2012年5月19日 星期六

審慎評估供應商 確保資料安全及可靠


審慎評估供應商 確保資料安全及可靠

雲端運算概念成形已久,各種雲端服務在市場上也有許多實務典範可供參考,但許多企業仍然對於導入雲端技術或服務躑躅不前,最主要的問題關鍵之一,就是「資料放在雲端運算領域的安全型和可靠性」。
有趣的是,其實目前早已有許多的敏感資訊放在雲端之中,網路銀行、政府資訊、個人身分認證等,許多重要資訊早已不是透過「實體」方式傳輸,就以即將展開的個人綜合所得稅申報為例,早已有數以百萬計的納稅義務人選擇用「網路報稅」,這些攸關個人財產的重要統計,也都是在雲端之間儲存及處理。

因此,真正的問題,其實還在於提供雲端技術或服務的企業,是否能夠取得客戶的信任,而不是技術本身是否夠成熟。因為目前雖有亞馬遜、IBM、惠普等「大企業」提供雲端技術或服務,但同時也有成百上千的「中小企業」,也會提供各種類似的雲端技術或服務的解決方案,只要有任何涉及到資訊安全的情事發生,就很容易讓市場懷疑雲端技術或服務的安全性及可靠性。

應制定需求方案說明書

事實上,每一位客戶在選擇解決方案時,應該要設法隊這些服務提供者進行相關調查,而且不只是技術能力而已,還應該包括財務穩定狀況、發展前景以及長期的經營和營利狀況等。

THINK網站的戰略主管兼軟體服務及雲端運算顧問Jeff Kaplan在《SaaS指南》一書中談到,服務品質和資料中心的安全性,能直接決定雲端服務提供者的營運狀況。因此,使用者在調查雲端服務提供者的方案可行性、可靠性及安全性時,最關鍵的環節,就是要制定出一份較完善的需求方案說明書。

標準的需求方案說明書應該包括服務提供者的財務狀況和可行性兩部分資訊。在收集資訊的過程中,由於許多大型服務提供者早已具備更高的知名度、公認度和信譽度,而新的服務提供者普遍存在著消費者基礎薄弱、財務狀況不穩定且信譽度很低等問題,因而收集新業者的資訊會更有價值。

需求方案說明書中,除了上述兩部分資訊以外,還應該包括服務提供者的發展年限、擁有消費者的數目、財務狀況以及消費者信譽度等資訊。這些資訊能説明潛在的消費者有效地評價眾多服務提供者提出的解決方案,僅僅根據服務提供者的財務狀況去預測其未來的發展狀況是不可靠的。

雲端服務供應商的能力參差不齊,但如果某個服務提供者創立的時間較長,經營得也很好,那麼該提供商在未來的生存能力將會比較強,這些資訊可以從需求方案說明書和客戶提供的資訊上反映出來。而對於一些在相關領域擁有的消費者數目較少,且發展時間比較短的供應商,即使有不錯的解決方案,在這個充滿挑戰的IT產業發展環境下,要與其他大型雲端服務供應商抗衡的機會,就比較小了。

審慎評估供應商的資安能力

如果一家企業想要嘗試雲端服務,較明智的方式就是先從規模比較小的項目開始。這種做法不僅能將一部分IT工作遷移到雲端環境中,而且能將自身的風險降至最低;同時,由於專案越小越容易控制,從而可使整個團隊成員有足夠的精力在專案進程中不斷學習並累積經驗。

但真正最大的挑戰,還是企業早已習慣將資料放在自己的資料中心,以此保證資料的安全性。因此,企業通常會有很強的資料所有權的觀念,現在突然要讓企業將資料存儲在脫離企業管轄區域的資料中心,對資料的安全性不僅是一個挑戰,同時也對企業根深蒂固的文化和價值觀,形成相當程度的衝擊。

Gartnet在2008年6月曾提出一篇名為《雲計算的安全風險評估》(Assessing the Security Risks of Cloud Computing)的報告,在該報告中提出了七個安全議題,包括:

1.特權用戶的接入:企業需要對處理這些資訊的管理員進行充分瞭解,並要求雲端服務供應者提供詳盡的管理員資訊。

2.可審查性:使用者對自己資料的完整性和安全性負有最終的責任,因為雲端服務供應者不可能對客戶提供傳統IT服務提供者願意接受的外部審計和安全認證,使用者必須要以更審慎的態度來處理重要資訊。

3.資料的存儲位置:在使用雲端服務時,使用者並不清楚自己的資料儲存在哪裡,甚至都不知道資料位於哪個國家。因此使用者要了解資料是否存儲在專門管轄的位置,以及他們是否要遵循當地的隱私條款。

4.數據隔離:由於在雲端運算的體系下,所有使用者的資料都位於共用環境下,如何實現資料隔離就變得很重要。雲端服務提供者應該提供相關加密服務。

5.資料恢復:用戶應該事先瞭解雲計算服務提供者是否有恢復資料的能力,以及需要多長時間來恢復。

6.不洽當或非法的活動調查能力。由於在雲端運算環境下,來自多個使用者的資料可能會存放在一起,並且有可能會在多台主機或資料中心之間轉移。如果雲端服務提供者不能區隔合法和違法行為的能力,一旦有其他用戶發生違法行為,合法用戶就可能遭到連累。

7.長期生存性。使用者必須防範雲端服務提供者破產或被大公司收購的可能。萬一發生類似問題,自己的資料會不會受到影響、如何拿回自己的資料,以及拿回的資料是否能夠能被導入到替代方案中,以確保相關業務不會因此中斷。

轉載自《DIGITIMES中文網