【IT168评论】如果从2006年亚马逊以AWS的名号,正式开始向企业提供IT基础设施服务开始计算,今天的公有云产业,仍旧是一个不足十岁的少年。然而在以速度为导向,尊崇天下武功唯快不破的新IT时代,十年的时间已经足够让一个襁褓中的产业走向彻底成熟。国内云市场的高速发展引来大批的国内外云服务商的“觊觎”,人多的地方就会有竞争,更何况云服务市场这块“当红炸子鸡”呢?但是要想在同行之间脱颖而出也不是那么容易的事。
首先,国际上成熟的云服务比如亚马逊AWS,微软Azure等想要在中国公有云服务市场有一番大的作为是难上加难,因为其要获得相应的牌照。国内土生土长的公有云服务上虽然没有国外服务商的第一道门槛牵绊,却也面临同行竞争以及很多基础设施方面的问题。巧妇难为无米之炊,在中国建立公有云服务的难度恐怕难以被超越了。
那么,公有云服务商获得哪些资质才算上道儿了?很明显,在这个强者愈强,弱者无门的社会,有“牌照”加身似乎更能取得用户的信任,公有云服务市场也无例外。
入华资质,曲折上道儿
作为云计算的主流方向,公有云的发展正如火如荼。各大企业之间的竞争也日趋激烈。不论是平台搭建还是产品创新,还是客户服务还是资源整合,都显现出差异化的倾向。不过殊途同归,市场份额依然是各个公有云提供商追求的共同目标。
在过去数年中,外资云曾尝试借助多种手段快速进入中国市场,其中一些甚至不惜游走在中国政策法规的边缘线上。
中国政府的监管原则是:所有中国的数据必须留在中国;所有技术服务,都希望能由中国公司提供。这意味着,外资云要想在中国开展业务,必须寻求本土第三方承接,无法自建基础设施提供服务。
中国政府对电信行业的政策限制,令外资云巨头始终无法独立获得IDC(Internet Data Center,互联网数据中心)牌照,必须寻找第三方合作伙伴。因此就出现了微软Azure牵手世纪互联,亚马逊AWS牵手光环新网的合作模式。
跻身一线,数据中心优异运营资质
前几天,深圳前海小鸟云计算有限公司(以下简称小鸟云)通过增值电信业务(ISP/IDC)经营许可证认证所需要的全部审核程序,并成功获得IDC/ISP牌照。ISP/IDC牌照的双认证,标志着该公司已跻身国内顶尖数据中心之列,并拥有了数据中心优异运营资质。ISP/IDC认证即全网ISP资质,全国IDC资质,是利用公共网络基础设施提供的电信与信息服务的经营许可。
据悉,2009年,工信部曾一度停发IDC和ISP牌照。但随着近几年移动互联网行业爆炸式的增长,工信部在2012年年底正式开始恢复受理电信业务牌照申请,新政策对申请IDC/ISP业务的企业在资金、人员、机房设施、运营管理、技术能力等方面提出了更为严格的要求,IDC/ISP服务市场准入门槛进一步提高,申请的难度进一步加大。截至到目前,全国仅少数企业获批新的全国性IDC/ISP牌照,其中包括有阿里云、华为、浪潮等公司。
重要指标,信息安全资质
公有云服务不仅用于实现节约成本和创新等实实在在的好处,而且还用于创建更加现代化的IT环境,一个可以为未来应用和数字化业务流程打下战略性基础的环境。安全、隐私问题仍然是阻碍公有云采用的主要因素,尽管公有云有强大的安全记录,并且云服务领导厂商也提高了透明度。
对于用户来说,安全无疑是决定云计算选型的一大重要考量指标,而可信云服务认证则更像一个标尺。可信云服务认证体系的日臻完善,一方面意味着云计算产业发展的逐渐成熟;另一方面也意味着将有越来越多的云计算企业需要有这样的认证作为自己产品的背书。云计算厂商也将因此进一步加强对云计算安全性的考虑。
著名技术和市场调研公司Forrester Research在其《公有云服务商安全报告》(The Forrester Wave?: Public Cloud Platform Service Providers’Security,Q4 2014)中,披露了对国外几家著名云服务商的安全评估,其中,信息安全认证和资质被作为一项重要的考量指标,与国内的可信云认证相比,这些认证显然更具备权威性。
Cloud Security Alliance-STAR Registrant;云安全联盟(CSA)是在2009年的RSA大会上宣布成立的,云安全联盟作为业界权威组织,致力于在云计算环境下为业界提供非常好的安全解决方案。
DIACAP;美国国防部信息保障认证与认可流程(Department of Defense Information Assurance Certification and Accreditation Process)。
FedRAMP;“联邦风险与授权管理计划”(FedRAMP) 是一项政府范围内的项目,提供了对云产品和云服务的安全评估、授权和持续监控的标准化方法。对于联邦机构在低等和中等风险影响级别的云部署和服务模型,将强制执行 FedRAMP。
FIPS 140-2;美国联邦信息处理标准(Federal Information Processing Standard)。这些标准和方针由NIST发布,并作为联邦信息处理标准(FIPS)在政府机构广泛采用。
ISO27001;信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。
PCI DSS Level1;支付卡行业 (PCI) 数据信息安全标准 (DSS) 是一种由支付卡行业安全标准协会定义的信息安全标准。
SOC 1/2/3;遵循SSAE 16准则要求的服务供应商具备足够的控制与保障措施,能够确保客户托管数据的安全。如果服务商通过审核符合新的全球标准(SSAE 16),将获颁“服务组织控制”(SOC)报告。
UK G-Cloud Accreditation;英国G-Cloud认证,由英国政府发起的对云服务提供认证、能力测试、检验和校准服务。