混合IT基础设施,包括云计算和非云系统,将成为许多公司多年的常态。了解从三个早云用户的关键云安全问题和解决方案。
至少在未来几年内 - 对于所有人都在谈论公共云与私有云,许多组织可能会使用包括两种类型的云和非云系统和应用程序的混合IT环境而告终。
安全仍是许多CIO关注的问题,但如果商业案例支持的话,公司会所有,但最敏感的和高风险的数据移动到云中。已经开始编织在一起,云计算和非云环境的管理人员说,他们已经采取措施,确保安全是一个早期的考虑,已经包含在服务级别协议(SLA)和合同安全条款,并一直在努力保持法规遵从和安全集成。
行业专家说,尽管对安全性的担忧已广为宣传,但混合IT环境可能会吸引许多组织,特别是全球企业。
“混合云模型使得有很大的意义在大型组织中,” Evans Data公司,在Santa Cruz,加利福尼亚州“。市场研究公司的CEO由于安全顾虑减轻,很多人可能将更多的计算资源的出哈内尔加文说,云计算,但“有些人可能会保持一个混合模式几年来。
外向的应用,如协作,沟通,客户服务和供应链的工具,是为云优秀的考生,加文说,虽然诸如财务和客户数据信息更容易驻留在内部部署。“大多数公司也觉得备份存储和应用程序仍然应该内部保持,即使数据和应用程序驻留在云,”她补充道。
在IANS研究,信息安全研究与服务交付的高级副总裁Chris Silva说,就在几年前,企业进入云大多是实验性的,回刻录机项目,不是哪个公司会相信关键数据研究公司。今天,“我们看到了很多更多的东西取了云的味道,”席尔瓦说。
越来越多的企业看到在提供更高的处理能力的繁忙时间,如假日购物季节或财务报告周期服务价值,席尔瓦说。“这已经从边缘活动搬到了主流。”
进入云:商业案例规则
可以肯定,一些企业仍不愿使用云客户和其他敏感数据,因为它们具有安全性和法规遵从性的担忧。尽管如此,企业正在打造与云计划提前,并且,与其他显著的IT投资,是否使用云计算和服务,往往通过决定归结为是否有一个强有力的商业案例。
为美国医院提供急诊室管理服务的舒马赫集团的首席信息官Doug Menefee说:“经济和商业需求将决定什么是留在云端,什么是留在云端。”
舒马赫在2006年开始将应用迁移到云中,并Menefee估计,今天90%的公司的过程是在基于云的服务。
一些托管服务及其它业务的软件即服务(SaaS),Menefee说。“我们的大多数解决方案都通过Web服务相互融合或内部部署解决方案集成的混合方法,”他说。
以确保云安全, Schumacher与每个供应商一起审查其安全性和审计程序,确保它们符合HIPAA和经济与临床健康健康(HITECH)法案。他表示:“我们将我们的业务伙伴协议作为标准合同语言的一部分,与任何可能获得患者数据的供应商签订合同。”
对于公司,总部设在拉斐特,路易斯安那,主要驱动力去云是认识到它的数据中心是容易被损坏2020欧洲杯预赛主要飓风像卡特里娜和丽塔,Menefee说。他说,云服务供应商有多个2020欧洲杯预赛数据中心全国各地。“数据中心的占地空间和2020欧洲杯预赛地理位置的评价是我们的尽职调查过程的一部分,” Menefee说。
其他动机包括能够轻松扩展容量向上或向下,并需要提供应用程序给用户更快。
通常,当舒马赫是决定一个应用程序是否应该在云中走,“云胜,因为我们可以得到它运行起来比内部部署速度更快,” Menefee说。“此外,SLA和来自供应商的季度更新使我们领先创新,特色和功能的曲线。”
莫里斯学区莫里斯敦,新泽西州,也适用商业案例其云决定。该区利用云服务从AppRiver管理其电子邮件的安全性,包括垃圾邮件和病毒过滤。这是在执行其主要的学生信息系统,它用于任务,如分级,采取考勤,调度,管理健康档案和协调公共汽车另一个云服务的过程。
学区选择保持其IT基础设施和应用程序,如预算,人事和工资系统的某些部分,从云中,蒂姆·麦克达德,技术的学区总监。什么是抱着他的后面部分是人员不足,麦克达德说。
“我们在推出我们新的基于云的学生管理系统的过程中,要做到同时附加[关键]系统实在是太多了,在一次进行,”他说。“有牵涉到很多用户的培训,学生信息系统是一个重要的系统,在现实中,我们运行最重要的系统。”
该地区在决定什么时候把什么放到云中时考虑了什么因素?McDade说:“资金、技术上实施[服务]可用的时间,以及培训最终用户所需的时间。”
使用云服务的电子邮件安全节省了劳动力成本。“运行,维护和内部备份这些系统的成本相比,托管型解决方案发财的时间和金钱,”麦克达德说。在过去,当重大病毒爆发通过电子邮件进来了,“我们会或多或少不得不放弃我们在做追踪下来我们的内部服务器上的一切,”他说。
寻找和摆脱的电子邮件问题的过程中采取了内部小时,是破坏性的操作,麦克达德说。随着基于云的应用程序,供应商处理所有必要的过滤。他估计,该小区是通过使用云服务至少每年节省$ 20,000。
提供医疗和药房索赔恢复服务的罗林斯集团也有一个混合IT环境。虽然非云系统处理高度敏感的数据,但该公司使用多种云,包括一个内部云,其中大约600个系统组成一个网格,支持数据库访问和数据挖掘应用程序。
罗林斯公司(Rawlings) IT高级副总裁凯文?兰德格雷夫(Kevin Landgrave)说,内部云存储医疗保健客户数据。罗林斯说,大约一年前推出的网格帮助公司处理了日益增长的数据处理需求。
“这主要是我们的一个客户端的舒适性和审批问题,”领地说。“我们与客户的协议是非常具体的关于如何以及在何处,我们存储数据,并用于访问数据的过程中我们需要进一步的指导来自政府 - 围绕什么是最低限度的必要“手段在传输数据方面对于HITECH下HIPAA业务伙伴,以及它如何可能影响电子健康档案传输 - 我们愿意向客户批准将他们的数据存储之外的我们的设施之前“。当HIPAA覆盖的实体公开受保护的健康信息提供给云服务提供商,领地说,它的风险暴露下的HITECH法案的联邦数据安全违规通知的要求。(CSOonline的安全法规,法规和准则目录提供摘要和链接的这些和其他要求全文。)
该公司还使用了从主要厂商,其罗林斯不想确定,大约一年半的外部云服务。该服务支持多种应用程序,包括对一些非医疗客户的网站罗林斯运行处理。供应商能够罗林斯轻松扩展容量向上或向下取决于其需求,领地说。
当考虑到外部云,看数据量,领地说。“那大部分成本和处理速度的问题驱动器,”他说。“安全显然是总是在列表的顶部,但如果被确定为不是一个问题,该数据集的大小未来......是主要因素之一,”他说。
罗林斯目前正在评估从厂商如微软,Rackspace公司和IBM云服务,以帮助处理其快速增长的数据处理需求。但该公司的加工需求 - 它具有内部数据的数百TB - 使这些服务他们当前的月度定价结构下的成本太高,领地说。
“到目前为止,它的更昂贵,使用云计算为数据集,我们正在谈论的大小,”他说。“它很快变得成本过高。”
云安全,合规性和集成
一旦企业已经部署云服务的决定 - 或者他们已经取得甚至之前的决定 - 他们需要确保足够的安全到位在云中保障信息“安全是迄今为止最大的问题,并可能是东西,各级解决,”加文说。
“例如,在创建应用程序时,以消除一些安全威胁,如软件开发人员可以学习技术,采用SQL注入,而其他安全防护措施可以在硬件中实现。我们的想法是,最健壮的安全将来自硬件层面,因为它总是有可能破解云中的代码。”
加文说,最令人印象深刻的硬件解决方案之一是英特尔可信执行技术,其在处理器级别的扩展创造了许多独立的执行环境,称为分区。这是云安全有用的,她说。“它还提供了安全的密钥生成和储存,并且在执行时检查BIOS来检测篡改,”她说。
IBM也在做类似的事情,将用于嵌入式系统和移动设备的芯片作为其智能星球驱动器的一部分,Garvin说,这些可以帮助云客户端的安全。她说:“芯片组内建的功能提供了安全相关数据的硬件存储,如密钥、证书、数据和校验和,并在加密和解密方面提供了一些帮助。”
Silva说,公司评估云提供商的可见性、控制和安全水平尤为重要。他表示:“最大的威胁是(不)了解供应商带来的风险概况。”
供应商评估的一部分应该是探索其基础设施,这些基础设施可以用于其他客户,Silva说。如果信息被共享,其他客户采取行动可能危及你的信息或隐私,这有什么风险?他说,使用云服务的公司应该持续评估提供商的风险,而不是从一开始就评估。
建立强大的安全性还可以包括编写安全要求与云服务提供商签订合同,并跟进以确保这些要求得到满足。为了彻底评估其外部云供应商的安全状况,罗林斯仔细研究了文档,以确保供应商有适当的控制并对其进行监控。
也看到云安全的生存指南
舒马赫是依托基于云的安全工具Symplified公司从保护云中的相关资料,包括其身份管理和单点登录(SSO)应用程序。Symplified公司提供集中服务,处理身份和访问管理,强制对所有的云应用舒马赫利用安全策略,审核使用的合规性报告。
Menefee说:“SSO方法可以提高应用程序使用率,减少存储在便签上的密码。”“我们的员工不可能记住所有我们授权的系统的唯一证书。”
法规遵从与云的另一个关键问题,特别是对公司在行业,如医疗保健和金融服务。
Menefee说舒马赫集团要求所有存储或可能存储病人健康信息的服务都保证隐私和机密性。他表示:“作为我们尽职调查过程的一部分,我们每年都要求获得各种合规认证。”
罗林斯对数据隐私和安全也很敏感,因为其客户来自医疗保健行业,该行业有关数据访问和存储的规定特别严格。但他表示,这不仅仅是监管;罗林斯在道德上有义务保护信息的完整性。
兰德格雷夫说:“我们内部的数据有很高的隐私要求,所以我们必须绝对确保网站本身以及我们和网站之间的通道是安全的”,然后才能认真考虑在医疗数据上使用云。