云服务提供商面临的用户疑问
云、云、云,什么Saas, IaaS, PaaS,NaaS等服务模式,什么本地,公众,社区,混合云等地区模型,大家都在从事云的开发,推广云的应用,集成云的功能,客户也在考虑云服务带来的便利,无论是存储云计算云还是应用云,大家都在云山雾罩之中,云服务把我们包围了。
越来越多的企业用户正在考虑向云靠拢,不过在实施之前,必须回答好多问题,诸如:为什么考虑云计算,用云干什么,云不能干什么,对企业网络基础架构的影响,云如何影响日常工作,对现有软件的影响,如何的迁移,技术/人员更新储备,用户培训,对自己客户的影响等等,同时安全问题不能不认真考虑。在和云商(以下也会简称CSP)接洽中,在他们的宣传和"诱导"中,我们会被告知我们自己如何适当改变适应他们的服务从而获得活力和利润等等优势。问题是,他们不会主动鼓励我们自主思考问题,也就是我们在考虑诸多选项的时候,为了达到的企业目标,我们对他们的具体要求,来最有效地保证优势的产生和持续。用户要求得到保证才能确实保证用户自己的数据安全并得到想要的服务,没有用户的缜密考证和具体要求,提供商乐不得付出最小的代价换来最高的回报,并承担最小的危险。
正如Gartner的研究分析师Kyle Hilgendorf,说的:“IT organizations should carefully examine CSPs using a rigorous process and detailed criteria that match application, data and business requirements. Security, availability and application fit must be top priorities, but IT organizations must also require CSPs to answer questions regarding company finances, commitment to the market, infrastructure resiliency, disaster recovery, support, supply chain, pricing and charge models.”(1)
对于CSP不单单是解答你能为用户提供什么服务,也解答用户为什么选择你,你为用户提供什么保证,你用什么保证你的保证,比如出现问题的时候如何处理等等问题。面对个人用户,这些问题会简单的很多,不过对于企业用户这些问题就会变得相当的突出。
比如下面的问题,企业可以作为考虑的出发点:
- 云提供商的技术保障:使用什么技术和措施来保障提供畅通高质的用户服务(包括访问和客服等等)
- 数据存储:客户的数据到底存储在哪里?在国内,哪里?在国外,喔!怎么控制?
- 审计功能:能提供注入系统(audit logs, security event logs, traffic details)的数据吗?
- 数据的收回:一旦用户、服务商决定终止云服务,什么手续,什么形式,时间限制,数据的形式等等细节规定?
- 客户群:提供商是不是会接纳高风险的客户,比如极易被网络攻击的客户,内容限制客户。
- 云提供商的承诺:书面的和有保证的承诺。
- 云提供商的背后:他是不是把部分业务外包了?如果是,那么上面提到的承诺中,有什么措施和步骤来保证承诺的稳定?即便现在没有,以后如果需要,那么有没有保证客户被通知,这与下面一点息息相关。
- 云提供商的变更控制:有没有确立的变更控制过程(change control process),这种过程用户如何被公示,以及每个步骤公示的内容,以确保用户的利益?
- 物理设备的安全:有没有规则具体措施来保证,只有被许可的人员才能进入服务商的物理设备机房。
- 用户数据的区分:避免因为一个用户的应用被攻击而造成影响其他用户的服务。
- 备份的加密:如果备份没有加密,那么你的数据依然存在很高的泄露风险,不是吗。
- 灾难恢复计划:不仅仅是计划,是否有设备和能力实施灾难恢复。
- 第三方的审计:客户是否有权和定期了解CSP的第三方审计报告的内容。
Ref:
1: http://my.gartner.com/portal/server.pt?open=512&objID=202&mode=2&PageID=5553&resId=1733529&ref=Webinar-Calendar
2: https://cloudsecurityalliance.org/star/
3. Cloud Computing: http://en.wikipedia.org/wiki/Cloud_computing
4. Cloud Computing Comparison: http://en.wikipedia.org/wiki/Cloud_computing_comparison
5. http://www.techrepublic.com/blog/security/ask-potential-cloud-vendors-these-10-security-questions/9200?tag=nl.e101&s_cid=e101&ttag=e101