简介

这些页面包含西蒙弗雷泽大学云计算战略的细节。该策略定义了我们评估云计算机会和风险的方法，通过权衡潜在价值与包含安全、隐私法遵从性和生命周期管理成本(包括资本、许可、支持和不断绿化)的全部拥有成本。

我们的战略包含两个不同的视角:

1.采用云计算服务，为大学提供最大的商业价值，同时避免或减少潜在风险。

2.利用我们新的水塔大厦数据中心的改进来:

• 加强和扩大SFU对高性能研究计算的支持。
• 将SFU定位为与省和联邦政府计划一致的潜在共享服务提供商。
• 与新的商业伙伴寻求创造收入的机会。

云计算概述

云计算正在推动IT服务交付方式的改变。在过去的几年里，它一直是信息系统和商业团体内部争论的主题。云资源的速度和灵活性可以缩短在开发和生产环境中部署的时间。研究人员正在增加对云计算资源的使用，用于大型数据集的计算密集型研究和分析。教师、学生和工作人vwin122员都在接受易于访问和低成本的基于云的服务，如文件存储和同步。SFU需要一个战略来解决它将如何应对这种变化的环境。

从本质上讲，云计算是一组运行软件的服务器，由用户社区使用。虽然该技术本身没有什么特别之处，但该技术的物理部署和所有权提出了一个更具挑战性的争论。部署云计算有几种不同的方式:

私有云

一种本地托管的产品，其中数据和服务驻留在位于客户组织物理场所的服务器上。位于组织网络上的任何经过身份验证的用户都可以访问服务和数据，或者通过对组织网络的安全访问。例如，SFU的私有数据存储云服务，学院库，运行在我们IT服务数据中心管理的服务器上。

社区云

一种外部托管的产品，其中数据和服务驻留在位于组织物理场所之外的服务器上。这些服务和数据可由属于特定相关组织组的用户访问。社区是在特定地区(如一个省)拥有共同利益的群体，因此不受省级立法的约束。不列颠哥伦比亚省的一个例子是BCNET开发的云服务。所有的服务都托管在省内，并由省级非营利组织管理。一个更广泛的地理示例是WestGrid(由SFU托管和支持)，它为西部省份提供社区云服务。

混合云

本地托管和第三方托管的云服务的组合。通常，数据在本地存储并在其他地方处理。一个例子是IBM在加拿大试图避免将个人身份信息(PII)分发到加拿大境外。

公共云

服务和数据驻留在由第三方或上市公司管理的数据中心的服务器上。这些服务和数据可以驻留在世界的任何地方。例如谷歌的Gmail服务。

在这四个模型中，社区、混合和公共云都是明确的外包策略。在这些模式中，外部组织以有偿服务的方式完成以前在大学内部完成的工作。当把工作转移到外部组织时，我们需要对人员配置和工会问题保持谨慎。

每个云部署模型都可以提供三种不同类型的服务:软件、平台和基础设施。

软件服务

基于云的软件服务以订阅模式提供软件。服务提供者拥有和托管软件，并以订阅的方式向用户提供软件。该模式为一体化云计算服务。在这种情况下，外包商管理信息系统的所有方面;客户端不做软件开发，也不需要数据中心。该模型的一个例子是SFU的fluidsurvey服务。

平台服务

基于云的平台服务提供了支持软件开发的计算资源和工具。这些服务包括操作系统和硬件。服务提供者拥有并托管设备和开发工具。客户端使用这些资源创建自己的软件应用程序。我们大学没有这种类型的系统，但亚马逊提供了这种类型的服务。

基础设施服务

基于云的基础设施服务提供对数据中心的访问，包括服务器、存储、备份、操作人员和网络技术。服务提供者拥有和管理设备，并以订阅的方式向用户提供设备。在这个模型中，外包商管理基本的技术基础设施，而不管理任何应用程序或操作系统软件。自20世纪60年代以来，这些类型的服务提供商就已经存在了。

云计算的风险

云计算和个人移动设备是移动、社交媒体感知、时刻在线、实时社会背后的关键颠覆性技术。然而，云计算还不是一个成熟的服务环境，许多方面还没有稳定下来，并存在巨大的风险和隐藏或未知的成本。通常，基于云的服务的投资回报评估没有考虑到这些风险和成本，供应商也不愿提高对这些问题的认识。

此外，云计算供应商将其服务推广为提供高性能、服务丰富的环境，可以以较低的成本为企业带来敏捷的IT服务。评估云计算机会的组织常常沉浸在新技术的兴奋中，而忽略了所有的问题。他们转向云计算通常是因为业务案例不完整，忽略了外包服务的真实总成本。这些评估不可避免地忽略了伴随云计算使用的许多潜在风险。其中一些风险如下:

重大信息安全风险

PII数据在受国外立法影响的服务器上的存储越来越不确定。加拿大立法者和公众对外国数据存储问题越来越敏感，但美国拥有的云供应商对支持我们的国家利益表示失望。

不成熟的技术

尽管供应商声称，像Desire2Learn学习管理系统这样的云解决方案确实存在重大故障，这些故障已经导致加拿大几所大学出现了严重的教学问题。

在许多情况下，云供应商拒绝接受加拿大信息自由法所要求的数据丢失的合同责任。

短暂的服务

如果云服务不赚钱，云供应商就会关闭他们的服务。在这种情况下，没有明确的法律追索权来恢复您的数据和服务。

在一个新兴的环境中，大公司收购小公司是很常见的。例如，SFU目前使用FluidSurveys用于研究和其他调查。由于我们的许多调查包括PII数据，大学特别选择了这个产品，因为它是由一家加拿大公司拥有和运营的。最近，这家公司被一家外国机构收购了。我们的数据现在会怎样?

当依赖于外部提供的服务时，我们需要仔细规划退出策略。如果我们不再订阅该服务，我们的数据会发生什么变化?例如，存储在不同司法管辖区的任何数据都可能成为该司法管辖区的财产，他们可能有权永远保存这些数据。德克萨斯州就是一个例子。我们需要就我们所有数据的完整遣返和删除条款进行谈判，并说明谁为数据的遣返和删除付费。

缺乏成熟的法律框架

建立云服务的提供、运营、继承和退役需要昂贵的法律费用。复杂且有时昂贵的合同谈判推迟了某些云服务在许多加拿大大学的实施。

此外，还有一种观点认为，控制个人的PII是一项人权。这一论点尚未在加拿大法院得到验证，但法律学者越来越确信，这一观点将必须接受司法审查。

劳工问题

IT工作的外包是教职员工会关注的一个传统领域，他们已经表现出将他们的关注纳入其他大学的集体谈判过程的兴趣。同样在加拿大的其他院校，教师协会也将保护私有数据云计算的问题纳入了谈判中。在我们评估任何云解决方案时，我们必须认识到任何潜在的劳动力问题。

教师的担忧

在云供应商托管系统的国家，知识产权的保护受到了迥然不同的立法的阻碍。在加拿大被认为可以接受的研究在其他司法管辖区并不总是被认为可以接受的。储存在其他国家的信息可能会间接地使研究人员在加拿大境外面临个人风险。

网络问题

互联网上的网络性能不在大学的控制范围之内。任何云计算业务案例都必须考虑如果互联网连接降级或完全丢失会发生什么。此外，需要增加Internet网络带宽，以支持战略云服务所需的更大的数据传输，与此相关的成本可能很大。

尽管供应商声称具有优越的安全能力，但他们的断言不能应用于大学和互联网服务提供商之间的网络连接，这在云安全模型中留下了薄弱环节。

未来服务成本问题

将服务外包到云端比将这些服务遣返回内部要容易得多。目前，云服务提供商为将IT服务转移到云上的组织提供了诱人的经济激励措施——在某些情况下，服务是免费提供的。一旦IT服务迁移到云上，如果服务提供商决定增加其服务的成本，组织将处于相对弱势的谈判地位。

经营与资本预算的重点

经常被忽视的一个因素是，外部云计算服务将使大学的成本基础从资本密集的位置转移到严重以运营成本为基础的位置。这一重大变化需要从资金筹措的角度以及对该机构财务结构的潜在影响进行评估。虽然大多数私营部门企业欢迎业务支出的做法，但大学的信息系统经费大部分是基于资本的。将信息系统服务外包给云计算服务将需要从资本预算转向运营预算资金。

这些风险，就像云计算本身一样，仍在不断发展和成熟。采用基于外部的云计算需要仔细考虑这些风险，并权衡解决方案的真正总拥有成本。

一旦评估了所有这些成本和风险，就必须制定退出战略。云计算的现实是，任何外包决策都需要定期重新审视，就像任何其他信息系统决策都需要随着业务需求的变化而重新审视一样。如果云服务不再满足业务需求、环境因素(如法律)发生变化、服务被外国公司收购或云服务提供商倒闭，则需要有明确的退出策略。执行退出战略的相关成本也可能很大。

云计算战略

需要两个核心策略:

1. 作为云服务消费者，SFU将如何表现
2. 作为云服务提供商，SFU将如何表现?

大多数大学只关心如何使用其他组织提供的云服务。在SFU，我们有向其他组织提供云服务的丰富历史，例如BCcampus而且BCNET．我们的未来包括在全国范围内提供大规模的云服务。对SFU的重大投资计算加拿大高性能计算要求我们提供社区云服务作为国家研究基础设施计划。

云计算消费者策略

作为云服务的消费者，大学正在采用私有云优先策略。这一策略使我们能够避免与数据隐私风险、基础预算资金和工会关注相关的外包云计算问题。大学最近推出了一项私有云服务(学院库)，利用业界标准技术，提供一个灵活、安全、冗余的环境，以托管我们自己的服务和应用程序。学院库是SFU拥有和管理的私有云服务，取代了高风险的国外公共云服务，如Dropbox。

如果我们的分析验证了这些服务是成熟的，所有的成本都被考虑在内，剩余风险是可接受的，并且从业务的角度确定它们显然是最佳选择，那么就可以继续采用社区、混合或公共云服务。大学将按下列优先次序考虑云技术:

1.私有云

我们的首选是在我们的私有云中实现云解决方案，如果完整的业务案例证明了这一选择是正确的。

2.社区云

我们将始终优先考虑在我们省居住的解决方案，然后在加拿大境内，以尽量减少管辖权问题。

3.混合云

我们将考虑针对混合云环境中的应用程序、软件或平台的特定目标解决方案，前提是数据驻留在我们大学拥有的系统中的一个校园中，并且用于处理的信息传输不会对PII数据造成风险。

4.公共云

我们必须认识到，尽管存在风险，但在某些情况下，公共云解决方案可能是最好的，有时是唯一的选择。

投资回报评估

IT服务部将开发一种云服务评估方法，以指导大学业务部门通过收集有关拟议云解决方案的信息的过程。它将有助于评估:信息的敏感性，其妥协的后果，以及可接受的风险水平。这些评估将有助于确定将信息移动到社区、混合或公共云的风险是否合理，前提是已确定的投资回报。

对于任何云服务，将进行威胁和风险评估和隐私影响评估，以确定大学面临的总体风险敞口。关于如何执行此过程的信息可从隐私办公室或从信息技术服务．一旦了解了风险以及总体拥有成本，就可以开发适当的业务用例来指导云服务决策过程。

下一个步骤

随着云计算的不断发展和成熟，我们的下一步包括:

• 继续我们的私有云优选策略。
• 要求所有SFU的云计算服务协议和合同由IT服务部门审核和批准。
• 根据本战略文件制定外包信息系统的政策。
• 为任何云计算服务建立合同审查流程。
• 利用我们的内部云服务能力来增长和发展我们的One i.s优先事项。
• 增强我们的身份管理系统，以支持不断扩展的云环境。
• 继续改善我们数据的安全性并管理其访问。
• 开放地采用云服务，为大学带来真正的利益。
• 继续观察和跟踪社区、混合和公共云服务的发展和成熟。
• 继续发展水塔大楼，成为世界级的云计算数据中心。
• 寻找机会增强和扩展我们的社区云服务产品。

云机会评价方法

该大学云战略的关键组成部分之一是评估机会的可重复过程，并确保使用包含真正从摇篮到坟墓成本计算方法的总拥有成本模型。该方法包括以下步骤:

1. 审查业务需求
   • 服务目录的添加
   • 业务支持
2. 评估服务
   • 识别的好处
   • 优先考虑可用的服务
   • ID交付/服务选项
3. 执行风险评估
   • 威胁和风险评估
   • 控制识别
   • 剩余风险报表
   • 合规策略
4. 计算真正的总拥有成本
   • 资本成本
   • 运营成本
   • 采用成本
   • 退出成本
   • 退休成本
   • 降低风险成本
   • 合规成本
   • 估算收益/过程节省/投资回报
   • 开发业务案例
5. 确定总体要求
   • 服务水平协议
   • 参与，支援和退出策略
   • 项目章程开发
6. 企业架构遵从性
   • 云部署模型选项分析
   • 初始操作条件(IOC)定义
   • 企业架构遵从性评估
7. 7.收购
   • 服务模型选项分析
   • RFP(如果合适)/供应商评估
   • 服务合同的评估和管理
8. 8.实现
   • 变更管理
   • 数据迁移
   • 数据安全
   • 我的集成
   • 基础设施一体化
   • 达到初始操作条件(IOC)
9. 支持
   • 标准/服务
   • 指标/评论
   • 监控/持续合规
10. 服务退休/替换
    • 生命终结的决心
    • 退休/替代的决定
    • 数据检索
    • 使用寿命结束