靠一己之力把任意系统或是系统的部分转移至云都是困难的。选择合适的解决方案提供商也是令人怯步的。没错,经验是最好的老师,但是在工作中学习有现实世界的代价。如果错误产生,那些代价可以大到突破公司的底线。这对许多IT管理的职业生涯是有害的。因此当IT从业者想给他们的公司引入一些新鲜事物时,比如云存储合作商,提前做好功课来发现别人怎么做的十分重要。在前线的同事提出的好的建议就是金子。Felix Santos,EVault的信息安全主管,就是云存储前锋线上的一员,并作为eWEEK的指导者挑选云存储合作商。如下是选择合适的合作商的10个步骤。
1、了解供应商安全责任
云提供商的安全责任以不同的服务模式区分。对于提供整个服务的云提供商——基础架构服务(Iaas),平台即服务(Paas)和软件即服务(SaaS)——安全是供应商唯一的职责,包括物理,环境,基础设施,应用和数据安全以及人,流程和技术。与此相反,提供一项服务的供应商,比如亚马逊的Elastic Cloud Compute(EC2)laas,仅对特定项的安全负责,剩下的责任是你的。
2、了解服务等级协议(SLA)和客户服务
阅读SLA——是的,所有的条款——理解它们。SLA为服务提供保障,如果不守承诺,许多供应商会提供补偿。虽然这些优惠表面上很吸引人,但它们不总是等同于优质的客户服务。你真的愿意为了得到保障与成天出错的供应商合作,而不是与一个可靠的供应商合作吗?此外,找一个有行业经验和有可全天为你工作的专门的专家团队的供应商。
3、确保监管要求是当务之急
监管规范是非常复杂的,对于每个环节都充满了测试控制。为了减轻IT部门的负担,选择一个了解不同监管需求的供应商,比如萨班斯法案(SOX),健康保险携带和责任法案(HIPAA)和格雷姆-里奇-比利雷法(GLBA)。此外,你需要找一个获得SSAE-16认证(一个关键行业审计标准)的合作商。作为一种资源,经常参考ISO 27001,CoBIT或其他适用的标准,以帮助您做出明智的决策。
4、这是一个移动的世界:保持你的数据安全
随着流动劳动力的增长,智能手机,笔记本电脑和平板电脑的数据安全是每个组织该优先考虑的问题。移动设备经常携带关键数据;然后,很多企业都不能充分保护它们。Ponemon研究所最近的一个研究发现,在被调查的机构中,只有39%有必要的安全控制手段来减少由不安全的移动设备带来的风险,一旦它们丢失或被盗,将把一个机构置于巨大风险之下。当选择云存储提供商时,确保他们不仅保护你公司的现场数据,同时还要充分保障在离开时使用移动设备的员工。
5、审核供应商的环境
云合作商必须在自己的网络和设备内有优秀的安全措施;它必须保证在没有数据拥有者允许的情况下数据不会被访问。加密也是关键;当数据在你网络产生的时候就应该被供应商加密,在网络传输时受到保护,并加密储存在云上。
5、对潜在的云合作商进行背景调查
在90年代末,一批金融机构形成一个开放的社区,叫做BITS。BITS标准信息调查是评估云供应商的好方法。它涉及业务环境,信息安全,管理安全项目的措施和流程,资产管理,风险管理和适当的事件响应处理。
6、选择一个灵活的解决方案
如果你是一个正寻找外包数据存储的小公司,很有可能随着你业务的增长,你想要把这些服务内部化。一些存储供应商可以使这种过渡更加无缝。一定要评估你的业务需要,不仅是在不久的将来,而是长期。
7、确保数据的抗灾能力
在过去的几年里,由于一系列的飓风,地震,洪水和风暴的原因而造成的数据损失在灾后恢复时引来了更多的关注。当务之急是你的数据备份在了一个远程,异地的数据中心。根据Forrester的企业的灾难恢复预案2011第二季度,“企业不仅在巩固自己的备份网站,还减少了与它们的距离。这对于那些灾难恢复站点离自己很近的公司来说是个危险信号,他们可能受到同一场灾难的影响。”选择一个数据中心远离你主要机构的合作商,而且是绝对安全的一个,这样你肯定能从灾难中恢复。
8、清楚数据保存在哪儿
许多云产品不明确客户数据将保存在哪儿。一些实际上把提供“忽略位置”的云服务当成一种好处。出于规范目的,数据实际的物理位置是非常重要的。此外,如果你正为你的灾难恢复计划使用云存储或企图通过严格的安全检查,那么数据的位置和制定数据访问的机制就十分关键了。
9、好好了解一下成本
成本,因为显而易见的原因,是一个选择云存储合作商的决定因素。尽管它可能看起来像一个简单的评价方法,但其实什么都不是。供应商之间严重缺乏一致性,不管客户付出和得到了什么。功能的不尽相同和虚拟化使得定价模型进一步复杂化。最好清楚地了解你需要什么,你会付出什么和最终的成本是什么。记住,你不需要马上把所有的IT操作转移到云上;云/预置的组合都是一种合理的选择。你的理由是考虑到云可以降低成本,但不适当的规划和一次糟糕的供应商选择,会让你发现自己为不需要或不了解的服务花了冤枉钱。