雲端運算無疑是接下來資訊系統基礎建設重大的改變趨勢,我們相信不久的將來,多數的企業與組織會循序將資訊系統雲端化,享受隨選即用(use on demand)、彈性計價(pay on demand)」的好處,將IT資源整體規劃目標,更專注在產業本質上的競爭。
然而,金融產業與政府機關因其牽涉到廣大消費者與民眾權益的特殊性,在躍上雲端之際,不僅僅只須單純考慮服務提供商的價格與功能,還有幾件需要注意的事情,才能符合法規要求、確保民眾權益,安心享用雲端運算帶來的便利與經濟。
選擇坐落在當地、符合法規的雲端服務
首先,金融監督管理委員會(簡稱金管會)為了保障客戶與民眾資料,明文規定資料中心(data center)一定要在國內,並需符合金管會各項作業要求。相信政府機關的行政或國家機密資料與行事曆,其重要性恐怕比客戶資料還要高出許多。
然而,資料中心所在地與服務提供商所屬的國家,都有可能提出調閱其代管資料的要求,如果不能確保委外資料的機密保護與管理,無疑是將企業營業機密與客戶資料暴露在無法掌控的風險環境下。以日本為例,中央政府就規定一定要使用在資料中心在國內的雲端服務,才能排除國家機密不當流出的疑慮。
從法規面評估,雲端服務提供商對於當地法規的支援程度也是相當重要的。以台灣而言,新版個人資料保護法、營業秘密保護法,如果無法全面因應,貿然導入雲端服務,對該單位無疑是冒著未知的風險,未來也可能需要花費轉換成本重頭再來過。
兼具管理功能與客製彈性是考量重點
將系統交由雲端業者管理確實是相當方便,但同時也意味著管理權的分割。如果該雲端服務業者無法提供足夠的稽核管制措施與維運紀錄相關調閱機制,當資安事件發生時,資訊部門恐怕求助無門、無從查起。因此,檢視雲端服務可以從功能的可用性(availability)、服務運行的可靠度(reliability)、雲端安全性(security)、,加上客服團隊的技術經驗(technical)與在地化服務能力(local support),都是實際導入雲端服務後,順利運行的重要關鍵因素。
不僅如此,在導入初期與隨著需求的演化,雲端服務勢必要與單位內的系統做相當程度的結合,透過混合雲(hyper cloud)的機制,才能讓使用者不會因為改用雲端服務而感到明顯的不方便。如果僅是透過開放有限的應用程式介面(API)來進行整合,相信實際導入時將處處受限。此時,服務提供商需具備二次開發與客製整合的彈性能力,才能協助用戶將雲端服務與單位資訊系統進行標準化的整合,建立轉移雲端服務的基礎建設。
注意資料鎖定與長期議價風險
在風起雲湧之際,許多廠商願意採取低價、甚至免費的方式來吸引客戶轉移到其雲端服務上。因為,業者都知道,使用雲端服務有一定的慣性可循。資料經過日積月累存放在雲端服務業者的資料中心,一旦要轉換時,轉移成本十分浩大,往往就望之興嘆。因此,即便是第一年或前 N 年承諾一個相當漂亮的最低價,在資料鎖定(data lock in)之後,第 N+1 年起的價格是否還有議價能力?短期的優惠是否可以保障未來續約的價格,都是在選擇切換到雲端服務時,必須慎重考慮的問題。
優先考慮在地化、實績豐富的雲端服務業者
以日本市場為例,在311地震之後,日本企業開始感受到雲端運算可以達到更高可用度與BCP(Business continuity planning)的要求,紛紛從企業自建轉向雲端服務。但截至目前為止,日本一級政府機關、大型金融業者或甚至是知名上市企業在選擇雲端服務提供商時,仍會將資料中心是否放在日本本土、服務提供商是否為日本公司並遵循日本當地法規、是否具備二次開發能力以便緊密結合既有系統…等這些重要因素列入重要考量。
在篩選之下,往往選擇日本當地具有服務實力的雲端服務提供商,而非國際上的大型知名業者。也因為這樣的契機,Openfind在日本的合作夥伴CyberSolutions掌握的雲端運算起飛的商機每年以驚人的速度飛躍成長,目前亞洲市場每月的雲端服務訂閱人數已接近100萬個帳號數。
有鑑於此,我們呼籲台灣金融產業與政府機關在選擇雲端服務提供商時,應該以更全面的因素綜合考量,在兼顧民眾權益與機密保全的前提下,選擇國內優質的雲端服務提供商,一起打造下一波IT雲端化的新浪潮。