從重要資料儲存到雲端的那一刻起,企業就失去了對它的管控權。在釋出重要資料及智慧財產的掌控權時,必須先弄清楚這種省錢又方便的雲端式儲存的代價,了解將會增加多少的資料安全風險與挑戰。
如果企業已經為資料做好分類,定義好誰能夠存取、改變,以及刪除資料等規則,算是對於資料資源的範疇有了適當的認識,包括資料的價值、流通,還有容量。接著你必須決定要將資料儲存在何處。在雲端時代裡,如果想要異地儲存在雲端,那麼一定要對相關的風險考慮再三。雲端式儲存並不是只要把資料丟到「線上」就沒事了;你絕對能夠,而且也必須,盡可能地確保資料的安全。
任何一家有聲譽的第三方儲存供應商或資料中心,一定會有白紙黑字寫成的服務等級協議(SLA)文件,清楚而詳細地說明如何管理你的資料。如果沒有SLA,那就找別家。你必須問一些尖銳的問題:伺服器到底放在那裡?資料備份頻率?是否會把儲存轉包給其他的儲存供應商?有什麼樣的災難復原計畫?是否有足夠的不斷電系統(UPS)?對於員工有無身家背景調查?甚至還要了解一些實體的安全問題,像是隔間還有門禁等等的問題。而如果沒有令人滿意的答案,那麼最好先持保留態度。
當然,越是專業的儲存供應商,價格就越貴,這也是必須事先做好資料分類的原因。企業可以把最有價值的資料放在最安全的資料中心,其他的則放在一些低廉而大量的供應商那裡。
異地儲存的另一個潛在風險,就是你和資料中心之間的網際網路連線可能不安全。如果能在安全閘道上加密好你的資料,並實施雙因素認證,那麼就比較不會有危險。同樣的,你必須再增加成本為關鍵資料加上額外的保護層,因為這些資料一旦遺失,可能重創你的企業。
幾乎所有的企業組織多少都整合了異地存放資料的雲端式應用服務。Salesforce、Xero、Microsoft 365以及其他的線上服務全都為你管理資料,而個資遭竊的偷情網站Ashley Madison也是如此(或許管的不是什麼商業資料,但他們的確也幫你管理資料)。去年EMC贊助的一項研究顯示,過去一年來資料遺失與停機讓澳洲的企業損失550億美元(超過台幣1.8兆),全球資料遺失增加了400%。企業只需要花些時間來降低風險,省下的可都是白花花的銀子。
先把資料資源做好分類,妥善保護公司內儲存的資料,並且確保雲端儲存的託管業者信用可靠,具備良好的安全措施與資源分配,才能避免有朝一日災難臨頭。企業既然把「線上命脈」託付給他們,當然就得確保雲端業者對相關責任嚴肅以待。
(本文作者現任Fortinet台灣區技術總監)