EstherShein

編譯 charles

當卡羅來納醫(yī)療衛(wèi)生系統(tǒng)（CHS，Carolinas HealthCare System）的腫瘤學(xué)家在腫瘤委員會進行審查前就討論患者病例時，說明他們正在尋求有關(guān)治療計劃和臨床試驗的反饋。這些醫(yī)生在討論過程中觀看了同事們的基因數(shù)據(jù)、病理報告、實驗室結(jié)果和醫(yī)生的筆記——所有內(nèi)容展示都是通過指尖點擊就完成了，因為這些都存儲在微軟Azure的Hadoop云中。

這是非盈利性醫(yī)院網(wǎng)絡(luò)第一次革命性的進入云計算，這也促使CHS認真仔細的考慮如何保護和管理位于醫(yī)院外部的數(shù)據(jù)。

對此，CHS信息和分析服務(wù)（IAS）副總裁Chris Danzi認為，CHS要處理好的兩大問題是網(wǎng)絡(luò)和治理問題。這家醫(yī)院擁有員工62000多人，在東南亞經(jīng)營39家醫(yī)院和900家其他醫(yī)療機構(gòu)。

對內(nèi)部和外部數(shù)據(jù)進行管理，其明顯區(qū)別是在云端，數(shù)據(jù)可能會在數(shù)百英里之外。Danzi指出：“您要考慮的是遠程移動數(shù)據(jù)，因此您必須建立一條電路，通過安全的網(wǎng)絡(luò)進行連接?！泵刻焱砩蠈?shù)千兆的數(shù)據(jù)傳輸?shù)皆铺峁┥棠抢铮@就要求醫(yī)院與電信運營商簽訂合同，購買安全的醫(yī)療網(wǎng)絡(luò)專線。

卡羅來納醫(yī)療衛(wèi)生系統(tǒng)

CHS信息和分析服務(wù)副總裁Chris Danzi認為，卡羅萊納醫(yī)療衛(wèi)生系統(tǒng)要處理好的兩大問題是網(wǎng)絡(luò)和治理問題。

在數(shù)據(jù)遷移到云端的一年中，CHS一直在使用VPN——即將要被替換為與Azure的私有連接。這樣，醫(yī)院網(wǎng)絡(luò)也可以將該線路用于其Office 365系統(tǒng)。

Danzi解釋說：“還必須要考慮的是，我購買這條線路不僅是為了獲得更好的速度，還得支持用戶實時訪問網(wǎng)絡(luò)進行交互，同時我還要大批量的傳輸文件?！?/p>

他說，在云中管理數(shù)據(jù)不同于在內(nèi)部管理數(shù)據(jù)，這需要技術(shù)高超的員工，還需要考慮如何制定數(shù)據(jù)治理計劃以及怎樣啟用一些技術(shù)基礎(chǔ)架構(gòu)。

Danzi說：“如果站在那些試圖竊取您數(shù)據(jù)的人的角度來看，必須重新考慮這些方面。我們內(nèi)部部署得已經(jīng)很好了，但現(xiàn)在我們要把數(shù)據(jù)傳輸?shù)讲煌牡胤?，并將其存儲在那里，所以我們必須得重新思考。而且是不斷的重新思考。因為每天我們都會聽到出現(xiàn)了一些更為聰明的竊取數(shù)據(jù)的新方法。但這是值得的?！?/p>

更多公司選擇了在外部存儲數(shù)據(jù)

毫無疑問，云已成為許多企業(yè)的IT和數(shù)據(jù)環(huán)境不可或缺的組成。IDC數(shù)據(jù)集成軟件研究總監(jiān)Stewart Bond說，最近的IDC調(diào)查顯示，越來越多的企業(yè)正在將數(shù)據(jù)整合到混合云和僅云環(huán)境中，而不是將數(shù)據(jù)完全保留在內(nèi)部。

Bond說，云中的數(shù)據(jù)可以是在軟件即服務(wù)（SaaS）應(yīng)用程序中，在平臺即服務(wù)（PaaS）系統(tǒng)中，或者包含在基礎(chǔ)設(shè)施即服務(wù)（IaaS）中實現(xiàn)的數(shù)據(jù)庫和文件服務(wù)器中。在SaaS應(yīng)用程序中訪問數(shù)據(jù)通常需要使用API。他解釋說，使用Web服務(wù)訪問數(shù)據(jù)與使用SQL腳本訪問關(guān)系型應(yīng)用數(shù)據(jù)庫完全不同。

Bond說：“在PaaS環(huán)境中，具體實現(xiàn)將決定是否需要Web服務(wù)API，SQL和NoSQL方法能否用于訪問數(shù)據(jù)?！笨梢允褂镁幊探Y(jié)構(gòu)來訪問IaaS環(huán)境中的數(shù)據(jù)，這種結(jié)構(gòu)也適用于內(nèi)部部署的數(shù)據(jù)源，但應(yīng)在安全通信通道中進行這些訪問。在任何情況下，主數(shù)據(jù)管理技術(shù)都有助于協(xié)調(diào)多個不同的數(shù)據(jù)孤島。

技術(shù)業(yè)務(wù)管理（TBM）理事會的新任總裁Erez Yarkoni回應(yīng)Danzi說，在考慮如何管理云數(shù)據(jù)的步驟時，首先也最重要的是，企業(yè)應(yīng)非常仔細地規(guī)劃網(wǎng)絡(luò)容量。

曾擔任Telstra和T-Mobile首席信息官的Yarkoni說：“當數(shù)據(jù)中心的數(shù)據(jù)保存完好時，以前我們理所當然地認為一些事情正在發(fā)生變化，您在擴展網(wǎng)絡(luò)規(guī)模時必須非常小心的進行設(shè)計。他說：“這又增加了另外一個因素——如果您不仔細地規(guī)劃出入口環(huán)境，和云本身的交互，以及人們?nèi)绾闻c您放入云中的信息進行交互，那么您的成本可能會非常高?！?/p>

Yarkoni說，當他是首席信息官并參與設(shè)計數(shù)據(jù)環(huán)境時，他盡可能避免將大量數(shù)據(jù)傳輸?shù)皆贫?，如果非要這樣做，那就在一天的某些時段進行。如果您把信息從數(shù)據(jù)中心移動到云端，并要求獲得一些服務(wù)質(zhì)量保證，那您必須確保這些位置之間的鏈接是可靠的。

檢查云供應(yīng)商

Forrester公司副總裁兼首席分析師Andras Cser說，雖然企業(yè)通常會對云提供商進行審核，但這一過程往往進行不下去。他說：“我們看到大多數(shù)企業(yè)會對云計算提供商進行初步審核，然后才會決定是否把數(shù)據(jù)存放在他們那里。但很少會把審核持續(xù)下去?！边@可能是由于要處理其他更優(yōu)先的事務(wù)、流程過于復(fù)雜、云中存儲的數(shù)據(jù)量以及要加快推進云應(yīng)用等原因造成的。

而Forrester看到公司一般都會要求ISO27001和SOC1/SOC2認證。

在這方面，CHS則規(guī)定其云提供商通過了SOC 2審核，并且可以提供審核結(jié)果。CHS的Danzi說，CHS可以審核他們與計費方法相關(guān)的記錄。做好通知后，也允許CHS檢查其供應(yīng)商的數(shù)據(jù)中心。他說：“一般去他們那里參觀一下就可以了。”

他說，像微軟面向Azure的ExpressRoute和Amazon的Direct Connect這樣的產(chǎn)品會在內(nèi)部部署環(huán)境和各自的云端之間提供專用網(wǎng)絡(luò)連接。

咨詢公司全球數(shù)據(jù)戰(zhàn)略有限公司信息管理總經(jīng)理Donna Burbank說，一旦數(shù)據(jù)在云中，IT部門就不再需要數(shù)據(jù)庫管理工具來管理數(shù)據(jù)庫，因為管理數(shù)據(jù)庫性能、優(yōu)化和設(shè)置等耗時的過程都交給云提供商去處理了。

她指出：“您了解你的數(shù)據(jù)，并知道它在哪里，也知道保護數(shù)據(jù)的重要性，但很多日常管理工作已經(jīng)不需要了?！痹铺峁┥态F(xiàn)在管理性能和優(yōu)化等任務(wù)，檢查服務(wù)器是否正常工作，并進行了備份。

保護云數(shù)據(jù)

Burbank指出，管理云中的數(shù)據(jù)不同于在內(nèi)部管理數(shù)據(jù)，特別是在處理客戶相關(guān)信息等敏感數(shù)據(jù)時。當其他實體控制個人信息時，她建議使用PCI數(shù)據(jù)安全標準和令牌密鑰。當公司要發(fā)揮云的效率時，她說：“有很多信任都是假設(shè)的，您并沒有完全控制它?！?

Forrester高級分析師Heidi Shey同意Burbank的意見，即安全令牌是保護數(shù)據(jù)的一種方式，但她認為，企業(yè)應(yīng)該規(guī)定誰掌握這些令牌。她說：“一些安全解決方案把加密作為一種控制手段，但誰擁有密鑰是個問題。有些公司希望自己控制，而有的公司則會相信供應(yīng)商?！?/p>

控制自己的密鑰是最好的選擇。Shey說：“這樣做有時會讓事情更復(fù)雜，因為您要管理它，要進行額外的控制?！?/p>

Bond說，不但要保證云端數(shù)據(jù)的安全，確保數(shù)據(jù)在傳輸過程中的安全也很重要。他說，這需要VPN連接、HTTPS、SFTP/FTPS和其他安全的通信方式。

他說：“IDC的調(diào)查還表明，分布在云中的數(shù)據(jù)越來越多，信任也越來越困難。主數(shù)據(jù)，特別是有關(guān)企業(yè)核心人員、地點和事物的數(shù)據(jù)是最分散的，因為每個應(yīng)用程序都需要訪問這些數(shù)據(jù)。”

然而，在2017年1月份的Forrester調(diào)查中，通過對美國和加拿大的150位數(shù)據(jù)安全專業(yè)人員的調(diào)查，只有31%的受訪者會根據(jù)數(shù)據(jù)的敏感程度對云中的企業(yè)數(shù)據(jù)進行分類。此外，調(diào)查發(fā)現(xiàn)，只有大約三分之一（34%）的數(shù)據(jù)安全專業(yè)人員知道他們云中的企業(yè)數(shù)據(jù)位于何處。

Forrester的Shey說，還必須考慮云安全治理流程，企業(yè)安全要求還必須符合合規(guī)性和隱私法律要求，特別是涉及個人信息時。

由于是醫(yī)療衛(wèi)生實體，CHS發(fā)現(xiàn)云中的安全管理更加復(fù)雜。CHS的Danzi解釋說，人們在云中使用的大量Hadoop環(huán)境并不比結(jié)構(gòu)化關(guān)系型數(shù)據(jù)庫環(huán)境成熟。CHS正在使用Apache Hadoop的HDInsight，該公司提供Apache Ranger等產(chǎn)品，屬于管理用戶級訪問的Enterprise Hadoop的安全層。

微軟Azure支持兩個版本的Hadoop實現(xiàn)——完全管理的HDInsight版本，還不支持Ranger，還有IaaS版本HDP，但是這一版本支持。HDInsight符合HIPAA標準，Danzi解釋說：“但沒有Ranger的深度用戶級安全特性，所以我們必須限制訪問?！边@是CHS之前得到的重要教訓(xùn)：要確保云供應(yīng)商支持公司正在使用或者希望使用的軟件版本。

他說：“您不要想當然地認為他們會提供您習(xí)慣使用的所有安全協(xié)議和保護措施。好在有人提出了這個問題，這是一個教訓(xùn)。而且，針對誰可以被授權(quán)訪問，我們使用的Hadoop版本了采用‘a(chǎn)ll or nothing策略?！钡獵HS只希望其信息和分析服務(wù)（IAS）管理員能夠訪問其環(huán)境。因此，該公司在Microsoft SharePoint中開發(fā)了一個安全應(yīng)用程序，僅向腫瘤科室的醫(yī)生提供患者的信息。

Shey補充說，云中管理數(shù)據(jù)的另一重要因素是數(shù)據(jù)駐留和數(shù)據(jù)傳輸。她說：“如果您有來自某一國家或者地區(qū)客戶人員數(shù)據(jù)...您要遵守‘一般數(shù)據(jù)保護條例，但具體國家可能有自己的數(shù)據(jù)駐留要求，他們希望您把數(shù)據(jù)保存在自己的國家中?！?/p>

全球數(shù)據(jù)戰(zhàn)略公司的Burbank表示同意：“您應(yīng)該知道數(shù)據(jù)實際存放在哪里，因為不同的國家有不同的法律。歐洲關(guān)于保護個人客戶信息的規(guī)定比美國更嚴格?！?/p>

其他云管理考慮

Burbank說，云供應(yīng)商的服務(wù)等級協(xié)議中應(yīng)闡述清楚數(shù)據(jù)備份和恢復(fù)，這是他們應(yīng)該提供的關(guān)鍵優(yōu)勢之一。這些服務(wù)等級協(xié)議應(yīng)包括供應(yīng)商是否提供故障恢復(fù)站點以及該站點所在位置等信息。她說：“另外還要考慮您能不能選擇這些故障恢復(fù)點所在位置。”

企業(yè)還應(yīng)該考慮他們在云中以什么樣的形式管理數(shù)據(jù)；可以在關(guān)系型數(shù)據(jù)庫中，在無格式文件或者電子郵件中。Burbank說，如果他們把客戶數(shù)據(jù)存儲在大容量數(shù)據(jù)倉庫中，他們還應(yīng)考慮他們是否擁有在內(nèi)部管理數(shù)據(jù)的能力。

Burbank指出：“如果您針對數(shù)據(jù)進行大量的清理和管理工作，那么這是需要考慮的事情，畢竟很多云技術(shù)還不是那么先進。但是，如果您的原始數(shù)據(jù)很容易進行擴展和遷移，那么這就非常適合于云端，因為它不需要很多管理?！?/p>

由于技術(shù)如此之新，還很難找到管理云中數(shù)據(jù)所需的技能。IDC的Bond說，所需的技能取決于數(shù)據(jù)是在SaaS、PaaS還是在IaaS模型中。在技術(shù)層面上，IT人員應(yīng)熟悉互聯(lián)網(wǎng)技術(shù)，例如，Web服務(wù)、SSL、安全FTP和RESTful API等。他們還可能要熟悉IaaS體系結(jié)構(gòu)，如虛擬機、對象存儲、可用區(qū)域和子網(wǎng)絡(luò)。

Bond補充說：“在業(yè)務(wù)層面，用戶應(yīng)清楚管理數(shù)據(jù)輸入和維護的政策，以及跨多個系統(tǒng)進行數(shù)據(jù)復(fù)制的延遲問題。”

應(yīng)對好意外事件

CHS的Danzi把云環(huán)境與高爾夫大師賽做了一個比較：一個網(wǎng)站在一年中幾乎有10個月都沒人訪問，然后會有一個月突然有大量的訪問。同樣地，他們發(fā)現(xiàn)CHS的一些“熱情洋溢的數(shù)據(jù)科學(xué)家”剛剛開始運行R編程語言，編寫模型來研究病人二次入院的風(fēng)險。運行這些模型很費錢，云能夠很好的提供所需的資源，運行的也非常好。

因此，在Azure的幫助下，IAS小組撰寫了腳本，晚上不需要計算時關(guān)閉模型。Danzi說：“云就像一個被吹大的氣球，你必須告訴它讓空氣放出來，它才能讓您編寫腳本關(guān)閉服務(wù)器。這就是所謂的彈性，您應(yīng)確定云供應(yīng)商也能讓您在云中有彈性，這樣，只有在您使用資源的時候才付費?！?/p>

他還建議受監(jiān)管的企業(yè)聘用一些熟悉法律的人員。您必須確保您的所有HIPAA合規(guī)，與第三方服務(wù)提供商建立了良好的業(yè)務(wù)協(xié)作協(xié)議。

許多云供應(yīng)商提供分析產(chǎn)品，并為潛在客戶提供基準分析，所以Danzi說，您要確保這些供應(yīng)商在將您的數(shù)據(jù)提供給行業(yè)的同行時，對數(shù)據(jù)進行匿名化處理，使其看不出數(shù)據(jù)是來自哪里。

他說，企業(yè)可能沒有考慮到的另一個問題是，如果他們在Azure上編寫算法，他們應(yīng)該保護該算法的知識產(chǎn)權(quán)，以免其他人在云中使用它?！澳褂萌魏稳硕加|手可及的常用工具和常見的基于云的技術(shù)來開發(fā)算法，因此您應(yīng)該把知識產(chǎn)權(quán)保護好?！?/p>

Danzi相信，所有數(shù)據(jù)將在15年內(nèi)實現(xiàn)在云端的托管。雖然管理云數(shù)據(jù)時需要大量的額外工作，但他說這是值得的。“雖然在新環(huán)境中應(yīng)一直保持警惕，但付出總會有回報，因為您可以使用這種絕對令人驚奇的技術(shù)，這一技術(shù)會隨著您的發(fā)展而擴展，當您不使用它時，它可以‘收縮，讓您擁有所有這些高級功能?！?/p>

Esther Shein——特約撰稿人

Esther Shein是《計算機世界》的特約撰稿人，是一位記者，他專注于商業(yè)和技術(shù)以及教育等普遍感興趣的領(lǐng)域，在這些領(lǐng)域中，他在書面出版和網(wǎng)絡(luò)媒體上都有豐富的撰稿和編輯經(jīng)驗。

原文網(wǎng)址：http：//www.computerworld.com/article/3185405/expert-tips-for-managing-your-cloud-data.html