后桥厂家
免费服务热线

Free service

hotline

010-00000000
后桥厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

CIO发展云计算的四大建议

发布时间:2020-07-21 19:11:58 阅读: 来源:后桥厂家

摘要:面对云供应商,你不得不放弃一些掌控。这正是今天很多审计员、CIO和CEO的一大困扰。他们迫切地想知道:怎样才能在大力发展“云”的同时遵守云规则,避免声誉受损。

关键词:云计算云规则

从概念上看,云计算似乎很普通。事实上,操作部署以及许可的简单性才是“云”最诱人的资本。但问题是,深入探究后你发现要遵从“云”其实并不简单,有很多问题需要思考。

大到政府法规,例如《萨班斯·奥克斯利法案》(SOX)以及欧盟数据保护法,小到行业法规,例如支付卡行业数据安全标准(PCI DSS)以及美国健康保险携带和责任法案(HIPAA),云规则可谓无处不在。或许你已经实现了内部掌控,但在向公共云计算基础设施平台抑或基于云的应用套件转移的过程中,面对云供应商,你不得不放弃一些掌控。

这正是今天很多审计员、CIO和CEO的一大困扰。他们迫切地想知道:怎样才能在大力发展“云”的同时遵守云规则,避免声誉受损。一些分析师、供应商和顾问就这个问题给出了以下建议:

1.认清云对IT工作负载的影响

当你评估云供应商时,试着去寻找能在用户身份、访问管理、数据保护和事件响应方面提供良好策略的供应商。这是最基本的合规要求。然后,一旦你给未来的供应商具体制定合规要求,将很可能遭遇具体的“云”挑战。

数据定位就是其中之一。举例来说,欧盟数据保护法案禁止欧盟居民的个人信息外流。因此,你的云供应商必须确保将欧盟客户的信息保存在欧洲的服务器上。

多租户和清除配置也将带来挑战。公用云提供商采用多租户架构来降低服务器工作负载,同时削减成本。但这就意味着将与其他企业共享服务器空间。因此,你必须清楚云服务商能提供何种保护措施,以避免向其他企业妥协。根据数据的重要程度,你可能需要对之加密。例如,美国健康保险携带和责任法案(HIPAA)就要求对用户所有数据进行加密,不论数据是否正被使用。

随着密码身份认证技术越发复杂,为用户清除配置也愈发具有挑战性。不可否认,联合身份管理计划帮助用户更方便地登陆至多个“云”,但也导致配置的清除更为棘手。“当雇员离开公司,你希望按一下按钮,就可以自动关闭他们的Windows帐户和所有企业内部应用程序。同时,你希望雇员的移动电话无权获取企业信息,雇员无权接触企业SaaS应用。”身份管理及合规工具提供商Centrify总裁Tom Kemp 表示,目前看来,自动清除配置尚未实现基于云平台和内部部署系统的同时应用。

2. 跟踪瞬息万变的云标准

不论喜欢与否,你都是“云”的早期应用者。将哪些应用程序迁移到云?什么时候迁移?加深对云计算新标准的理解有利于做出更好的抉择。

今天你可以参照SAS 70 Type II和ISO 27001两大标准,以遵守金融和信息安全方面的政府及行业法规。但这些标准不一定适合公司发展。

“诸如ISO 27001和SAS 70的标准很有效,但可能已经过时。”市场研究公司Forrester Research的副总裁兼首席分析师Jonathan Penn进一步表示,“当涉及数据安全,身份管理和管理员控制时,这些标准也并非很具体。我们必须让用户清楚即将发生的一切,而现在这近乎一个‘黑箱’。”

提高透明度是云安全联盟(CSA)的一大目标。CSA成立3年来受到了用户、审计师和服务提供商的广泛欢迎,其主要目标是标准化审计框架,加强用户和云供应商之间的沟通。

目前,GRC(监控、风险和合规)标准套件进展顺利,它包含4大要素:云信托协议,云审计,共识评估倡议和云控制矩阵。其中,云控制矩阵以电子表格的形式罗列了企业遵守其IT控制领域标准须达到的基本要求,例如“人力资源-终止雇佣关系”。而共识评估倡议就用户和审计师对供应商在控制领域的具体期望,提供了一份详尽问卷。

基于CSA等联盟,包括行业团体、政府机构的共同努力,未来几年内,新标准将会层出不穷。CSA已经与ISO(国际标准化组织),ITU(国际电信联盟),NIST(美国国家标准和技术协会)正式结盟,以帮助这些组织进一步完善标准。据调研公司Forrester Research报道,截至2010年底,已有48个行业团体致力于云安全相关标准的研究。[page] 3.充分关注SLA(服务水平协议)

“不论公司的规模及地位,不要假定云供应商的标准条款将满足你的需求。“严格评估”的首项工作就是仔细审查供应商合同条款。”Hogan Lovells律师Michael Larner如是建议。(Hogan Lovells是一家在云合规性和安全性方面颇有经验的国际律师事务所。)Larner经常就SLA(服务水平协议) 帮助客户谈判,他说首先进行风险效益分析,判断云供应商的合同条款是否满足合规性要求。如若不满足,那就需要考虑进一步谈判,以提高对条款的满意程度。

公司规模能增加谈判筹码,不过即便是小型企业,只要是能帮助云供应商拓展市场的新行业,那就也能找到相应筹码。总之,在任何情况下,都不要畏惧与供应商谈判。

Larner解释:“很多公司陷入了一个误区:企图与大型供应商谈判一定会被拒绝。事实上,如果你肯尝试,你会发现为了提高你的满意度,这些供应商可能愿意为你破例。”

Larner进一步表示,如果你初涉云计算,你会发现以试验为基础,或从非关键数据起步是树立自信的好方法。

然而,对“严格评估”来说,全面的SLA还远远不够。RSA公司云计算战略总监Nirav Mehta表示,你仍需要密切关注云供应商的举动。假设你拥有了完善的SLA,但若云供应商的服务中断,业务连续性会受到怎样的重创?Mehta预测说,使用多个“云”以确保备份将是企业的最佳策略。

4.确保安全优先

Forrester公司的Penn表示,为更好地理解潜在风险与收益,你应当尽早与安全小组展开讨论。

“那样的话,安全和合规性问题才能早日提上议程。”Penn说,“企业主管能够意识到安全问题并在风险级别与减缓风险的预算之间进行权衡,这点非常重要。”

迁移到“云“,再由安全委员会正式确认风险评估功能,这是实现安全与企业目标永久一致的契机。安全委员会能帮助企业评估风险,并提供符合其战略目标的预算建议。

来自大量安全服务商和供应商合作伙伴的安全创新,你同样值得关注。作为亚马逊的合作伙伴,Dome9解决了一个云相关的技术问题——关闭不在使用中的SSH(安全外壳)以及基于云服务器的其他端口,以防获得访问权限的攻击者进一步入侵。

“在企业中,这些端口是默认开放的。” Dome9 销售副总裁Dave Meizlik解释,“但在‘云’中,你希望服务器一旦空闲就关闭端口。而你不能在每一次关闭服务器后,都依赖云提供商来处理这些端口。”

不可否认,云计算带来了一些安全隐患。但随着创新解决方案的推出,隐患会日益降低。就像Forrester公司的Penn所说,比起诸如智能手机或社交媒体扩散这些IT趋势,云服务的安全问题相对不会引发大多数企业安全团队的过分担忧。终有一日,当安全问题不再成为 “绊脚石”,那么云计算的步伐将会势不可挡!

责编:fanwei

武汉双眼皮

贵阳隆胸价格

深圳双眼皮价格

西安面部填充医院

相关阅读