通用電氣、花旗集團(tuán)、聯(lián)邦快遞、美國銀行、Intuit公司、Gap、Kaiser Permanente、摩根士丹利和摩根大通這些大企業(yè)都從公共云服務(wù)的使用中學(xué)到了怎樣的經(jīng)驗(yàn)教訓(xùn)?在過去六個(gè)月中，來自上述這些大型企業(yè)的一組代表與開放網(wǎng)絡(luò)用戶集團(tuán)(ONUG)合作，開發(fā)了一份白皮書，探索當(dāng)前的企業(yè)組織在使用混合云服務(wù)方面的挑戰(zhàn)。ONUG的混合云工作組(HCWG)不僅總結(jié)了他????在使用云服務(wù)過程中的有價(jià)值的經(jīng)驗(yàn)提示，而且列出了這些一線企業(yè)希望云服務(wù)供應(yīng)商怎樣發(fā)展其平臺(tái)的愿望清單。如下，是這些企業(yè)代表們所總結(jié)出的10大技巧貼士：

 

       1、將應(yīng)用程序按照安全風(fēng)險(xiǎn)級(jí)別分為低、中和高三等

 

       哪些應(yīng)用程序應(yīng)遷移到云中?在回答這個(gè)問題之前，您需要對您企業(yè)的應(yīng)用程序進(jìn)行分類，以充分了解您所擁有的應(yīng)用程序。HCWG建議：企業(yè)組織應(yīng)該對其應(yīng)用程序按照安全風(fēng)險(xiǎn)級(jí)別進(jìn)行低、中、中+、高的分類。具有最高安全風(fēng)險(xiǎn)的應(yīng)用程序應(yīng)該有遵循更嚴(yán)格的安全協(xié)議。低風(fēng)險(xiǎn)數(shù)據(jù)包括公共或非敏感信息，例如面向客戶的數(shù)據(jù)。中等風(fēng)險(xiǎn)的數(shù)據(jù)(如ERP系統(tǒng)和???????務(wù)管理應(yīng)用程序，但不包括知識(shí)產(chǎn)權(quán)或?qū)＠麛?shù)據(jù))可以通過額外的安全預(yù)防措施轉(zhuǎn)移到公共云服務(wù)。中+等級(jí)的應(yīng)用程序被歸類為政府控制的未分類的數(shù)據(jù)或受到嚴(yán)格的合規(guī)性監(jiān)管控制的數(shù)據(jù)。對于高安全風(fēng)險(xiǎn)等級(jí)的應(yīng)用程序而言，不建議遷移到公共云中使用;這包括專利，關(guān)鍵業(yè)務(wù)流程和敏感財(cái)務(wù)信息等。

 

       2、使用云代理

 

       一旦一家企業(yè)組織確定了哪些應(yīng)用程序適合于采用公共云，下一項(xiàng)挑戰(zhàn)便是正式的遷移了。企業(yè)組織可以從任何互聯(lián)網(wǎng)連接訪問公共云資源。然而，ONUG企業(yè)成員建議使用云代理或“中間人”，原因有兩個(gè)：安全性(HCWG稱為漏洞緩解)和提高性能。云代理通常是提供對多家公共云提供商的訪問點(diǎn)的配置提供商。這方面的供應(yīng)商包括Equinix公司、AT&T、Verizon公司和Sprint公司。云代理可以被認(rèn)為是一家企業(yè)數(shù)據(jù)中心的新的“遠(yuǎn)端”，即在網(wǎng)絡(luò)流量到達(dá)企業(yè)園區(qū)或遠(yuǎn)程數(shù)據(jù)中心之前，對進(jìn)入和離開云服務(wù)的網(wǎng)絡(luò)流量，提供安全檢查的一個(gè)地方。該份白皮書解釋說：“數(shù)據(jù)包檢測/掃描或?qū)彶榱髁堪l(fā)生在云代理中，以便在從云服務(wù)提供商進(jìn)入企業(yè)的數(shù)據(jù)中心之前減少攻擊，或者試圖減少對來自私有云的云托管服務(wù)造成的損害?！睆男阅艿慕嵌葋砜?，云代理可以提供直接的光纖連接到多家IaaS云供應(yīng)商。云代理也可以滿足其他方面的目的，從諸如負(fù)載平衡和域名系統(tǒng)/動(dòng)態(tài)主機(jī)配置協(xié)議(DNS / DHCP)等應(yīng)用程序交付控制功能到托管活動(dòng)目錄以認(rèn)證用戶。作為云服務(wù)與企業(yè)網(wǎng)絡(luò)之間的緩沖區(qū)，其是托管入侵防御系統(tǒng)(IPS)/防火墻安全以及其他網(wǎng)絡(luò)監(jiān)控和分析工具的理想之選。因?yàn)槠涫且豢钆渲迷O(shè)施，占地面積完全由客戶控制，可以根???????客戶的需求調(diào)整其規(guī)模大小。

 

 

       3、列出的價(jià)格并不是實(shí)際價(jià)格

 

       大型企業(yè)直接與公共云服務(wù)供應(yīng)商協(xié)商，并以折扣價(jià)格訂立企業(yè)協(xié)議。其官網(wǎng)列出的在線定價(jià)通常只是一個(gè)指導(dǎo)價(jià)。然而，HCWG警告說，合同談判可能是一個(gè)漫長而艱巨的過程。

 

       4、選擇專業(yè)的談判專家

 

       當(dāng)與云服務(wù)供應(yīng)商談判企業(yè)協(xié)議合同條款時(shí)，建議使用專業(yè)談判專家。一些HCWG企業(yè)成員花了18個(gè)月的時(shí)間就一項(xiàng)合同進(jìn)行談判，花費(fèi)了數(shù)十萬美元的法律費(fèi)用。而經(jīng)驗(yàn)豐富的的談判專家代表則是可以企業(yè)內(nèi)部的法務(wù)人員或外部聘請的專家。

 

       5、云中的許可授權(quán)是不同的

 

       HCWG成員警告企業(yè)客戶在使用公共云服務(wù)時(shí)要注意許可授權(quán)的問題。確保許可在企業(yè)內(nèi)部部署環(huán)境下所使用的任何軟件都被允許在云中合法的使用。即使沒有對在公共云中托管企業(yè)內(nèi)部部署應(yīng)用程序的法律限制，但一些許可授權(quán)并沒有考慮公共云服務(wù)。 “許可授權(quán)可以基于訪問軟件的CPU數(shù)量，一旦將應(yīng)用程序放置在云中，這一數(shù)量可能會(huì)顯著增加，能夠???????得更多的員工可以訪問到它?！監(jiān)NUG解釋說。在可能的情況下，搜索公共云原生的軟件許可證授權(quán)。

 

       6、合規(guī)性官員的培訓(xùn)

 

       對于已經(jīng)在企業(yè)客戶內(nèi)部負(fù)責(zé)運(yùn)營審計(jì)的人員，當(dāng)擴(kuò)展到公共云服務(wù)領(lǐng)域時(shí)，他們的整個(gè)職業(yè)生涯可能會(huì)遭遇一定的挑戰(zhàn)。 “對許多審計(jì)人員來說，他們對于云計(jì)算的語言和資產(chǎn)的定位可能是外行。”O(jiān)NUG的白皮書解釋說。如果他們不熟悉公共云服務(wù)，那么一上來就要求這些審計(jì)人員準(zhǔn)備對該陌生領(lǐng)域進(jìn)行審查可能會(huì)是一個(gè)令人沮喪的過程。故而ONUG鼓勵(lì)公共云服務(wù)供應(yīng)商應(yīng)為審計(jì)人員提供相應(yīng)的培訓(xùn)計(jì)劃和工具。

 

       7、責(zé)任是一大麻煩

 

       某些ONUG企業(yè)成員在與其IaaS云提供商在就合同的責(zé)任條款進(jìn)行談判時(shí)，發(fā)現(xiàn)了相當(dāng)大的失望。在更傳統(tǒng)的托管服務(wù)或其他外包合同安排中，服務(wù)商的責(zé)任通常包括企業(yè)客戶外包資產(chǎn)價(jià)值的損失，損害和責(zé)任。而云服務(wù)提供商有時(shí)則提供了不同類型的責(zé)任。“云服務(wù)提供商所尋求的是覆蓋企業(yè)客戶所花費(fèi)的價(jià)格數(shù)額等值的責(zé)任?！痹摲莅灼忉屨f： “也就是說，如果一家企業(yè)客戶每年花費(fèi)50,000美元與云服務(wù)提供商簽訂托管應(yīng)用程序的合同，然后經(jīng)歷了10,000,000美元的損失，云服務(wù)提供商則要求其承擔(dān)50,000美元的責(zé)任。這種責(zé)任水平將限制將企業(yè)客戶遷移到云提供商的應(yīng)用程序的類型，同時(shí)將應(yīng)用程序的安全風(fēng)險(xiǎn)級(jí)別降低到中低風(fēng)險(xiǎn)級(jí)別?！?

 

       8、當(dāng)心被供應(yīng)商鎖定

 

       HCWG解釋說，在某些情況下，被某家公共IaaS云服務(wù)提供商鎖定是不可避免的，但這并不一定是壞事。該小組建議最終用戶識(shí)別并承認(rèn)這一事實(shí)。白皮書指出，在不同的云服務(wù)供應(yīng)商之間遷移數(shù)據(jù)的成本相對較高，并以這樣的一句諺語加以強(qiáng)調(diào)：將數(shù)據(jù)導(dǎo)入云中是很容易的，但是想要導(dǎo)出則是成本昂貴且困難的。某些應(yīng)用程序更容易被鎖定，包括工作負(fù)載???????建工具，非標(biāo)準(zhǔn)的業(yè)務(wù)流程工具，非標(biāo)準(zhǔn)的配置工具和特定供應(yīng)商的調(diào)度或自動(dòng)化工具。企業(yè)組織的開發(fā)人員或云管理員使用和依靠專門針對某一家供應(yīng)商的這類工具越多，在另一個(gè)環(huán)境中運(yùn)行這些工作負(fù)載就越困難。

 

       9、加密一切并管理密鑰對所有存儲(chǔ)在云中的數(shù)據(jù)

 

       在遷移到云服務(wù)之前實(shí)施加密正在成為一種常見的企業(yè)做法。ONUG還提醒最終用戶確保他們對于這些加密密鑰的管理。正在成為常見做法的另一個(gè)安全提示是使用基于角色的訪問控制——這意味著，例如，并非企業(yè)組織中的每個(gè)人都能夠訪問云環(huán)境中的管理控制。這些應(yīng)該至采用雙因素認(rèn)證來進(jìn)行保護(hù)。

 

       10、了解公共云的限制

 

       除了基于他們使用公共云服務(wù)的經(jīng)驗(yàn)教訓(xùn)提出了上述的詳細(xì)貼士，HCWG的企業(yè)成員還要求云服務(wù)供應(yīng)商們了解如何改進(jìn)其平臺(tái)以使云服務(wù)更易于使用。通過探索這些企業(yè)客戶的愿望清單項(xiàng)目，能夠很明顯的看到公共云在哪些方面存在不足。例如，HCWG企業(yè)成員希望在公共云之間更容易遷移，各種云供應(yīng)商之間應(yīng)采用通用的加密協(xié)議和通用的北行API。云服務(wù)固然有很多優(yōu)點(diǎn)，但它不是萬靈藥。