管理云数据的专家提示

对于IT人员来说，安全是重要的，而网络、治理、数据格式化和其他技术问题同样也很重要。

当卡罗林纳斯医疗保健系统(CHS)的肿瘤学家在肿瘤委员会审查之前讨论患者病例时，他们正在寻求有关治疗计划和临床试验的反馈意见。在他们的演讲报告中，报告人展示了遗传数据，病理报告，实验室结果，以及医生的记录，而所有这些文件都存储在Microsoft Azure上的Hadoop云平台中。

卡罗林纳斯医疗保健系统(CHS)首次采用云服务，它促使人们认真考虑其医疗保健系统如何保护和管理其数据。

CHS信息和分析服务副总裁Chris Danzi表示，CHS目前需要解决的是网络和治理这两个领域的问题。该医疗系统拥有员工62000多人，在东南亚经营39家医院和900个其他医疗机构。

非内部部署对于内部部署管理数据之间的一个明显的区别是，其数据可能会存储在几百公里之外的云端。Danzi表示：“我们正在谈论远程移动数据，所以必须拥有安全可靠的线路和网络连接。我们每天晚上将云数据传输到云计算提供商的云平台上，这需要电信运营商向医疗保健网络提供一条安全的专线。”

在将数据迁移到云端的一年时间里，CHS一直在使用一条V**专线，如今希望通过微软Azure的私有连接替代V**专线，此外还可以让其医疗保健网络也通过这条线路采用微软的Office 365系统。

“另一件必须考虑的事情是获得专用的线路，以获得更好的速度，还必须为需要实时访问的交互式用户进行分段，而不需要大批量文件传输。”Danzi解释说。

他表示，在云端管理数据与在内部部署的数据中心管理数据不同，特别是在员工技能，如何设置数据治理计划，以及如何启用部分技术基础架构方面。

Danzi说：“这些都是从可能试图窃取企业数据的网络犯罪分子的角度来看待的，这些行业领域都必须进行重新考虑。我们已经熟练掌握了内部部署的运营，现在我们将数据传输到云端，并将其存储在不同的地方，所以我们必须不断重新思考，因为人们每天都会听到有关更新、更加智能的方式窃取数据的事件。因此这么做是值得的。”

越来越多的公司选择外部数据存储

毫无疑问，云计算已成为许多组织的IT和数据环境的组成部分。IDC公司数据集成软件研究总监Stewart Bond表示，近期的IDC调查显示，越来越多的组织正在将数据整合到混合部署和云环境中，而不是将数据严格地保留在内部部署的数据中心。

Bond表示，云端的数据可以是软件即服务(SaaS)应用程序，平台即服务(PaaS)系统或包含在基础架构即服务(IaaS)中实现的数据库和文件服务器。在SaaS应用程序中访问数据通常需要使用API。他解释说，使用Web服务访问数据与使用SQL脚本与关系应用程序数据库非常不同。

“在PaaS环境中，实施将决定是否需要一个Web服务API，或者使用SQL或NoSQL方法来访问数据。”Bond说。

在IaaS环境可以使用编程结构访问数据，也会对本地数据源进行访问，但是该访问需要通过安全通信通道进行。无论如何，主要数据管理技术有助于在多个不同的数据孤岛之间进行协调。

科技业务管理(TBM)理事会的新任总裁Erez Yarkoni表示，当考虑到如何管理云数据的步骤时，首先，组织需要非常仔细地规划网络容量。

“我们曾认为在数据中心处理数据是正确的方法，但显而易见这种事情正在发生变化，而且很多企业都在扩展其网络足迹，但必须对设计方式非常谨慎。”Yarkoni说。Yarkoni曾经担任Telstra和T-Mobile公司的首席信息官。他表示，这将会增加另外一个因素：“如果不仔细地计划，退出自己的环境，从数据中心迁移到云端或从云端迁回数据中心，以及人们如何与企业迁移到云中的信息进行互动，那么这个过程的成本可能会非常高昂。”他说。

Yarkoni表示，当他任职首席信息官参与设计数据环境时，尽可能避免将大量数据传输到云端，如果有必要，可以在一天的某些时间进行。“如果企业将信息从数据中心移动到云端，并且希望获得一些服务质量保证，则必须保证这些位置之间的链接有效。”

审核云计算供应商

Forrester公司副总裁兼首席分析师Andras Cser表示，虽然组织通常开始对云计算提供商进行审计，但这个流程往往会流于形式。“我们看到大多数组织对云计算提供商进行初步审核，他们计划在其中存储数据。但持续进行的审计很少。”他说。这可能是由于其他优先事项，流程的复杂性，云端存储的数据量，以及采用云的速度加快等。

Forrester公司在调查中，通常会看到企业要求具备ISO 27001和SOC1/SOC2认证。

就其而言，CHS规定其云提供商将进行SOC 2审计，并且可以访问这些结果。CHS的Danzi说，CHS可以审核他们与计费做法相关的记录。通过适当的通知，CHS也可以审核其供应商的数据中心。他说：“通常考察一下数据中心的运行情况就足够了。”

他说，像Microsoft的ExpressRoute for Azure和Amazon Direct Connect这样的产品可以在内部部署环境和各自的云端之间提供专门的网络连接。

Global Data Strategy公司信息管理总经理Donna Burbank表示，一旦数据处于云端，IT商店就不再需要数据库管理工具进行管理，因为管理数据库性能，调优和设置的耗时过程都由云计算提供商处理。

她说：“企业了解自己的数据，并知道它在哪里和保护它是很重要的，但很多的日常管理的东西都已经消失了。云计算提供商现在监督性能和调优等任务，并检查服务器是否正在运行并正在进行备份。”

保护云数据

Burbank说，管理云端的数据不同于在内部部署数据中心管理数据，特别是在处理敏感数据(例如客户信息)时。当另一个实体控制个人信息时，她建议使用PCI数据安全标准和令牌化密钥。当企业利用云计算提供的效率时，“有很多假设的信任，但仍然没有完全控制它。”她说。

Forrester的高级分析师Heidi Shey对Burbank的看法表示认同，即安全令牌是保护数据的一种方式，但她表示组织应该规定谁掌握这些数据。“一些安全解决方案将加密作为这些控制之一，谁拥有密钥是问题所在。有些企业希望自己掌握控制权，而其他企业则会相信供应商。”她说。

控制密钥键是企业最好的选择。“虽然这有时候会增加另一层复杂性，但企业是一个管理者，这是一个额外的控制。”Shey说。

Bond说，除了确保云端数据安全外，确保数据在运输过程中安全也很重要。组织可能需要V**连接，HTTPS，SFTP / FTPS和其他安全的通信方式。

IDC公司的调查还显示，“随着数据在云端中的分布更加广泛，取得信任变得更加困难。”他说，“主数据，组织人员，地点和事物的数据是最分散的，因为某些形式的数据将需要存在于每个应用程序中。”

然而，在Forrester Forrester公司2017年1月对美国和加拿大的150位数据安全专业人士的调查中，只有31%的受访者表示，他们根据其敏感程度将云中的企业数据进行分类。此外，调查发现，只有三分之一(34%)的数据安全专业人员知道他们的云计算公司数据位于何处。

Forrester公司分析人员Shey说，还必须考虑云安全治理流程，以及将企业安全要求与合规性和隐私权法律相一致，特别是涉及个人信息时。

作为一家医疗保健机构，CHS正在寻求在云计算中更加复杂的安全性。CHS的Danzi解释说，人们在云计算中使用的大量Hadoop环境并不比结构化关系数据库环境更加成熟。 CHS正在使用Apache Hadoop的HDInsight，它拥有Apache Ranger等产品，这是Enterprise Hadoop的一个安全层，用于管理和管理用户级别的访问。

Microsoft Azure支持两个版本的Hadoop，完全管理的HDInsight版本，它不支持Ranger和IaaS版本HDP。“HDInsight符合HIPAA标准，但没有Ranger的用户级安全功能，所以我们必须限制访问。”Danzi解释说。这是CHS早期学习的重要课程：确保云端供应商支持公司正在使用或希望使用的软件版本。

他说：“人们不能以为这些东西提供所使用的所有安全协议和保护。幸运的是，这里有人问，这是一个教训。此外，人们需要知道使用的Hadoop版本，谁可以被授予访问权限。”

但CHS只希望其信息和分析服务(IAS)管理员能够访问其环境。因此，该公司在Microsoft SharePoint中构建了一个安全的应用程序，只向肿瘤部门的医生提供患者的信息。

Shey补充说，在云中管理数据的另一个重要方面是数据驻留和数据传输。“如果企业有来自特定国家或地区的客户数据...就将受到一般数据保护条例的限制，但特定国家可能有自己的数据入驻要求，他们希望企业将数据保留其境内。”她说。

Global Data Strategy公司的Burbank认为：“企业需要知道数据在何处存在数据，因为不同国家的法律是不同的。欧洲有关如何保护个人客户信息的规定比美国更严格。”

其他云管理考虑事项

Burbank说，“数据备份和恢复应该在云提供商的服务级别协议中明确说明，这是他们应该提供的主要优点之一。这些服务等级协议(SLA)应包括有关提供者是否具有故障切换数据中心以及该故障切换数据中心所在位置的信息。另外要考虑的是，能否选择这些故障转移的地方。”

Burbank表示，组织还应该考虑他们在云中管理的数据格式，它可能存储在关系数据库，文件或电子邮件中。如果客户数据存储在大容量的数据仓库中，他们还需要考虑他们是否拥有内部管理技能。

Burbank指出：“如果企业对数据进行了大量的清理和管理，那么这是需要考虑的事情，而且很多云计算技术都不那么先进。但是，如果企业有原始数据可以轻松扩展和迁移，那么它非常适合云端，因为它不需要更多的管理。”

由于技术如此之新，云管理数据所需的技能可能难以实现。IDC公司的Bond表示，具备这些必要的技能取决于数据是SaaS，PaaS还是IaaS模型。在技术层面上，IT人员可能需要熟悉互联网技术，如Web服务，SSL，安全FTP和RESTful API。他们还可能需要熟悉IaaS体系架构，如虚拟机，对象存储，可用区域和子网络。

“在业务层面上，用户需要注意管理数据输入和维护的策略，以及跨多个系统进行数据复制的延迟问题。”Bond补充说。

对意外事件进行规划

CHS的Danzi认为有些云环境是闲置的。他表示，他们发现一些CHS的“渴望数据的科学家”刚刚开始运行R编程语言来编写模型来研究患者再入院风险。运行这些模型需要支付费用，云计算可以为它提供资源，但耗费了许多成本。

因此，在微软Azure的帮助下，IAS小组撰写了脚本，以便在不需要计算时在晚上关闭模型。 Danzi表示，云计算就像一个不断膨胀的气球，人们必须进行有效地缩减，它让企业能够编写脚本关闭服务器。这就是所谓的弹性，企业想要确保其云供应商能够弹性扩展或缩减，因此企业只有在使用这些资源的时候支付费用。

他还建议监管机构雇佣具有良好法律知识和经验的人员。他说，“企业必须确保其与第三方服务提供商签署所有HIPAA合规性和良好的业务伙伴协议。”

Danzi表示，许多云计算供应商提供分析产品，并为潜在客户提供基准测试分析。企业需要确保这些供应商在将其数据呈现给竞争对手时，将其数据匿名化。

组织可能不会想到的另一个问题是如果他们在Azure上编写一个算法，可能需要保护该算法的知识产权，以免他人在云中使用其信息。“组织需要构建通用工具和基于公共云技术的算法，而不是采用其他公司的产品，因此希望确保其IP受到保护。”

Danzi认为，所有数据将在15年的时间内都将在云计算中处理和保存。人们在管理云数据时需要付出额外的努力，他认为这是值得的。他说，“虽然新环境需要更加持续的警惕性，但这值得一试，因为企业可以访问这种令人惊奇的技术，并随着企业业务的增长而扩展，当企业不使用时，可以消减所有这些高级功能。”