第三方检测让云端服务更可靠
- DIGITIMES企划
-
提供云端服务已是许多企业重要的营运方式,但资策会专案经理郑子立指出,许多业者对于云端服务上线前的检测过于轻忽,往往都是先将服务上线再说,心态上不仅将检测视为可有可无,就算想到要做检测,往往也会因为距离预计上线时间太多,就算检测出问题,也来不修改,更遑论在上线后应该要做到的服务营运监控。
郑子立表示,目前有许多企业的云端服务都是用委外方式制作,想要确保上线服务的品质,可以透过资策会目前已经成立的云端开发测试平台网站,来做第三方检测机制,因为第三方可以在甲乙双方间扮演公正公平的检测,在云端上线前,严格把关上线品质,协助确认品质,上线后,还能够做到定时监控,保障云端服务网站在各ISP的连线效能和网站本身的稳定性。
郑子立指出,云端的使用者来自四面八方,不知道来自哪里、怎麽使用,需要真正的工具来验测,才能确定做出来的系统符合原先的想法,如系统要支撑一万个使用者同时上线使用,但实际上却不见得做得到。
因此云端服务业者需要面对的问题是,要如何定义谁才是真的好云?郑子立指出,云端服务的面向可以分为功能、效能及安全,其中在安全部分,要考虑系统、技术及管理三个层面。
在系统面的安全性方面,包括程序码安全性、已知弱点防范、操作系统安全性、第三方软件元件、移动APP等,都可以透过工具检查。郑子立强调,千万不要等专案快结束时才做检查,否则修改起来会非常麻烦。
在技术面的安全性方面,郑子立指出,云端应用环境的最大特点就是多租户设计,不只要给使用者专属使用界面,包括数据如何存放、数据库的形式等,都会有影响,如在口令管理方面,欧盟的标准就要求不可以透过人来处理重新申请,否则就可能会出现人为问题,数据的储存、传输、机敏也都需要加密,否则就可能无法符合个资法的要求。
在管理面的安全性方面,许多网安国际标准,其实就很重视营运及管理。郑子立指出,不同的国家往往会有不同的检查规定,法律强制取用的相关规则要很清楚,以数据运用为例,衍生数据的所有权要在合约讲清楚,才不会造成营运困扰。
郑子立归纳云端技术特性的程序设计重点,可分为多租户设计、大量服务连线、大量数据运算、资源弹性调度、服务不中断、随选自助服务及服务计费杜良等7个技术特性,延伸出来的验测项目多达49项。
资策会也因此提出一套验测方法论,从云端特性谘询辅导开始共分为9个阶段,分别是云端特性谘询辅导、云端特性静态检测、云端架构分析辅导、验测个案设计辅导、烟雾测试、云端特性动态测试、问题分析调校测试、网安检测及建议改善辅导方案,以文鼎科技开发及验测案例为例子指出,从最初的服务设计开始,前后经过418次验测,效能也从10秒进步到4秒。
郑子立强调,验测工具也是有学问的,以效能测试为例,往往在功能测试时没问题,但在大量连线压力测试时,基本问题(系统?IIS?Log)就会造成系统挂掉,但如果不做压力测试,可能就找不出大量连线计算下的一些程序问题,如 网页图档、DB Connection等,而且千万不要以为知名产品就不会有问题,而且知名产品的功能也不一定完美,有时就算是老技术,也是很可靠的。
