云計(jì)算讓公司可以把計(jì)算機(jī)處理工作的一部分(有時(shí)幾乎是所有部分)外包出去。在CIO們的眼里,公司只要付費(fèi)給外部提供商,用不著把錢花在內(nèi)部服務(wù)器以及檢修服務(wù)器所需的IT專業(yè)人員上。然后,公司可以通過(guò)互聯(lián)網(wǎng)(用IT行話來(lái)說(shuō)是"通過(guò)云計(jì)算環(huán)境")來(lái)訪問計(jì)算基礎(chǔ)設(shè)施。
更棒的是,云計(jì)算服務(wù)提供商告訴我們,云計(jì)算能夠?qū)崿F(xiàn)大規(guī)模擴(kuò)展。一家大型提供商就能迅速滿足網(wǎng)上客戶對(duì)更多計(jì)算功能的請(qǐng)求。那樣,本身沒有大型數(shù)據(jù)中心的小公司就能夠利用云計(jì)算服務(wù)提供商的強(qiáng)大處理功能。
各大廠商看到了這座寶藏,于是紛紛設(shè)立部門提供云計(jì)算服務(wù)。行業(yè)領(lǐng)頭羊包括亞馬遜公司的EC2和谷歌公司的應(yīng)用引擎(Google App Engine)。市場(chǎng)興奮之余,一批縮略詞如同雨后春筍般冒了出來(lái)。云計(jì)算的"近親"就是軟件即服務(wù)(SaaS),即軟件通過(guò)互聯(lián)網(wǎng)來(lái)提供;Salesforce.com在宣傳名為平臺(tái)即服務(wù)(PaaS)的另一種云計(jì)算。
IT專家Nick Carr在著作《巨大的轉(zhuǎn)變》(The Big Switch)中把云計(jì)算譽(yù)為是企業(yè)計(jì)算領(lǐng)域不可避免的下一步。 他解釋,正如現(xiàn)在我們從外面龐大的電廠獲取電力那樣,將來(lái)我們可以從廣泛分布的外部處理中心獲取計(jì)算功能。凌亂不堪的內(nèi)部數(shù)據(jù)中心一去不復(fù)返。將來(lái)一片光明、次序井然、價(jià)位合理。
但如果你看一下電力與數(shù)據(jù)之間的區(qū)別,就會(huì)發(fā)現(xiàn)Carr打的這個(gè)比方站不住腳。輸送到貴公司的電流毫無(wú)機(jī)密或者敏感可言,而進(jìn)出貴公司的數(shù)據(jù)可能含有極其敏感的信息。
單單提及《薩班斯-奧克斯利法案》以及錯(cuò)綜復(fù)雜的法規(guī)遵從要求,就足以讓有些CIO對(duì)于把自己的文檔管理(哪怕是一部分責(zé)任)交給云計(jì)算服務(wù)提供商感到驚恐不安。
讓這些CIO更加提心吊膽的是這個(gè)不安的事實(shí):隨著基于云計(jì)算的服務(wù)日益發(fā)展,它會(huì)日益由一連串提供商來(lái)供應(yīng)。所以會(huì)出現(xiàn)這種情況:你與某家外包商簽訂了合同,這家外包商又與一連串外包商簽訂了合同,而那些外包商又與別的商家簽訂了合同。這樣一來(lái),到頭來(lái)為你處理最寶貴的公司機(jī)密數(shù)據(jù)的其實(shí)是你一無(wú)所知的那些提供商。
這就好比中學(xué)里的?;ú幌胪嘎峨娫捥?hào)碼,只告訴給了已確定了關(guān)系的心上人:橄欖球隊(duì)隊(duì)長(zhǎng);而她男友把自己的地址簿發(fā)布在了Facebook網(wǎng)頁(yè)上,這樣別有用心的人就會(huì)知道她的電話號(hào)碼。
云計(jì)算的危險(xiǎn)
Gartner公司的兩名分析師Jay Heiser和Mark Nicolett共同撰寫了《評(píng)估云計(jì)算的安全風(fēng)險(xiǎn)》,這份報(bào)告列出了云計(jì)算存在的許多危險(xiǎn)因素。
他們想要傳達(dá)的主題倒不是建議公司不要使用云計(jì)算。確切地說(shuō),公司在采用云計(jì)算時(shí)要睜大眼睛,完全明白相關(guān)風(fēng)險(xiǎn),并且采取必要的防范措施來(lái)確保安全,或者說(shuō)盡量確保安全,這是由于云計(jì)算具有"黑盒子"的性質(zhì),充滿了未知因素。
Heiser說(shuō):"要是人們對(duì)相關(guān)風(fēng)險(xiǎn)沒有顧慮,云計(jì)算恐怕已經(jīng)更加流行了。我認(rèn)為大多數(shù)潛在的用戶沒有真正認(rèn)識(shí)到相關(guān)風(fēng)險(xiǎn)。他們都是直覺上覺得這是一種新技術(shù);不應(yīng)該草率對(duì)待。"
的確,高盛公司最近調(diào)查了CIO們對(duì)2009年的計(jì)劃,他們覺得明年的經(jīng)濟(jì)形勢(shì)讓人不安。調(diào)查結(jié)果對(duì)云計(jì)算服務(wù)來(lái)說(shuō)不是什么好兆頭:只有不到2%的調(diào)查對(duì)象把云計(jì)算列為優(yōu)先考慮的項(xiàng)目。
云計(jì)算的眾多安全問題足以讓人提出這樣一個(gè)問題:難道我們就不能繼續(xù)使用那種傳統(tǒng)而可靠的客戶機(jī)/服務(wù)器架構(gòu)嗎?畢竟,服務(wù)器的價(jià)格在一路下滑,毫無(wú)止跌的勢(shì)頭,而從事維護(hù)工作的IT員工勢(shì)必不會(huì)像過(guò)去那樣領(lǐng)取高得離譜的薪水。為什么要尋求外界的幫助呢?
Heiser認(rèn)為,盡管存在這些那樣的懷疑,但云計(jì)算這股潮流確實(shí)有潛力改變行業(yè)。這趟列車已經(jīng)駛離了車站,盡管CIO們被經(jīng)濟(jì)衰退嚇破了膽。簡(jiǎn)而言之,云計(jì)算可以大幅節(jié)省成本,顯著提高效率和靈活性,優(yōu)點(diǎn)實(shí)在太明顯了,以至人們沒法忽視它。
Heiser說(shuō):"云計(jì)算基本上是經(jīng)濟(jì)可行的,不過(guò)存在便利問題。"
"這存在一個(gè)控制問題。我把云計(jì)算與消費(fèi)化歸為一類,這是表明最終用戶如何從IT部門手里奪取主動(dòng)權(quán)的另一個(gè)例子。如果他們不喜歡IT部門提供的方案,就會(huì)出去、自行購(gòu)買。"
比方說(shuō),"一心想擺脫IT部門、自行部署CRM的銷售經(jīng)理在很大程度上促進(jìn)了Salesforce.com的迅猛發(fā)展。"
另外,與斥資購(gòu)買拆開包裝后就開始老化的服務(wù)器相比,購(gòu)買云計(jì)算服務(wù)更合人們的心意。Heiser說(shuō):"如果你購(gòu)買云計(jì)算服務(wù),這只需要花費(fèi)一筆小錢。如果你購(gòu)買計(jì)算機(jī)之類的東西,那可是一筆大額投資。"
"所以同樣是花錢,但性質(zhì)不同;人們喜歡花小錢辦大事。"
九大安全問題及相應(yīng)對(duì)策
Heiser表示,要評(píng)估云計(jì)算服務(wù)提供商,最實(shí)際的辦法就是請(qǐng)第三方來(lái)進(jìn)行評(píng)估。牽涉的問題和顧慮實(shí)在太多了,所以要是內(nèi)部開展所有工作可能會(huì)讓人望而生畏。讓這項(xiàng)工作難上加難的是,許多云計(jì)算服務(wù)提供商一點(diǎn)也不透明。
他說(shuō):"打電話給谷歌公司,問一下對(duì)方的透明度如何。"他暗示答復(fù)很可能這樣:"不是很透明"。"如果這樣,為什么你要信任對(duì)方呢?"
Heiser說(shuō):"我平時(shí)拿谷歌的透明度與Salesforce.com的透明度進(jìn)行比較。我們強(qiáng)調(diào),Salesforce早期在加強(qiáng)透明度方面確實(shí)作出過(guò)一番努力;我們其實(shí)沒有把谷歌當(dāng)作是Salesforce的對(duì)立面,但它確實(shí)很不透明。"
如果你或者第三方在試著評(píng)估云計(jì)算服務(wù)提供商,以下是要注意的一些問題,以及Gartner公司建議的相應(yīng)對(duì)策。
1、特權(quán)用戶訪問
若使用云計(jì)算,你的機(jī)密數(shù)據(jù)將由貴公司外面的人員來(lái)處理,所以可想而知:不是貴公司的員工完全可以訪問這些數(shù)據(jù)。
忠告:"要求提供商提供招聘及監(jiān)管享有特權(quán)的管理員方面的具體信息以及控制訪問方面的具體信息。"
2、法規(guī)遵從
在《薩班斯-奧克斯利法案》當(dāng)?shù)赖臅r(shí)代,公司有責(zé)任實(shí)施嚴(yán)格的數(shù)據(jù)監(jiān)控和歸檔級(jí)別。即便一家公司與外部的云計(jì)算服務(wù)提供商簽訂了合同,這些法規(guī)仍要求這家公司負(fù)有責(zé)任。云計(jì)算服務(wù)提供商應(yīng)當(dāng)提交審計(jì)和安全方面的證書,確保對(duì)方能夠履行約定的承諾。
忠告:"如果云計(jì)算提供商不愿意或者沒能力做到遵從法規(guī),這表明客戶只能用它們來(lái)處理最不重要的功能。"
3、數(shù)據(jù)位置
若使用云計(jì)算,你不知道自己的數(shù)據(jù)到底存放在什么地方。服務(wù)器可能建在馬來(lái)西亞、加拿大或者美國(guó)的新澤西州,說(shuō)不定同時(shí)建在上述三個(gè)地方。
忠告:詢問提供商,他們是否愿意給出合同承諾,遵守相關(guān)的一些隱私法?
4、數(shù)據(jù)隔離
當(dāng)然,云計(jì)算提供商會(huì)使用SSL來(lái)保護(hù)傳輸中的數(shù)據(jù),但當(dāng)貴公司的數(shù)據(jù)位于存儲(chǔ)設(shè)備中時(shí),可能與其他公司的數(shù)據(jù)共用一只"虛擬保管箱"。貴公司的數(shù)據(jù)與別人的數(shù)據(jù)經(jīng)過(guò)適當(dāng)隔離嗎?
提供商可能會(huì)夸耀自己的加密技術(shù)如何強(qiáng)大、安全。你會(huì)聽到密鑰長(zhǎng)度有多長(zhǎng)、采用哪種深?yuàn)W的加密算法。不過(guò),如果你的數(shù)據(jù)能夠被提供商讀取,那么可以這么認(rèn)為:數(shù)據(jù)也會(huì)被別人讀取。
忠告:"如果你的數(shù)據(jù)將采用加密格式來(lái)進(jìn)行保存及備份,就要弄清楚誰(shuí)有權(quán)訪問解密密鑰,貴公司的授權(quán)人員在緊急情況下是不是可以訪問本公司員工的數(shù)據(jù)。"
5、可用性
從理論上來(lái)說(shuō),如果你使用云計(jì)算服務(wù)提供商,沒有必要擔(dān)心自己的數(shù)據(jù)會(huì)消失–這些提供商很容易采用冗余機(jī)制把你的數(shù)據(jù)復(fù)制到眾多地方,這樣萬(wàn)一系統(tǒng)崩潰,仍可以高枕無(wú)憂。
但你的員工能不能隨時(shí)訪問完成工作所需的數(shù)據(jù)呢?比方說(shuō),要是虛擬管道受到堵塞會(huì)怎樣?要是提供商自身出現(xiàn)的某種內(nèi)部故障導(dǎo)致你無(wú)法訪問自己的關(guān)鍵數(shù)據(jù),又會(huì)怎樣?
忠告:"公司應(yīng)當(dāng)為任何重要的IT工作負(fù)載確定服務(wù)級(jí)別方面的要求,并且需要提供商簽訂服務(wù)級(jí)別協(xié)議,從而確保合同里面寫明懲罰條款,以防出現(xiàn)服務(wù)級(jí)別協(xié)議未得到遵守的情況。"
6、災(zāi)難恢復(fù)
希望最糟糕的永遠(yuǎn)不會(huì)發(fā)生;任何重大的災(zāi)難也不會(huì)發(fā)生在你、你的提供商或者整個(gè)世界頭上。但你的提供商必須為此作好防備。
重要問題:你的提供商有能力進(jìn)行全面恢復(fù)嗎?需要多少時(shí)間才能完成全面恢復(fù)?
7、調(diào)查支持
開展內(nèi)部的法律調(diào)查向來(lái)就不是容易的事,因?yàn)檫@需要清查可能散布在實(shí)體位置和虛擬位置的大批文檔。如果你使用云計(jì)算服務(wù)提供商,那么開展這種調(diào)查更是困難重重:許多客戶的數(shù)據(jù)也許放在一塊兒,散布在地點(diǎn)不斷變化的一系列數(shù)據(jù)中心。
忠告:"如果你得不到提供商的合同承諾來(lái)支持特定的幾種調(diào)查,又得不到證據(jù)表明對(duì)方曾經(jīng)成功地支持這類工作,那么你幾乎可以肯定,對(duì)方幾乎不可能滿足你要求的調(diào)查和發(fā)現(xiàn)。"
8、存活能力
你的提供商會(huì)被收購(gòu)嗎?或者更糟糕的是,會(huì)破產(chǎn)嗎?如果是這樣,對(duì)方需要多久才能把數(shù)據(jù)交還給你、而且采用的格式讓你可以導(dǎo)入到另一家提供商的基礎(chǔ)設(shè)施上?
9、降低風(fēng)險(xiǎn)方面的支持
你的員工開始使用外部提供商時(shí),會(huì)經(jīng)歷一個(gè)學(xué)習(xí)過(guò)程。這家提供商提供的界面用起來(lái)多容易?提供商是否幫助你的管理人員設(shè)置監(jiān)控政策?又采取了哪些措施來(lái)防范惡意軟件和網(wǎng)絡(luò)釣魚?

分享到

yajing

相關(guān)推薦