雲端運算的風險評估 Part 2

14 min readAug 31, 2023

本文提供了有關如何考慮遷移到雲端的潛在決策的實用指南。概述了兩個決策樹，以幫助企業決定是否應該將數位資產遷移到雲端，如果是，哪種服務和部署模型最適合企業。在這種情況下，可以採取以下方法：

Step 1 : 內部環境的準備
Step 2: 雲端服務模型的選擇
Step 3: 雲端佈署模型的選擇
Step 4: 雲端供應商的選擇

然而，挑戰並沒有在步驟4之後結束。即使企業根據上述步驟決定上雲並且企業信任CSP(雲端提供商)，仍然有許多問題必須回答。這些問題我們會通過許多緩解措施加以解決。這些緩解措施可以轉化為C-Level在決定遷移到雲端時應使用的檢查清單。這些行動可以分為四類：

遷移到雲端之前需要完成的作業（準備工作）
CSP檢查和請求
合約條款的協商
應採取的預防措施

除本文外，還可以在ISACA 的COBIT 2019 implementation中找到有關實施與IT 治理相關的最佳實踐的實用指南，其中包括一個implementation tool kit，更多的COBIT 2019請參閱本部落格COBIT相關系列文章。

Step 1 : 內部環境的準備

除了選擇雲端的部署和服務模式之外，企業還必須做好一些準備工作才能實現雲端遷移。在定義專案範圍和專案計劃時，應考慮所有 IT 面向。 COBIT 2019 enablers（原則、政策和框架；流程；組織結構；文化、道德和行為；資訊；服務、基礎設施和應用；人員、技能和能力；）在研究不同的IT面向時能提供實用指導：

原則、政策與框架 —
那些安全政策會套用在企業的內部?哪些監管限制會套用在企業中以及 CSP 可能會與其監管相關？
流程 —
遷移到雲端將如何影響企業的流程？哪些流程依存於可以遷移到雲端的資產？這些流程是否被認為對企業的業務至關重要？例如雲端中的流程可以高度自動化。
組織結構 —
如何管理與 CSP 的關係？角色和職責如何定義？
文化、道德與行為 —
如何管理企業內部的變革？如何將資訊文化匯入給 CSP？基本上這與CSP的行為相反。CSP希望的是客戶能根據雲端的特性改變其文化行為。
資訊 —
哪些資產可以考量用於雲端？企業應將其資產分類，以便選擇最佳的雲端部署。一般來說，資料可分為公開、受限、內部使用、機密數據和絕密。同時應該定義其資料生命週期流程。
服務、基礎設施和應用 —
企業期望CSP具備哪些服務能力？如何衡量績效？如何回報問題？
人員、技能和能力 —
管理企業在雲端中的資產需要哪些技能和能力？在遷移到雲端之後，企業是否希望自行擁有這些技能和能力？

除了考量以上因素之外，企業遷移到雲端的決策還必須考慮有一致性的業務論證(Business case)以及與遷移到雲端相關的成本和效益評估。

內部環境準備好後，下一步就是要用哪一種雲端服務和部署模型。 Step 2和Step 3中呈現的流程圖將協助企業確定哪種雲端服務模型和哪種雲端部署模型最適合企業需求。

雖然問對問題是為了最大限度地滿足企業需求，但公版流程圖只能作為應考慮哪些類型的問題的範例。企業可以加入或調整問題以更好地滿足本身企業的需求。

Step 2: 雲端服務模型的選擇

企業決定不遷移到雲端的最常見的技術原因是整個成本(TCO)超過了雲端解決方案的效益。

下圖中顯示的決策樹旨在幫助企業確定哪種服務模型最能滿足其業務需求。決策樹可能會導致遷移到雲端的決策，但它也可能呈現雲端並不是企業的最佳解決方案，而其他解決方案（例如外包）可能是更可行的選擇。

雲端部署模型解決了潛在風險及其緩解措施，而服務模型更側重於技術解決方案。 這解釋了為什麼決策樹中並非所有可能的結果都是要選擇雲端服務模型。

雲端服務模型的決策樹拆解

問題一: 業務流程是非標準解決方案嗎?

Yes:
如果現行的業務流程沒有雲端服務模型可以套用。那麼企業需要再尋找符合的服務模型。或是企業可以更改業務流程來符合雲端服務模型。

No:
如果使用標準解決方案，那麼向雲端的過渡相對容易，並且採用雲端解決方案的效益很可能會很高。

問題二:與其他業務相互的依賴性

Yes:
如果不同的業務流程之間存在相互依賴性，那麼對這些流程之一的任何變更都可能意味著會對雲端中運行中的程式進行變更。

No:
如果不存在相互依賴性，則不需要進行變更。因此，企業選擇的雲端解決方案將是獨立的。

問題三:與基於IT標準的解決方案有所不同嗎?

Yes:
雖然相互依賴性可能意味著 IT 基礎設施的變更，但這並不總永遠是必要的。然而，如果相互依賴性確實意味著這樣的變更，那麼雲端應用城市將需要變更。這一事實將在很大程度上影響雲端服務模型的決策。 因此，概述當前解決方案與 CSP 提供的標準解決方案之間的差異非常重要。

No:
如果 IT 解決方案之間沒有差異，那麼 CSP 的標準產品將充分滿足業務需求。

問題四: 程式/硬體/OS是否需要客製?

Yes:
一旦確定業務需求和雲端服務之間確實存在差距，定義差異所在的等級就很重要。

No:
如果差異化在於標準應用程式的配置，那麼雲端服務將滿足業務需求。

問題五: 硬體/OS是否需要客製?

Yes:
在確定差異不在應用程式之後，確定差異是否存在於OS Level或實體硬體上非常重要。答案將改變雲端適採用的可能性。

No:
如果可以在應用程式這一級進行區分，則無需進一步深入。

問題六: 硬體是否需要客製?

Yes:
在確定差異化位於實際的硬體之後，雲端解決方案就不會是選項。 CSP 提供的是一定程度的標準化；提供客製硬體並不是他們的標準服務之一。

No:
如果可以在OS Level進行區分，則無需進一步深入。

問題七:業務驅動著雲端兼容

Yes:
雲端決策的可行業務驅動因素包括：

中長期的TCO減低
減少初期投資，強化現金流
從CapEx轉換成Opex
強化QoS與SLA
取得功能和領域專業知識

No:
儘管採用雲端作為解決方案可能沒有技術限制，但業務驅動因素實際上可能與雲端不兼容。採用雲端解決方案需要中長期願景。因此，雲端無法作為立即削減成本的解決方案。

Step 3: 雲端佈署模型的選擇

雖然有四種雲端部署模型，但我們介紹的決策樹只著重於在私有雲或公有雲之間做出選擇。混合雲或社群雲是在評估一個企業或一群企業中存在的多個雲端解決方案時需要考慮的部署模型。

當存在資料分類系統決定對不同的資料分類使用不同的部署模型（例如，用於個資的系統使用私有雲和公開資料是放在公有雲）時，最常使用混合雲。

社群雲也是如此。當幾個同一產業的企業決定一起遷移到雲端時，就會建立社群雲。要嘛整個社區決定建立一個供所有人使用的通用基礎設施平台（常見原因是易於共享資訊和降低成本），要嘛由一名成員或發起人提供社群雲使用的必要基礎設施。

如下圖決策樹所示還提供了完全不使用雲端或考慮雲端替代方案的選項。當資料或流程過於關鍵或包含太多敏感或業務關鍵資料以至於遷移到雲端的風險超過效益時，就會做出此決策（除其他外）。

PS:
當問題中提到的情況沒有發生或者"技術手段、政策或合約"能夠充分涵蓋時，應對問題做出Yes的回答。

雲端佈署模型的決策樹拆解

問題一: 是敏感資料嗎?

Yes:
在考慮遷移到雲端的基礎設施時，了解哪些資料要放到雲端中非常重要。 不可能預見所有潛在的風險和威脅；然而，當保護資料的必要控制措施到位並有效運行時，敏感資料還是可以放在雲端中。

No:
如果資料不敏感或者不需要將資料上傳到雲端，則邁出邁向雲端的第一步。但這通常很少發生，因為處理資料與儲存資料通常需要是相近的。否則可能會有時間延遲與成本增加。

問題二: 是重要資料嗎?

Yes:
當保護重要資料的必要控制措施到位並有效運行時，重要資料可以放在雲端中。但值得注意的是，其中一些控制措施可能昂貴且複雜，這會增加遷移到雲端的成本。

No:
不重要的資料可以放在雲端中，如公開的資料。

問題三: 不只有資料放在雲端

Yes:
在幾乎所有情況下，遷移到雲端的決策不只放資料。運行應用程式或企業的業務流程通常都需要放在雲端中的資料。

No:
如果只有資料放雲端，那麼下一步就是評估企業對此遷移的準備情況。

問題四: 重要的業務流程嗎?

Yes:
為了做出明智的決策，必須確定雲端中託管的資料和應用程程式是否支援主要業務流程。這個資訊將有助於確定雲端解決方案一定要滿足的需求。

No:
當業務流程或支持性的應用程式不被認為至關重要時，遷移到雲端可能會更容易。

問題五與問題十六: 有對應的基礎設施嗎?

Yes:
遷移到雲端是減少企業 IT 基礎設施的一步；然而，在採用雲端解決方案之前需要進行適當的規劃。作為準備情況評估的一部分需要考慮的一些事項包括：

與 CSP 的連接（頻寬、redundancy）
網路安全（傳輸過程中的資料加密）
雲端與非雲端系統之間的整合

No:
如果確定當前企業基礎設施還沒有準備好與雲端整合，下一步就是確定業務需求是否大於升級成本（可行性分析）。

問題六與十七: 可預測否?

Yes:
作為準備評估的一部分，企業必須確定業務流程如何運作和成熟度。這個資訊可以幫助預測量能異動。

No:
當企業無法預測產能波動時，可能需要進一步分析。 靈活性和可擴展性是雲端的兩個吸引人的特徵 — — SLA 可能是解決方案，但對台灣的中小企而言這只能是公版的SLA，因為很少企業能與大型CSP談客製化條件。

問題七與十八: 有法規法令的障礙嗎?

Yes:
資料或某些業務功能無法遷移到雲端可能存在法律或合規原因。對於 CSP 來說，實施必要的控制措施以確保企業合法合規的連續性非常重要。 CSP 必須能夠提供第三方稽核的合規性證明。企業必須確定法律或合規限制，以規定的企業的期望以及如何滿足這些期望。

No:
如果沒有法規法令的限制，哪就可以往雲端遷移的下一步評估。

問題八與十九: 是否有資料所有權爭議?

Yes:
與CSP的合約應明確規定企業現在是並且仍然是資料所有者(這在公版的合約都會提到)。同樣重要的是，在整個資料生命週期中維護這種所有權。因此，合約還應概述企業認為必要時以適當方式處理資料的要求。如果無法正確建立資料所有權，企業可能會選擇只移動非敏感和非重要資料。

No:
如果沒有資料所有權的爭議，哪就可以往雲端遷移的下一步評估。

問題九與二十: 是否有管轄權爭議?

Yes:
儘管資料所有權屬於企業，但當地和國際法律通常禁止將某些資料傳輸到法律或法規相衝突的國家/地區。因此，企業了解CSP的資料存儲設施和資料處理中心的位置對於防止違法行為非常重要。建議企業在與CSP的合約中加入必要的條款，要求CSP將服務地點限制在企業批准的範圍內。

No:
如果沒有爭議，哪雲端服務可能就是正確解。

問題十: SLA可以解決嗎?

Yes:
企業必須提前確定 SLA 中包含的條款，記住嚴格或複雜的 SLA 可能會導致更高的維護成本。 SLA 中應協商和記錄的一些條款包括：

Availability
Response time for additional computing resources requests
Response time for incidents
Backup policies
Data retention and disposal policies and procedures
Patch management
Security controls
Recovery and continuity objectives
Controls to satisfy legal and compliance requirements

No:
如果無法就SLA 達成一致，遷移到雲端可能會帶來不可接受的風險。如果 SLA 的成本大於業務驅動因素，雲端解決方案可能不是最佳解決方案。

問題十一與二十三: 有成本效益嗎?

Yes:
遷移到雲端的兩個主要目標是變得更具成本效益，以及能夠更快、更經濟地對不斷變化的情況做出反應。

No:
除非業務驅動力大於成本，否則昂貴的解決方案可能不是正確的選擇。

問題十二: 已經有自有DRP/BCM了嗎?

Yes:
這個問題可能已經在 SLA 中得到解決，但企業仍必須準備好考慮額外的 DR 和 BC 計劃。 CSP內部發生的災難很可能會對企業的運營造成影響。例如，j網路路由會改變，入口點也會改變，從而導致運營延誤。如果企業內部發生災難，維護或重新建立與 CSP 的連接應該是恢復工作的關鍵部分。資料只放在雲端中的企業應該在第三地建立備份，以保留恢復和連續性功能，即使 CSP 完全離線也是如此。

No:
企業如果只依賴 CSP 的 DRP/BCM 功能可能會使企業面臨長期業務中斷的風險；然而，如果自有的 DRP 的成本大於業務驅動因素，企業可能會通過更嚴格的 SLA 來解決這個問題。

問題十三與二十一: 可以升級嗎?

Yes:
如果確定當前企業基礎設施還沒有準備好與雲端整合，下一步就是確定業務需求是否大於升級成本（可行性分析）。

No:
如果升級當前基礎設施的成本大於業務需求，那麼雲端服務目前可能還不是解決方案。

問題十四: SLA能否解決?

Yes:
同問題十

No:
如果無法就SLA 達成一致，遷移到雲端可能會帶來不可接受的風險。如果 SLA 的成本大於業務驅動因素，雲端解決方案可能不是最佳解決方案；然而，混合雲解決方案仍然可以提供雲端運算的一些效益 — — 敏感或關鍵組件可以保留在企業自己的資料中心或私有雲中，而不敏感或非關鍵組件可以移動到公共雲。

問題十五:

Yes:
同問題十一

No:
除非業務驅動力大於成本，否則昂貴的解決方案可能不是正確的選擇。然而，混合雲解決方案仍然可以提供雲端運算的一些效益 — — 敏感或關鍵組件可以保留在企業自己的資料中心或私有雲中，而不敏感或非關鍵組件可以移動到公共雲。

問題二十二: SLA能否解決?

Yes:
同問題十

No:
同問題十

Step 4: 雲端供應商的選擇

在企業決定了使用雲端/服務模型/佈署模型之後，接下來就是選商了。選商就像選擇結婚對象一樣，選錯了離婚也很困難。重點在於，該CSP能夠符合企業的需求，並且能夠最小化潛在的風險。

通常，企業都會選擇夠大間具信用且有足夠經驗的CSP，並且能夠快速回應雲端相關事故與威脅。小間/本土的CSP會有其他潛在風險(如資安問題、財務問題等)。如此，企業在雲端上的服務才能夠穩定與有效率的運作。另外，雲端機房的位置也是企業需要符合法律法規要求的一個重要因素。

最重要的法律法規的議題有:

企業需要遵守的本地法律 —
將資料放在雲端中無法免除企業對其客戶、員工和股東的法律義務。因此，即使資料存儲在國外，本地法律仍然適用。
CSP需要遵守的本地法律 —
由於CSP對其客戶（即企業）負有法律義務，因此CSP的本地法律可能適用於其整個資料中心，包括企業的資料或業務流程。例如美國的Cloud Act。
資料所在位置的本地法律 —
本地法律會用於 CSP 的資料中心。資料中心所在地的國家也制定了該法律。這非常重要，尤其是在隱私方面。企業必須遵守的隱私法規可能不適用於資料所在的國家，從而可能會損害所存儲的資料。
資料處理所在的本地法律 —
在某些國家/地區，本地法律不僅適用於資料存儲地點，還適用於資料處理地點。

大型的CSP在建立每個地區/國家的資料中心時，都會把這一類法規法律的問題考量進去。然而，重要的是CSP只提供資料存儲區域然後由第三方進行備份，這樣才能確保資料或業務流程處於最佳狀態。

目標是找到最能滿足企業標準和業務需求的 CSP。當 CSP 擁有與企業相同的產業認證時，向雲端的遷移過渡將會容易得多(例如AWS是電商的龍頭，GCP是資料分析的專家)。這也符合企業的業務需求：如果業務變化很快，企業會希望選擇能夠快速變化且敏捷的CSP。必須記住，CSP 為大量不同產業的客戶提供服務。儘管某些部署和服務模型會留有細微調整的空間，但這會使 CSP 面臨風險，因為它迫使其超出其已知的專業領域。經驗法則是，所提供的服務越符合業務需求，CSP 就越符合企業的要求。