|
|
公共云計算風險非常多,絕對不止十個。專業機構和CIO們正在整理風險列表,以加強他們對公共云的把控,公共云將繼續滲透到企業IT環境中,不管他們愿不愿意。
一些關于公共云計算的重要風險清單非常廣泛而且復雜,比如:云安全聯盟整理的云計算重要風險1.0版。大部分風險清單中會包含下面這些項:
1、網絡安全
從IT管理人員的關注程度看,這一條仍然是遙遙領先占據第一位。這一條還包括一些數據保護和隱私子分類,來自軟件即服務(SaaS)供應商的物理安全和應用安全,還有過度宣傳泄露。
SteveMacLellan是波士頓富達科技集團金融服務企業架構高級副總裁,他說,大家不要相信“相信我,我是SaaS-y”的市場。他還補充說,一定要問清他們安全方面的策略,視察他們的數據中心,確保數據在物理上是安全的。
然后,盡自己的努力來保護數據。PeterToth是總部位于新澤西州普林斯頓北美Gfk定制研究所(德國研究和開發公司Gfk集團的一個部門)的IT運營經理,他說:“我們確保我們的數據離開時是加密的,這是在發生問題之前就在數據中心完成的。”
對于另一部分人,安全不再是云計算中的一個威脅,而是別人自己后院里的事。RichMogull是總部位于菲尼克斯的咨詢機構Securosis有限責任公司的CEO和分析師,他說:“我想說的是云(甚至公共云)并不是生來就比你的內部環境更安全或者更不安全,這完全取決于采用了什么樣的控制以及你如何實施它們。”
2、身份管理
密碼是個問題,尤其是因為破壞分子現在擁有了計算能力來搞破壞(有意思的是,他們可以使用公共云的計算能力)。聯邦政府正著手開發聯邦ID生態系統,它可以保護避免受到網絡破壞分子的侵害。本月早些時候,奧巴馬政府宣布它將創建一個網絡中可信的身份程序,由新成立的“國家計劃辦公室”領導,該機構歸國家商務部領導。
3、法規遵從
就邊界而言,它們實際上可能是虛擬的,但是它們也可能是物理存在的。新規定對金融服務,醫療保健以及保險業物理數據駐留在哪里以及保留多久都做了限制。MacLellan說:“確實,我們也聽說了一些(關于遵從這些新規定的消息),規定的環境多少有點不太友好”,可能反駁了‘云是一個自由貿易區’這一觀念。例如,一些信息可能不能跨越國家邊界,但是,它幾乎不可能知道公共云數據保存在哪里。此外,DrueReeves是Gartner公司副總裁以及知名分析師,他認為,負擔在云客戶身上,他們要確保云供應商遵守影響他們公司數據的規定。
4、數據集成
在使用公共云服務時有一個風險,就是如何在云豎井中自然地整合數據。利用企業后端系統集成駐留在云服務中的數據不是一件輕松的事。尤其是在企業沒有經歷過組織級信息集成挑戰的情況下。JamesStaten是馬薩諸塞州劍橋Forrester研究公司副總裁兼首席分析師,他認為,已經把他們的數據設置的足夠方便跨多個平臺使用的公司處在最佳位置,可以發揮云服務的全部優勢。
按照EMC公司信息優勢領導委員會(一個IT主管組織,其成員主要討論云計算中的挑戰)的觀點:養成加密數據的習慣也非常重要,還要標記穩定的數據并鞏固存儲資產庫。該組織建議,要徹底避開大量的集成工作,要先盡量限制必須支持的云平臺數量。
云專家們還建議,采用ETL(抽取,轉換,加載)工具可以簡化數據從一種格式到另一種格式的轉換。目標是把信息轉換成一種通用格式——最可能轉換成可擴展標記語言(或者叫XML)——這樣數據就更容易移動和搜索了。
5、廠商鎖定
這個棘手的問題歸結為,在不同云服務供應商之間標準互操作性的變革問題。我們假定你不喜歡你公共云供應商的策略變化,想選擇另一家供應商。在這種情況下,云可能會出現眾所周知的巴別塔問題,盡管許多供應商正在提供更好的互操作性。微軟的Azure平臺本來是直接連到。NET的,現在也有一個開源軟件開發工具包支持開發者使用PHP腳本語言;而Salesforce。com公司一度專用的Force。com開發平臺也支持Java應用開發了。
TomBittman是Gartner公司的著名分析師,他聲稱目前涉足云服務的這樣或那樣的供應商有一萬家。他說:“需要有人幫助我們從中判斷”,并給企業“拿拿注意”。他預計,云經紀人作為新的系統集成者數量會上升,他們會幫助企業在后端系統和云服務之間做數據集成。他還預測,到2015年,20%的云服務將會通過云服務代理人進行,而不是直接交互,目前這個比例是5%。
這種“同聲同氣”也可能是云服務供應商之間整合的結果。隨著競爭日趨激烈,較小的供應商不見得一定會失敗。按照Bittman的觀點選擇正確的供應商是IT主管今年要做的關鍵決策之一。他說:“我們看到有的供應商倒閉了,數據也隨之丟失了。”
7、可管理性
云服務可能并沒有提供與企業預期一致的管理水平。按照一些CIO的觀點,這種想法是對按需定制和云應用程序單方面的,端對端的看法。其中包括Gainsco公司CIOPhilWest,該公司是總部位于達拉斯俄一家非標準汽車保險供應商。去年秋天,包括Vizioncore(現在是Quest軟件公司的一部分),Veeam軟件公司,LogMeIn公司,Precise軟件解決方案公司,Compuware公司以及微軟在內的一些供應商發布了監視工具,計劃為企業對云服務提供端對端的可見度。
8、可用性
企業不能忍受服務中斷,不管什么原因,從帶寬限制到分布式拒絕服務(DoS)攻擊都不行。LalitenduPanda是總部位于日本的D&M控股公司的全球CIO,他說:“這都是關于質量的問題,不是關于低成本服務的問題。服務中斷是一個問題;我們有幾種‘情況’。希望你自己擁有(基礎設施)并且你自己能修改是不現實的。你完全沒法控制運行在云中的其他應用,它們會導致云服務性能降低。”
9、共享資源
由于公共云多租賃的性質,會有許多公司共享一套基礎設施的資源。DrewBartkiewicz是CyberRiskPartners有限責任公司(紐約一家云保險供應商)的CEO,他認為對共享同一個云資源的所有“住戶”的依賴造成了一個潛在的災難性風險。他說:“公共云供應商只會通過合同來轉移風險,并且祈禱災難不要發生在自己身上來。”
TanyaForsheit是InfoLawGroup有限責任公司的合伙創始人,她認為,另一方面,云服務的關鍵在于你共享了空間。她說:“如果你繼續使用(公共)云,你必須接受這一事實,否則你就用私有云獨立保留數據吧。”
10、法律二義性
事實是,云服務中的責任并不是非黑即白,這是由于缺少這類公共案例可以作為先例參考。Gartner公司的Reeves說,如果某一家公共云計算供應商出了監管問題丟失了數據,那么該供應商應該分擔責任。他還說:“IT組織應該在他們的合同中明確寫清,供應商理解制度監管問題并且會承擔責任。如果他已經告訴供應商數據需要什么服務了,為什么消費者還要承擔所有責任?”他還補充說,云服務中的責任劃分問題目前還在發展階段;供應商們在服務連接中斷時可能免受托管費,但是對業務損失沒有連帶賠償。在塵埃落定之前,設想一下云保險代理商營造的新生態系統吧。
沒有回頭路
這與其說是風險,還不如說是考慮現實。因為處在IT戰壕的人們擔心的是,一旦企業采納了公共云計算,他們會失去什么。DannyJenkins是德州Plano的J。C。Penney公司黑莓管理員,他說:“一旦你走出私有空間,進入公共云服務,你需要或者再想回頭幾乎是不可能的。”這里的風險在于,你“放棄了你自己內部的知識基礎。”
比特網 |
|
