实施云计算之前需要问的 6 个问题

云计算正在进入“寻常百姓家”，但是数据的安全性依然是实施云计算时必须面对的一个问题，不论是对云计算提供商和实施云计算的用户。Cyber Ark 公司的产品副总裁Adam Bosnian 日前撰写了一篇文章，分析企业在选择实施云计算之前需要了解的一些问题，比如谁能看到自己的数据，如何在不同的云计算平台之间迁移等。

一般来说，企业所用的云计算服务主要包括应用、数据存储、技术架构和平台等四种，而且他们之间相互关联。而大多数云服务使用的是共享的服务器，也就是说，不同的企业共享使用这些IT 资源。这就要求企业不得不多加考虑数据的安全性问题，比如自己的数据是不是真的被存储了？如果自己不小心删除了怎么办？而且是不是真的删除了，在自己不知道的地方是不是还有备份等。

Adam 介绍说，在为企业选择何时的云技术和服务之前，最好先做个风险评估分析，并给出了这个分析所包含的四个要点：

• ID 管理和访问控制——什么时候授权、被授权的人要做什么？
• 法规要求
• 数据处理过程——公司的数据存在什么地方？如何被管理的？
• 员工管理——如果有人离职或者职位变动了，如何处理？

对这些问题比较清楚之后，企业所面临的就是如何选择云服务提供商。Adam 在文章中提到，在和提供商谈判时，最好能够深入了解下面 6 个问题：

• 谁能看到我的信息？：数据丢失是一个现实问题，现在这个风险要有第三方来承担。那么，你就需要了解服务提供商（系统管理员）是否能看到你的数据。因为大多数管理员都有这个能力，那么，提供商是否对他们有所约束，以避免转移或者复制你的数据呢？
• 如果服务提供商丢失了你的数据，怎么办？：你需要和服务提供商沟通，了解他们的数据保护策略和授权流程等。另外你还应该根据这些流程做一些相应的检查。
• 你愿意和别人共享服务器吗？：这些第三方组织如何隔离信息和系统的？你的竞争对手，如果他们也使用这个服务，会盗用你的数据吗？记住，在云里，你无法了解你的数据是否被盗用，你真的需要彻底弄明白这个问题。
• 如果数据崩溃怎么办？：服务提供商对你的数据做了多少个备份？他们使用增量备份，在过去的某个时间点上他们能重构数据镜像吗？数据能回溯多远？
• 迁移到其他的云服务提供商方便吗？：这个问题很少有公司问到，直到迫不得已的时候。在不同的云服务提供商之间转移数据还是一个新课题，现在只有少数服务提供商有这个能力。但将来，这个也是一个需要面对的问题。
• 有没有过于依赖服务水平协议？：服务水平协议是你和云服务提供商之间的合约，但你需要了解服务提供商不能履约时应该如何应对。要有一些补救措施，在一棵树上吊死可不是个明智的选择。

如果你在使用云计算，那么在实施之前你是如何和服务提供商沟通的？欢迎和 InfoQ 中文站读者分享你的经验。