雲端運算改變了IT服務模式與成本價格,許多企業打算慢慢地將商業模式轉換至雲端,以獲取最佳的效益。不過,在導入雲端服務之前,雲端服務的風險卻不可不知。諸如可靠度、回應時間、服務不中斷等,都是Cloud Service常見的服務層級協議(SLA)面向,但是這些就夠了嗎?倘若所有IT資源與平台都不是由供應商自行擁有,那麼該如何確保供應商可確實履行雙方所建立的合約內容?
雲端運算改變了IT服務模式與成本價格,同時也為企業日漸緊張的預算帶來可行的解決方案。將資本支出(CAPEX)轉換成營運支出(OPEX)之後,企業將可不再受限於僵硬的IT費用成本,而能更彈性地部署IT資源。因此,不少企業打算慢慢地將商業模式轉換至雲端,以獲取最佳的效益。不過,在導入雲端服務之前,雲端服務的風險卻不可不知。
資策會創新應用服務研究所(IDEAS)副所長樂以媛指出,企業轉向更機動彈性的IT部署已成既定的趨勢,然而,在轉換之前,企業必須徹底地瞭解自身所在的處境,「知道風險並且決定採用,與完全不明風險就盲目使用,完全是兩碼子事。在IT的世界中,便利與安全永遠都是互斥,但是事前若能知道風險的大小,就無須過度擔心與猶豫,只要企業判斷足以承擔有限的風險,那麼儘管可以大膽採用。」
供應鏈風險不可不知
但她也提到,採用雲端服務的風險並不只有單一面向。近年來,產業及媒體的焦點多數放在企業最為在意的資料安全性與服務品質穩定性上,許多驗證機制也針對這兩項提出風險管控的實務作為,以協助企業落實或是作為判斷的依據。「然而,站在Cloud Service的角度來看,雲端服務除了可靠度與資安防禦之外,還包括更多的風險,只是沒有被留意。」
|
▲資策會創新應用服務研究所(IDEAS)副所長樂以媛指出,資策會的職責是將雲端服務所有的服務層級協議(SLA)面向都界定出來,讓雲端服務的使用者全盤瞭解。 |
樂以媛進一步說明,例如企業知不知道其所採用的雲端服務,是由供應商自己建立基礎架構所提供,還是透過合作供應商的協力一同提供給使用者?如果是後者,倘若所有IT資源與平台都不是由供應商自行擁有,那麼該如何確保供應商可確實履行雙方所建立的合約內容?
這些乍看沒什麼特別的供應鏈(Supply Chain)關係其實涉及了許多面向的風險。例如當A公司與SaaS供應商簽約使用ERP服務,而SaaS服務供應商其實是把ERP服務架設在另一個PaaS服務供應商所提供的平台之上,而PaaS平台又是以另一個IaaS服務供應商提供的IT基礎架構所建立而來時,首先要面對的是Data Privacy(資料隱私)及Data Protection(資料保護)的問題。
因為經手A公司資料的業者不只是SaaS供應商,連其後面的PaaS、IaaS業者或資料中心都有可能處理到ERP的相關資料。如果不巧SaaS供應商因故從甲IaaS業者換到乙IaaS業者,而甲IaaS業者原來就有使用者的ERP資料,那麼甲IaaS業者會如何處理這些資訊?會不會真的落實資料銷毀機制?
另一方面,法規遵循也是問題。如果供應商及供應鏈伙伴都在台灣,那麼不管是那一家供應商都必須符合台灣的法律規定。但若是台灣供應鏈伙伴置換為美國的供應鏈伙伴,光是在法規上雙方政府就有不同的規定,企業會不會面臨到只消一張傳票就被調閱所有存放在美國機房裡的資料?
現階段像是可靠度、回應時間、服務不中斷的Uptime等等,都是Cloud Service常見的服務層級協議(SLA)面向,但是這些就夠了嗎?「未被彰顯出來的問題,往往才是風險的來源。」她提到,資策會作為一個研究單位,職責是將雲端服務所有的SLA面向都界定出來,讓雲端服務的使用者全盤瞭解,一旦界定出來之後,每個面向值的高低,就是使用者與供應商雙方議價的依據。
引進歐盟ECSA驗證
隨著雲端服務的技術與分工愈來愈精細,未來,單一雲端服務非常可能不是由一家公司全權負責。而為了提升這方面資訊的透明度,資策會與歐洲雲服務聯盟簽約,引進歐洲雲服務星級驗證制度(EuroCloud Star Audit,ECSA)。這項第三方驗證稽核機制的目的,是透過實地檢視來避免不安全、或無法滿足資料保護規範及SLA服務水準協議內容的雲端服務。簡單地說,就是驗證雲端服務供應商所提供的服務是否能達到使用者預期的服務水準。
|
▲SGS國際驗證服務部產品經理何星翰指出,ESCA主要針對雲端服務供應商提出一到五星的認證,分別對SaaS、IaaS以及PaaS等不同層面的雲端服務,均有清楚界定,以確保其作業服務所需的服務水準等級。 |
ECSA認證機構SGS國際驗證服務部產品經理何星翰指出,目前ESCA主要針對雲端服務供應商提出一到五星的認證,分別對SaaS、IaaS以及PaaS等不同層面的雲端服務,均有清楚界定需求,衡量各個監控領域,以確保其作業服務所需的服務水準等級(SLA),並且授予各信賴的服務商認證。「ECSA共有六個稽核面向,其審核的內容會先從雲的基本資料著手,而後進入法規遵循、資訊安全以及Data Privacy(資料隱私)、IT基礎設施,包括機房硬體設施布建與ISO 20000服務與流程管理等範疇,最後才是針對SaaS、IaaS以及PaaS等不同層面的雲端服務進行驗證。」
他解釋,正由於雲端服務可能是由各個供應鏈所串成,且各個雲端服務供應商往往也沒有多餘的資源可投注於本業之外,這時候就可以ECSA為基礎,進行強強聯手的合作策略。「SaaS、IaaS或是PaaS業者可以各自申請ECSA驗證,如果SaaS、IaaS以及PaaS業者均通過四星的驗證,那麼彼此接連起來的服務應該就是四星級的服務。這將會帶動產業,如果該業者是SaaS四星以上的公司,那麼就應該尋找四星以上的IaaS資訊機房,如此才能提供給使用者四星以上的服務水準。」