【51CTO.com快譯】當(dāng)Carolinas HealthCare系統(tǒng)的腫瘤學(xué)家在腫瘤委員會(huì)進(jìn)行審查前討論患者病例時(shí)，表示他們正在尋求有關(guān)治療計(jì)劃和臨床試驗(yàn)的反饋。這些醫(yī)生在演示過程中展示了基因數(shù)據(jù)、病理報(bào)告、實(shí)驗(yàn)室結(jié)果和醫(yī)生的筆記。而所有內(nèi)容都是通過指尖點(diǎn)擊就完成了，因?yàn)檫@些數(shù)據(jù)都存儲(chǔ)在了Azure的Hadoop云中。

這是非盈利性醫(yī)院網(wǎng)絡(luò)第一次進(jìn)入云計(jì)算，也體現(xiàn)了CHS對如何保護(hù)和管理其云端數(shù)據(jù)的一些細(xì)致地考慮。這家醫(yī)療服務(wù)組織擁有員工62000多人，在東南亞經(jīng)營39家醫(yī)院和900個(gè)其他醫(yī)療機(jī)構(gòu)。

對此，CHS信息和分析服務(wù)(IAS)副總裁Chris Danzi表示，CHS需要解決的兩大問題是網(wǎng)絡(luò)和治理問題。管理內(nèi)部和外部數(shù)據(jù)之間的一個(gè)顯著區(qū)別是：在云端，數(shù)據(jù)可能會(huì)在數(shù)百英里之外。Danzi指出：“你正在談?wù)撨h(yuǎn)程移動(dòng)數(shù)據(jù)，所以你必須有一個(gè)電路和安全的網(wǎng)絡(luò)來連接。”為確保每天晚上都能夠準(zhǔn)確無誤地將云數(shù)據(jù)傳輸?shù)皆铺峁┥棠抢?，光這數(shù)千兆字節(jié)的傳輸就要求他們必須與電信運(yùn)營商購買一條安全的醫(yī)療保健網(wǎng)絡(luò)專線。

在將數(shù)據(jù)遷移到云端的一年中，CHS一直在使用一個(gè)VPN，來實(shí)現(xiàn)與Azure的私有連接。同時(shí)該線路也用于其Office 365系統(tǒng)。“另一件你必須考慮的事情是，我買這條線路不僅是為了獲得更好的速度，還必須為需要實(shí)時(shí)訪問的互動(dòng)用戶分段，以及將要做的大批量文件傳輸。” Danzi解釋說。

他認(rèn)為，在云中管理數(shù)據(jù)不同于在內(nèi)部管理數(shù)據(jù)，包括在員工技能方面，都需要考慮如何設(shè)置數(shù)據(jù)治理計(jì)劃以及如何啟用部分技術(shù)基礎(chǔ)架構(gòu)。

Danzi說：“從可能試圖竊取您的數(shù)據(jù)的人的角度來看，這些領(lǐng)域都必須完全重新考慮。我們已經(jīng)掌握了很好的內(nèi)部部署，現(xiàn)在我們正在傳輸數(shù)據(jù)并將其存儲(chǔ)在不同的地方，所以我們必須重新考慮它。你必須不斷去重新思考，因?yàn)槊刻煳覀兌紩?huì)聽到一些新的，更為聰明的方式能破譯數(shù)據(jù)。”

更多公司選擇了外部數(shù)據(jù)存儲(chǔ)

毫無疑問，云已成為許多組織的IT和數(shù)據(jù)環(huán)境的組成部分。IDC數(shù)據(jù)集成軟件研究總監(jiān)Stewart Bond表示，最近的IDC調(diào)查顯示，越來越多的組織正在將數(shù)據(jù)整合到混合和僅云環(huán)境中，而不是將數(shù)據(jù)嚴(yán)格地保留在內(nèi)部。

“云中數(shù)據(jù)可以是SaaS應(yīng)用程序，PaaS系統(tǒng)或包含在IaaS中實(shí)現(xiàn)的數(shù)據(jù)庫和文件服務(wù)器。”Bond表示，在SaaS應(yīng)用程序中訪問數(shù)據(jù)通常需要使用API，使用Web服務(wù)訪問數(shù)據(jù)與使用SQL腳本與關(guān)系應(yīng)用程序數(shù)據(jù)庫非常不同。

“在PaaS環(huán)境中，實(shí)施將決定是否需要Web服務(wù)API，或者如果使用SQL或NoSQL方法來訪問數(shù)據(jù)。”Bond說，在IaaS環(huán)境中的數(shù)據(jù)可能可以使用也可用于內(nèi)部部署數(shù)據(jù)源的編程結(jié)構(gòu)來訪問，但該訪問需要通過安全通信通道進(jìn)行。無論如何，主數(shù)據(jù)管理技術(shù)有助于在多個(gè)不同的數(shù)據(jù)孤島之間進(jìn)行調(diào)和。

技術(shù)業(yè)務(wù)管理(TBM)理事會(huì)的新任總裁Erez Yarkoni表示，在考慮如何管理云數(shù)據(jù)的步驟時(shí)，首先組織需要非常仔細(xì)地規(guī)劃網(wǎng)絡(luò)容量。

“當(dāng)我們的數(shù)據(jù)中心的數(shù)據(jù)是正確的時(shí)候，我們所理解的顯而易見的事情正在發(fā)生變化，基本上是擴(kuò)展你的網(wǎng)絡(luò)足跡，你必須非常小心你的設(shè)計(jì)方式。”Yarkoni另一個(gè)身份是Telstra和T-Mobile的CIO，“這又增加了另外一個(gè)因素，如果你不仔細(xì)地計(jì)劃出口和退出環(huán)境，從往返云本身以及人們?nèi)绾闻c你放入云中的信息進(jìn)行互動(dòng)，那么這個(gè)花費(fèi)可能非常昂貴。”他說。

Yarkoni表示，當(dāng)他參與設(shè)計(jì)數(shù)據(jù)環(huán)境時(shí)，他盡可能避免將大量數(shù)據(jù)傳輸?shù)皆贫?，如果有必要，可以在一天的某些時(shí)間進(jìn)行。“如果你將信息從數(shù)據(jù)中心移動(dòng)到云端，并且希望獲得一些服務(wù)質(zhì)量保證，則必須保證這些位置之間的鏈接。”

檢查云供應(yīng)商

Forrester公司副總裁兼首席分析師Andras Cser表示，雖然組織通常會(huì)對云提供商進(jìn)行審核，但這一過程往往出現(xiàn)脫節(jié)。“我們看到大多數(shù)組織對云計(jì)算提供商進(jìn)行初步審核，他們計(jì)劃存儲(chǔ)數(shù)據(jù)，但持續(xù)的審計(jì)很少。”這可能是由于其他優(yōu)先事項(xiàng)，流程的復(fù)雜性，云中存儲(chǔ)的數(shù)據(jù)量以及采用云的速度加快等因素使然。而Forrester通常會(huì)看到公司要求ISO27001和SOC1/SOC2認(rèn)證。CHS則規(guī)定其云提供商將進(jìn)行SOC2審核，并且可以訪問這些結(jié)果。CHS的Danzi表示，CHS可以審核他們與計(jì)費(fèi)做法相關(guān)的記錄。通過適當(dāng)?shù)耐ㄖ?，CHS也可以檢查其供應(yīng)商的數(shù)據(jù)中心。

不過，像Azure的ExpressRoute和Amazon的Direct Connect這樣的產(chǎn)品可以在內(nèi)部部署環(huán)境和各自的云端之間提供專門的網(wǎng)絡(luò)連接。“一旦數(shù)據(jù)在云中，IT商店就不再需要數(shù)據(jù)庫管理工具來管理數(shù)據(jù)庫，因?yàn)楣芾頂?shù)據(jù)庫性能、調(diào)優(yōu)和設(shè)置的耗時(shí)過程都由云提供商處理。”咨詢公司全球數(shù)據(jù)戰(zhàn)略公司信息管理總經(jīng)理Donna Burbank說。

她指出：“了解你的數(shù)據(jù)，并知道它在哪里和保護(hù)它是重要的，但它的許多日常管理已經(jīng)消失了。云提供商現(xiàn)在監(jiān)督諸如性能和調(diào)優(yōu)等任務(wù)，并檢查服務(wù)器是否正在運(yùn)行并正在進(jìn)行備份。(換言之，在某種程度上監(jiān)督供應(yīng)商是一個(gè)很好的做法)”

保護(hù)云數(shù)據(jù)

“管理云中的數(shù)據(jù)不同于在內(nèi)部管理數(shù)據(jù)，特別是在處理敏感數(shù)據(jù)(例如客戶信息)時(shí)。”Burbank說。當(dāng)另一個(gè)實(shí)體控制個(gè)人信息時(shí)，她建議使用PCI數(shù)據(jù)安全標(biāo)準(zhǔn)和令牌化密鑰。當(dāng)公司利用云提供的效率時(shí)，“有很多假設(shè)的信任，但是你仍然沒有完全控制它。”

Forrester高級(jí)分析師Heidi Shey同意Burbank的意見，即安全令牌是保護(hù)數(shù)據(jù)的一種方式，但她表示，組織應(yīng)該規(guī)定誰掌握這些數(shù)據(jù)，“一些安全解決方案將加密作為這些控制之一，誰擁有的是關(guān)鍵問題。有些公司希望擁有自己的控制權(quán)，而其他公司則會(huì)相信供應(yīng)商。控制你自己的鑰匙是最好的選擇。這樣做有時(shí)會(huì)增加另一層復(fù)雜性，因?yàn)槟闶且粋€(gè)管理者，但它是一個(gè)額外的控制。”

除了確保云端數(shù)據(jù)安全外，確保數(shù)據(jù)在傳輸過程中的安全也很重要。這可能需要VPN連接、HTTPS、SFTP/FTPS和其他安全的通信方式。

IDC的調(diào)查還表明，隨著數(shù)據(jù)在云中分布越來越多，信任越來越困難，主數(shù)據(jù)特別是有關(guān)組織關(guān)心的人員，地點(diǎn)和事物的數(shù)據(jù)是最分散的，因?yàn)槟承┬问降男枨髮⑿枰嬖谟诿總€(gè)應(yīng)用程序中。

然而，在2017年1月份的Forrester調(diào)查中，通過對美國和加拿大的150位數(shù)據(jù)安全專業(yè)人員的調(diào)查，只有31%的受訪者會(huì)根據(jù)其敏感度對云中的企業(yè)數(shù)據(jù)進(jìn)行分類。另外，只有約三分之一(34%)的數(shù)據(jù)安全專業(yè)人員知道他們的云計(jì)算公司數(shù)據(jù)位于何處。

對此，F(xiàn)orrester的Shey認(rèn)為，還必須考慮云安全治理流程，以及將企業(yè)安全要求與合規(guī)性和隱私權(quán)法律相一致，特別是涉及個(gè)人信息時(shí)。

因?yàn)槭且粋€(gè)醫(yī)療保健實(shí)體，CHS正在尋求在云中更加復(fù)雜的安全性。CHS的Danzi解釋說，人們在云中使用的大量Hadoop環(huán)境并不比結(jié)構(gòu)化關(guān)系數(shù)據(jù)庫環(huán)境成熟。CHS正在使用Apache Hadoop的HDInsight，它具有Apache Ranger等產(chǎn)品用于管理和管理用戶級(jí)訪問的Enterprise Hadoop的安全層。

Azure支持兩個(gè)版本的Hadoop實(shí)現(xiàn)。完全管理的HDInsight版本不支持Ranger以及IaaS版本HDP。“HDInsight符合HIPAA標(biāo)準(zhǔn)”，但沒有Ranger的用戶級(jí)安全特性，所以我們必須限制訪問。”Danzi解釋說。這是CHS早期學(xué)習(xí)的重要課程，即確保云端供應(yīng)商支持公司正在使用或希望使用的軟件版本。“你不能以為這些東西提供你所使用的所有安全協(xié)議和保護(hù)。”

此外，“我們知道，我們使用的Hadoop版本是全部或無論在誰被授予訪問權(quán)限。但CHS只希望其信息和分析服務(wù)(IAS)管理員能夠訪問其環(huán)境。因此，CHS在Microsoft SharePoint中構(gòu)建了一個(gè)安全的應(yīng)用程序，僅向腫瘤板上的醫(yī)生提供患者信息。

Shey補(bǔ)充說，云中管理數(shù)據(jù)的另一個(gè)重要方面是數(shù)據(jù)駐留和數(shù)據(jù)傳輸。“如果你有來自特定國家或地區(qū)的客戶數(shù)據(jù)，你會(huì)看到一般數(shù)據(jù)保護(hù)條例的作用，但具體國家可能有自己的數(shù)據(jù)居住要求。”

Global Data Strategy的Burbank認(rèn)為：“你需要知道數(shù)據(jù)在何處存在數(shù)據(jù)，因?yàn)榉稍诓煌瑖沂遣煌摹?rdquo;

其他云管理考慮

Burbank指出，數(shù)據(jù)備份和恢復(fù)應(yīng)該在云提供商的服務(wù)級(jí)別協(xié)議中闡明，這是他們應(yīng)該提供的關(guān)鍵優(yōu)勢之一。這些SLA應(yīng)包括有關(guān)提供者是否具有故障切換站點(diǎn)以及該故障轉(zhuǎn)移站點(diǎn)所在位置的信息。“另外需要考慮你是否可以選擇這些故障轉(zhuǎn)移的地方。”

“組織還應(yīng)該考慮他們在云中管理的數(shù)據(jù)的格式。它可能在關(guān)系數(shù)據(jù)庫、平面文件或電子郵件中。如果客戶數(shù)據(jù)存儲(chǔ)在大容量的數(shù)據(jù)倉庫中，他們還需要考慮是否擁有內(nèi)部管理技能。”Burbank指出，“如果你在數(shù)據(jù)周圍進(jìn)行大量的清理和管理，那么這是需要考慮的事情，而且很多云技術(shù)都不那么先進(jìn)。但是，如果你有原始數(shù)據(jù)可以輕松擴(kuò)展和遷移，那么它非常適合于云端，因?yàn)樗恍枰芏喙芾怼?rdquo;

“由于技術(shù)如此之新，所以管理云中數(shù)據(jù)所需的技能可能難以實(shí)現(xiàn)。”IDC的 Bond表示，必要的技能將取決于數(shù)據(jù)是SaaS、PaaS還是IaaS模型。在技​​術(shù)層面上，IT人員可能需要熟悉互聯(lián)網(wǎng)技術(shù)，如Web服務(wù)、SSL、安全FTP和RESTful API。他們也可能需要熟悉IaaS體系結(jié)構(gòu)，如虛擬機(jī)、對象存儲(chǔ)，可用區(qū)域和子網(wǎng)絡(luò)。在業(yè)務(wù)層面，用戶需要意識(shí)到管理數(shù)據(jù)輸入和維護(hù)的策略，以及跨多個(gè)系統(tǒng)進(jìn)行數(shù)據(jù)復(fù)制的延遲問題。

計(jì)劃意外

CHS的Danzi表示，他們發(fā)現(xiàn)CHS的一些“熱切的數(shù)據(jù)科學(xué)家”剛剛開始運(yùn)行R編程語言編寫模型來研究再入院風(fēng)險(xiǎn)。因此，在Azure，IAS小組撰寫腳本，以便在不需要計(jì)算時(shí)在晚上關(guān)閉模型。“云像一個(gè)擴(kuò)大的氣球，你必須告訴它讓空氣流出來，它讓你有能力編寫腳本關(guān)閉服務(wù)器。這就是所謂的彈性，你想確保你的云供應(yīng)商能夠彈性上下，只有在你使用它們的時(shí)候才支付資源。”

他還建議受監(jiān)管機(jī)構(gòu)應(yīng)該擁有良好法律技能的人員，“你與第三方服務(wù)提供商必須確保所有HIPAA合規(guī)性和良好的業(yè)務(wù)關(guān)聯(lián)協(xié)議”。

許多云供應(yīng)商提供分析產(chǎn)品，并為潛在客戶提供基準(zhǔn)分析，Danzi認(rèn)為，需要確保這些供應(yīng)商在將你的數(shù)據(jù)提供給你所在的行業(yè)同行時(shí)，將其數(shù)據(jù)匿名化。

組織可能不會(huì)考慮的另一個(gè)問題是，如果他們在Azure上編寫算法，可能希望保護(hù)該算法的知識(shí)產(chǎn)權(quán)，以免其他人在云中使用它。Danzi認(rèn)為，所有數(shù)據(jù)將在15年時(shí)間內(nèi)在云端托管。在管理云數(shù)據(jù)時(shí)需要大量的額外工作，但這些是值得的，“雖然新環(huán)境需要更加持續(xù)的警惕，但你可以訪問這種令人驚奇的技術(shù)。”

原文標(biāo)題：Expert tips for managing your cloud data，作者：Esther Shein

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】 

 　　了解更多熱點(diǎn)新聞，請關(guān)注51CTO《科技新聞早報(bào)》欄目!