云計算讓公司可以把計算機(jī)處理工作的一部分(有時幾乎是所有部分)外包出去。在CIO們的眼里,公司只要付費給外部提供商,用不著把錢花在內(nèi)部服務(wù)器以及檢修服務(wù)器所需的IT專業(yè)人員上。然后,公司可以通過互聯(lián)網(wǎng)(用IT行話來說是"通過云計算環(huán)境")來訪問計算基礎(chǔ)設(shè)施。
更棒的是,云計算服務(wù)提供商告訴我們,云計算能夠?qū)崿F(xiàn)大規(guī)模擴(kuò)展。一家大型提供商就能迅速滿足網(wǎng)上客戶對更多計算功能的請求。那樣,本身沒有大型數(shù)據(jù)中心的小公司就能夠利用云計算服務(wù)提供商的強(qiáng)大處理功能。
各大廠商看到了這座寶藏,于是紛紛設(shè)立部門提供云計算服務(wù)。行業(yè)領(lǐng)頭羊包括亞馬遜公司的EC2和谷歌公司的應(yīng)用引擎(Google App Engine)。市場興奮之余,一批縮略詞如同雨后春筍般冒了出來。云計算的"近親"就是軟件即服務(wù)(SaaS),即軟件通過互聯(lián)網(wǎng)來提供;Salesforce.com在宣傳名為平臺即服務(wù)(PaaS)的另一種云計算。
IT專家Nick Carr在著作《巨大的轉(zhuǎn)變》(The Big Switch)中把云計算譽(yù)為是企業(yè)計算領(lǐng)域不可避免的下一步。 他解釋,正如現(xiàn)在我們從外面龐大的電廠獲取電力那樣,將來我們可以從廣泛分布的外部處理中心獲取計算功能。凌亂不堪的內(nèi)部數(shù)據(jù)中心一去不復(fù)返。將來一片光明、次序井然、價位合理。
但如果你看一下電力與數(shù)據(jù)之間的區(qū)別,就會發(fā)現(xiàn)Carr打的這個比方站不住腳。輸送到貴公司的電流毫無機(jī)密或者敏感可言,而進(jìn)出貴公司的數(shù)據(jù)可能含有極其敏感的信息。
單單提及《薩班斯-奧克斯利法案》以及錯綜復(fù)雜的法規(guī)遵從要求,就足以讓有些CIO對于把自己的文檔管理(哪怕是一部分責(zé)任)交給云計算服務(wù)提供商感到驚恐不安。
讓這些CIO更加提心吊膽的是這個不安的事實:隨著基于云計算的服務(wù)日益發(fā)展,它會日益由一連串提供商來供應(yīng)。所以會出現(xiàn)這種情況:你與某家外包商簽訂了合同,這家外包商又與一連串外包商簽訂了合同,而那些外包商又與別的商家簽訂了合同。這樣一來,到頭來為你處理最寶貴的公司機(jī)密數(shù)據(jù)的其實是你一無所知的那些提供商。
這就好比中學(xué)里的?;ú幌胪嘎峨娫捥柎a,只告訴給了已確定了關(guān)系的心上人:橄欖球隊隊長;而她男友把自己的地址簿發(fā)布在了Facebook網(wǎng)頁上,這樣別有用心的人就會知道她的電話號碼。
云計算的危險
Gartner公司的兩名分析師Jay Heiser和Mark Nicolett共同撰寫了《評估云計算的安全風(fēng)險》,這份報告列出了云計算存在的許多危險因素。
他們想要傳達(dá)的主題倒不是建議公司不要使用云計算。確切地說,公司在采用云計算時要睜大眼睛,完全明白相關(guān)風(fēng)險,并且采取必要的防范措施來確保安全,或者說盡量確保安全,這是由于云計算具有"黑盒子"的性質(zhì),充滿了未知因素。
Heiser說:"要是人們對相關(guān)風(fēng)險沒有顧慮,云計算恐怕已經(jīng)更加流行了。我認(rèn)為大多數(shù)潛在的用戶沒有真正認(rèn)識到相關(guān)風(fēng)險。他們都是直覺上覺得這是一種新技術(shù);不應(yīng)該草率對待。"
的確,高盛公司最近調(diào)查了CIO們對2009年的計劃,他們覺得明年的經(jīng)濟(jì)形勢讓人不安。調(diào)查結(jié)果對云計算服務(wù)來說不是什么好兆頭:只有不到2%的調(diào)查對象把云計算列為優(yōu)先考慮的項目。
云計算的眾多安全問題足以讓人提出這樣一個問題:難道我們就不能繼續(xù)使用那種傳統(tǒng)而可靠的客戶機(jī)/服務(wù)器架構(gòu)嗎?畢竟,服務(wù)器的價格在一路下滑,毫無止跌的勢頭,而從事維護(hù)工作的IT員工勢必不會像過去那樣領(lǐng)取高得離譜的薪水。為什么要尋求外界的幫助呢?
Heiser認(rèn)為,盡管存在這些那樣的懷疑,但云計算這股潮流確實有潛力改變行業(yè)。這趟列車已經(jīng)駛離了車站,盡管CIO們被經(jīng)濟(jì)衰退嚇破了膽。簡而言之,云計算可以大幅節(jié)省成本,顯著提高效率和靈活性,優(yōu)點實在太明顯了,以至人們沒法忽視它。
Heiser說:"云計算基本上是經(jīng)濟(jì)可行的,不過存在便利問題。"
"這存在一個控制問題。我把云計算與消費化歸為一類,這是表明最終用戶如何從IT部門手里奪取主動權(quán)的另一個例子。如果他們不喜歡IT部門提供的方案,就會出去、自行購買。"
比方說,"一心想擺脫IT部門、自行部署CRM的銷售經(jīng)理在很大程度上促進(jìn)了Salesforce.com的迅猛發(fā)展。"
另外,與斥資購買拆開包裝后就開始老化的服務(wù)器相比,購買云計算服務(wù)更合人們的心意。Heiser說:"如果你購買云計算服務(wù),這只需要花費一筆小錢。如果你購買計算機(jī)之類的東西,那可是一筆大額投資。"
"所以同樣是花錢,但性質(zhì)不同;人們喜歡花小錢辦大事。"
九大安全問題及相應(yīng)對策
Heiser表示,要評估云計算服務(wù)提供商,最實際的辦法就是請第三方來進(jìn)行評估。牽涉的問題和顧慮實在太多了,所以要是內(nèi)部開展所有工作可能會讓人望而生畏。讓這項工作難上加難的是,許多云計算服務(wù)提供商一點也不透明。
他說:"打電話給谷歌公司,問一下對方的透明度如何。"他暗示答復(fù)很可能這樣:"不是很透明"。"如果這樣,為什么你要信任對方呢?"
Heiser說:"我平時拿谷歌的透明度與Salesforce.com的透明度進(jìn)行比較。我們強(qiáng)調(diào),Salesforce早期在加強(qiáng)透明度方面確實作出過一番努力;我們其實沒有把谷歌當(dāng)作是Salesforce的對立面,但它確實很不透明。"
如果你或者第三方在試著評估云計算服務(wù)提供商,以下是要注意的一些問題,以及Gartner公司建議的相應(yīng)對策。
1、特權(quán)用戶訪問
若使用云計算,你的機(jī)密數(shù)據(jù)將由貴公司外面的人員來處理,所以可想而知:不是貴公司的員工完全可以訪問這些數(shù)據(jù)。
忠告:"要求提供商提供招聘及監(jiān)管享有特權(quán)的管理員方面的具體信息以及控制訪問方面的具體信息。"
2、法規(guī)遵從
在《薩班斯-奧克斯利法案》當(dāng)?shù)赖臅r代,公司有責(zé)任實施嚴(yán)格的數(shù)據(jù)監(jiān)控和歸檔級別。即便一家公司與外部的云計算服務(wù)提供商簽訂了合同,這些法規(guī)仍要求這家公司負(fù)有責(zé)任。云計算服務(wù)提供商應(yīng)當(dāng)提交審計和安全方面的證書,確保對方能夠履行約定的承諾。
忠告:"如果云計算提供商不愿意或者沒能力做到遵從法規(guī),這表明客戶只能用它們來處理最不重要的功能。"
3、數(shù)據(jù)位置
若使用云計算,你不知道自己的數(shù)據(jù)到底存放在什么地方。服務(wù)器可能建在馬來西亞、加拿大或者美國的新澤西州,說不定同時建在上述三個地方。
忠告:詢問提供商,他們是否愿意給出合同承諾,遵守相關(guān)的一些隱私法?
4、數(shù)據(jù)隔離
當(dāng)然,云計算提供商會使用SSL來保護(hù)傳輸中的數(shù)據(jù),但當(dāng)貴公司的數(shù)據(jù)位于存儲設(shè)備中時,可能與其他公司的數(shù)據(jù)共用一只"虛擬保管箱"。貴公司的數(shù)據(jù)與別人的數(shù)據(jù)經(jīng)過適當(dāng)隔離嗎?
提供商可能會夸耀自己的加密技術(shù)如何強(qiáng)大、安全。你會聽到密鑰長度有多長、采用哪種深奧的加密算法。不過,如果你的數(shù)據(jù)能夠被提供商讀取,那么可以這么認(rèn)為:數(shù)據(jù)也會被別人讀取。
忠告:"如果你的數(shù)據(jù)將采用加密格式來進(jìn)行保存及備份,就要弄清楚誰有權(quán)訪問解密密鑰,貴公司的授權(quán)人員在緊急情況下是不是可以訪問本公司員工的數(shù)據(jù)。"
5、可用性
從理論上來說,如果你使用云計算服務(wù)提供商,沒有必要擔(dān)心自己的數(shù)據(jù)會消失–這些提供商很容易采用冗余機(jī)制把你的數(shù)據(jù)復(fù)制到眾多地方,這樣萬一系統(tǒng)崩潰,仍可以高枕無憂。
但你的員工能不能隨時訪問完成工作所需的數(shù)據(jù)呢?比方說,要是虛擬管道受到堵塞會怎樣?要是提供商自身出現(xiàn)的某種內(nèi)部故障導(dǎo)致你無法訪問自己的關(guān)鍵數(shù)據(jù),又會怎樣?
忠告:"公司應(yīng)當(dāng)為任何重要的IT工作負(fù)載確定服務(wù)級別方面的要求,并且需要提供商簽訂服務(wù)級別協(xié)議,從而確保合同里面寫明懲罰條款,以防出現(xiàn)服務(wù)級別協(xié)議未得到遵守的情況。"
6、災(zāi)難恢復(fù)
希望最糟糕的永遠(yuǎn)不會發(fā)生;任何重大的災(zāi)難也不會發(fā)生在你、你的提供商或者整個世界頭上。但你的提供商必須為此作好防備。
重要問題:你的提供商有能力進(jìn)行全面恢復(fù)嗎?需要多少時間才能完成全面恢復(fù)?
7、調(diào)查支持
開展內(nèi)部的法律調(diào)查向來就不是容易的事,因為這需要清查可能散布在實體位置和虛擬位置的大批文檔。如果你使用云計算服務(wù)提供商,那么開展這種調(diào)查更是困難重重:許多客戶的數(shù)據(jù)也許放在一塊兒,散布在地點不斷變化的一系列數(shù)據(jù)中心。
忠告:"如果你得不到提供商的合同承諾來支持特定的幾種調(diào)查,又得不到證據(jù)表明對方曾經(jīng)成功地支持這類工作,那么你幾乎可以肯定,對方幾乎不可能滿足你要求的調(diào)查和發(fā)現(xiàn)。"
8、存活能力
你的提供商會被收購嗎?或者更糟糕的是,會破產(chǎn)嗎?如果是這樣,對方需要多久才能把數(shù)據(jù)交還給你、而且采用的格式讓你可以導(dǎo)入到另一家提供商的基礎(chǔ)設(shè)施上?
9、降低風(fēng)險方面的支持
你的員工開始使用外部提供商時,會經(jīng)歷一個學(xué)習(xí)過程。這家提供商提供的界面用起來多容易?提供商是否幫助你的管理人員設(shè)置監(jiān)控政策?又采取了哪些措施來防范惡意軟件和網(wǎng)絡(luò)釣魚?

分享到

yajing

相關(guān)推薦