信息化部署以及安全性考虑不足就直接签署云解决方案
从现状看,企业很容易从不同供应商处签约获取云服务,从此进入云时代。而对云服务应用范围的大小,即使这些企业一点专业知识都不具备,也不存在任何问题。实际上,就和赚信用卡积分一样简单。
Prescient解决方案首席信息官、美国国家网络安全特别小组成员Jerry Irvine说,“这就意味着,企业认为可以缩短实施IT项目所需时间,并使云成为生产力。“
但是,这种做法会带来很多新的安全及容错率等方面的问题。在不牵涉IT的情况下实施公司解决方案,很可能出现现有系统、配置与应用不兼容的情况,那些对规范与需要遵守的要求不甚了解的员工很可能就会遇到问题。
Irvine解释道,“当这些云计算应用能够为企业提供某些特殊需求的快速解决方案时,风险与缺陷将使企业在系统失误、安全缺口等方面耗费大量资金。”
因为这些特殊原因,所有启用的云方案都要符合企业风险构想、合同复审、规则审查以及内部政策审查。
“很多企业已经发现,尽管缺乏内部启用云计算的公司政策,但在企业内部,还是可以使用很多云服务。”信息安全论坛全球副总裁Steve Durbin说。
Talbot-Hubbard认为,“如果没有任何来自IT、采购或者法律部门的员工参与到企业转移到云的行动中,那么企业将丧失对其相关数据、应用、服务及基础设施的控制。“
轻信云的安全性
Durbin说,企业经常会过于冲动而启用云服务,并很快认识到云服务可能带来资金上的节省。企业一般都很关注云服务的功能,但是却不会提问,云供应商围绕服务所提供的安全性能,这些安全性又将以何种方式被检查。这是因为,企业认为他们的云服务供应商同时服务很多其他客户,会有更强大的安全部门,更完全的安全政策、处理过程以及规程。
Irvine认为这并不是什么大问题。
云服务供应商通常会更关注安全系统内部中比较基础的设施,并且更依赖自动化的安全应用以及平台,来弥补他们对安全性能的大量要求。
一些云供应商将比较高级的安全设施外包给第三方。但是,这些第三方供应商所提供的安全服务很可能没有包含在合同内,而云供应商与客户之间有服务等级协议(SLA,Service-Level Agreement)。
“你必须要求服务提供商去维护那些特殊的安全性能、文件安全任务,并且提供所有安全规范、安全报告以及平日有挂安全的活动的所有文件复印件。”
没有透彻理解成本
当云提供者展示其产品时,他们经常选择展示一些比较初级的产品来吸引那些更在意价格的潜在消费者。
Irvine说,“不幸的是,在与服务供应商交手后,企业通常认为,那些附加服务也要执行惯有的IT任务。”安全成本和那些相关义务(以及大量与这些“义务”相关的文件)也会随之增加。
企业在评估云服务成本时甚至基于一种不现实的空想,就好像是将应用推上云后,他们才需要确定内部IT资源的数量。
Irvine指出,“现在市场上有很多种云服务(SaaS、IaaS及PaaS),内部所需要的资源数很可能完全没有改变。事实上,我们很多使用云计算服务的客户,并没有减少其IT部门的人员数量。”
在所有情况下,企业将所有应用和系统外包到云上的可能性几乎微乎其微。即使企业将其很多系统转移到云上,但还是有大量工作需要企业内部基础设施和工作站工程师去处理。
“其实,IT部门成本是受到云影响最小的一个部门。“Irvine说。