数据存储和云安全是选择云服务的关键

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全中心 免费版,不限时长
简介:

摘要:云计算正在迅速发展,在某些情况下,这种发展已经改变了云合同谈判的性质,使IT领导人拥有更多的优势。

云计算正在迅速发展,在某些情况下,这种发展已经改变了云合同谈判的性质,使IT领导人拥有更多的优势。随着云支出的增长, 云合同谈判中不再是由服务供应商进行主导。本文将讨论如何针对你的企业,进行云合同的条款和条件的谈判。

随着云支出的增长, 云合同谈判中不再是由服务供应商进行主导。本文将讨论如何针对你的企业,进行云合同的条款和条件的谈判。

数据存储和云安全是选择云服务的关键

  CIO Cynthia Nustad回忔,在云早期,云合同谈判中,IT领导人并没有多少余地。

大约七年前,绝大多数的云服务供应商都向企业提供一个千篇一律的合同,Nustad说,她是医疗管理服务公司HMS的CIO。许多供应商都拒绝承担任何真正的责任,他们当然回避签署医疗行业的商业伙伴协议,这一协议要求供应商在数据泄露事件中共同承担责任。

这足以让许多CIO在签署云合同时,感到不安,Nustad当时是另一家医疗行业公司的IT领导人,最终决定放弃。

“供应商真的完全掌控了合同,”她说。“也许你可以在价格或附加条件上进行协商,但是核心服务都基本固定。你只能选择签名,这是你唯一的选择。那时,我们做不到。数据泄露的成本实在太高,我们不能冒风险。”

然而,如今,许多云供应商不再回避签署那些商业伙伴协议。 “事情已经发生重大变化,”Nustad说。

云计算正在迅速发展,在某些情况下,这种发展已经改变了云合同谈判的性质,使IT领导人拥有更多的优势。

根据IDG Enterprise的Computerworld Forecast Study 2015,预测42%的IT决策者正计划在2015年增加云计算的开支。去年年底IDC预测,到2016年,IT将会把预算中的11%从传统的内部IT交付,转移到各类型的云计算上,作为一种新的交付模型。IDC预测,公有云支出将在2018年达到1270亿美元。

共享技术是云服务的核心,允许供应商以非常难以抗拒的价格为CIO们提供他们的服务。但是,因为这样的低成本,云供应商通常期望公司签署千篇一律的合同,并且没有灵活性,Andy Sealock表示,他是Pace Harmon公司的总经理,帮助客户寻找合适的云服务供应商。

“我们发现,云服务供应商通常都是如此,并用低成本作为借口,而不提供我们客户想要的服务,”Sealock说。

但是,CIO和IT专家们都认为,随着市场的成熟,和云供应商数量的增加,这一市场变得更有竞争力, CIO们现在可以避开这种一刀切的合同,开始寻求和获得带有更多安全保障和自定义服务的合同,以满足他们的业务需求。

“如果你是很重要的客户,服务供应商肯定很愿意进行商谈,因为这是一个销售机遇,”Sealock说。 “很多大公司像亚马逊和微软都会愿意进行协商,但即使是一些规模较小的供应商,也愿意协商,因为有时他们期望获得你的业务,也愿意提供定制服务。”

Sealock表示,需要进行一定的施压,才能让供应商提供超越标准合同的服务。 “很多时候需要有竞争力的计划书,否则,他们不会重视,”他说。

如今的云合同谈判已经远远不再是价格和服务水平协议。 以下是IT领导人在下次商谈云合同时,需要考虑的一些条款和因素:

云合同谈判:条款和条件

许多云供应商会说,“我们的条款和条件都在我们的网站上。” 但供应商通常会在不另行通知的情况下,修改这些条款, Colin Whiteneck说,他是德勤咨询公司的高级经理,为CIO们提供云合同咨询。

“你需要和他们进行谈判,让他们提供具体的条款和条件,”Whiteneck说。“如果他们不愿意进行协商,你就告诉他们你不想看到他们的计划书。”

即使供应商坚持使用标准条款,也需要在合同中阐明这些条款在整个合同期内都应适用,以避免未来发生对于企业不利的情况。

数据存储

John p . Donohue是宾夕法尼亚大学医学院的技术和基础设施的副CIO,他认为对于医疗服务提供者而言,知道自己的云供应商在何处存储数据是非常重要的。

“我们必须非常清楚数据存储的地点,并且我们希望,当他们要改变存储地点时,可以通知我们,”他说。 “云供应商通常使用成本最低的地点进行存储,而且会转换地点。我们希望能够禁止这种行为。”

一些供应商会让企业支付数据中心转移的费用。此外,许多合同中对于数据保留,和供应商对于数据存储的方式和地点的责任定义都非常模糊, Whiteneck说。

随着云的发展, 许多国家正在制定新的数据隐私法律——在某些情况下,要求某些数据存储在国家内部。 “明确数据的存储地点,保护的方式是很重要的,这样就可以遵从不同国家的法规,而这些法规也在不断变化,” Whiteneck说。

如果供应商决定与另一家公司合作,并且会改变数据存储的结构,企业必须获得通知。

“我有一个客户,发现七个月前供应商将数据搬到另一个公司存储,这改变了客户认可的安全性,” Michael Davis说,他是网络安全公司CounterTack的CTO, 也提供云合同,并且为客户提供云相关的安全问题咨询。

安全条款

公司应该让云服务供应商展现其架构和设计下的网络是如何连接的,数据是如何备份的,数据的存储地点,以及如何保护数据的安全, Sealock说。

“你必须尽职去调查这一切:如何应对数据修复?他们进行数据快照的频率,又如何存储它们?他们如何预防攻击?”Sealock建议。 “除非你问,你不会得到这些详细的细节。合同只是白纸黑字。你需要的是一个详细的解读。”

宾夕法尼亚大学医学院的Donohue说,当涉及到安全问题时,云供应商经常说他们“将采取最佳方案,”或“遵循行业标准”,但这些模糊语言并不能让他放心。

“我们想要知道他们具体将如何保证我们的数据安全,无论是物理上的,还是虚拟上的,”他说。

在标准的云合同中,通常在没有云供应商的批准下, 企业是没有足够的权限进行安全测试的,但是公司应该确保它能够开展自己的安全测试,,Davis说。金融服务和医疗行业尤其需要开展特定的扫描和测试。

“如果你没有获得许可,你开始做一些安全测试,供应商也许会认为这是一个真正的攻击,然后关闭你的服务,” Davis警告说。

公司还需要清楚供应商是如何响应安全漏洞事件的。在某些情况下,合同并没有要求供应商必须报告黑客攻击事件, Davis说,他举了一个公司的例子, 这家公司根本不知道被攻击了,直到公司高管在《华尔街日报》上看到新闻。

“你必须要求供应商在公开攻击事件之前,至少提前48个小时通知你,” Davis说。

关于其他安全方面的条款,Davis表示,他的公司会要求一定程度的访问权限控制,允许一些员工访问数据,但没有修改或删除任何信息的权限,而其他人可以有更大的权限。

“一些云供应商的访问控制薄弱。他们要么提供所有访问权限,要么完全没有权限,” Davis说。“如果你给任何员工所有访问权限,你只能祈求他不会删除什么重要信息。”

原文链接:http://www.searchcio.com.cn/showcontent_91154.htm

目录
相关文章
|
4月前
|
云安全 安全 网络安全
微软云服务遭遇DDoS‘防卫过当’大危机:云安全警钟长鸣,全球用户共鉴应对之策!
【8月更文挑战第3天】近期,微软Azure云服务遭遇大规模DDoS攻击,其防护机制“防卫过当”导致服务全面瘫痪近8小时。此事件影响广泛,凸显了云服务安全性的重要性。分析显示,Azure的多层次防护机制复杂性及自动化防护的局限性是关键问题。为避免重蹈覆辙,需优化防护机制、加强应急响应能力、提升系统冗余度,并定期进行安全演练与培训。此事件再次强调网络安全对云服务至关重要。
77 0
|
网络协议 对象存储 弹性计算
阿里云IPv6实践,从云服务到云安全
中国是世界互联网大国,但是近年来,随着中国云计算、物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的 IPv4 地址资源已严重阻碍了中国互联网产业的蓬勃发展,但在早期中国一直没有普及 IPv6,而是继续让 IPv4 缝缝补补继续用了几年,因为 IPv6 的改造是一个涉及 “端、管、云” 三方面
3618 0
|
1月前
|
云安全 人工智能 自然语言处理
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
阿里云内容安全大模型获CSA安全金盾奖
1046 2
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。

热门文章

最新文章