要素四、安全性问题
云计算放大了IT的挑战,原来放在自己服务器内部的一些服务资料,现在要放到云当中,而云当中的应用可能在任何的地方。如何保证用户登录的安全,这个应用能否从某一个点迁移到另外一个点,到底什么人能够看到什么样的信息,看到这些信息的资料多少到底是由什么决定的,所有这些问题都是企业在考虑云计算安全时需要考虑的因素。
从前面IDC的调研可以看到安全是企业采纳云计算时最担心的地方,但是如果在选择云计算服务的时候能够特别关注供应商在安全方面的具体实现情况,并且采用一些安全方面的最佳实践,那么将可以提高企业使用云计算服务的安全性。
公司在使用云计算服务之前应当进行全面的风险评估,其中涉及数据保护、数据完整性、数据恢复和合规性。我们建议企业在评估云计算安全的时候采用类似于金融服务行业的风险管控模式。云计算的风险管控要从安全性、隐私、合规性以及服务的可持续性等方面综合考虑。
企业需要查看云计算服务商有没有相关的安全认证,相关的安全架构、流程和风险管控的方法等具体情况。另外,根据一些国家监管的规定,企业可能还需要了解服务商物理数据中心的位置,以满足企业对数据存储地点的要求。
要素五、与企业已有系统的集成问题
企业在构建信息系统的时候要尽量避免形成"信息孤岛"的情况。无论是在数据层次、应用层次或者是在界面层次,应用和应用之间都要能够比较方便地集成,从而让数据能够方便地流转,最终用户也能有良好的用户体验。这就需要企业在选择公有云服务的时候,要考虑目标公有云服务与自己企业内部的系统如何进行集成。这种集成可以通过多种方式来实现。
比如数据交换是一个比较基本的要求,最低的一个要求是可以借助手工操作的方式来进行。当然理想的目标是通过自动化的方式来实现各种集成方式。企业可以从两个方面来考察云计算服务的集成能力。一个是云计算服务是否提供与企业数据之间的安全传输通道来进行集成通信。比如微软的Windows Azure平台和亚马逊的AWS就提供它们的云平台数据中心与企业数据中心之间基于IPSec的安全通道。
另外一方面是看云计算服务供应商有没有提供一个开放的管理接口或管理工具,以便企业可以把云计算服务集成到自身数据中心中的应用管理中去。微软的Windows Azure平台提供了基于REST的服务管理的编程接口(Service Management API),而且微软还更进一步扩展了其基于System Center的系统管理工具,让企业IT管理人员可以在一个管理界面上同时管理其部署在企业内部的应用和部署在Windows Azure平台上的应用。
