我知道,下面所要提及的观点可能与云计算模型的普遍诉求有所抵触 – 面向广泛的客户群、低成本和按需供给。在绝大多数情况下,定制化并不是云计算的必要元素,但是也不应该就此被抛弃。
数据安全和合规一直是使企业回避公有云的主要原因。但是,有些云服务提供商已经开始意识到满足特定行业数据安全需求的价值。比如,微软在今年五月发布了针对政府客户的office 365产品,可以将各个政府部门的数据存储到多租户的公有云环境中。微软同时提供了office 365 ITAR -- 一个满足FISMA(Federal Information Security Management Act,联邦信息安全管理法)和ITAR(International Traffic in Arms Regulations,国际武器贸易条例)的数据中心环境。美国联邦航空管理局(Federal Aviation Administration)已经开始了公有云的实践,计划为其8万名雇员提供Office 365工具。
Michael Daly是国防和航空系统制造商Raytheon Co.的信息技术安全总监,在访谈中他阐述了在云计算和移动计算时代下安全策略的变化趋势。Daly认为根据行业的不同,云计算可以是有所区别的。以其所在的行业而言,由于安全性的顾虑,云计算的使用可能比较受限制;但是其他行业则可能在公有云计算方面把步子迈得更大一些 – 如果能向云服务提供商提出自身行业特定需求的话。
Daly认为企业安全政策应该在法规框架下重建并进行测试。那么,应该从哪里开始重建工作呢?
“我觉得应该从对供应商的要求入手,这样很多框架性的工作就可以由行业组织来完成,而不是仅仅由少数企业来推动。”Daly说:“应该由行业组织来告诉云服务商和移动设备厂商,针对本行业该做些什么,有哪些法规需要遵守。”
不仅仅Daly是这么认为的。一家全球商业和个人保险提供商的CIO也表示,他的想法是首先联合其他保险公司一起构建一个单点登录的公有云服务。综合各家保险服务商的服务交集,为保险代理提供单一认证的云服务,可以推动整个行业的公有云实践进程。
垂直战略不适合于云服务提供商
但是有人也认为,这种已经开始实践的战略可能前景不妙。Gartner的分析师John Pescatore曾经见过某个行业联合起来制定特定的技术标准,但是结果令人沮丧。“比如,保险行业就曾经联合起来制定了一个标准,但是当某个公司需要做出一些微调时,整个技术规范就分崩离析了。”Pescatore说:“这是业内竞争所导致的必然结果。”
对于让云服务商满足一些诸如HIPAA(The Health Insurance Portability and Accountability Act,美国医疗保险及责任法案)和PCI DSS(支付卡行业数据安全标准)之类的特定法规,Pescatore是认同的:“由于这些法规不会频繁变更,因此云服务商可以进行应对,并且这也符合其长远利益的。”但是对于各行业的安全政策,由于其可变因素太多,云服务商恐怕会疲于应付。
尽管如此,对某些行业来说,协同一致总是好过各自为政。比如政府部门,在政令的强制推动下以公有云来削减成本,基于各自已有的云服务进行协同。波士顿就是一个例子,其CIO试图同其他部门一起共享公有云资源和服务。有些政府部门自身就可以支撑公有云服务,比如位于华盛顿特区的National Business Center(NBC),构建了NBC CLOUD,面向150个政府部门提供云计算服务 – 如今,各个政府客户已经可以将其自身的应用放到NBC的大型机或者x86服务器上。
至此,这个议题的答案也许就是:各个行业可以基于自身特定需求来进行统一应对,包括遵循数据安全规范等;而云服务商则应该慎之又慎。
