盡管云計(jì)算對(duì)于當(dāng)今的許多公司來(lái)說(shuō)已經(jīng)變得司空見慣了，但仍然有些公司正在努力了解其核心業(yè)務(wù)的哪些組件需要遷移到云端，以及應(yīng)該采用哪些應(yīng)用程序或服務(wù)。相反，另外一些企業(yè)組織雖然已經(jīng)將其大部分基礎(chǔ)設(shè)施遷移到云端，但卻由于合規(guī)性或性能等方面問(wèn)題而開始感到遺憾后悔。很多時(shí)候，上述這些問(wèn)題其實(shí)與企業(yè)的云遷移無(wú)關(guān)，僅僅只是因?yàn)槠洳环纤麄兊臉I(yè)務(wù)需求或目標(biāo)。

[[209260]]

例如，一些律師事務(wù)所，金融機(jī)構(gòu)和制造業(yè)公司正在研究采用云計(jì)算的混合模式，并在努力尋求機(jī)會(huì)，通過(guò)基于云的應(yīng)用程序(如Microsoft Office 365)或?yàn)?zāi)難恢復(fù)和在線備份服務(wù)(如KeepItSafe)來(lái)實(shí)現(xiàn)辦公現(xiàn)代化。

在本文中，我們將為幫助廣大讀者朋友們了解關(guān)于如何使您企業(yè)得以順利、安全和經(jīng)濟(jì)高效地選擇和實(shí)施云遷移計(jì)劃的實(shí)用指南，避免常見的陷阱，并了解在審查您企業(yè)潛在的云服務(wù)供應(yīng)商時(shí)需要咨詢哪些問(wèn)題。

法律行業(yè)雜志《Inside Counsel》在2016年發(fā)表的一篇題為《調(diào)研顯示：現(xiàn)如今的企業(yè)認(rèn)可遷移到云(Survey: Businesses are Okay with Moving to the Cloud Now)》的文章的標(biāo)題很好地總結(jié)闡述了業(yè)界在業(yè)務(wù)流程和心態(tài)方面的重大轉(zhuǎn)變，他們對(duì)于如何存儲(chǔ)和傳輸其數(shù)據(jù)非常謹(jǐn)慎。該文章指出，現(xiàn)在有84%的律師事務(wù)所非常樂(lè)意將業(yè)務(wù)和數(shù)據(jù)遷移到云服務(wù)中，而僅僅幾年前這一比例還僅為68%。此外，超過(guò)三分之二的律師事務(wù)所表示，他們現(xiàn)在使用云計(jì)算工具進(jìn)行電子計(jì)費(fèi)，而有一半以上正在使用云服務(wù)進(jìn)行事務(wù)管理。

文章中引用了受訪者對(duì)于越來(lái)越多的企業(yè)采用云服務(wù)的原因解釋說(shuō)：“由于其成本優(yōu)勢(shì)，以及無(wú)論數(shù)據(jù)存儲(chǔ)在哪里都可以被訪問(wèn)到的便利性，而變得越來(lái)越有吸引力。”另一名受訪者描述了基于業(yè)務(wù)需求的云遷移工具：“企業(yè)并沒(méi)有內(nèi)部專門的法務(wù)應(yīng)用程序團(tuán)隊(duì)，所以如果他們想要管理相關(guān)數(shù)據(jù)，需要在云端。”

隨著技術(shù)的進(jìn)步使得進(jìn)入壁壘不斷降低，以及幾乎所有行業(yè)企業(yè)日益增長(zhǎng)的競(jìng)爭(zhēng)壓力。迫使企業(yè)組織都在積極的尋求簡(jiǎn)化的操作方式，以減少開銷，創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。而將內(nèi)部技術(shù)和業(yè)務(wù)運(yùn)營(yíng)轉(zhuǎn)移到恰當(dāng)?shù)脑品?wù)供應(yīng)商是實(shí)現(xiàn)所有這些目標(biāo)的一種經(jīng)過(guò)了驗(yàn)證的可靠方法。

然而，太過(guò)匆忙地實(shí)施云遷移計(jì)劃項(xiàng)目——而沒(méi)有首先就任何業(yè)務(wù)關(guān)鍵功能轉(zhuǎn)移到云的優(yōu)缺點(diǎn)、企業(yè)業(yè)務(wù)的整體目標(biāo)，以及任何潛在的備選云服務(wù)供應(yīng)商進(jìn)行盡職的調(diào)查的話，或?qū)⑹沟迷S多匆忙上馬的企業(yè)發(fā)現(xiàn)在其遷移到新的基于云的過(guò)程中充滿了各種問(wèn)題和挑戰(zhàn)。

隨著法律行業(yè)的企業(yè)發(fā)現(xiàn)，將關(guān)鍵業(yè)務(wù)流程甚至企業(yè)的整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)外包給云服務(wù)可以產(chǎn)生顯著的業(yè)務(wù)收益。但是，在做出這樣的舉措之前，企業(yè)客戶必須首先學(xué)習(xí)如何避免在云遷移的過(guò)程中出現(xiàn)常見的風(fēng)險(xiǎn)問(wèn)題以及要求任何潛在的云服務(wù)供應(yīng)商必須提供的相應(yīng)保障。

面臨如此眾多的選擇，今天的企業(yè)客戶要如何利用云計(jì)算

今天的企業(yè)在將哪些類型的服務(wù)和流程外包給云服務(wù)供應(yīng)商，以及他們?cè)诠芾磉@些流程中所具有的控制水平方面具有極大的靈活性。了解您企業(yè)可以選擇的備選方案以及每種備選方案各自的優(yōu)缺點(diǎn)對(duì)于幫助您的團(tuán)隊(duì)做出正確的云遷移決策是至關(guān)重要的。

例如，SaaS(軟件即服務(wù))應(yīng)用程序僅僅是可通過(guò)網(wǎng)絡(luò)訪問(wèn)的第三方軟件工具(如Office 365)。對(duì)于應(yīng)用程序本身，以及您企業(yè)借助該軟件工具所維護(hù)的數(shù)據(jù)通常則存儲(chǔ)在供應(yīng)商的云端。您企業(yè)的員工只需通過(guò)Web界面訪問(wèn)數(shù)據(jù)。這些系統(tǒng)通常不需要您企業(yè)的團(tuán)隊(duì)來(lái)進(jìn)行維護(hù)或下載(盡管有時(shí)候需要借助插件進(jìn)行操作)，但是它們幾乎沒(méi)有給用戶留出多少的定制化和控制的空間。

請(qǐng)務(wù)必牢記，SaaS提供商通常不負(fù)責(zé)保護(hù)您企業(yè)在云中的數(shù)據(jù)。

我們建議企業(yè)客戶務(wù)必仔細(xì)查看合同條款和條件，因?yàn)槠渲袝?huì)清楚地說(shuō)明，云服務(wù)供應(yīng)商對(duì)您企業(yè)在云端存儲(chǔ)的數(shù)據(jù)的安全性不承擔(dān)任何責(zé)任。此外，根據(jù)云安全公司Skyhigh Networks最近的一份報(bào)告顯示，只有9.4%的云端供應(yīng)商加密存儲(chǔ)在其環(huán)境中的客戶數(shù)據(jù)。

借助PaaS(平臺(tái)即服務(wù))模式，您企業(yè)對(duì)您的應(yīng)用程序和流程有了更多的控制(并負(fù)有相應(yīng)責(zé)任)。PaaS供應(yīng)商(微軟Azure便是一個(gè)例子)將為您企業(yè)提供包括了一款操作系統(tǒng)、數(shù)據(jù)庫(kù)和編程環(huán)境的平臺(tái)。這意味著您企業(yè)的團(tuán)隊(duì)可以為您的業(yè)務(wù)開發(fā)定制化的應(yīng)用程序，而IT團(tuán)隊(duì)則可以將大量存儲(chǔ)和網(wǎng)絡(luò)管理工作留給云供應(yīng)商。

最后，最靈活的云計(jì)算模式是IaaS(基礎(chǔ)架構(gòu)即服務(wù))。使用IaaS(示例包括Rackspace和HPCloud)，您企業(yè)可以通過(guò)一臺(tái)服務(wù)器實(shí)現(xiàn)對(duì)云服務(wù)的完全控制。您企業(yè)的團(tuán)隊(duì)負(fù)責(zé)管理操作系統(tǒng)、數(shù)據(jù)、中間件和應(yīng)用程序，而您的IaaS提供商則負(fù)責(zé)處理虛擬化、服務(wù)器、硬盤驅(qū)動(dòng)器和網(wǎng)絡(luò)。實(shí)質(zhì)上，運(yùn)行IaaS環(huán)境就像管理自己的數(shù)據(jù)中心一樣，但卻不必自行采購(gòu)或維護(hù)任何物理硬件。

顯然，今天的企業(yè)客戶有眾多的選擇，您企業(yè)如何遷移到云端;將哪些應(yīng)用程序和功能外包出去;您企業(yè)的團(tuán)隊(duì)需要在流程中維護(hù)多少款定制程序;以及您企業(yè)(或管理您企業(yè)所屬行業(yè)的監(jiān)管機(jī)構(gòu))愿意將何種等級(jí)水平的數(shù)據(jù)委托給云服務(wù)供應(yīng)商呢。

即使您企業(yè)已經(jīng)確定了哪些“即服務(wù)(as a Service)”選項(xiàng)適合您的業(yè)務(wù)云遷移，您仍然必須知道在遷移到云端時(shí)要避免的主要錯(cuò)誤以及對(duì)于任何潛在的云合作伙伴需要查看的內(nèi)容。

在云遷移中避免的常見陷阱

想象一下，您企業(yè)將大部分的關(guān)鍵業(yè)務(wù)數(shù)據(jù)遷移到云存儲(chǔ)供應(yīng)商之后，然后了解到該供應(yīng)商即將破產(chǎn)!

曾經(jīng)有1000多家企業(yè)客戶將TB級(jí)甚至PB級(jí)的數(shù)據(jù)存儲(chǔ)到云服務(wù)公司Nirvanix之后就發(fā)生了上述情況。而這種在遷移之前缺乏盡職的調(diào)查還只是許多企業(yè)客戶所犯的幾大云遷移錯(cuò)誤之一。

《CIO Magazine》的一篇題為《云恐怖故事(Cloud Horror Story)》的文章為我們總結(jié)了這些常見的云遷移陷阱：

1、您的云供應(yīng)商停產(chǎn)

當(dāng)Nirvanix公司在2013年宣布關(guān)閉時(shí)，該公司只留給其客戶兩周的時(shí)間從Nirvanix的云中遷走所有的數(shù)據(jù)，許多客戶認(rèn)為這樣短的時(shí)間根本不夠，畢竟自己有帶寬限制。市場(chǎng)調(diào)研機(jī)構(gòu)Forrester的研究分析師亨利·巴拉塔爾(Henry Baltazar)稱，這么短的時(shí)間簡(jiǎn)直是“荒謬的”。

2、您的云供應(yīng)商沒(méi)有災(zāi)難恢復(fù)計(jì)劃

讓開發(fā)人員可以在云服務(wù)器上托管代碼的Code Space于2014年遭到黑客入侵。攻擊者破壞了該公司的亞馬遜網(wǎng)絡(luò)服務(wù)的帳戶，并刪除了所有用戶的數(shù)據(jù)。然后，曾經(jīng)的警告成了真正恐怖現(xiàn)實(shí)——因?yàn)樵摴驹l(fā)布過(guò)一個(gè)消息，提醒其用戶，他們將無(wú)法恢復(fù)數(shù)據(jù)，而且該公司本身正準(zhǔn)備停產(chǎn)。

災(zāi)難恢復(fù)(DR)計(jì)劃不僅僅只是一個(gè)很好的備份系統(tǒng)。良好的DR計(jì)劃還應(yīng)該包括恢復(fù)數(shù)據(jù)，確保對(duì)應(yīng)用程序和服務(wù)器的訪問(wèn)等。這就是為什么另一項(xiàng)云服務(wù)：DRaaS(災(zāi)難恢復(fù)服務(wù))受到企業(yè)客戶如此的歡迎的原因所在了。

3、您的云服務(wù)供應(yīng)商的流程不符合可接受的安全性和合規(guī)性標(biāo)準(zhǔn)

2015年被稱為黑客攻擊年，就是因?yàn)閮H僅在醫(yī)療行業(yè)所發(fā)生的數(shù)據(jù)泄露事件就影響了超過(guò)1.12億人的私人記錄信息。

企業(yè)組織的云基礎(chǔ)設(shè)施是您的現(xiàn)場(chǎng)數(shù)據(jù)和計(jì)算服務(wù)的延伸。這意味著在將任何敏感數(shù)據(jù)委托給任何潛在的云供應(yīng)商之前，您需要對(duì)他們進(jìn)行徹底的調(diào)研。

向潛在的云供應(yīng)商提出正確咨詢問(wèn)題

在經(jīng)驗(yàn)、業(yè)績(jī)記錄和穩(wěn)定性方面，市場(chǎng)上有各種的云供應(yīng)商，既有具備數(shù)十年來(lái)為數(shù)千家企業(yè)客戶提供了滿意的服務(wù)的專家們，也有不可靠的、您企業(yè)決不會(huì)信任的將數(shù)據(jù)交到他們手上的供應(yīng)商。

那么，您企業(yè)如何確定選擇了正確的云供應(yīng)商呢?通過(guò)向供應(yīng)商提出正確的問(wèn)題，可以有助于您更為放心的選擇。您企業(yè)可以參考如下九個(gè)調(diào)查問(wèn)題，要求任何潛在的云供應(yīng)商進(jìn)行解答：

1、 貴公司在該行業(yè)多久了?

由于互聯(lián)網(wǎng)已經(jīng)降低了多個(gè)行業(yè)的進(jìn)入門檻，因此建立小型企業(yè)比以往更容易，這也就包括云服務(wù)供應(yīng)商。

這并不是說(shuō)，云存儲(chǔ)領(lǐng)域的新進(jìn)入者不能成為您企業(yè)可行的供應(yīng)商。然而，很顯然，一家公司從事該領(lǐng)域業(yè)務(wù)的時(shí)間越長(zhǎng)，就越有經(jīng)驗(yàn)，您也就會(huì)有越多的證據(jù)可以驗(yàn)證他們的業(yè)績(jī)。

2、貴公司的財(cái)務(wù)狀況如何?誰(shuí)在支持你?

與將其關(guān)鍵業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在云提供商N(yùn)irvanix公司的1000多家企業(yè)客戶中，沒(méi)有任何一家企業(yè)客戶提前覺(jué)察到該公司即將破產(chǎn)(直到現(xiàn)在為時(shí)已晚)是不太可能的。

云服務(wù)供應(yīng)商的財(cái)務(wù)狀況越穩(wěn)定、資金越充足，您企業(yè)就越不可能面臨Nirvanix的客戶所曾遭受過(guò)的可怕經(jīng)歷。

3、貴公司對(duì)企業(yè)客戶所存儲(chǔ)在云中的數(shù)據(jù)的安全性和完整性將承擔(dān)什么級(jí)別的責(zé)任?

根據(jù)云安全公司Skyhigh Networks的調(diào)研發(fā)現(xiàn)，僅僅只有不到十分之一的云服務(wù)供應(yīng)商會(huì)按照標(biāo)準(zhǔn)做法加密客戶的數(shù)據(jù)。許多云服務(wù)條款和條件明確規(guī)定，供應(yīng)商不負(fù)責(zé)保護(hù)用戶的數(shù)據(jù)。

根據(jù)云安全聯(lián)盟的報(bào)告顯示，一般而言，一名典型的企業(yè)員工會(huì)將企業(yè)數(shù)據(jù)存儲(chǔ)在大約500款云應(yīng)用程序中，所以確保您企業(yè)數(shù)據(jù)的安全性是至關(guān)重要的，您應(yīng)該實(shí)施一項(xiàng)政策，以了解云供應(yīng)商承擔(dān)什么級(jí)別的責(zé)任之前，才允許您的員工將任何企業(yè)數(shù)據(jù)放其服務(wù)上。

4、貴公司對(duì)于周邊入侵防御是否只是在偵測(cè)到一次企圖違規(guī)的行為時(shí)才產(chǎn)生警報(bào)，還是主動(dòng)防止這種入侵?

您企業(yè)的云供應(yīng)商的周邊保護(hù)系統(tǒng)應(yīng)該為其提供關(guān)于不斷發(fā)展的網(wǎng)絡(luò)攻擊、及嘗試訪問(wèn)其客戶數(shù)據(jù)庫(kù)和應(yīng)用程序的輕量級(jí)動(dòng)態(tài)視圖。

僅僅是這種程度的保護(hù)是不夠的。例如，在將安全系統(tǒng)置于適當(dāng)位置之前，將惡意文件植入您的存儲(chǔ)庫(kù)，可能已經(jīng)損害了這種環(huán)境。這樣的文件可以保持多年未被發(fā)現(xiàn)，等待適當(dāng)?shù)挠|發(fā)來(lái)激活它們。為了確保您可以檢測(cè)并消除這些風(fēng)險(xiǎn)，您還需要詢問(wèn)云供應(yīng)商是如何掃描和解決這些威脅的。

目前用于定位和排除休眠惡意軟件(通常被稱為“深度防御”應(yīng)用程序工具)的復(fù)雜工具也應(yīng)該成為云供應(yīng)商服務(wù)必備的一部分。因此，企業(yè)客戶務(wù)必要咨詢潛在的云供應(yīng)商是否在標(biāo)準(zhǔn)流程中使用了這些工具，并將它們集成到了備份和恢復(fù)應(yīng)用程序中。任何沒(méi)有這樣做的供應(yīng)商都不應(yīng)該進(jìn)入您企業(yè)的備選列表。

5、貴公司采用什么級(jí)別的物理安全保護(hù)數(shù)據(jù)中心或托管設(shè)施?

到目前為止，我們一直專注于技術(shù)安全措施，如加密和條款，包括供應(yīng)商所應(yīng)承擔(dān)的數(shù)據(jù)保護(hù)責(zé)任的級(jí)別。

但是，真正值得信賴和安全的供應(yīng)商將在存儲(chǔ)您企業(yè)數(shù)據(jù)的地方擁有大量冗余的物理安全措施。將可信賴的供應(yīng)商與較小的供應(yīng)商區(qū)別開來(lái)的是：物理、現(xiàn)場(chǎng)安全需要的投資和基礎(chǔ)設(shè)施——而大多數(shù)云服務(wù)供應(yīng)商根本就沒(méi)有這樣做。

您企業(yè)正在尋求的供應(yīng)商應(yīng)該采取了這樣的措施：例如，在數(shù)據(jù)中心的現(xiàn)場(chǎng)安排了保安人員確保物理設(shè)備的安全，理想情況下應(yīng)該是24/7全天候的;他們還需要采用身份驗(yàn)證措施來(lái)驗(yàn)證訪問(wèn)(例如徽章)，甚至可以生物識(shí)別讀取器，如指紋或視網(wǎng)膜掃描。并且您將希望他們有24/7全天侯不間斷的對(duì)于相關(guān)設(shè)備的視頻監(jiān)控。

最后，您企業(yè)將需要存儲(chǔ)冗余——理想情況下，您企業(yè)的數(shù)據(jù)將位于兩個(gè)不同的地理位置，如果一處數(shù)據(jù)中心發(fā)生中斷或遇到其他災(zāi)難，則可以進(jìn)行故障轉(zhuǎn)移功能。

您會(huì)發(fā)現(xiàn)，大多數(shù)供應(yīng)商根本無(wú)力為您的數(shù)據(jù)提供此級(jí)別的物理安全。但是，那些可以提供這種級(jí)別安全服務(wù)供應(yīng)商則可能是您值得選擇的。

6、貴公司獲得了哪些安全和合規(guī)性認(rèn)證?

這是務(wù)必要提前詢問(wèn)您企業(yè)任何潛在的云供應(yīng)商的關(guān)鍵問(wèn)題。如果您的供應(yīng)商將您信用卡處理數(shù)據(jù)存儲(chǔ)在非現(xiàn)場(chǎng)數(shù)據(jù)中心，那么請(qǐng)務(wù)必確認(rèn)他們是否成功通過(guò)了SSAE-16 Type-2審核(這表明他們采用可充分的措施來(lái)解決數(shù)據(jù)的可用性、安全性和機(jī)密性)，是否采用強(qiáng)大的SOC控制報(bào)告?此外，貴公司是否遵守某些法規(guī)規(guī)定(例如：數(shù)據(jù)無(wú)法進(jìn)入或離開美國(guó)本土)?

供應(yīng)商是否符合PCI-DSS認(rèn)證，是否遵守支付卡行業(yè)所監(jiān)管要求的足夠的數(shù)據(jù)加密和安全流程?是否根據(jù)ISO-27002:2013標(biāo)準(zhǔn)對(duì)最佳實(shí)踐做法進(jìn)行了審查和測(cè)試，使之符合國(guó)際標(biāo)準(zhǔn)組織的信息安全管理實(shí)踐準(zhǔn)則。

最后，如果您企業(yè)屬于受管制的行業(yè);或者您企業(yè)需要處理客戶的個(gè)人身份信息(PII)或受保護(hù)的健康信息(ePHI)，您務(wù)必要詢問(wèn)將要負(fù)責(zé)存儲(chǔ)這些數(shù)據(jù)的任何潛在云供應(yīng)商，確認(rèn)他們的流程是否符合相關(guān)規(guī)定，如HIPAA，GLBA或SOX。

7、貴公司將用什么加密協(xié)議來(lái)傳輸我們的數(shù)據(jù)?

您企業(yè)所應(yīng)該要求的不僅僅是當(dāng)今所使用的最先進(jìn)的加密標(biāo)準(zhǔn)——傳輸層安全(TLS)。一些云供應(yīng)商可能還在使用過(guò)時(shí)的安全套接層協(xié)議(SSL，Security Socket Layer)來(lái)傳輸您的數(shù)據(jù)，該SSL現(xiàn)在被認(rèn)為易受攻擊，特別是易受中間人的攻擊。

其他某些供應(yīng)商在數(shù)據(jù)傳輸過(guò)程中根本不會(huì)使用任何協(xié)議來(lái)加密您的數(shù)據(jù)。

將您的數(shù)據(jù)交給任何未使用當(dāng)前最復(fù)雜的加密技術(shù)的供應(yīng)商不僅有風(fēng)險(xiǎn)，還可能使您的公司陷入違反監(jiān)管機(jī)構(gòu)規(guī)定的錯(cuò)誤。請(qǐng)記住，諸如HIPAA，SOX和GLBA等數(shù)據(jù)隱私規(guī)定要求采用“合理的措施”來(lái)保護(hù)傳輸中的敏感數(shù)據(jù)。無(wú)法對(duì)這些數(shù)據(jù)加密(或使用現(xiàn)在已被廣泛認(rèn)為不足夠的協(xié)議進(jìn)行加密)可能會(huì)使您企業(yè)不符合上述這些規(guī)定。

8、貴公司的云服務(wù)包括什么級(jí)別的技術(shù)支持?貴公司的支持工程師如何培訓(xùn)的?

這是另一個(gè)可以幫助您企業(yè)將真正的專家與經(jīng)驗(yàn)較少、不太穩(wěn)定的供應(yīng)商區(qū)分開來(lái)的一個(gè)問(wèn)題。

一家值得企業(yè)客戶信任的云服務(wù)提供商將全天候配備訓(xùn)練有素的支持專業(yè)人員——隨時(shí)可以通過(guò)電話、電子郵件或即時(shí)聊天工具聯(lián)系到。當(dāng)企業(yè)客戶遇到數(shù)據(jù)災(zāi)難或任何類型的故障或?qū)⒂绊懙侥髽I(yè)正在進(jìn)行的業(yè)務(wù)操作的至關(guān)重要的功能時(shí)，企業(yè)客戶在聯(lián)系其云服務(wù)供應(yīng)商以尋求獲得幫助時(shí)最不想要聽到的無(wú)疑是語(yǔ)音郵件服務(wù)了。

9、企業(yè)客戶的云服務(wù)帳戶的活動(dòng)如何被監(jiān)控和記錄?

對(duì)于記錄和監(jiān)管目的，確保企業(yè)客戶的云服務(wù)供應(yīng)商會(huì)跟蹤您帳戶中的所有活動(dòng)，并且可以隨時(shí)向您提供完整的審計(jì)跟蹤是非常重要的。

更好的情況則是，企業(yè)客戶應(yīng)該盡可能尋找可靠的云服務(wù)供應(yīng)商，其平臺(tái)包括管理員門戶，可讓您和您的團(tuán)隊(duì)隨時(shí)在線訪問(wèn)全面的審計(jì)跟蹤，并直接從該門戶生成使用報(bào)告。