CIO并没有因为云安全的问题而烦恼

原文作者：美国ECF社区经理 John Dodge

您也许听到了一次又一次 – 安全是企业转向云的过程中最关心的问题。那么，猜猜怎么样？根据我们的5位来自ECF理事会成员的看法，其实不是这样的。让我们来看看他们最关心的是什么问题。我们采访者分别是来自康宝浓汤的Joseph Spagnoletti，执行副总裁和CIO Wayne Shurts；来自中国银联的执行副总裁柴洪峰；来自Cable & Wireless的CIO兼服务运营总监Richard Wilson和来自通用动力信息技术公司（General Dynamics Information Technology）的CIO&VP Spain “Woody” Hall.本次采访是由ECF的主编Bill Laberis进行的。以下采访的问题和答复由美国ECF社区经理John Dodge撰写的。

ECF：安全是您在采纳云时最关心的问题吗？如果不是，那是什么？

Shurts: 我一直相信云供应商在非常努力的解决云里的安全问题。所以我更加关心“进入价格”- 即让我们的网络架构为云做好准备的成本花费。尽管刚开始安全是关注最多的，随着我们对云服务安全控制方面的了解，这方面的担心渐渐减少了，有时我们觉得应用云比内部设施还要好因为它们建立了一块绿地。

柴洪峰：目前安全问题不是我们最关心的。我们更关注的是云计算可以为企业带来的价值是什么。尽管云计算在IT领域变得炙手可热，但是金融行业使用采取谨慎的态度。当过去的物理站点被基于云的平台取代时，银行如何在此基础之上运营一个全新的业务模型？技术研发对银行业务和技术部门来说都是一个新的机会。所以说我们现在最关心的问题是云计算如何为业务带来真正的价值。

Hall：作为一个云“供应商”，我们相信云是安全的。我希望确保我们的供应商的确是把他们的云环境保护的好好的。如果我们要把一些东西放到云里，我们更关心的是强制性执行服务等级协议和如果我们决定换供应商时，专利/知识产权/商业敏感信息的归还或销毁的保证。

Wilson：不 – 技术与过时系统的兼容性才是我们最关心的问题。

Spagnoletti: 康宝最关心的问题是服务整合，随着云解决方案的爆炸和购买这些服务模式的改变（从IT到业务），最核心的挑战是要确保这些服务整合是进入到IT支持的流程里的。服务整合最关心的领域是：

l 用户配置和取消配置

l 融入到我们的登录架构中

l 如果需要的话启动客户端功能（插件）

l 云解决方案服务等级协议（SLA）整合到相关的监控架构中

l 数据管理和数据保留政策的应用

l 确保一个用户可以接受的互联网和企业网络的体验

ECF：有没有哪种应用程序您觉得永远无法，或在很多年内无法做到“云就绪”（如果有，是什么应用和为什么）？

Shurts：云是一个非常年轻的概念，尽管很多人想要排除什么可以在云里完成，我并不想。我们需要观察云将如何发展和壮大。如今我们无法构想的在云里的东西也许是五年内的标准收费。同时，我们开始务实的查看风险小和非面向用户的应用。

柴洪峰：我承认每个企业的数据中心中都会有些不太让人满意的硬件和软件无法做到“云就绪”。比如我们没有时间把运行应用和内部数据中心的主机迁移到云里。有些用户也许还是使用“主机”，清除这些设备将会花掉几乎所有的IT预算。从另一方面来说，如果我们不清除这些过时的系统或设备，也就无法真正在云上开发我们的业务。

Hall：目前我们把人力资源的机密信息放到了云里，包括绩效评估、薪酬调整和人事行动。我们没有把财务或商业发展信息放到云里。

Wilson：一旦在服务交付模式上有一定的信心，我认为大多数东西都可以迁移到IaaS。SaaS只适用于部分特定类型的应用。

Spagnoletti: 在可预见的未来，康宝的低延迟应用无法做到“云就绪”。原因是目前和未来的网络技术无法满足我们的延迟要求。这些应用主要集中在制造业。

另外，康宝的ERP后端在未来3年内预计无法做到“云就绪”。这主要是由于我们目前的应用整合构架不是基于SOA的，而是依赖于平面文件的交换。对于持有高度机密数据的应用，只要供应商能够满足我们对数据和系统安全的要求，并且能有效的把解决方案融入到我们的服务/监控框架里，我们认为没有任何限制把这些应用迁移到云里。

ECF：适应性和合规性的现状是如何影响您对于云安全的感觉或行为的？

Shurts：我认为适应性是众多因素中的一个。它们把现今的一些应用排除了出去，但是云可以从很多地方开始，比如电子邮件、存储、测试和QA环境以及一些应用。我的建议是从这些领域开始并且积累经验，同时让云安全慢慢成熟起来。

柴洪峰：云标准尚未统一，不同的企业有不同的云计算标准，这也为企业在实施云计算时制造了困难与困惑。标准是行业发展的关键因素，特别是新兴的云计算行业。加速云计算标准的统一对中国推动云计算发展和技术有重大意义。

Hall：越来越多的责任法规规范了对个人信息的保护，这大大塑造了云解决方案的设计要求和针对不同商业机会风险/利益的描绘。我们的政府客户的态度也大大影响了我们云解决方案的方法。他们的风险描述一般比商业和消费类客户更为保守。

Wilson：这肯定是个因素。当您不能确定您的数据物理存储地点在哪里时，不同地区的围绕数据保护和用户权限的不同监管制度让生活变得更加困难。由于数据保护问题，我们不得不把欧洲的一位同事从最近的云服务部署中排除了出去。

Spagnoletti: 如果云服务供应商无法满足我们想要的云解决方案监管要求，那么他就不是提交这个服务的可行性候选人。

原文链接：http://www.enterprisecioforum.com/en/article/cios-not-fretting-about-cloud-security-0