企业迁移到云服务时审核专业技巧

        尽管云计算对于当今的许多公司来说已经变得司空见惯了,但仍然有些公司正在努力了解其核心业务的哪些组件需要迁移到云端,以及应该采用哪些应用程序或服务。相反,另外一些企业组织虽然已经将其大部分基础设施迁移到云端,但却由于合规性或性能等方面问题而开始感到遗憾后悔。很多时候,上述这些问题其实与企业的云迁移无关,仅仅只是因为其不符合他们的业务需求或目标。

  例如,一些律师事务所,金融机构和制造业公司正在研究采用云计算的混合模式,并在努力寻求机会,通过基于云的应用程序(如Microsoft Office 365)或灾难恢复和在线备份服务(如KeepItSafe)来实现办公现代化。

  在本文中,我们将为帮助广大读者朋友们了解关于如何使您企业得以顺利、安全和经济高效地选择和实施云迁移计划的实用指南,避免常见的陷阱,并了解在审查您企业潜在的云服务供应商时需要咨询哪些问题。

  法律行业杂志《Inside Counsel》在2016年发表的一篇题为《调研显示:现如今的企业认可迁移到云(Survey: Businesses are Okay with Moving to the Cloud Now)》的文章的标题很好地总结阐述了业界在业务流程和心态方面的重大转变,他们对于如何存储和传输其数据非常谨慎。该文章指出,现在有84%的律师事务所非常乐意将业务和数据迁移到云服务中,而仅仅几年前这一比例还仅为68%。此外,超过三分之二的律师事务所表示,他们现在使用云计算工具进行电子计费,而有一半以上正在使用云服务进行事务管理。

  文章中引用了受访者对于越来越多的企业采用云服务的原因解释说:“由于其成本优势,以及无论数据存储在哪里都可以被访问到的便利性,而变得越来越有吸引力。”另一名受访者描述了基于业务需求的云迁移工具:“企业并没有内部专门的法务应用程序团队,所以如果他们想要管理相关数据,需要在云端。”

  随着技术的进步使得进入壁垒不断降低,以及几乎所有行业企业日益增长的竞争压力。迫使企业组织都在积极的寻求简化的操作方式,以减少开销,创造竞争优势。而将内部技术和业务运营转移到恰当的云服务供应商是实现所有这些目标的一种经过了验证的可靠方法。

  然而,太过匆忙地实施云迁移计划项目——而没有首先就任何业务关键功能转移到云的优缺点、企业业务的整体目标,以及任何潜在的备选云服务供应商进行尽职的调查的话,或将使得许多匆忙上马的企业发现在其迁移到新的基于云的过程中充满了各种问题和挑战。

  随着法律行业的企业发现,将关键业务流程甚至企业的整个网络基础架构外包给云服务可以产生显著的业务收益。但是,在做出这样的举措之前,企业客户必须首先学习如何避免在云迁移的过程中出现常见的风险问题以及要求任何潜在的云服务供应商必须提供的相应保障。

  面临如此众多的选择,今天的企业客户要如何利用云计算

  今天的企业在将哪些类型的服务和流程外包给云服务供应商,以及他们在管理这些流程中所具有的控制水平方面具有极大的灵活性。了解您企业可以选择的备选方案以及每种备选方案各自的优缺点对于帮助您的团队做出正确的云迁移决策是至关重要的。

  例如,SaaS(软件即服务)应用程序仅仅是可通过网络访问的第三方软件工具(如Office 365)。对于应用程序本身,以及您企业借助该软件工具所维护的数据通常则存储在供应商的云端。您企业的员工只需通过Web界面访问数据。这些系统通常不需要您企业的团队来进行维护或下载(尽管有时候需要借助插件进行操作),但是它们几乎没有给用户留出多少的定制化和控制的空间。

  请务必牢记,SaaS提供商通常不负责保护您企业在云中的数据。

  我们建议企业客户务必仔细查看合同条款和条件,因为其中会清楚地说明,云服务供应商对您企业在云端存储的数据的安全性不承担任何责任。此外,根据云安全公司Skyhigh Networks最近的一份报告显示,只有9.4%的云端供应商加密存储在其环境中的客户数据。

  借助PaaS(平台即服务)模式,您企业对您的应用程序和流程有了更多的控制(并负有相应责任)。PaaS供应商(微软Azure便是一个例子)将为您企业提供包括了一款操作系统、数据库和编程环境的平台。这意味着您企业的团队可以为您的业务开发定制化的应用程序,而IT团队则可以将大量存储和网络管理工作留给云供应商。

  最后,最灵活的云计算模式是IaaS(基础架构即服务)。使用IaaS(示例包括Rackspace和HPCloud),您企业可以通过一台服务器实现对云服务的完全控制。您企业的团队负责管理操作系统、数据、中间件和应用程序,而您的IaaS提供商则负责处理虚拟化、服务器、硬盘驱动器和网络。实质上,运行IaaS环境就像管理自己的数据中心一样,但却不必自行采购或维护任何物理硬件。

  显然,今天的企业客户有众多的选择,您企业如何迁移到云端;将哪些应用程序和功能外包出去;您企业的团队需要在流程中维护多少款定制程序;以及您企业(或管理您企业所属行业的监管机构)愿意将何种等级水平的数据委托给云服务供应商呢。

  即使您企业已经确定了哪些“即服务(as a Service)”选项适合您的业务云迁移,您仍然必须知道在迁移到云端时要避免的主要错误以及对于任何潜在的云合作伙伴需要查看的内容。

  在云迁移中避免的常见陷阱

  想象一下,您企业将大部分的关键业务数据迁移到云存储供应商之后,然后了解到该供应商即将破产!

  曾经有1000多家企业客户将TB级甚至PB级的数据存储到云服务公司Nirvanix之后就发生了上述情况。而这种在迁移之前缺乏尽职的调查还只是许多企业客户所犯的几大云迁移错误之一。

  《CIO Magazine》的一篇题为《云恐怖故事(Cloud Horror Story)》的文章为我们总结了这些常见的云迁移陷阱:

  1、您的云供应商停产

  当Nirvanix公司在2013年宣布关闭时,该公司只留给其客户两周的时间从Nirvanix的云中迁走所有的数据,许多客户认为这样短的时间根本不够,毕竟自己有带宽限制。市场调研机构Forrester的研究分析师亨利·巴拉塔尔(Henry Baltazar)称,这么短的时间简直是“荒谬的”。

  2、您的云供应商没有灾难恢复计划

  让开发人员可以在云服务器上托管代码的Code Space于2014年遭到黑客入侵。攻击者破坏了该公司的亚马逊网络服务的帐户,并删除了所有用户的数据。然后,曾经的警告成了真正恐怖现实——因为该公司曾发布过一个消息,提醒其用户,他们将无法恢复数据,而且该公司本身正准备停产。

  灾难恢复(DR)计划不仅仅只是一个很好的备份系统。良好的DR计划还应该包括恢复数据,确保对应用程序和服务器的访问等。这就是为什么另一项云服务:DRaaS(灾难恢复服务)受到企业客户如此的欢迎的原因所在了。

  3、您的云服务供应商的流程不符合可接受的安全性和合规性标准

  2015年被称为黑客攻击年,就是因为仅仅在医疗行业所发生的数据泄露事件就影响了超过1.12亿人的私人记录信息。

  企业组织的云基础设施是您的现场数据和计算服务的延伸。这意味着在将任何敏感数据委托给任何潜在的云供应商之前,您需要对他们进行彻底的调研。

  向潜在的云供应商提出正确咨询问题

  在经验、业绩记录和稳定性方面,市场上有各种的云供应商,既有具备数十年来为数千家企业客户提供了满意的服务的专家们,也有不可靠的、您企业决不会信任的将数据交到他们手上的供应商。

  那么,您企业如何确定选择了正确的云供应商呢?通过向供应商提出正确的问题,可以有助于您更为放心的选择。您企业可以参考如下九个调查问题,要求任何潜在的云供应商进行解答:

  1、 贵公司在该行业多久了?

  由于互联网已经降低了多个行业的进入门槛,因此建立小型企业比以往更容易,这也就包括云服务供应商。

  这并不是说,云存储领域的新进入者不能成为您企业可行的供应商。然而,很显然,一家公司从事该领域业务的时间越长,就越有经验,您也就会有越多的证据可以验证他们的业绩。

  2、贵公司的财务状况如何?谁在支持你?

  与将其关键业务数据存储在云提供商Nirvanix公司的1000多家企业客户中,没有任何一家企业客户提前觉察到该公司即将破产(直到现在为时已晚)是不太可能的。

  云服务供应商的财务状况越稳定、资金越充足,您企业就越不可能面临Nirvanix的客户所曾遭受过的可怕经历。

  3、贵公司对企业客户所存储在云中的数据的安全性和完整性将承担什么级别的责任?

  根据云安全公司Skyhigh Networks的调研发现,仅仅只有不到十分之一的云服务供应商会按照标准做法加密客户的数据。许多云服务条款和条件明确规定,供应商不负责保护用户的数据。

  根据云安全联盟的报告显示,一般而言,一名典型的企业员工会将企业数据存储在大约500款云应用程序中,所以确保您企业数据的安全性是至关重要的,您应该实施一项政策,以了解云供应商承担什么级别的责任之前,才允许您的员工将任何企业数据放其服务上。

  4、贵公司对于周边入侵防御是否只是在侦测到一次企图违规的行为时才产生警报,还是主动防止这种入侵?

  您企业的云供应商的周边保护系统应该为其提供关于不断发展的网络攻击、及尝试访问其客户数据库和应用程序的轻量级动态视图。

  仅仅是这种程度的保护是不够的。例如,在将安全系统置于适当位置之前,将恶意文件植入您的存储库,可能已经损害了这种环境。这样的文件可以保持多年未被发现,等待适当的触发来激活它们。为了确保您可以检测并消除这些风险,您还需要询问云供应商是如何扫描和解决这些威胁的。

  目前用于定位和排除休眠恶意软件(通常被称为“深度防御”应用程序工具)的复杂工具也应该成为云供应商服务必备的一部分。因此,企业客户务必要咨询潜在的云供应商是否在标准流程中使用了这些工具,并将它们集成到了备份和恢复应用程序中。任何没有这样做的供应商都不应该进入您企业的备选列表。

  5、贵公司采用什么级别的物理安全保护数据中心或托管设施?

  到目前为止,我们一直专注于技术安全措施,如加密和条款,包括供应商所应承担的数据保护责任的级别。

  但是,真正值得信赖和安全的供应商将在存储您企业数据的地方拥有大量冗余的物理安全措施。将可信赖的供应商与较小的供应商区别开来的是:物理、现场安全需要的投资和基础设施——而大多数云服务供应商根本就没有这样做。

  您企业正在寻求的供应商应该采取了这样的措施:例如,在数据中心的现场安排了保安人员确保物理设备的安全,理想情况下应该是24/7全天候的;他们还需要采用身份验证措施来验证访问(例如徽章),甚至可以生物识别读取器,如指纹或视网膜扫描。并且您将希望他们有24/7全天侯不间断的对于相关设备的视频监控。

  最后,您企业将需要存储冗余——理想情况下,您企业的数据将位于两个不同的地理位置,如果一处数据中心发生中断或遇到其他灾难,则可以进行故障转移功能。

  您会发现,大多数供应商根本无力为您的数据提供此级别的物理安全。但是,那些可以提供这种级别安全服务供应商则可能是您值得选择的。

  6、贵公司获得了哪些安全和合规性认证?

  这是务必要提前询问您企业任何潜在的云供应商的关键问题。如果您的供应商将您信用卡处理数据存储在非现场数据中心,那么请务必确认他们是否成功通过了SSAE-16 Type-2审核(这表明他们采用可充分的措施来解决数据的可用性、安全性和机密性),是否采用强大的SOC控制报告?此外,贵公司是否遵守某些法规规定(例如:数据无法进入或离开美国本土)?

  供应商是否符合PCI-DSS认证,是否遵守支付卡行业所监管要求的足够的数据加密和安全流程?是否根据ISO-27002:2013标准对最佳实践做法进行了审查和测试,使之符合国际标准组织的信息安全管理实践准则。

  最后,如果您企业属于受管制的行业;或者您企业需要处理客户的个人身份信息(PII)或受保护的健康信息(ePHI),您务必要询问将要负责存储这些数据的任何潜在云供应商,确认他们的流程是否符合相关规定,如HIPAA,GLBA或SOX。

  7、贵公司将用什么加密协议来传输我们的数据?

  您企业所应该要求的不仅仅是当今所使用的最先进的加密标准——传输层安全(TLS)。一些云供应商可能还在使用过时的安全套接层协议(SSL,Security Socket Layer)来传输您的数据,该SSL现在被认为易受攻击,特别是易受中间人的攻击。

  其他某些供应商在数据传输过程中根本不会使用任何协议来加密您的数据。

  将您的数据交给任何未使用当前最复杂的加密技术的供应商不仅有风险,还可能使您的公司陷入违反监管机构规定的错误。请记住,诸如HIPAA,SOX和GLBA等数据隐私规定要求采用“合理的措施”来保护传输中的敏感数据。无法对这些数据加密(或使用现在已被广泛认为不足够的协议进行加密)可能会使您企业不符合上述这些规定。

  8、贵公司的云服务包括什么级别的技术支持?贵公司的支持工程师如何培训的?

  这是另一个可以帮助您企业将真正的专家与经验较少、不太稳定的供应商区分开来的一个问题。

  一家值得企业客户信任的云服务提供商将全天候配备训练有素的支持专业人员——随时可以通过电话、电子邮件或即时聊天工具联系到。当企业客户遇到数据灾难或任何类型的故障或将影响到您企业正在进行的业务操作的至关重要的功能时,企业客户在联系其云服务供应商以寻求获得帮助时最不想要听到的无疑是语音邮件服务了。

  9、企业客户的云服务帐户的活动如何被监控和记录?

  对于记录和监管目的,确保企业客户的云服务供应商会跟踪您帐户中的所有活动,并且可以随时向您提供完整的审计跟踪是非常重要的。

  更好的情况则是,企业客户应该尽可能寻找可靠的云服务供应商,其平台包括管理员门户,可让您和您的团队随时在线访问全面的审计跟踪,并直接从该门户生成使用报告。