使用雲端服務可以節省商業成本並提高業務靈活性,但要注意潛在風險。近年來,雲端服務的使用越來越普及。 中小企業熟悉的典型雲端産品包括Microsoft Office Online、Salesforce CRM、SAP Cloud、DropBox等等。 這些應用大致上可歸類爲軟件即服務(SaaS),即可通過互聯網從雲端服務提供商(CSP)服務器按需提供給客戶。 其他類型的雲端服務包括平台即服務(PaaS)和基礎設施即服務(IaaS)。 通過平台即服務,客戶可以使用服務提供商用雲端。
問:中小企業爲什麽應該使用雲端服務?
答:雲端服務讓中小企業能夠以極低的成本獲取無限的運算能力,並且無需管理硬件、軟件和網絡。雲端服務根據使用額度來收費,公司只需爲使用的資訊科技服務付費,無需在設備、應用或資訊科技人員作出大量投資。
雲端服務也可根據需求伸縮,爲中小企業提供業務靈活性。例如,在顧客計劃上網購買的高峰期,網店可以要求服務提供商提高運算能力,以便快速爲更多客戶提供服務。同樣地,在非高峰期間,公司可以降低所需的運算能力以節省業務成本。服務提供商可以在幾分鍾內完成配置。這樣,中小企業可以在業務有需要時爲更多用戶或使用額度付費。
雲計算數據中心通常分布在國內甚至全球的不同地域,有助于應對區域和當地發生的問題和災難(如風暴、地震或電纜中斷)。在雲環境中,修補和備份等運作可以輕松自動化。
由于商業環境全球化而且競爭激烈,中小企業必須要適應變化並具備業務靈活性,以便跟隨市場變化做出快速應對。
問:使用雲端服務有什麽潛在風險?
答:一個主要風險是未經授權獲取和修改客戶及業務數據。如果在雲存儲或處理敏感數據,而雲軟件存在漏洞導致數據受損,這將影響數據的機密性和完整性。和中小企業在公司內部環境處理和存儲數據相比,當數據在公司和雲環境之間傳輸時,還存在額外的網絡風險。中小企業應采納適當的措施來加強數據的處理、存儲、傳輸和存檔的安全性。
雲服務提供商爲了節省成本、爲客戶提供更低的價格,往往會通過彙集運算資源來取得規模經濟。
這涉及了把運算資源虛擬化,讓雲端服務同時支持多個中小企業用戶。根據這種情況,相同的計算資源處理和存儲多個用戶的數據,並且隔離度很小,而如果這些服務設計不當,可能會導致數據的機密性和完整性出現問題。
雲服務數據中心所在地點不同,就會受不同地域的法規和政策管制。如果您的企業不允許在國外處理數據,那選擇位于國外的雲端服務將帶來合規和法律問題。
客戶若要轉換雲服務提供商也會比較困難,這種情況稱爲供應商鎖定。當客戶在某些情況下不得不使用另一個提供商的服務,例如當雙方出現法律沖突、收費問題、服務有重大中斷等時,這可能會成爲問題。如果現有的服務提供商不提供數據導出的功能,或不使用標准數據格式和應用界面,數據轉移可能會比較困難和耗時。
服務提供商也可能使用其他雲端服務來提供本身的服務。在這種情況下,上述風險則進一步擴大。
問:中小企業可做些什麽來降低這些風險?
答:在采購雲端服務之前,中小企業應該了解服務提供商的組織結構及風險管理流程。重要的是,要了解服務提供商如何處理安全事件,以及由哪個部門處理,弄清楚如何查找與安全相關的信息、安全建議、有關服務中斷的信息,以及一旦出現安全問題,服務提供商應該負擔的責任和義務。
從軟件和數據的角度來看,中小企業還可詢問服務提供商如何確保軟件安全、如何保護客戶數據或流程免受未經授權的使用、如何導出數據以及數據采用何種格式。客戶應該能夠通過一覽表和報告來監控服務的表現和安全性。
中小企業還可以參考多層雲安全(MTCS)新加坡標准(SS)584,特別是那些不了解如何評估雲端服務提供商的企業。MTCS標准旨在通過讓用戶清楚了解雲服務提供商的安全服務水平和提高服務提供商的責任和透明度,推動各行業采取雲服務。MTCS標准描述了三種安全級別。
簡而言之,第一層專門針對在低影響信息系統的非關鍵業務數據和系統而設計(例如,托管公共信息的網站);第二層專爲在中等影響的信息系統運行重要業務數據和系統的公司而設計(例如,電子郵件/客戶關系管理系統);第三層專爲在高影響信息系統中使用雲服務、擁有特定需求和更嚴格安全要求的公司而設計。合格的第三方認證機構根據雲服務供應商提供的服務進行認證。中小企業可以根據自己所需的雲安全級別,更好地衡量特定供應商是否合適。
(作者是新加坡管理大學信息系統學院助理教授)