在雲計算中如何安全地移動資料

眾所周知，雲服務提供者Nirvanix公司最近宣告破產，讓其客戶陷入困境中。 Nirvanix給企業提供不到一個月的時間來轉移資料。 為了避免淪落到和這些客戶相同的境地，企業應該遵循下面的最佳做法來安全地移動資料。

盡職調查：財務狀況擺在首位

雲安全聯盟的2013年2月報告「2013年雲計算面臨主要威脅」中表明，缺乏盡職調查是對雲計算的持續威脅。 當企業在評估雲計算供應商時，他們對事情的看法顯得有些片面。 雲安全聯盟首席運營官JohnHowie表示：「雲計算使用者過分重視資訊安全和隱私性，或者說，過分專注于減少和節約成本，而沒有對供應商的財務狀況進行調查。 」

「盈利能力並不意味著公司或者服務提供者的穩定性，」NewHorizonsComputerLearningCenters首席資訊安全官AdamGordon表示，「企業的管理戰略可以在一夜之間取得財務方面的成功，提高盈利能力 ，如果沒有人關注的話，該公司及其合作夥伴可能很快會‘落入懸崖’。 」

企業應該評估雲服務提供者的財務狀況。 企業可以通過美國證券交易委員會檢查其監管備案(例如10K)來調查上市公司，Howie表示：「這將詳細介紹雲服務提供者的財務狀況和自我識別的風險。 」

「如果可能的話，至少應該檢查在過去兩三年裡的財務審計報表，」Gordon表示：「這些應該能夠顯示企業在資產增長和管理方面的總體趨勢。 雖然在一段時間內我們會看到波動和負面結果，但在兩到三年的時間範圍內，我們應該會看到收入和盈利能力的正增長以及擴展。 」

財務狀況也會顯示企業管理和企業發展戰略，這些能夠表明企業是否有著明確的發展方向、長期規劃、完善的風險管理以及渡過危機的能力。 「投資于長期戰略來促進企業發展以及提高市場份額也是企業穩定性的重要指標。 」

Howie建議大型企業考慮通過雲經紀人來分析雲計算需求，確定自己的風險承受能力，並選擇與之匹配的雲服務提供者。 Howie表示：「雲經紀人將會檢查供應商的整體財務狀況，並確定供應商將會退出服務的潛在可能性。 」美國國家標準與技術研究院(NationalInstituteofStandardsandTechnology，NIST)發佈的SpecialPublication500-292就定義了雲經紀人的角色。

首席資訊官或者其他C級管理人員應該參與到與雲經紀人的合作中，以建立必要的戰略調整，通過推動和引導雲服務的消費來從經紀人中獲得價值。 Gordon補充說：「你可以聯邦和州政府級別的政府部門找到與雲經紀人合作的成功的真實世界用例，例如，德克薩斯州2011年以來一直在使用雲計算經紀模式，還有很多聯邦機構也在使用。 」

做好離開的準備：合同語言、雲可攜性

Howie表示：「對於無法聘請經紀人的企業，雲安全聯盟建議企業解決合同語言中服務終止的問題。 」合同條款和規定應該明確：雲服務提供者必須對服務終止發出充分的通知，並明確從雲中轉移資料使用的工具和供應商將提供的協助，確保企業能夠在另一個雲服務中繼續使用資料。

根據Howie表示，雲計算合同可以要求雲服務提供者做出很多保證，包括供應商在協力廠商服務託管帳戶預留資金以用於協助客戶提取資料。 這些協定也可以明確存儲和處理設備，以供企業客戶在供應商破產後使用。 合同還可以進一步涵蓋協力廠商擔保或保險。 最後，合同中還可以要求供應商公佈其每季度的財務狀況，如果財務狀況顯示供應商陷入困境時，允許企業客戶解除合同。

但是，如果企業選擇的是私營公司或者初創雲計算公司，上述合同要求並不夠。 企業必須考慮當供應商突然停止提供服務時，他們是否能夠承擔相應的風險。 Howie表示：「企業應該始終有一個退出戰略，作為業務連續性管理計畫的一部分。 」

雲安全聯盟的《雲計算關鍵領域的安全指南》(SecurityGuidanceforCriticalAreasofFocusinCloudComputing)的Domain6提供了一些建議， 讓企業考慮他們將如何從雲服務提供者的服務中轉移資料。 Howie表示：「在6.2的便攜性介紹中提到，在選擇雲服務提供者時，便攜性是要考慮的一個重要方面，我們特別提到了災害復原。 」

雲服務提供者的經營失敗是一個災難，企業的業務連續性管理計畫中應該涵蓋這一點。 在談到雲安全聯盟的上述安全指南時，Howie說道：「6.3.2--便攜性建議和6.3.3—針對不同雲模式的建議提供了具體的指導和高層次的考慮。 」

在第6.3.2節中，雲安全聯盟的安全指南建議企業瞭解不同服務和不同雲架構的平臺依賴性。 當企業的應用程式和資料依賴于一個平臺，那麼，當使用轉移到使用不同的架構的供應商時，可能會存在技術挑戰。

專有認證技術和身份管理系統將阻礙雲資料、應用程式和服務移動到沒有使用相同認證和身份識別標誌的雲環境和供應商。 根據雲安全聯盟的安全指南顯示，通過使用開放標誌IAM平臺(例如SAML)，企業在轉移到另一個雲服務提供者時，可以實現這些機制的可攜性。

雲安全聯盟還敦促企業保持對加密金鑰的控制，以確保能夠安全地適宜地從現有雲供應商轉移。 同樣地，企業應該採取措施來確保當轉移到新的雲計算環境時，他們能夠從現有雲服務提供者消除所有中繼資料，這樣避免出現資料洩露事故。 這些最佳做法也包含在雲安全聯盟的安全指南中。 這個安全指南提供了詳細的指導，來説明企業從每種雲模式中安全轉移出來。

「預防為主，治療為輔」—本傑明·佛蘭克林

企業在轉移到雲計算環境之前，應該盡一切努力來確保可以毫髮無損地將其應用程式和資料轉移出來。 這樣做可以避免企業落入和Nirvanix客戶相同的困境。