盡管云計算對于當今的許多公司來說已經(jīng)變得司空見慣了��,但仍然有些公司正在努力了解其核心業(yè)務的哪些組件需要遷移到云端����,以及應該采用哪些應用程序或服務���。也有一些企業(yè)組織雖然已經(jīng)將其大部分基礎設施遷移到云端����,但卻由于合規(guī)性或性能等方面問題而開始感到遺憾后悔���。
很多時候��,上述這些問題其實與企業(yè)的云遷移無關����,僅僅只是因為其不符合他們的業(yè)務需求或目標��。在本文中��,我們將為幫助廣大讀者朋友們了解關于如何使您企業(yè)得以順利��、安全和經(jīng)濟高效地選擇和實施云遷移計劃的實用指南�����,避免常見的陷阱,并了解在審查您企業(yè)潛在的云服務供應商時需要咨詢哪些問題���。
在云遷移中避免的常見陷阱
想象一下�����,您企業(yè)將大部分的關鍵業(yè)務數(shù)據(jù)遷移到云存儲供應商之后����,然后了解到該供應商即將破產(chǎn)�����!曾經(jīng)有1000多家企業(yè)客戶將TB級甚至PB級的數(shù)據(jù)存儲到云服務公司Nirvanix之后就發(fā)生了上述情況�。而這種在遷移之前缺乏盡職的調(diào)查還只是許多企業(yè)客戶所犯的幾大云遷移錯誤之一?�!禖IO Magazine》的一篇題為《云恐怖故事(Cloud Horror Story)》的文章為我們總結了這些常見的云遷移陷阱:
1���、您的云供應商停產(chǎn)
當Nirvanix公司在2013年宣布關閉時���,該公司只留給其客戶兩周的時間從Nirvanix的云中遷走所有的數(shù)據(jù),許多客戶認為這樣短的時間根本不夠,畢竟自己有帶寬限制��。市場調(diào)研機構Forrester的研究分析師亨利·巴拉塔爾(Henry Baltazar)稱���,這么短的時間簡直是“荒謬的”�����。
2、您的云供應商沒有災難恢復計劃
讓開發(fā)人員可以在云服務器上托管代碼的Code Space于2014年遭到黑客入侵�。攻擊者破壞了該公司的亞馬遜網(wǎng)絡服務的帳戶,并刪除了所有用戶的數(shù)據(jù)��。然后�,曾經(jīng)的警告成了真正恐怖現(xiàn)實——因為該公司曾發(fā)布過一個消息,提醒其用戶���,他們將無法恢復數(shù)據(jù)�����,而且該公司本身正準備停產(chǎn)�。
災難恢復(DR)計劃不僅僅只是一個很好的備份系統(tǒng)���,良好的DR計劃還應該包括恢復數(shù)據(jù)����,確保對應用程序和服務器的訪問。這就是為什么另一項云服務:DRaaS(災難恢復服務)受到企業(yè)客戶如此的歡迎的原因所在了�。
3、您的云服務供應商的流程不符合可接受的安全性和合規(guī)性標準
2015年被稱為黑客攻擊年�����,就是因為僅僅在醫(yī)療行業(yè)所發(fā)生的數(shù)據(jù)泄露事件就影響了超過1.12億人的私人記錄信息��。企業(yè)組織的云基礎設施是您的現(xiàn)場數(shù)據(jù)和計算服務的延伸�。這意味著在將任何敏感數(shù)據(jù)委托給任何潛在的云供應商之前,您需要對他們進行徹底的調(diào)研��。
向潛在的云供應商提出正確咨詢問題
在經(jīng)驗�、業(yè)績記錄和穩(wěn)定性方面,市場上有各種的云供應商�����,既有具備數(shù)十年來為數(shù)千家企業(yè)客戶提供了滿意的服務的專家們����,也有不可靠的��、您企業(yè)決不會信任的將數(shù)據(jù)交到他們手上的供應商�����。那么���,您企業(yè)如何確定選擇了正確的云供應商呢?
通過向供應商提出正確的問題�,可以有助于您更為放心的選擇。您企業(yè)可以參考如下九個調(diào)查問題���,要求任何潛在的云供應商進行解答:
1、 貴公司在該行業(yè)多久了?
由于互聯(lián)網(wǎng)已經(jīng)降低了多個行業(yè)的進入門檻����,因此建立小型企業(yè)比以往更容易,這也就包括云服務供應商��。這并不是說����,云存儲領域的新進入者不能成為您企業(yè)可行的供應商。然而�����,很顯然,一家公司從事該領域業(yè)務的時間越長���,就越有經(jīng)驗��,您也就會有越多的證據(jù)可以驗證他們的業(yè)績��。
2�、貴公司的財務狀況如何?誰在支持你?
與將其關鍵業(yè)務數(shù)據(jù)存儲在云提供商Nirvanix公司的1000多家企業(yè)客戶中����,沒有任何一家企業(yè)客戶提前覺察到該公司即將破產(chǎn)(直到現(xiàn)在為時已晚)是不太可能的。云服務供應商的財務狀況越穩(wěn)定�、資金越充足,您企業(yè)就越不可能面臨Nirvanix的客戶所曾遭受過的可怕經(jīng)歷����。
3、貴公司對企業(yè)客戶所存儲在云中的數(shù)據(jù)的安全性和完整性將承擔什么級別的責任?
根據(jù)云安全公司Skyhigh Networks的調(diào)研發(fā)現(xiàn)�,僅僅只有不到十分之一的云服務供應商會按照標準做法加密客戶的數(shù)據(jù)。許多云服務條款和條件明確規(guī)定���,供應商不負責保護用戶的數(shù)據(jù)��。
根據(jù)云安全聯(lián)盟的報告顯示��,一般而言�,一名典型的企業(yè)員工會將企業(yè)數(shù)據(jù)存儲在大約500款云應用程序中,所以確保您企業(yè)數(shù)據(jù)的安全性是至關重要的��,您應該實施一項政策�����,以了解云供應商承擔什么級別的責任之前��,才允許您的員工將任何企業(yè)數(shù)據(jù)放其服務上���。
4、貴公司對于周邊入侵防御是否只是在偵測到一次企圖違規(guī)的行為時才產(chǎn)生警報��,還是主動防止這種入侵?
您企業(yè)的云供應商的周邊保護系統(tǒng)應該為其提供關于不斷發(fā)展的網(wǎng)絡攻擊����、及嘗試訪問其客戶數(shù)據(jù)庫和應用程序的輕量級動態(tài)視圖。僅僅是這種程度的保護是不夠的��。例如��,在將安全系統(tǒng)置于適當位置之前,將惡意文件植入您的存儲庫�,可能已經(jīng)損害了這種環(huán)境。這樣的文件可以保持多年未被發(fā)現(xiàn)���,等待適當?shù)挠|發(fā)來激活它們��。為了確保您可以檢測并消除這些風險���,您還需要詢問云供應商是如何掃描和解決這些威脅的。
目前用于定位和排除休眠惡意軟件(通常被稱為“深度防御”應用程序工具)的復雜工具也應該成為云供應商服務必備的一部分����。因此,企業(yè)客戶務必要咨詢潛在的云供應商是否在標準流程中使用了這些工具�,并將它們集成到了備份和恢復應用程序中。任何沒有這樣做的供應商都不應該進入您企業(yè)的備選列表�。
5、貴公司采用什么級別的物理安全保護數(shù)據(jù)中心或托管設施?
到目前為止�����,我們一直專注于技術安全措施��,如加密和條款��,包括供應商所應承擔的數(shù)據(jù)保護責任的級別。但是�����,真正值得信賴和安全的供應商將在存儲您企業(yè)數(shù)據(jù)的地方擁有大量冗余的物理安全措施����。將可信賴的供應商與較小的供應商區(qū)別開來的是:物理、現(xiàn)場安全需要的投資和基礎設施——而大多數(shù)云服務供應商根本就沒有這樣做����。
您企業(yè)正在尋求的供應商應該采取了這樣的措施:例如,在數(shù)據(jù)中心的現(xiàn)場安排了保安人員確保物理設備的安全��,理想情況下應該是24/7全天候的;他們還需要采用身份驗證措施來驗證訪問(例如徽章)��,甚至可以生物識別讀取器����,如指紋或視網(wǎng)膜掃描��。并且您將希望他們有24/7全天侯不間斷的對于相關設備的視頻監(jiān)控�。
最后,您企業(yè)將需要存儲冗余——理想情況下����,您企業(yè)的數(shù)據(jù)將位于兩個不同的地理位置��,如果一處數(shù)據(jù)中心發(fā)生中斷或遇到其他災難��,則可以進行故障轉移功能�。您會發(fā)現(xiàn)����,大多數(shù)供應商根本無力為您的數(shù)據(jù)提供此級別的物理安全。但是��,那些可以提供這種級別安全服務供應商則可能是您值得選擇的��。
6����、貴公司獲得了哪些安全和合規(guī)性認證?
這是務必要提前詢問您企業(yè)任何潛在的云供應商的關鍵問題。如果您的供應商將您信用卡處理數(shù)據(jù)存儲在非現(xiàn)場數(shù)據(jù)中心�����,那么請務必確認他們是否遵守支付卡行業(yè)所監(jiān)管要求的足夠的數(shù)據(jù)加密和安全流程?是否采用強大的SOC控制報告?此外��,如果該企業(yè)屬于受管制的行業(yè)�,該公司是否遵守某些特定領域的法規(guī)規(guī)定?
7�����、貴公司將用什么加密協(xié)議來傳輸我們的數(shù)據(jù)?
您企業(yè)所應該要求的不僅僅是當今所使用的最先進的加密標準——傳輸層安全(TLS)�����。一些云供應商可能還在使用過時的安全套接層協(xié)議(SSL���,Security Socket Layer)來傳輸您的數(shù)據(jù)�,該SSL現(xiàn)在被認為易受攻擊����,特別是易受中間人的攻擊。
其他某些供應商在數(shù)據(jù)傳輸過程中根本不會使用任何協(xié)議來加密您的數(shù)據(jù)����。將您的數(shù)據(jù)交給任何未使用當前最復雜的加密技術的供應商不僅有風險,還可能使您的公司陷入違反監(jiān)管機構規(guī)定的錯誤����。
8、貴公司的云服務包括什么級別的技術支持?貴公司的支持工程師如何培訓的?
這是另一個可以幫助您企業(yè)將真正的專家與經(jīng)驗較少�、不太穩(wěn)定的供應商區(qū)分開來的一個問題��。一家值得企業(yè)客戶信任的云服務提供商將全天候配備訓練有素的支持專業(yè)人員——隨時可以通過電話、電子郵件或即時聊天工具聯(lián)系到��。當企業(yè)客戶遇到數(shù)據(jù)災難或任何類型的故障或?qū)⒂绊懙侥髽I(yè)正在進行的業(yè)務操作的至關重要的功能時�,企業(yè)客戶在聯(lián)系其云服務供應商以尋求獲得幫助時最不想要聽到的無疑是語音郵件服務了。
9�、企業(yè)客戶的云服務帳戶的活動如何被監(jiān)控和記錄?
對于記錄和監(jiān)管目的,確保企業(yè)客戶的云服務供應商會跟蹤您帳戶中的所有活動�����,并且可以隨時向您提供完整的審計跟蹤是非常重要的����。
更好的情況則是,企業(yè)客戶應該盡可能尋找可靠的云服務供應商����,其平臺包括管理員門戶,可讓您和您的團隊隨時在線訪問全面的審計跟蹤��,并直接從該門戶生成使用報告�。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
