1.成本问题
提供商业云计算服务的供应商会根据不同的情况来进行收费,比如有多少使用用户、具体使用了多少计算资源、使用了什么样的服务等。与所有购买的服务一样,企业需要能够看清所有服务的计费情况,尤其是在所使用的云计算服务能够动态扩展资源的情况下。大部分云计算服务供应商都会提供一个应用或接口为用户提供资源计费的具体情况。如果服务提供商不能提供类似的信息,那么企业选择这样的供应桑就很可能会有问题。当然,另外一个与计费直接相关的问题就是服务的收费情况,企业需要做两方面的比较。一个是直接提供服务的成本与一个服务周期内预计服务费用的比较,另外一个就是不同云计算服务商之间收费的横向比较。
2.安全性问题
云计算放大了IT的挑战,原来放在自己服务器内部的一些服务资料,现在要放到云当中,而云当中的应用可能在任何的地方。如何保证用户登录的安全,这个应用能否从某一个点迁移到另外一个点,到底什么人能够看到什么样的信息,看到这些信息的资料多少到底是由什么决定的,所有这些问题都是企业在考虑云计算安全时需要考虑的因素。
从前面IDC的调研可以看到安全是企业采纳云计算时最担心的地方,但是如果在选择云计算服务的时候能够特别关注供应商在安全方面的具体实现情况,并且采用一些安全方面的最佳实践,那么将可以提高企业使用云计算服务的安全性。
公司在使用云计算服务之前应当进行全面的风险评估,其中涉及数据保护、数据完整性、数据恢复和合规性。我们建议企业在评估云计算安全的时候采用类似于金融服务行业的风险管控模式。云计算的风险管控要从安全性、隐私、合规性以及服务的可持续性等方面综合考虑。
企业需要查看云计算服务商有没有相关的安全认证,相关的安全架构、流程和风险管控的方法等具体情况。另外,根据一些国家监管的规定,企业可能还需要了解服务商物理数据中心的位置,以满足企业对数据存储地点的要求。
3.业务心态问题
随着公司允许雇员在上班时使用个人移动设备,并且将传统的计算资源和程序推放至云计算上(有时是在你不知情的情况下),你的力量和影响力正逐步被削减。你必须主动将合理的安全做法应用到快速发展的技术选择上(有时选择还是被非IT部门做出)。这听起来是“不可能的任务”,但你必须这样做。这可能需要制定新的IT政策指导以规避风险因素,因此这里不能有任何错误假设。
4.需建立融洽工作关系
IT安全部门相对IT其他部门通常较小。IT安全依赖于IT职员完成基本的安全工作。安全专业人士可能拥有精通的专业知识,拥有诸如CISSP等许多证书。但这并不代表他们能得到其他人的欣赏或喜欢。尤其安全人员经常是对其他人的项目说不的人士。
而且,不要认为权力结构总是让信息主管作为最高决策者:CIO作为IT项目的指挥官的传统角色正有着基本转变,而首席财务官在IT项目上有着越来越多的最终发言权。一些证据表明CFO甚至不喜欢IT部门。CFO关于安全的见解可能只是像一般人的法律观念–“遵从”.然而,安全专业人士的工作必须是交流,交流,再交流。
5.需应对可能的数据泄漏
一旦敏感数据被盗窃或者被无意泄露,这将会成为一个噩梦。除了技术检测和技术修复以外,我们必须遵守数据泄漏的相关法规。但是究竟是哪一部法律呢?在美国,几乎每个州都有自己的数据泄密法,还有诸如高新技术法的联邦法案,这些法律会影响某些行业(比如医疗行业)。一旦数据泄漏,这就会成为重大事件,而且调查将花费巨大:这要求IT安全经理,IT部门,法律部门,人力资源部,公共事务部等部门的协同合作。公司应该为最坏的情况做好准备,并且在内部进行数据泄漏操练。
6.满足于现有的IT安全厂商
与IT及安全厂商结为亲密的合作伙伴相当必要。但是在任何厂商关系中都存在的风险是:忘记用批判的眼光看待产品及服务,尤其是在与竞争对手相比估量其自身所有之时;或者是在寻求方法解决认证,授权,脆弱性评估和恶意软件保护等基本问题之时。许多厂商正力图转变传统的安全控制至虚拟化和云计算的领域。在某种意义上,现在形势有些混乱,因为IT行业正经历一次彻底改造。但是,那只是意味着我们需要更加大力地推进IT安全以使公司获得其现有与将来所需。