取消
显示结果 
搜索替代 
您的意思是: 
cancel
2643
查看次数
0
有帮助
2
评论
julianchen
Spotlight
Spotlight
引言:为了确保实现成功的云部署, 云计算治理与合规的各种过程必须包含所有必要的考量因素。

云计算的治理与合规之所以至关重要,其关键原因在于:云计算影响到了我们的业务以及个人生活的很多方面。作为消费者,我们认为Dropbox的连接和对于在线图形程序的使用已是无处不在了。而作为商务人士,我们都在使用各种云计算的应用,比如在CRM领域使用着Salesforce,在生产率方面使用着MS Office365,以及使用Box来实现文件共享。

然而,这是有个事关64000美元的问题:你的企业知道如何去协调多个云计算服务的成本、工作流及合规吗?可能并不一定吧?如果只是有限规模地采用了云应用的话,这些可能都是一回事。但是当公司决定大力投资云计算的时候,那么IT和其所对应的治理与风险管理就必须去适应一个复杂且全新的现实了。这种现实就是所谓的云治理。

什么是云计算?我为什么需要治理?

最简单的云计算定义是为最终用户提供基于云的服务。云计算可能是私有的、公有的或是两种的混合组合。主要的云计算服务模型包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)。但是,无论你的业务使用的是公有的、私有的还是混合的云计算,适当的治理对于从云中获得最大收益,以及监控到一系列关键的安全问题来说都是至关重要的。

云治理和IT

云计算虽然为客户提供了高效的收益和成本优势,但是引入云计算的战略却并非是一个简单的操作。而这正是云治理的切入点:它是一个使用简便的、整合的、且以成本控制的方式来实现对多个云计算服务进行管理的过程。

云治理管理着IT的各个过程,以从云计算的投资中获得最大价值。虽然在建立云治理之初,需要花费时间和资源,但是它最终会给IT所花费在云计算的过程和框架管理上的成本带来大幅的节省。

云治理需要整个业务范畴的主动支持,因为它涉及到了合规人员、风险经理、高级管理层以及IT全员。当然,云治理最贴近的还是那些负责云计算的IT人员。

让我们来看看COBIT模型,它为整体业务范畴和特定的利益相关者(包括IT)颁布了五个基本过程。它们涉及战略一致性、交付价值、资源管理、风险管理和衡量绩效,这五个过程领域。


  • 战略一致性:将云计算服务与业务和IT战略规划相连接。云计算应该作为IT战略资产价值的体现。治理框架鼓励IT和业务部门去细化云计算的战略业务目标。IT通过建立标准和具体的职责来与业务保持一致,并且跟踪每个云计算服务的具体目标。


  • 交付价值:转移到云计算之后,原有的治理框架的状态可能被有所破坏。IT和高管们需要阐明其战略的价值主张和可测量的结果。重点应放在降低成本和对用户效益的清晰沟通之上。


  • 管理资源:在云治理项目的初期应仔细规划各种资源。包括人员、应用程序、业务信息以及本地的计算基础设施等。


  • 管理风险:根据合规要求、盈利能力和员工满意度来阐明并管理风险,使得所进行的风险管理能够将负面影响最小化、而效益最大化。


  • 衡量绩效:为项目的管理与完成,资源、新的过程以及交付等建立追踪机制和监控指标。


云治理和技术领域

IT在云计算中的责任还包括另一个简单的治理问题:是否起到了效果?每个云计算应用都需要围绕SLAs(Service-Level Agreement,服务水平协议)去满足三个主要的技术领域:服务质量、应用集成和安全,而其中最大的挑战就是:安全。

服务质量:性能、延迟、可用性

云计算服务由提供商的远程数据中心所运作。这就意味着供应商和企业必须最大限度地提供有效的吞吐率性能和最低的延迟,并且能够对其可用性和持久性签署具有实际意义的服务水平协议(SLAs)。

可接受的性能和低延迟取决于有效的应用程序代码、足够的带宽、地理定位、快速的服务器、以及在云端和本地的存储吞吐率。应用的可用性和数据持久性同样也是关键的问题。持久性对于横跨多个设备和网站,并提供数据冗余的云提供商来说并不难以实现(所有三大公有云的提供商都能提供高达11个9,甚至是0%数据丢失的担保)。而可用性则是另外一个不同的问题了。请务必查看云提供商各个应用程序的平均在线(正常运行)时间,并了解一下他们在服务中断时是如何修复的,尤其是那些发生了不止一次的类似中断。

应用集成

要理解应用程序的集成,我们得先来看一个例子:一家软件开发公司在Oracle Cloud(甲骨文的云服务)PaaS上开发了一个SaaS的应用。他们的销售人员使用Salesforce.com来跟踪广告宣传和销售漏斗。AWS Marketplace(亚马逊的云应用商店)是其主要的产品分销渠道,因此他们的许多订单都将链接指向那里。而购买信息则回馈到一个本地的甲骨文财务数据库中。

云服务和本地应用之间可以有、也可以没有各种内部的集成点(甲骨文的云适配器实际上就与Salesforce相集成)。云计算治理平台鼓励IT去发现那些现有的集成点,跟踪集成的依赖关系,并对不理想的集成进行调优。

安全

有关企业与云安全的消息如今常被见诸报端:黑客和恶意软件的各种攻击性尝试比以往更加猖獗了,而且一个黑客就能影响到上千名员工,甚至是上百万多个用户。云服务提供商的数据中心当然不会神奇地免受此类攻击的影响。而事实上,云计算模型也有着其自身的弱点。

首先,云计算将其各种客户的数据汇集保存在了单个文件中,而且在一个物理位置上存放着大量的数据集。几乎可以肯定的是,云提供商都已建立了数据冗余和防丢失的机制,但是黑客的攻击仍会导致大量的数据被下载和转卖。以往,一个公司在其单个员工的电脑上遭遇到某个恶意软件的渗透时,只会经历一场单独的灾难;而当该恶意软件渗透到一个提供云服务的数据中心时,它就会危害到多个租户的数据了。

各个公司必须对云提供商的安全做好仔细的尽职调查工作。了解他们如何保护自己的数据中心以应对物理灾难、电力故障、物理上和数字上的入侵。加密是一种重要的安全措施,从而使公司实现了不再单单依靠提供商所的保护措施。请认真考虑使用多因素的身份验证工具,来防止未经授权的用户访问。同时,你也要询问云提供商是如何保护客户数据的,以应对其员工的错误或故意的渎职行为。

云合规

相对于流程管理,云治理更多的涉及到了法律和监管问题。可见,只要你把受监管的或是敏感的数据存储到了云端,云合规都将是一个非常重要的挑战工作。请询问你的云服务提供商是如何遵守政府和行业规定的,并寻找那些通过了认证的、且能够提供专业信息安全团队的数据中心。同时,请弄清楚你的云服务提供商是如何支持各种跨境调查的。这里帮你罗列出了一些值得询问的问题:


  • 你们是如何遵守政府和行业规定的?当你把受监管的或是敏感的数据存储在云端时,你需要知道你的提供商的合规水平,例如是否遵循着HIPAA和PCI DSS?记住,你仍然对整体的合规负有主要责任,而你的供应商则应该对数据的存储和隐私的法规负有部分责任。


  • 我将如何确保我的数据的可呈现性和可恢复性?可恢复性的保证对于存放在云端的数据是非常重要的,尤其是那些在线的生产数据。SLAs里应该涉及到数据可用性和持久性,以及对数据保留需求的正确遵守。


  • 你是如何确保我的数据安全的?大多数合规性的标准都包括有物理和数字方面的数据安全。请验证你的云服务数据中心的物理安全和数字信息安全。要求他们提供年度审计和规范存储实践的报告,例如索取诸如SSAE-16的安全评级。询问多租户环境中的隔离策略,包括入侵安全和邻租户干扰管理(noisy neighbor management)。记住,加密和用户访问控制都是至关重要的安全措施。


  • 你支持跨境的调查吗?当你在从事于跨境调查的时候,你需要遵守不同国家和地区的数据隐私法。例如,一些欧洲国家需要将敏感数据保留在其境内,或至少在欧盟的地理边界之内。欧盟新颁发的通用数据保护条例(GDRP)甚至会有更加严格的数据安全和隐私要求。然而大多数在华被诉的外企,则很容易是因为研究人员违反国家机密法所致。当你在考评云计算服务的供应商时,要确保他们有足够知识和能力将你的数据存储在区域数据中心之内。还要询问他们是否能够帮助你在国与国之间迁移那些被遴选出的数据集。


如今,大多数公司已经用到了云计算服务,而且在此之上增加更多的云服务似乎也不是什么挑战。但是进一步深入使用云计算则可能会给你的基础设施、员工、以及战略目标等带来巨大的影响。请采用云治理来为业务进行云计算方面的整合和优化吧,这将对于你的业务来说是有百利而无一弊的。

【原标题】Cloud Computing Governance and Compliance (作者: Christine Taylor)

原文链接:http//www.datamation.com/cloud-computing/governance-and-compliance.html

评论
SMG-SH
Level 7
Level 7
个人信息已经完全暴露了
byl_qware_com
Level 8
Level 8
学习一下!!!!!!!!!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接