混合IT基础设施,包括云和非云系统,将成为许多公司多年的常态。从三位早期云用户那里了解关键的云安全问题和解决方案。
对于所有关于公有云与私有云的讨论,许多组织很可能最终使用混合的IT环境,其中包括两种类型的云以及非云系统和应用程序——至少在未来几年是这样。
安全仍然是许多cio关心的问题,但如果商业案例支持它,公司将会把除了最敏感和高风险的数据以外的所有数据转移到云上。那些已经开始将云环境和非云环境结合在一起的高管们说,他们已经采取措施确保安全是早期考虑的因素,已经在服务水平协议和合同中包括了安全条款,并努力维护兼容性和安全集成。
还可以阅读2011年云安全趋势
业内专家说,尽管对安全的广为人知的担忧,混合IT环境可能会吸引许多企业,特别是跨国企业。
“混合云模型在大型组织中很有意义,”加州圣克鲁斯市市场研究公司Evans Data的首席执行官詹内尔•加文说。随着安全担忧的减少,许多公司可能会将更多的计算资源转移到云上。但有些公司可能会在未来几年保持混合模式。”
面向外的应用程序,如协作、通信、客户服务和供应链工具,是云计算的优秀候选者,而像金融和客户数据这样的信息更有可能驻留在内部。她补充道:“大多数公司还认为,存储和应用程序的备份仍应保留在内部,即使数据和应用程序驻留在云里。”
信息安全研究公司IANS research负责研究和服务交付的高级副总裁克里斯•席尔瓦(Chris Silva)说,就在几年前,进入云计算的风险还大多是实验性的、暂时搁置的项目,企业不会信任关键数据。今天,“我们看到更多的东西呈现出云的味道,”Silva说。
Silva说,越来越多的企业看到了为繁忙时段(如假日购物季或财务报表期)提供更强处理能力的服务的价值。“这已经从边缘活动变成了主流。”
进入云:业务案例规则
可以肯定的是,一些公司仍然不愿意为客户和其他敏感数据使用云,因为他们有安全和法规遵从性方面的顾虑。然而,企业正在通过云计划向前推进,而且,就像其他重要的IT投资一样,关于是否使用云以及采用哪些服务的决定通常取决于是否有强大的商业案例。
“经济学和业务需求要确定什么停留在内部部署与生活在云中,”道格Menefee,CIO在舒马赫集团,这在美国医院提供急诊室管理服务说。
2006年,Schumacher开始将应用程序转移到云上,Menefee估计,目前公司90%的流程都是基于云的服务。
Menefee说,有些是托管服务,有些是软件即服务(SaaS)。“我们有一种混合的方法,其中大多数解决方案通过Web服务相互集成,或者与本地解决方案集成,”他说。
确保云安全舒马赫与它的每一个供应商的合作,以审查其安全和审计程序,确保它们符合HIPAA和卫生信息技术对经济和临床健康(HITECH)法案。“我们有我们的商业伙伴协议,我们与谁可能访问患者数据的任何供应商的标准合同语言的一部分,”他说。
该公司总部位于洛杉矶拉斐特(Lafayette)。在美国,到云计算是一种认识,它的数据中心很容易受到黑客的破坏雷竞技电脑网站主要飓风就像卡特里娜和丽塔一样,梅内菲说。他说,云服务提供商有很多雷竞技电脑网站数据中心全国各地。“评估数据中心的足迹和雷竞技电脑网站地理位置是我们尽职调查过程的一部分,”梅内费说。
其他激励因素包括方便地扩展或缩小容量的能力,以及更快地向用户交付应用程序的需要。
通常情况下,当Schumacher决定一个应用程序是否应该进入云计算时,Menefee说:“云计算会胜出,因为我们可以让它比本地应用运行得更快。”“此外,供应商的sla和季度更新使我们在创新、特性和功能方面处于领先地位。”
新泽西州莫里斯镇的莫里斯学区也将商业案例应用到云计算决策中。该地区正在使用AppRiver提供的云服务来管理其电子邮件安全,包括垃圾邮件和病毒过滤。该公司正在为其主要的学生信息系统实现另一项云服务,该系统用于评分、考勤、日程安排、健康记录管理和公交协调等任务。
该学区的技术主管蒂姆•麦克达德(Tim McDade)表示,该学区选择将部分IT基础设施和应用程序(如预算、人事和工资系统)排除在云计算之外。麦克达德说,他之所以止步不前,部分原因是人手不足。
他说:“我们正在推出新的基于云计算的学生管理系统,同时做额外的(关键的)系统太多了,一次承担不起。”“这涉及到很多用户的培训,学生信息系统是一个主要的系统,实际上是我们运行的最重要的系统。”
是什么因素在决定要放什么东西在云中,当什么时候小区考虑?“钱,需要对最终用户的培训时间可在技术上实现[服务]和时间,”麦克达德说。
使用电子邮件安全的云服务可以节省人力成本。McDade说:“与托管解决方案相比,在内部运行、维护和备份这些系统的时间和金钱都是一笔巨大的成本。”他说,在过去,当重大病毒通过电子邮件爆发时,“我们或多或少不得不放弃在内部服务器上追踪病毒的所有工作。”
McDade说,在公司内部发现并解决电子邮件问题的过程耗时数小时,而且对公司运营造成了破坏。对于基于云的应用程序,供应商将处理所有必要的过滤。他估计,通过使用云服务,该地区每年至少可以节省2万美元。
罗林斯集团,医疗和药品要求恢复服务提供商,也有混合IT环境。虽然非云系统处理高度敏感的数据,该公司采用多种云,其中包括一个内部的一些600个系统形成一个网格,支持数据库访问和数据挖掘应用。
内部云的房子保健客户端的数据凯文领地,在罗林斯IT高级副总裁说。该网格,罗林斯推出大约一年前,已帮助该公司处理其不断增长的数据处理需求,他说。
兰德格雷夫说:“对我们来说,这主要是客户的舒适度和认可问题。”“我们和客户的协议非常具体,关于我们如何、在哪里存储他们的数据,以及访问数据的过程。我们需要进一步从政府指导,围绕“最低必要”是什么意思的传输数据在高科技的HIPAA商业伙伴,以及它如何可能影响电子健康记录的传播,我们愿意让客户批准之前存储数据以外的设施。”兰德格雷夫说,当一个受hipaa保护的实体向云提供商披露受保护的健康信息时,它就面临着根据HITECH法案违反联邦数据安全通知要求的风险。(CSOonline安全法律,规例及指引目录提供这些及其他规定的摘要及全文连结。)
在大约一年半的时间里,该公司一直在使用一家主要供应商提供的外部云服务(罗林斯不愿透露具体是哪家供应商)。该服务支持多个应用程序,包括处理罗林斯为一些非医疗客户端运行的网站。兰德格雷夫表示,该供应商使罗林斯能够根据自己的需求轻松地扩大或缩小产能。
兰德格雷夫说,在考虑外部云时,要考虑数据量。他说:“这是成本和处理速度问题的主要原因。”“显然,安全永远是最重要的,但如果未来确定这不是一个问题,数据集的大小……是主要因素之一。
罗林斯目前正在评估来自微软、Rackspace和IBM等供应商的云服务,以帮助处理其快速增长的数据处理需求。但兰德格雷夫说,公司内部拥有几百tb的数据,其处理需求使得这些服务在目前的月度定价结构下成本过高。
“到目前为止,对于我们所说的数据集的规模来说,使用云计算的成本要高得多,”他说。“它很快就变得成本高昂。”
云安全、遵从性和集成
一旦公司做出部署云服务的决定——或者甚至在他们做出决定之前——他们需要确保有足够的安全措施来保护云中的信息。“到目前为止,安全是最大的问题,可以在各个层面解决,”Garvin说。
例如,软件开发人员可以学习在创建应用程序时使用的技术,以消除一些安全威胁,例如SQL注入,而其他安全保护措施可以在硬件中实现。我们的想法是最强大的安全将不得不来在硬件层面,因为它总是能够在云中破解代码。”
Garvin说,最令人印象深刻的硬件解决方案之一是英特尔的可信执行技术,该技术提供处理器级扩展,以创建许多单独的执行环境,即分区。她说,这在云安全方面很有用。“它还提供了安全的密钥生成和存储,并在执行时检查BIOS以检测篡改,”她说。
IBM也一直在做,在嵌入式系统和移动设备作为它的智慧地球的驱动器,加文说,部分芯片组类似的东西,这些可能与云客户端安全帮助。“内置功能在芯片组中提供类似密钥,证书,数据和校验和与安全相关的数据的硬件存储,并且还提供了加密和解密的一些帮助,”她说。
席尔瓦说,企业评估的可视性,控制和安全的地点在云提供商的水平这是特别重要的。“最大的威胁是[不]了解风险的供应商带来的表,”他说。
供应商评估的一部分,应该探索它的基础设施,这可能是专用或其他客户共享,席尔瓦说。如果它的共享,有什么其他的客户采取可能把你的信息或隐私处于危险之中行动的风险?公司使用云服务应该在现有基础上评估供应商的风险,他说,不只是一开始。
建立强大的安全还包括编写安全需求与云服务提供商和跟进,以确保这些要求被满足的合同。为了彻底评估其外部云供应商的安全态势,罗林斯看了又看文件,以确保供应商到位有适当的控制,并监视他们。
另请参阅云安全的生存指南
Schumacher依靠基于云的安全工具来保护云中的数据,包括它的身份管理和单点登录(SSO)应用程序。Symplified提供了一个集中的服务,用于处理身份和访问管理,在Schumacher使用的所有云应用程序上执行安全策略,并审核遵从性报告的使用情况。
“该SSO做法带来更高的应用程序采用和更少的密码存储在便签上,” Menefee说。“这将是不可能为我们的员工要记住所有我们已获得许可的系统的唯一凭证。”
监管遵从性是云计算的另一个关键问题,对于医疗保健和金融服务等行业的公司来说尤其如此。
Menefee说舒马赫组询问的隐私和机密性保证了所有的服务,商店或可以存储病人的健康信息。“我们要求每年为我们的尽职调查过程的一部分,在各种标准认证,”他说。
罗林斯还对数据隐私和安全的敏感,因为其客户是医疗行业,其中有关数据访问和存储的规定也特别严格。但它超越了法规,他说;罗林斯在道义上有义务保护的信息的完整性。
“我们的数据在内部具有很高的保密性的要求,因此我们必须绝对确保网站自己和我们之间的管道和网站是安全的”能够认真考虑使用云计算为医疗保健数据之前,领地说。