云计算用户正在将他们对云计算的关注重点从云优势向云劣势转移。毕竟云的优势是显而易见的,比如快速扩展和配置的能力,但是本文探讨的重点是云计算缺失的部分,毕竟这些不足正在呈增长态势。
云计算缺乏数据处理和安全实践的标准,甚至没有关于厂商是否有责任告知用户他们数据存储地点的规定。整个行业内部只有某些组织在关注这些问题,比如云安全联盟等。
云计算行业具备西部拓荒时代新兴城市的某些特点。但是云计算本身的概念就令人抓狂。看起来这是一个激发越来越多争议的名词,特别是在本周举行的SaaScon 2010大会上尤其如此。
这种对云计算标准缺失的失望随着云服务在企业领域生根发芽而逐渐蔓延。以Orbitz为例,这家涉猎多个领域的大型旅游公司经营的服务范围日渐广泛,比如安排高尔夫开球时间,预定音乐会和全国巡演等。
随着很多公司都开始转向云服务,Orbitz公司也成为云服务提供商和以云为基础的软件即服务产品的用户。Orbitz公司首席信息安全官爱德华.埃利斯非常信任软件即服务,他认为云服务将有助于公司的发展,帮助公司将重点集中在提高核心竞争力上。
但要提供软件即服务,Orbitz公司就必须解决涉及各个行业用户应尽审查的需求,各个行业用户涵盖从现场审计到数据中心审查的各个方面。
可行的解决方案就是由云安全联盟正在研发的安全数据标准,云安全联盟计划将数据采用通常的模板,让用户了解目前数据的安全状态,埃利斯表示。
埃利斯认为"如果大家可以在这份标准上达成一致,就可以将应尽审查的工作量减轻三分之一",但是埃利斯也不知道这份标准何时或者是否可以达成,因为这方面的工作将涉及大量的用户和提供商。
在SaaScon大会的采访和座谈会上,行业标准协议的需求是显而易见的。云服务后面的需求就是灵活性,快速扩展和配置服务器的能力,与厂商达成的合同可能中心都是围绕灵活性展开的,别无其他,电子处方服务提供商Doctor Dispense的运营部副总裁基斯.沃尔夫解释说。
沃尔夫提到了之前为他们提供升级服务的一名服务提供商,他的服务水平协议就规定只能使用他们的软件和最初签约的硬件设备。
此类由云提供商提供的协议都是这种由厂商实际主导的,沃尔夫表示。自那以后,他将公司的服务转移到位于加利福尼亚州Sacramento市的StrataScale公司,因为这家公司可以让他使用行使实际管理权的专用硬件设备。
比如洛杉矶市这样的大型云用户与谷歌达成使用其Google Apps服务的协议应该就违反了其保密协议,这份协议忽略了赋予他们知情权和执行权的条款。
云安全联盟的创始人吉姆.瑞维斯表示,但是许多其他用户没有这种权利,在很多情况下,云提供商甚至都不提供所需的登录等来证明其违反协议规定的信息。
Security Risk Management的总裁杰夫.赛普表示,云市场必须定义自己的需求,因为目前厂商正在推动这种服务。
估计当整个行业就设定数据处理级别达成协议时,流程和安全方面的问题依然有待解决。