云計算讓公司可以把計算機處理工作的一部分(有時幾乎是所有部分)外包出去。在CIO們的眼里,公司只要付費給外部提供商,用不著把錢花在內(nèi)部服務器以及檢修服務器所需的IT專業(yè)人員上。然后,公司可以通過互聯(lián)網(wǎng)(用IT行話來說是"通過云計算環(huán)境")來訪問計算基礎設施。
更棒的是,云計算服務提供商告訴我們,云計算能夠實現(xiàn)大規(guī)模擴展。一家大型提供商就能迅速滿足網(wǎng)上客戶對更多計算功能的請求。那樣,本身沒有大型數(shù)據(jù)中心的小公司就能夠利用云計算服務提供商的強大處理功能。
各大廠商看到了這座寶藏,于是紛紛設立部門提供云計算服務。行業(yè)領頭羊包括亞馬遜公司的EC2和谷歌公司的應用引擎(Google App Engine)。市場興奮之余,一批縮略詞如同雨后春筍般冒了出來。云計算的"近親"就是軟件即服務(SaaS),即軟件通過互聯(lián)網(wǎng)來提供;Salesforce.com在宣傳名為平臺即服務(PaaS)的另一種云計算。
IT專家Nick Carr在著作《巨大的轉變》(The Big Switch)中把云計算譽為是企業(yè)計算領域不可避免的下一步。 他解釋,正如現(xiàn)在我們從外面龐大的電廠獲取電力那樣,將來我們可以從廣泛分布的外部處理中心獲取計算功能。凌亂不堪的內(nèi)部數(shù)據(jù)中心一去不復返。將來一片光明、次序井然、價位合理。
但如果你看一下電力與數(shù)據(jù)之間的區(qū)別,就會發(fā)現(xiàn)Carr打的這個比方站不住腳。輸送到貴公司的電流毫無機密或者敏感可言,而進出貴公司的數(shù)據(jù)可能含有極其敏感的信息。
單單提及《薩班斯-奧克斯利法案》以及錯綜復雜的法規(guī)遵從要求,就足以讓有些CIO對于把自己的文檔管理(哪怕是一部分責任)交給云計算服務提供商感到驚恐不安。
讓這些CIO更加提心吊膽的是這個不安的事實:隨著基于云計算的服務日益發(fā)展,它會日益由一連串提供商來供應。所以會出現(xiàn)這種情況:你與某家外包商簽訂了合同,這家外包商又與一連串外包商簽訂了合同,而那些外包商又與別的商家簽訂了合同。這樣一來,到頭來為你處理最寶貴的公司機密數(shù)據(jù)的其實是你一無所知的那些提供商。
這就好比中學里的校花不想透露電話號碼,只告訴給了已確定了關系的心上人:橄欖球隊隊長;而她男友把自己的地址簿發(fā)布在了Facebook網(wǎng)頁上,這樣別有用心的人就會知道她的電話號碼。
云計算的危險
Gartner公司的兩名分析師Jay Heiser和Mark Nicolett共同撰寫了《評估云計算的安全風險》,這份報告列出了云計算存在的許多危險因素。
他們想要傳達的主題倒不是建議公司不要使用云計算。確切地說,公司在采用云計算時要睜大眼睛,完全明白相關風險,并且采取必要的防范措施來確保安全,或者說盡量確保安全,這是由于云計算具有"黑盒子"的性質(zhì),充滿了未知因素。
Heiser說:"要是人們對相關風險沒有顧慮,云計算恐怕已經(jīng)更加流行了。我認為大多數(shù)潛在的用戶沒有真正認識到相關風險。他們都是直覺上覺得這是一種新技術;不應該草率對待。"
的確,高盛公司最近調(diào)查了CIO們對2009年的計劃,他們覺得明年的經(jīng)濟形勢讓人不安。調(diào)查結果對云計算服務來說不是什么好兆頭:只有不到2%的調(diào)查對象把云計算列為優(yōu)先考慮的項目。
云計算的眾多安全問題足以讓人提出這樣一個問題:難道我們就不能繼續(xù)使用那種傳統(tǒng)而可靠的客戶機/服務器架構嗎?畢竟,服務器的價格在一路下滑,毫無止跌的勢頭,而從事維護工作的IT員工勢必不會像過去那樣領取高得離譜的薪水。為什么要尋求外界的幫助呢?
Heiser認為,盡管存在這些那樣的懷疑,但云計算這股潮流確實有潛力改變行業(yè)。這趟列車已經(jīng)駛離了車站,盡管CIO們被經(jīng)濟衰退嚇破了膽。簡而言之,云計算可以大幅節(jié)省成本,顯著提高效率和靈活性,優(yōu)點實在太明顯了,以至人們沒法忽視它。
Heiser說:"云計算基本上是經(jīng)濟可行的,不過存在便利問題。"
"這存在一個控制問題。我把云計算與消費化歸為一類,這是表明最終用戶如何從IT部門手里奪取主動權的另一個例子。如果他們不喜歡IT部門提供的方案,就會出去、自行購買。"
比方說,"一心想擺脫IT部門、自行部署CRM的銷售經(jīng)理在很大程度上促進了Salesforce.com的迅猛發(fā)展。"
另外,與斥資購買拆開包裝后就開始老化的服務器相比,購買云計算服務更合人們的心意。Heiser說:"如果你購買云計算服務,這只需要花費一筆小錢。如果你購買計算機之類的東西,那可是一筆大額投資。"
"所以同樣是花錢,但性質(zhì)不同;人們喜歡花小錢辦大事。"
九大安全問題及相應對策
Heiser表示,要評估云計算服務提供商,最實際的辦法就是請第三方來進行評估。牽涉的問題和顧慮實在太多了,所以要是內(nèi)部開展所有工作可能會讓人望而生畏。讓這項工作難上加難的是,許多云計算服務提供商一點也不透明。
他說:"打電話給谷歌公司,問一下對方的透明度如何。"他暗示答復很可能這樣:"不是很透明"。"如果這樣,為什么你要信任對方呢?"
Heiser說:"我平時拿谷歌的透明度與Salesforce.com的透明度進行比較。我們強調(diào),Salesforce早期在加強透明度方面確實作出過一番努力;我們其實沒有把谷歌當作是Salesforce的對立面,但它確實很不透明。"
如果你或者第三方在試著評估云計算服務提供商,以下是要注意的一些問題,以及Gartner公司建議的相應對策。
1、特權用戶訪問
若使用云計算,你的機密數(shù)據(jù)將由貴公司外面的人員來處理,所以可想而知:不是貴公司的員工完全可以訪問這些數(shù)據(jù)。
忠告:"要求提供商提供招聘及監(jiān)管享有特權的管理員方面的具體信息以及控制訪問方面的具體信息。"
2、法規(guī)遵從
在《薩班斯-奧克斯利法案》當?shù)赖臅r代,公司有責任實施嚴格的數(shù)據(jù)監(jiān)控和歸檔級別。即便一家公司與外部的云計算服務提供商簽訂了合同,這些法規(guī)仍要求這家公司負有責任。云計算服務提供商應當提交審計和安全方面的證書,確保對方能夠履行約定的承諾。
忠告:"如果云計算提供商不愿意或者沒能力做到遵從法規(guī),這表明客戶只能用它們來處理最不重要的功能。"
3、數(shù)據(jù)位置
若使用云計算,你不知道自己的數(shù)據(jù)到底存放在什么地方。服務器可能建在馬來西亞、加拿大或者美國的新澤西州,說不定同時建在上述三個地方。
忠告:詢問提供商,他們是否愿意給出合同承諾,遵守相關的一些隱私法?
4、數(shù)據(jù)隔離
當然,云計算提供商會使用SSL來保護傳輸中的數(shù)據(jù),但當貴公司的數(shù)據(jù)位于存儲設備中時,可能與其他公司的數(shù)據(jù)共用一只"虛擬保管箱"。貴公司的數(shù)據(jù)與別人的數(shù)據(jù)經(jīng)過適當隔離嗎?
提供商可能會夸耀自己的加密技術如何強大、安全。你會聽到密鑰長度有多長、采用哪種深奧的加密算法。不過,如果你的數(shù)據(jù)能夠被提供商讀取,那么可以這么認為:數(shù)據(jù)也會被別人讀取。
忠告:"如果你的數(shù)據(jù)將采用加密格式來進行保存及備份,就要弄清楚誰有權訪問解密密鑰,貴公司的授權人員在緊急情況下是不是可以訪問本公司員工的數(shù)據(jù)。"
5、可用性
從理論上來說,如果你使用云計算服務提供商,沒有必要擔心自己的數(shù)據(jù)會消失–這些提供商很容易采用冗余機制把你的數(shù)據(jù)復制到眾多地方,這樣萬一系統(tǒng)崩潰,仍可以高枕無憂。
但你的員工能不能隨時訪問完成工作所需的數(shù)據(jù)呢?比方說,要是虛擬管道受到堵塞會怎樣?要是提供商自身出現(xiàn)的某種內(nèi)部故障導致你無法訪問自己的關鍵數(shù)據(jù),又會怎樣?
忠告:"公司應當為任何重要的IT工作負載確定服務級別方面的要求,并且需要提供商簽訂服務級別協(xié)議,從而確保合同里面寫明懲罰條款,以防出現(xiàn)服務級別協(xié)議未得到遵守的情況。"
6、災難恢復
希望最糟糕的永遠不會發(fā)生;任何重大的災難也不會發(fā)生在你、你的提供商或者整個世界頭上。但你的提供商必須為此作好防備。
重要問題:你的提供商有能力進行全面恢復嗎?需要多少時間才能完成全面恢復?
7、調(diào)查支持
開展內(nèi)部的法律調(diào)查向來就不是容易的事,因為這需要清查可能散布在實體位置和虛擬位置的大批文檔。如果你使用云計算服務提供商,那么開展這種調(diào)查更是困難重重:許多客戶的數(shù)據(jù)也許放在一塊兒,散布在地點不斷變化的一系列數(shù)據(jù)中心。
忠告:"如果你得不到提供商的合同承諾來支持特定的幾種調(diào)查,又得不到證據(jù)表明對方曾經(jīng)成功地支持這類工作,那么你幾乎可以肯定,對方幾乎不可能滿足你要求的調(diào)查和發(fā)現(xiàn)。"
8、存活能力
你的提供商會被收購嗎?或者更糟糕的是,會破產(chǎn)嗎?如果是這樣,對方需要多久才能把數(shù)據(jù)交還給你、而且采用的格式讓你可以導入到另一家提供商的基礎設施上?
9、降低風險方面的支持
你的員工開始使用外部提供商時,會經(jīng)歷一個學習過程。這家提供商提供的界面用起來多容易?提供商是否幫助你的管理人員設置監(jiān)控政策?又采取了哪些措施來防范惡意軟件和網(wǎng)絡釣魚?

分享到

yajing

相關推薦