隨著監(jiān)管機構(gòu)不斷提升金融領(lǐng)域的透明度并出臺越來越來嚴(yán)厲的處罰措施,對于對沖基金和私募股權(quán)經(jīng)理來說,向私有云外包業(yè)務(wù)已經(jīng)成為了不可或缺的資源。如今云基礎(chǔ)設(shè)施服務(wù)已經(jīng)成為了提高效率,降低成本,增加安全性的同義詞。但是對于眾多金融服務(wù)公司來說,安全性仍然是他們最關(guān)心的問題。如果云服務(wù)提供商出現(xiàn)了安全漏洞,那么他們在經(jīng)濟(jì)上和名譽上將蒙受重大損失。
基礎(chǔ)設(shè)施提供商,尤其是以對沖基金等金融服務(wù)公司為客戶的提供商必須要有嚴(yán)格的規(guī)章制度和訓(xùn)練有素的員工,以確保他們的客戶能夠享受到與本地網(wǎng)絡(luò)相同的安全等級。盡管金融服務(wù)行業(yè)中的大多數(shù)從業(yè)者都清楚云計算能夠給他們帶來高效率、高擴(kuò)展性和成本節(jié)約等好處,但是他們似乎忘記了云計算的另外兩個特點,那就是增加安全性和緩解風(fēng)險。
創(chuàng)建內(nèi)部網(wǎng)絡(luò)與將業(yè)務(wù)外包給托管服務(wù)提供商之間的關(guān)鍵區(qū)別在于服務(wù)提供商能夠提供規(guī)模效益,讓公司部署已經(jīng)經(jīng)過制度強化的安全服務(wù),從而確??蛻舡h(huán)境受到保護(hù)并且是安全的。云服務(wù)提供商的大部 分開銷是為了確保安全性和數(shù)據(jù)保護(hù)具有最高等級。這其中主要包括先進(jìn)的入侵偵測、流量監(jiān)控、取證分析和事件歷史/調(diào)查等服務(wù)。在一些案例中,這些系統(tǒng)和程序的投資需要上萬甚至上百萬美元。因此對沖基金或私募股權(quán)公司的內(nèi)部IT員工通常不會部署這些系統(tǒng)和程序。
私有云環(huán)境最大的一個優(yōu)勢是它們能夠通過安全的多層級客戶訪問和數(shù)據(jù)大幅降低風(fēng)險。在評估云服務(wù)提供商時,金融服務(wù)公司應(yīng)當(dāng)關(guān)注一些關(guān)鍵的因素。第一個因素是數(shù)據(jù)的存儲位置。客戶總是會問他們的數(shù)據(jù)存儲在哪里,哪些人能夠訪問這些數(shù)據(jù),這些數(shù)據(jù)在被訪問時是被如何保護(hù)的?對于云服務(wù)提供商來說,這可能是最重要的一 個因素。但是在潛在客戶評估數(shù)據(jù)安全性時,這個因素又往往會被忽視。大部分?jǐn)?shù)據(jù)泄露并不是因為網(wǎng)絡(luò)攻擊所導(dǎo)致的,而是由于硬盤或備份磁帶遺失或被盜所導(dǎo)致的。對于本地服務(wù)器來說最佳備份程序?qū)嵺`是將備份磁帶輪流放在公司服務(wù)器機房之外。
此外,還必須要考慮到物理服務(wù)器和共享環(huán)境這一因素。在服務(wù)提供商的數(shù)據(jù)中心里,多家公司將在同一基礎(chǔ)設(shè)施中共享服務(wù)。在許多案例中,在首席財務(wù)官或首席技術(shù)官看來這是一個非常危險的信號。當(dāng)數(shù)據(jù)中心資源被共享時,從服務(wù)器到網(wǎng)絡(luò)再到存儲,必須要保證每一層的安全與隔離。
另外一個必須要考慮的因素是網(wǎng)絡(luò)。在傳輸前對文件進(jìn)行加密的數(shù)據(jù)加密等措施能夠確保在傳輸過程中任何一個環(huán)節(jié)出了問題數(shù)據(jù)也無法被使用。托管服務(wù)提供商有義務(wù)向公司提供存儲解決方案,向用戶提供安全的數(shù)據(jù)分區(qū),讓用戶能夠快速地進(jìn)行資源分配。托管存儲提供商應(yīng)當(dāng)提供可靠的數(shù)據(jù)可用性和災(zāi)難恢復(fù),尤其像在2012年10月份華爾街的公司遭受了颶風(fēng)桑迪襲擊之后。服務(wù)提供商還應(yīng)當(dāng)能夠在緊急情況下對存儲在其他地區(qū)的數(shù)據(jù)備份和存檔提供數(shù)據(jù)復(fù)制服務(wù)。對于金融決策者來說,保護(hù)公司不受任何可能的自然災(zāi)難和入侵事件影響已經(jīng)成為了一個主要的決定性因素。
還有一個因素是對移動設(shè)備的管理。這是由于大部分公司高管經(jīng)常出差所導(dǎo)致的,如今這已經(jīng)成為了一個標(biāo)準(zhǔn)的商務(wù)實踐。在當(dāng)今快節(jié)奏的商務(wù)環(huán)境中,移動設(shè)備實際上是公司辦公室的延伸,因此對它們的管理也應(yīng)當(dāng)被納入到安全措施當(dāng)中。服務(wù)提供商應(yīng)當(dāng)采取必要的措施積極管理這些資源,包括執(zhí)行和管理密碼策略,在移動設(shè)備遺失/被盜后能夠遠(yuǎn)程刪除設(shè)備存儲的所有信息。
公司在考慮向私有云遷移時的底線是要確保服務(wù)提供商所提供的安全標(biāo)準(zhǔn)和最佳實踐優(yōu)于公司通過本地或內(nèi)部技術(shù)服務(wù)所獲得的安全標(biāo)準(zhǔn)和最佳實踐。通過考 慮本文中所提到的幾個因素,公司可提前確保服務(wù)提供商是否已采取了必須要措施有針對性地為他們提供了一個完備而安全的平臺環(huán)境。