在最近一次向大型組織的IT專家們做得演講中，筆者解答了一些有關(guān)私有云計算的問題。談話過程中，話題很快被轉(zhuǎn)向了公共云計算。

這是經(jīng)常發(fā)生的事情，特別是在一群不完全明白二者概念的IT專家之間。二者的不同實則源于情感，而并非技術(shù)上的差異，這著實讓我也有些吃驚。說白了大型組織的IT并不信任任何人。

指責(zé)似乎落在了合法的潛在風(fēng)險和為大型組織提供IT需求的供應(yīng)商身上。

在我看來，正是這種觀念讓許多大型組織止步于公共云計算。不論你在考慮何種形式的公共云計算，大型組織的內(nèi)部文化和流程都不適合擴展其上。

主要需要處理的就是數(shù)據(jù)安全性和數(shù)據(jù)所有權(quán)的問題以及一些行業(yè)和政府條例。早在公共云概念進入大眾視線之前，某些規(guī)則和安全策略就已經(jīng)建立起來。多數(shù)情況下，這些規(guī)則禁止存儲，處理或是數(shù)據(jù)傳輸?shù)椒枪�司所有的財產(chǎn)上。

暫時忽略這些有關(guān)安全策略或是法規(guī)遵從需求的細節(jié)，讓我們思考一下如何來克服這些障礙。聆聽他們的意見，多半人只是喜歡云計算，你會聽到同樣的爭論：

* “我們不能保證在云服務(wù)上的數(shù)據(jù)安全�！�

* “我們不能保證在云服務(wù)上滿足法規(guī)遵從。”

* “我們不能保證在云服務(wù)上禁止不當(dāng)訪問�！�

由于滿足安全策略，實現(xiàn)法規(guī)遵從，他們所保證的問題是絕對有效的。問題是，能否有機制促使實現(xiàn)所說的策略。

夢想云計算可以實現(xiàn)法規(guī)遵從

在我們的行業(yè)內(nèi)，鮮有人敢稱自己是法規(guī)遵從上的專家，大多數(shù)人都知道如果在配置和維護系統(tǒng)時能服從特定的商業(yè)流程，他們會在審計時獲得不錯的評級。

實現(xiàn)安全和法規(guī)遵從既是合同上也是技術(shù)上的事情。試想一下，你的業(yè)務(wù)受一些像Sarbanes-Oxley（SOX）的規(guī)則影響。對每個設(shè)備和服務(wù)，你將需要一系列活動來保證規(guī)則的遵守：啟動防火墻、配置事件日志設(shè)置、限制權(quán)力和權(quán)限等等。完成這些步驟，并確保他們沒有被改動才意味著實現(xiàn)了要求。

但誰說另一方就不能在你的利益前提下完成這些活動？誰說對方就不能合法地按合同證兌現(xiàn)承諾？如果外方可以提供一個合法，按合同實現(xiàn)SOX的證明，難道還不夠滿足你的審計需求嗎？

你已經(jīng)在幾個方面這樣做了。你把IT管理任務(wù)交給外部承包商，承包商工作在你的范圍內(nèi)，卻并不是你的雇員。從法律的角度看，這樣的公司/承包商關(guān)系和公司與云服務(wù)供應(yīng)商的關(guān)系之間并沒有很大差異：他們履行服務(wù)，按照合同兌現(xiàn)承諾。反過來，你也給了他們自己應(yīng)用的鑰匙。

不管怎樣，一定程度的審計是需要的。面對云計算時，假如審計由供應(yīng)商的審計人員完成，結(jié)果會關(guān)聯(lián)到你自己的結(jié)果。如果每個審計員都獲得相同的認證并遵守相同的規(guī)則，這將會是一個完美的世界，這樣的聯(lián)合審計可以是有效的。

我們可能不會有這樣的條件，出于天性，安全和法規(guī)遵從常常是跟蹤功能。這說明，這顆種子的未來狀態(tài)已經(jīng)被限制。在今年1月，美國國家標(biāo)準與技術(shù)研究院（NIST）發(fā)布了它的第一份有關(guān)云計算的特別文獻。目前還處于起草階段，該文檔概括了NIST對云計算的定義和交付高等級的指南，指南介紹了移入或移出公共云服務(wù)所需考慮的事項。

最后，供應(yīng)商承諾服從法規(guī)遵從就足夠了嗎？可能。希望這樣的承諾可以很快地提供必要的法律支持來促進云計算被大型組織采納。轉(zhuǎn)移的經(jīng)濟基礎(chǔ)已經(jīng)建立了，剩下的就是信任問題了。

標(biāo)簽： [db:TAGG]

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。