云服務(wù)行業(yè)的穩(wěn)步發(fā)展印證了企業(yè)正在快速將其所有或部分計(jì)算、應(yīng)用程序和數(shù)據(jù)存儲需求遷移到這一新興目標(biāo)。據(jù) Gartner 稱,該行業(yè)有望在 2015 年之前一直保持強(qiáng)勁增長態(tài)勢,預(yù)計(jì)屆時(shí)全球云服務(wù)收入將達(dá)到 1488 億美元。
這種對于云計(jì)算迅速高漲的熱情并不是無端燃起的,而是因?yàn)槠涫找娴拇_極具吸引力。其中,主要的動因包括顯著降低 IT 成本以及提高運(yùn)營效率、企業(yè)合作能力及業(yè)務(wù)敏捷性。此外,新興服務(wù)選項(xiàng)提供了眾多選擇:Amazon Web 服務(wù)、Rackspace、Nirvanix 和其他供應(yīng)商的“基礎(chǔ)設(shè)施即服務(wù) (IaaS)”;Microsoft Azure 和 Google Apps的“平臺即服務(wù) (PaaS)”;以及 Salesforce.com 和 CaseCentral 等供應(yīng)商的軟件即服務(wù) (SaaS)
云技術(shù)的早期采用者將這種遷移視為業(yè)務(wù)發(fā)展的必要條件,盡管其中暗藏著服務(wù)中斷以及安全與隱私泄露風(fēng)險(xiǎn)。然而,云服務(wù)供應(yīng)商顯然完全理解企業(yè)最初將關(guān)鍵信息資產(chǎn)交給其管理時(shí)的猶豫心情,因此他們再接再厲,以期減輕企業(yè)對嚴(yán)格的服務(wù)水平協(xié)議(SLA,涉及正常運(yùn)行時(shí)間、隱私和安全要求)的擔(dān)憂。
Intuit 和 Google 最近發(fā)生的超長服務(wù)中斷事件登上了各大媒體的頭版頭條,而這只不過進(jìn)一步證實(shí)了云技術(shù)不僅現(xiàn)在會中斷而且未來也會中斷,這意味著服務(wù)質(zhì)量和數(shù)據(jù)可用性問題仍是重中之重。雖然加密仍是在遷移到云環(huán)境時(shí)保護(hù)數(shù)據(jù)的基準(zhǔn)方法,但在與任何云服務(wù)供應(yīng)商建立合作關(guān)系之前,還應(yīng)該了解有關(guān)如何遷移數(shù)據(jù)并分清責(zé)任的問題以及必須應(yīng)對的額外風(fēng)險(xiǎn)。
在討論云風(fēng)險(xiǎn)時(shí),有一些同等重要的問題浮出水面。雖然這些問題尚未成為令人高度關(guān)注的頭條新聞,但仍具有深遠(yuǎn)的影響,需要給予持續(xù)探討和關(guān)注。Savvy IT 領(lǐng)導(dǎo)者開始意識到,在權(quán)衡云計(jì)算風(fēng)險(xiǎn)時(shí)必須攻克“三道”難關(guān):中斷、隱私和安全。與以往相比,謹(jǐn)慎評估、并與其他利益相關(guān)組織建立合作伙伴關(guān)系,對于了解和減輕檔案管理、電子發(fā)現(xiàn) (eDiscovery)、司法問題和退出策略帶來的風(fēng)險(xiǎn)來說,變得更加必要。
檔案管理:數(shù)據(jù)保留及清除
將信息遷移到云的重要優(yōu)勢之一是可以極大地簡化數(shù)據(jù)管理。迄今為止,企業(yè)一直在強(qiáng)調(diào)確保數(shù)據(jù)的完整性和可用性,卻不太考慮信息保留和清除要求。
這方面的問題需要企業(yè) IT 部門和法律部門之間協(xié)同解決,以了解并明確具體的數(shù)據(jù)保留和處理需要,之所以如此,是因?yàn)樵S多云服務(wù)供應(yīng)商提供的合同都是千篇一律的標(biāo)準(zhǔn)協(xié)議。另外請切記,云供應(yīng)商的工作性質(zhì)是收集數(shù)據(jù),而不是清除數(shù)據(jù)。他們能令企業(yè)非常輕松地?cái)U(kuò)容,鼓勵企業(yè)保留全部數(shù)據(jù)。數(shù)據(jù)的清除通常不是他們討論的主題,但卻值得探討。
遷移到云環(huán)境被認(rèn)為會使數(shù)據(jù)管理變得更容易,然而對于數(shù)據(jù)保留來說,與在企業(yè)內(nèi)部處理相比,在這種新環(huán)境下處理會更加復(fù)雜、困難。因此,企業(yè)需要確定其選項(xiàng)有哪些以及服務(wù)供應(yīng)商如何處理檔案管理。舉例來說,了解服務(wù)供應(yīng)商如何應(yīng)用多個(gè)保留策略至關(guān)重要,因?yàn)樗麄兙褪抢眠@個(gè)方法,根據(jù)雙方的協(xié)定來清除某些數(shù)據(jù)集。
在某些情況下(如涉及 SaaS 云服務(wù)模式),數(shù)據(jù)保留和清除可能被納入服務(wù)方案中。許多基于 SaaS 的電子郵件供應(yīng)商設(shè)定了刪除保留時(shí)間超過一年的郵件的策略。另外,也可以通過企業(yè)的備份軟件管理數(shù)據(jù)保留。無論采用何種方法,客戶都需要在制定數(shù)據(jù)保留和清除策略方面發(fā)揮積極作用,并與供應(yīng)商緊密合作,以了解違反(甚至是無意間違反)這些策略時(shí)將帶來的法律后果和風(fēng)險(xiǎn)。
電子發(fā)現(xiàn)(eDiscovery):數(shù)據(jù)保留、采集和生產(chǎn)
與在企業(yè)內(nèi)部處理流程相比,云計(jì)算還會使搜索、訪問、收集和保存電子存儲信息 (ESI) 變得更費(fèi)力、更復(fù)雜、風(fēng)險(xiǎn)更高。在解決這方面問題時(shí),企業(yè) IT 部門需要與相關(guān)法律部門合作,以獲取關(guān)于云發(fā)現(xiàn)與異地存儲之間差異的指導(dǎo)和建議。
與檔案管理一樣,云服務(wù)類型也會影響功能級別。例如,如果企業(yè)只是將云作為一種存儲庫使用,那么能夠搜索數(shù)據(jù)的可能性會大大降低。然而,如果企業(yè)使用 SaaS 云服務(wù),就會增加執(zhí)行搜索和內(nèi)容索引的可能性,從而支持電子發(fā)現(xiàn)(eDiscovery)需求。在評估這些功能時(shí),了解云服務(wù)供應(yīng)商提供的工具非常重要。在某些情況下,企業(yè)能夠組合使用內(nèi)外部工具,以加強(qiáng)搜索和識別數(shù)據(jù)。
另一個(gè)重要問題是需要了解基于云的數(shù)據(jù)的真實(shí)性和容許性。例如,將數(shù)據(jù)遷移至云環(huán)境時(shí),數(shù)據(jù)所有權(quán)是否發(fā)生改變?企業(yè)訪問云中數(shù)據(jù)的權(quán)限是否與訪問本地存儲數(shù)據(jù)的權(quán)限不同? 此外,如何評估和監(jiān)控?cái)?shù)據(jù)的真實(shí)性? 以原始格式維護(hù)數(shù)據(jù)至關(guān)重要,但有時(shí)遷移到云會改變元數(shù)據(jù)和文件名。這會使情況變得相當(dāng)復(fù)雜,特別是當(dāng)企業(yè)不再能夠訪問曾存儲在本地的元數(shù)據(jù)時(shí)。如果在遷移至云時(shí)信息發(fā)生更改,企業(yè)應(yīng)該明確是否可以通過數(shù)據(jù)審核來證明這些數(shù)據(jù)在原始格式時(shí)仍然有效。
從法律角度講,應(yīng)用“依法保留”政策的能力對于將數(shù)據(jù)作為證據(jù)管理策略的一部分進(jìn)行保留十分必要。當(dāng)處理基于云的數(shù)據(jù)時(shí),這個(gè)程序會變得更加復(fù)雜,因此需要在與云服務(wù)供應(yīng)商簽署協(xié)議之前執(zhí)行額外的審慎調(diào)查。最重要的是,企業(yè)需要了解數(shù)據(jù)是否必須恢復(fù)到客戶的位置以滿足依法保留政策要求,或是否可以應(yīng)用依法保留政策(雖然數(shù)據(jù)仍駐留在云中)。尤其是,確保云供應(yīng)商沒有任何會導(dǎo)致破壞數(shù)據(jù)的行動,否則很可能招致處罰或其他代價(jià)高昂的法律后果。
如果云服務(wù)供應(yīng)商無法在任何訴訟程序執(zhí)行過程中按照法院規(guī)定的方式和時(shí)間恢復(fù)數(shù)據(jù),則會產(chǎn)生包括商業(yè)處罰、負(fù)面推論和制裁在內(nèi)的嚴(yán)重后果,從而將使云中的電子發(fā)現(xiàn)(eDiscovery)問題呈愈演愈烈之勢。避免這些可怕后果的最佳方法是在該流程的早期與法律專家和利益相關(guān)方合作,以便精確找到任何潛在的電子發(fā)現(xiàn)隱患。
司法問題:數(shù)據(jù)的存儲位置至關(guān)重要
司法問題常常被人們忽略,解決這一問題需要著眼于兩個(gè)層次。首先,企業(yè)必須確保其云服務(wù)供應(yīng)商能夠嚴(yán)格按照有關(guān)法律規(guī)定的數(shù)據(jù)需要被存儲的特定位置進(jìn)行運(yùn)營。其次,請務(wù)必考慮數(shù)據(jù)性質(zhì),尤其是美國云供應(yīng)商,其保留的數(shù)據(jù)或電子郵件屬于外國公民,原因在于歐洲的隱私法要嚴(yán)格很多。
全美各所大學(xué)是最早采用云計(jì)算技術(shù)的機(jī)構(gòu)之一,它們中有許多都將數(shù)以千計(jì)的學(xué)生電子郵件遷移到云中,以節(jié)省 IT 運(yùn)營成本和資源。有關(guān)電子郵件外包使機(jī)構(gòu)滿足不斷提高的校園通信和協(xié)作需求的成功案例不勝枚舉,但在一些學(xué)校仍存在一個(gè)不太為人知的事實(shí),那就是歐洲師生的電子郵件面臨著郵件外包帶來的附加風(fēng)險(xiǎn)。歐盟 (EU) 的隱私法比美國嚴(yán)格很多,前者要求將電子郵件交由第三方處理前必須得到各方授權(quán)。
跨界問題不再僅僅困擾數(shù)據(jù)擁有者,目前已經(jīng)開始向云供應(yīng)商文件服務(wù)器的物理位置蔓延。由于許多供應(yīng)商都在全球多個(gè)數(shù)據(jù)中心存放數(shù)據(jù),因此,為了有效應(yīng)對各地不同的隱私法,確認(rèn)每個(gè)數(shù)據(jù)中心的位置所在是非常明智的做法。要重申的是,最根本的目標(biāo)是隱私暴露最小化,同時(shí)必須記住,司法是一個(gè)會出發(fā)法律、法規(guī)及合規(guī)風(fēng)險(xiǎn)的領(lǐng)域。
退出策略:重新獲得數(shù)據(jù)
或許最容易被忽略的方面就是,當(dāng)企業(yè)想中止云服務(wù)或更換云服務(wù)供應(yīng)商時(shí)會遇到問題。企業(yè)必須提前制定退出策略的原因有很多,例如,避免在云服務(wù)供應(yīng)商破產(chǎn)時(shí)數(shù)據(jù)泄露,并確保所有云數(shù)據(jù)都能夠被重新獲得或遷移至新的供應(yīng)商。
迄今,這一方面尚未引起云服務(wù)供應(yīng)商的足夠重視,這里有必要剖析他們回避這一問題的原因,但了解如何讓客戶找回?cái)?shù)據(jù)的流程則更加關(guān)鍵。有些情況下,可以直接將數(shù)據(jù)從 A 廠商遷移至 B 廠商。無論怎樣,都必須考慮成本和時(shí)間因素,同時(shí)潛在的風(fēng)險(xiǎn)也要引起特別關(guān)注并尋求法律建議。
不同的云服務(wù)供應(yīng)商提供的服務(wù)也千差萬別,有些供應(yīng)商更愿意就上述客戶關(guān)心的方面進(jìn)行協(xié)商。切忌簽訂那些不支持客戶定制或修改的固定式合同。顯然,客戶實(shí)力越強(qiáng),就越有協(xié)商的資本。但對于小規(guī)模的組織來說,在將任務(wù)關(guān)鍵型數(shù)據(jù)遷移至云時(shí)更須謹(jǐn)慎,因?yàn)樗鼈兺瑯訒艿絿?yán)重影響。
降低云的相關(guān)風(fēng)險(xiǎn)的深入分析
由于存在潛在的有損聲譽(yù)的數(shù)據(jù)泄露風(fēng)險(xiǎn),因此建議服務(wù)供應(yīng)商首要關(guān)注如何最大限度減少普遍的服務(wù)中斷情況,同時(shí)采用適當(dāng)策略和程序來降低隱私與安全風(fēng)險(xiǎn)。有時(shí),個(gè)別云服務(wù)供應(yīng)商會因客戶無法檢索其數(shù)據(jù)而且被迫接受額度高達(dá)數(shù)十萬美元的罰款,這樣的實(shí)例雖不太可能登上媒體頭版頭條,但卻真實(shí)存在。
出于該原因及上述其他所有原因,IT 企業(yè)必須開始審視將數(shù)據(jù)遷移至云時(shí)所產(chǎn)生的泄露程度較小但卻具有同等影響力的風(fēng)險(xiǎn)。 同時(shí),大型企業(yè)和小型企業(yè)需共同確保所有重點(diǎn)領(lǐng)域都得到完美解決,從而保證向云遷移能夠增加業(yè)務(wù)收入,而不會帶來債務(wù)。
眾所周知,最好的防守就是進(jìn)攻,因此那些希望降低云相關(guān)風(fēng)險(xiǎn)的公司需要在遷移前了解相關(guān)法律事宜。首先要讓企業(yè)內(nèi)的 IT 和法務(wù)人員集思廣益。這個(gè)跨職能團(tuán)隊(duì)能夠在制定詳細(xì)策略前全盤掌握公司的數(shù)據(jù)情況,從而確保任何數(shù)據(jù)遷移到云都會改進(jìn)企業(yè)效率和流程,而不會產(chǎn)生瓶頸或風(fēng)險(xiǎn)。