眾所周知，云服務提供商Nirvanix公司最近宣告破產(chǎn)，讓其客戶陷入困境中。Nirvanix給企業(yè)提供不到一個月的時間來轉移數(shù)據(jù)。為了避免淪落到和這些客戶相同的境地，企業(yè)應該遵循下面的最佳做法來安全地移動數(shù)據(jù)。

盡職調查：財務狀況擺在首位

云安全聯(lián)盟的2013年2月報告“2013年云計算面臨主要威脅”中表明，缺乏盡職調查是對云計算的持續(xù)威脅。當企業(yè)在評估云計算供應商時，他們對事情的看法顯得有些片面。云安全聯(lián)盟首席運營官JohnHowie表示：“云計算用戶過分重視信息安全和隱私性，或者說，過分專注于減少和節(jié)約成本，而沒有對供應商的財務狀況進行調查。”

“盈利能力并不意味著公司或者服務提供商的穩(wěn)定性，”NewHorizonsComputerLearningCenters首席信息安全官AdamGordon表示，“企業(yè)的管理戰(zhàn)略可以在一夜之間取得財務方面的成功，提高盈利能力，如果沒有人關注的話，該公司及其合作伙伴可能很快會‘落入懸崖’。”

企業(yè)應該評估云服務提供商的財務狀況。企業(yè)可以通過美國證券交易委員會檢查其監(jiān)管備案(例如10K)來調查上市公司，Howie表示：“這將詳細介紹云服務提供商的財務狀況和自我識別的風險。”

“如果可能的話，至少應該檢查在過去兩三年里的財務審計報表，”Gordon表示：“這些應該能夠顯示企業(yè)在資產(chǎn)增長和管理方面的總體趨勢。雖然在一段時間內我們會看到波動和負面結果，但在兩到三年的時間范圍內，我們應該會看到收入和盈利能力的正增長以及擴展。”

財務狀況也會顯示企業(yè)管理和企業(yè)發(fā)展戰(zhàn)略，這些能夠表明企業(yè)是否有著明確的發(fā)展方向、長期規(guī)劃、完善的風險管理以及渡過危機的能力。“投資于長期戰(zhàn)略來促進企業(yè)發(fā)展以及提高市場份額也是企業(yè)穩(wěn)定性的重要指標。”

Howie建議大型企業(yè)考慮通過云經(jīng)紀人來分析云計算需求，確定自己的風險承受能力，并選擇與之匹配的云服務提供商。Howie表示：“云經(jīng)紀人將會檢查供應商的整體財務狀況，并確定供應商將會退出服務的潛在可能性。”美國國家標準與技術研究院(NationalInstituteofStandardsandTechnology，NIST)發(fā)布的SpecialPublication500-292就定義了云經(jīng)紀人的角色。

首席信息官或者其他C級管理人員應該參與到與云經(jīng)紀人的合作中，以建立必要的戰(zhàn)略調整，通過推動和引導云服務的消費來從經(jīng)紀人中獲得價值。Gordon補充說：“你可以聯(lián)邦和州政府級別的政府部門找到與云經(jīng)紀人合作的成功的真實世界用例，例如，德克薩斯州2011年以來一直在使用云計算經(jīng)紀模式，還有很多聯(lián)邦機構也在使用。”

做好離開的準備：合同語言、云可移植性

Howie表示：“對于無法聘請經(jīng)紀人的企業(yè)，云安全聯(lián)盟建議企業(yè)解決合同語言中服務終止的問題。”合同條款和規(guī)定應該明確：云服務提供商必須對服務終止發(fā)出充分的通知，并明確從云中轉移數(shù)據(jù)使用的工具和供應商將提供的協(xié)助，確保企業(yè)能夠在另一個云服務中繼續(xù)使用數(shù)據(jù)。

根據(jù)Howie表示，云計算合同可以要求云服務提供商做出很多保證，包括供應商在第三方服務托管賬戶預留資金以用于協(xié)助客戶提取數(shù)據(jù)。這些協(xié)議也可以明確存儲和處理設備，以供企業(yè)客戶在供應商破產(chǎn)后使用。合同還可以進一步涵蓋第三方擔�；虮ｋU。最后，合同中還可以要求供應商公布其每季度的財務狀況，如果財務狀況顯示供應商陷入困境時，允許企業(yè)客戶解除合同。

但是，如果企業(yè)選擇的是私營公司或者初創(chuàng)云計算公司，上述合同要求并不夠。企業(yè)必須考慮當供應商突然停止提供服務時，他們是否能夠承擔相應的風險。Howie表示：“企業(yè)應該始終有一個退出戰(zhàn)略，作為業(yè)務連續(xù)性管理計劃的一部分。”

云安全聯(lián)盟的《云計算關鍵領域的安全指南》(SecurityGuidanceforCriticalAreasofFocusinCloudComputing)的Domain6提供了一些建議，讓企業(yè)考慮他們將如何從云服務提供商的服務中轉移數(shù)據(jù)。Howie表示：“在6.2的便攜性介紹中提到，在選擇云服務提供商時，便攜性是要考慮的一個重要方面，我們特別提到了災難恢復。”

云服務提供商的經(jīng)營失敗是一個災難，企業(yè)的業(yè)務連續(xù)性管理計劃中應該涵蓋這一點。在談到云安全聯(lián)盟的上述安全指南時，Howie說道：“6.3.2--便攜性建議和6.3.3—針對不同云模式的建議提供了具體的指導和高層次的考慮。”

在第6.3.2節(jié)中，云安全聯(lián)盟的安全指南建議企業(yè)了解不同服務和不同云架構的平臺依賴性。當企業(yè)的應用程序和數(shù)據(jù)依賴于一個平臺，那么，當使用轉移到使用不同的架構的供應商時，可能會存在技術挑戰(zhàn)。

專有認證技術和身份管理系統(tǒng)將阻礙云數(shù)據(jù)、應用程序和服務移動到?jīng)]有使用相同認證和身份識別標志的云環(huán)境和供應商。根據(jù)云安全聯(lián)盟的安全指南顯示，通過使用開放標志IAM平臺(例如SAML)，企業(yè)在轉移到另一個云服務提供商時，可以實現(xiàn)這些機制的可移植性。

云安全聯(lián)盟還敦促企業(yè)保持對加密密鑰的控制，以確保能夠安全地適宜地從現(xiàn)有云供應商轉移。同樣地，企業(yè)應該采取措施來確保當轉移到新的云計算環(huán)境時，他們能夠從現(xiàn)有云服務提供商消除所有元數(shù)據(jù)，這樣避免出現(xiàn)數(shù)據(jù)泄露事故。這些最佳做法也包含在云安全聯(lián)盟的安全指南中。這個安全指南提供了詳細的指導，來幫助企業(yè)從每種云模式中安全轉移出來。

“預防為主，治療為輔”—本杰明•富蘭克林

企業(yè)在轉移到云計算環(huán)境之前，應該盡一切努力來確保可以毫發(fā)無損地將其應用程序和數(shù)據(jù)轉移出來。這樣做可以避免企業(yè)落入和Nirvanix客戶相同的困境。