稱為“深度防御”應用程序工具)的復雜工具也應該成為云供應商服務必備的一部分。因此,企業客戶務必要咨詢潛在的云供應商是否在標準流程中使用了這些工具,并將它們集成到了備份和恢復應用程序中。任何沒有這樣做的供應商都不應該進入您企業的備選列表。
5、貴公司采用什么級別的物理安全保護數據中心或托管設施?
到目前為止,我們一直專注于技術安全措施,如加密和條款,包括供應商所應承擔的數據保護責任的級別。
但是,真正值得信賴和安全的供應商將在存儲您企業數據的地方擁有大量冗余的物理安全措施。將可信賴的供應商與較小的供應商區別開來的是:物理、現場安全需要的投資和基礎設施——而大多數云服務供應商根本就沒有這樣做。
您企業正在尋求的供應商應該采取了這樣的措施:例如,在數據中心的現場安排了保安人員確保物理設備的安全,理想情況下應該是24/7全天候的;他們還需要采用身份驗證措施來驗證訪問(例如徽章),甚至可以生物識別讀取器,如指紋或視網膜掃描。并且您將希望他們有24/7全天侯不間斷的對于相關設備的視頻監控。
最后,您企業將需要存儲冗余——理想情況下,您企業的數據將位于兩個不同的地理位置,如果一處數據中心發生中斷或遇到其他災難,則可以進行故障轉移功能。
您會發現,大多數供應商根本無力為您的數據提供此級別的物理安全。但是,那些可以提供這種級別安全服務供應商則可能是您值得選擇的。
6、貴公司獲得了哪些安全和合規性認證?
這是務必要提前詢問您企業任何潛在的云供應商的關鍵問題。如果您的供應商將您信用卡處理數據存儲在非現場數據中心,那么請務必確認他們是否成功通過了SSAE-16 Type-2審核(這表明他們采用可充分的措施來解決數據的可用性、安全性和機密性),是否采用強大的SOC控制報告?此外,貴公司是否遵守某些法規規定(例如:數據無法進入或離開美國本土)?
供應商是否符合PCI-DSS認證,是否遵守支付卡行業所監管要求的足夠的數據加密和安全流程?是否根據ISO-27002:2013標準對最佳實踐做法進行了審查和測試,使之符合國際標準組織的信息安全管理實踐準則。
最后,如果您企業屬于受管制的行業;或者您企業需要處理客戶的個人身份信息(PII)或受保護的健康信息(ePHI),您務必要詢問將要負責存儲這些數據的任何潛在云供應商,確認他們的流程是否符合相關規定,如HIPAA,GLBA或SOX。
7、貴公司將用什么加密協議來傳輸我們的數據?
您企業所應該要求的不僅僅是當今所使用的最先進的加密標準——傳輸層安全(TLS)。一些云供應商可能還在使用過時的安全套接層協議(SSL,Security Socket Layer)來傳輸您的數據,該SSL現在被認為易受攻擊,特別是易受中間人的攻擊。
其他某些供應商在數據傳輸過程中根本不會使用任何協議來加密您的數據。
將您的數據交給任何未使用當前最復雜的加密技術的供應商不僅有風險,還可能使您的公司陷入違反監管機構規定的錯誤。請記住,諸如HIPAA,SOX和GLBA等數據隱私規定要求采用“合理的措施”來保護傳輸中的敏感數據。無法對這些數據加密(或使用現在已被廣泛認為不足夠的協議進行加密)可能會使您企業不符合上述這些規定。
8、貴公司的云服務包括什么級別的技術支持?貴公司的支持工程師如何培訓的?
這是另一個可以幫助您企業將真正的專家與經驗較少、不太穩定的供應商區分開來的一個問題。
一家值得企業客戶信任的云服務提供商將全天候配備訓練有素的支持專業人員——隨時可以通過電話、電子郵件或即時聊天工具聯系到。當企業客戶遇到數據災難或任何類型的故障或將影響到您企業正在進行的業務操作的至關重要的功能時,企業客戶在聯系其云服務供應商以尋求獲得幫助時最不想要聽到的無疑是語音郵件服務了。
9、企業客戶的云服務帳戶的活動如何被監控和記錄?
對于記錄和監管目的,確保企業客戶的云服務供應商會跟蹤您帳戶中的所有活動,并且可以隨時向您提供完整的審計跟蹤是非常重要的。
更好的情況則是,企業客戶應該盡可能尋找可靠的云服務供應商,其平臺包括管理員門戶,可讓您和您的團隊隨時在線訪問全面的審計跟蹤,并直接從該門戶生成使用報告。
京公網安備 11010502049343號