2012年9月26日 星期三

[觀點] 雲端運算安全入門(八) - 傳統安全、營運持續與災難復原

上一篇我們說明了關於雲端服務的相互運作與可移植性,這是屬於雲端治理部分的最後一項安全領域,接下來將會解說雲端營運的部分,會牽涉到許多的技術性安全議題,這也是大多數組織較為重視的地方,和IT單位也會有更密切的關係。 

在「傳統安全、營運持續和災難復原」的安全領域中,雲端服務的用戶和供應商必須了解傳統的資安問題,在轉移到雲端服務的架構之後,是否都有對應的控制措施,一旦組織轉而採用或是由資訊單位本身提供雲端服務之後,對於資訊安全的控管與營運持續的要求為何?如何進行災難復原?就成為不得不去面對的一大問題。

2012年9月2日 星期日

[觀點] 雲端運算安全入門(七) - 雲端資料可移植性與相互運作

上一篇文章我們提到,針對資料一旦存放至雲端之後,應該要考量的資料安全風險和所需的控制措施,本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」,說明一旦需要更換雲端服務供應商時,實務上要注意的建議與做法。 

隨著雲端運算服務的蓬勃發展,對組織而言,可供選擇的服務供應商也會愈來愈多,就像一般的委外服務一樣,不見得永遠都會是可合作的夥伴,在許多情況之下,我們可能會想要更換雲端服務供應商,例如:服務供應商所提供的服務,達不到企業所需的業務要求或服務水準,甚至是無端的暫停服務或服務中斷;或是合約期滿之後,服務商提高續約的服務價格,或是想要修改合約內容,造成雙方的歧見無法達成共識等。 

因此,在一開始評估選擇雲端服務供應商時,資料是否可順利移轉到其他儲存設施或同類型的服務供應商,以及服務供應商是否能夠支援資料移轉的工作,就顯得十分重要,若是等到需要處理這些資料移轉工作時,才思考到相關的配套作法,往往是緩不濟急,尤其是若在當初的合約中,並未規範相關的事項,舊有的服務供應商又不願意提供所需的支援,可能就會引起更多的問題,更別提還需要維護資料本身的安全。