如何判断企业选择的云供应商是否靠谱?
尽管云计算对于当今的许多公司来说已经变得司空见惯了,但仍然有些公司正在努力了解其核心业务的哪些组件需要迁移到云端,以及应该采用哪些应用程序或服务。也有一些企业组织虽然已经将其大部分基础设施迁移到云端,但却由于合规性或性能等方面问题而开始感到遗憾后悔。
很多时候,上述这些问题其实与企业的云迁移无关,仅仅只是因为其不符合他们的业务需求或目标。在本文中,我们将为帮助广大读者朋友们了解关于如何使您企业得以顺利、安全和经济高效地选择和实施云迁移计划的实用指南,避免常见的陷阱,并了解在审查您企业潜在的云服务供应商时需要咨询哪些问题。
在云迁移中避免的常见陷阱
想象一下,您企业将大部分的关键业务数据迁移到云存储供应商之后,然后了解到该供应商即将破产!曾经有1000多家企业客户将TB级甚至PB级的数据存储到云服务公司Nirvanix之后就发生了上述情况。而这种在迁移之前缺乏尽职的调查还只是许多企业客户所犯的几大云迁移错误之一。《CIO Magazine》的一篇题为《云恐怖故事(Cloud Horror Story)》的文章为我们总结了这些常见的云迁移陷阱:
1、您的云供应商停产
当Nirvanix公司在2013年宣布关闭时,该公司只留给其客户两周的时间从Nirvanix的云中迁走所有的数据,许多客户认为这样短的时间根本不够,毕竟自己有带宽限制。市场调研机构Forrester的研究分析师亨利·巴拉塔尔(Henry Baltazar)称,这么短的时间简直是“荒谬的”。
2、您的云供应商没有灾难恢复计划
让开发人员可以在云服务器上托管代码的Code Space于2014年遭到黑客入侵。攻击者破坏了该公司的亚马逊网络服务的帐户,并删除了所有用户的数据。然后,曾经的警告成了真正恐怖现实——因为该公司曾发布过一个消息,提醒其用户,他们将无法恢复数据,而且该公司本身正准备停产。
灾难恢复(DR)计划不仅仅只是一个很好的备份系统,良好的DR计划还应该包括恢复数据,确保对应用程序和服务器的访问。这就是为什么另一项云服务:DRaaS(灾难恢复服务)受到企业客户如此的欢迎的原因所在了。
3、您的云服务供应商的流程不符合可接受的安全性和合规性标准
2015年被称为黑客攻击年,就是因为仅仅在医疗行业所发生的数据泄露事件就影响了超过1.12亿人的私人记录信息。企业组织的云基础设施是您的现场数据和计算服务的延伸。这意味着在将任何敏感数据委托给任何潜在的云供应商之前,您需要对他们进行彻底的调研。
向潜在的云供应商提出正确咨询问题
在经验、业绩记录和稳定性方面,市场上有各种的云供应商,既有具备数十年来为数千家企业客户提供了满意的服务的专家们,也有不可靠的、您企业决不会信任的将数据交到他们手上的供应商。那么,您企业如何确定选择了正确的云供应商呢?
通过向供应商提出正确的问题,可以有助于您更为放心的选择。您企业可以参考如下九个调查问题,要求任何潜在的云供应商进行解答:
1、 贵公司在该行业多久了?
由于互联网已经降低了多个行业的进入门槛,因此建立小型企业比以往更容易,这也就包括云服务供应商。这并不是说,云存储领域的新进入者不能成为您企业可行的供应商。然而,很显然,一家公司从事该领域业务的时间越长,就越有经验,您也就会有越多的证据可以验证他们的业绩。
2、贵公司的财务状况如何?谁在支持你?
与将其关键业务数据存储在云提供商Nirvanix公司的1000多家企业客户中,没有任何一家企业客户提前觉察到该公司即将破产(直到现在为时已晚)是不太可能的。云服务供应商的财务状况越稳定、资金越充足,您企业就越不可能面临Nirvanix的客户所曾遭受过的可怕经历。
3、贵公司对企业客户所存储在云中的数据的安全性和完整性将承担什么级别的责任?
根据云安全公司Skyhigh Networks的调研发现,仅仅只有不到十分之一的云服务供应商会按照标准做法加密客户的数据。许多云服务条款和条件明确规定,供应商不负责保护用户的数据。
根据云安全联盟的报告显示,一般而言,一名典型的企业员工会将企业数据存储在大约500款云应用程序中,所以确保您企业数据的安全性是至关重要的,您应该实施一项政策,以了解云供应商承担什么级别的责任之前,才允许您的员工将任何企业数据放其服务上。
4、贵公司对于周边入侵防御是否只是在侦测到一次企图违规的行为时才产生警报,还是主动防止这种入侵?
您企业的云供应商的周边保护系统应该为其提供关于不断发展的网络攻击、及尝试访问其客户数据库和应用程序的轻量级动态视图。仅仅是这种程度的保护是不够的。例如,在将安全系统置于适当位置之前,将恶意文件植入您的存储库,可能已经损害了这种环境。这样的文件可以保持多年未被发现,等待适当的触发来激活它们。为了确保您可以检测并消除这些风险,您还需要询问云供应商是如何扫描和解决这些威胁的。
目前用于定位和排除休眠恶意软件(通常被称为“深度防御”应用程序工具)的复杂工具也应该成为云供应商服务必备的一部分。因此,企业客户务必要咨询潜在的云供应商是否在标准流程中使用了这些工具,并将它们集成到了备份和恢复应用程序中。任何没有这样做的供应商都不应该进入您企业的备选列表。
5、贵公司采用什么级别的物理安全保护数据中心或托管设施?
到目前为止,我们一直专注于技术安全措施,如加密和条款,包括供应商所应承担的数据保护责任的级别。但是,真正值得信赖和安全的供应商将在存储您企业数据的地方拥有大量冗余的物理安全措施。将可信赖的供应商与较小的供应商区别开来的是:物理、现场安全需要的投资和基础设施——而大多数云服务供应商根本就没有这样做。
您企业正在寻求的供应商应该采取了这样的措施:例如,在数据中心的现场安排了保安人员确保物理设备的安全,理想情况下应该是24/7全天候的;他们还需要采用身份验证措施来验证访问(例如徽章),甚至可以生物识别读取器,如指纹或视网膜扫描。并且您将希望他们有24/7全天侯不间断的对于相关设备的视频监控。
最后,您企业将需要存储冗余——理想情况下,您企业的数据将位于两个不同的地理位置,如果一处数据中心发生中断或遇到其他灾难,则可以进行故障转移功能。您会发现,大多数供应商根本无力为您的数据提供此级别的物理安全。但是,那些可以提供这种级别安全服务供应商则可能是您值得选择的。
6、贵公司获得了哪些安全和合规性认证?
这是务必要提前询问您企业任何潜在的云供应商的关键问题。如果您的供应商将您信用卡处理数据存储在非现场数据中心,那么请务必确认他们是否遵守支付卡行业所监管要求的足够的数据加密和安全流程?是否采用强大的SOC控制报告?此外,如果该企业属于受管制的行业,该公司是否遵守某些特定领域的法规规定?
7、贵公司将用什么加密协议来传输我们的数据?
您企业所应该要求的不仅仅是当今所使用的最先进的加密标准——传输层安全(TLS)。一些云供应商可能还在使用过时的安全套接层协议(SSL,Security Socket Layer)来传输您的数据,该SSL现在被认为易受攻击,特别是易受中间人的攻击。
其他某些供应商在数据传输过程中根本不会使用任何协议来加密您的数据。将您的数据交给任何未使用当前最复杂的加密技术的供应商不仅有风险,还可能使您的公司陷入违反监管机构规定的错误。
8、贵公司的云服务包括什么级别的技术支持?贵公司的支持工程师如何培训的?
这是另一个可以帮助您企业将真正的专家与经验较少、不太稳定的供应商区分开来的一个问题。一家值得企业客户信任的云服务提供商将全天候配备训练有素的支持专业人员——随时可以通过电话、电子邮件或即时聊天工具联系到。当企业客户遇到数据灾难或任何类型的故障或将影响到您企业正在进行的业务操作的至关重要的功能时,企业客户在联系其云服务供应商以寻求获得帮助时最不想要听到的无疑是语音邮件服务了。
9、企业客户的云服务帐户的活动如何被监控和记录?
对于记录和监管目的,确保企业客户的云服务供应商会跟踪您帐户中的所有活动,并且可以随时向您提供完整的审计跟踪是非常重要的。
更好的情况则是,企业客户应该尽可能寻找可靠的云服务供应商,其平台包括管理员门户,可让您和您的团队随时在线访问全面的审计跟踪,并直接从该门户生成使用报告。