ITValue社区

外包数据中心服务:中小企业安全最佳实践

作者:Joe Male|文 ITValue 丁娅琳|编辑 / 日期:2011-04-11

两种常见的数据中心外包类型是主机代管(co-location)和主机托管(managed hosting)。Co-located的设施提供了一般的基础设施,以容纳客户自己的硬件。主机托管公司更进了一步,它不仅提供设备和基础设施,而且提供硬件。虽然主机托管因为涉及更多的服务而更昂贵,但它允许客户将精力集中于其业务,而不用担心对任何服务器硬件的配置、更新和安全保护。随着时间的推移,这两种类型主机托管之间的区别显得有些模糊,一些托管服务提供商同时提供这两种类型的服务,具体随客户的需求而定。

对于任何中小企业,外包数据中心服务的决定附带了许多安全性和法规遵从的考虑。如果外包数据中心运维对于中小企业而言是可行的,那么有几个主要因素应当被凸显出来以帮助决策。

外包数据中心服务以提升法规遵从性
为了解决美国、加拿大和欧洲越来越多的隐私法,企业必须确保他们处理和存储的个人信息的安全。例如,健康保险流通与责任法案(HIPAA)、支付卡行业数据安全标准(PCI DSS)和州数据隐私法律,规定了具体的技术和人身安全要求。

满足这些监管要求可能很昂贵,较小的组织通常没有钱投资到这样一个传统的、法规遵从友好的专业数据中心。因此,外包数据中心的运营被看作是一个值得欢迎的选择。

或许,同样重要的是,各种规模的公司必须能够向监管机构、审计和评估人员展示或证明其法规遵从性。虽然它可能违背传统智慧,但外包往往可以用来帮助证明 其法规遵从性,因为任何具有良好声誉的专业数据中心都有基础设施用来保护其客户数据的保密性、可用性和完整性。虽然法规遵从性的证据需要许多文档证明其效 果,但这基本上是大多数数据保护和隐私任务所要求的。

例如,美国国家标准与技术研究院(NIST)有文档化的最佳实践用于实施HIPAA安全规则,该规则包括制定设施安全计划、访问控制、验证程序和应急行动程序。这些文件覆盖了几个方面,例如,适当的控制以保护个人健康电子信息,如何管理访问控制,数据如何恢复。控制越有力,文件越充实。

在选择供应商之前,需要确定它是否经过了认可的审计或认证,以证明它已达到了某套行业最佳实践和认证,如ISO27001。常见的审计包括Systrust、SAS 70 II型或CICA 5970。认证包括ISO27001和电信基础设施标准(ANSA/TIA-942)。这些都是非常重要的,因为它们代表了对设备的控制拥有独立的验证,而某些验证,组织可以与其供应商进行合同约定,并仍然保持某些任务的法规遵从性(注:2011年6月15日以后,ISAE 3402和SSAE 16将取代目前的SAS 70。)
  
外包数据中心服务的最佳实践
一定要考虑备份和恢复。数据中心外包设施被认为是一个更大的网络的一部分吗?如Digital Reality Trust或SunGard公司,他们在美国、加拿大和欧洲可以提供数十个场地,彼此之间可以进行故障转移以确保业务的连续性。如果仅有一个的场地,要确保设施不仅提供一套全面的备份和恢复程序,而且也需要证据证明它可以以某种方式交付它们,这对你的业务具有重要的意义。

还要考虑你的潜在供应商的历史和背景。做一些有关该公司和其运营位置的研究。它的业务运营了多长时间?它的地理位置在哪儿?位于加利福尼亚州南部的设施可能会出现在这个国家的其他区域不存在的问题,如地震活动或可能的水资源短缺。它有没有出现过安全违规或其他灾难?进行研究找出作为数据中心的建筑是否有问题,这是没有坏处的。如果它位于一个市中心的办公室大楼里,由于其他住户或老化的基础设施,那儿发生火灾或停电的可能性将增加,这样的调查就尤其重要。

这些信息可以在关于安全隐患和灾害的在线研究中找到,安全违规和灾害将影响由专业数据中心运营管理的数据的完整性。还有些新闻邮件也遵循这个行业规则。

译者:陈德彦

延伸阅读

推荐阅读

共有14位社区会员对该文章有贡献:

  • 周庆瑜
  • 杜建成 江苏道吉面料有限公司IT总监
  • 齐磊
  • 辛小东
  • Daniel
  • 陈罡
  • 杨贤斌
  • 王飞
  • 龚辉
  • 曾永红
  • 朱东
  • 王勇
  • 陈勇
  • 缪杰

该知识文章由以下社区讨论提炼而成:

ITValue社区