且看一線企業(yè)使用公共云的十大要點

責(zé)任編輯:editor007

作者:布加迪編譯

2016-12-12 21:57:57

摘自:51cto.com

一旦企業(yè)組織確定了哪些應(yīng)用程序適合使用公共云,下一個挑戰(zhàn)就是將它們遷移過去。某些應(yīng)用程序也更容易被提供商鎖定,包括工作負(fù)載創(chuàng)建工具、非標(biāo)準(zhǔn)的編排工具、非標(biāo)準(zhǔn)的配置工具和針對特定廠商的調(diào)度或自動化工具。

通用電氣、花旗集團、聯(lián)邦快遞、美國銀行、Intuit、Gap、凱澤永久醫(yī)療集團(Kaiser Permanente)、摩根士丹利和摩根大通,這些大企業(yè)從公共云當(dāng)中學(xué)到了怎樣的經(jīng)驗教訓(xùn)?

在過去的六個月,來自上述這些企業(yè)的一群代表與開放網(wǎng)絡(luò)用戶組織(ONUG)一同撰寫了一份白皮書,探究使用混合云方面面臨的挑戰(zhàn)。ONUG的混合云工作組(HCWG)不僅總結(jié)了其在使用云過程中寶貴的經(jīng)驗,還列出了這些企業(yè)希望廠商如何完善其平臺的愿望清單。

一線跨國企業(yè)對公有云的經(jīng)驗總結(jié)

  下面是十大要點:

1、將應(yīng)用程序的風(fēng)險級別分為低、中和高三檔。

哪些應(yīng)用程序應(yīng)遷移到云端?在回答這個問題之前,你要對應(yīng)用程序進(jìn)行分類,了解自己擁有哪些應(yīng)用程序。HCWG建議,應(yīng)采用下列分類方法,將應(yīng)用程序的安全風(fēng)險級別分為低、中、中+和高這四檔。

安全風(fēng)險最高的應(yīng)用程序應(yīng)該有更嚴(yán)格的安全協(xié)議。低風(fēng)險數(shù)據(jù)包括公共或非敏感信息,比如面向客戶的數(shù)據(jù)。如果采取額外的安全預(yù)防措施,中等風(fēng)險的數(shù)據(jù)(比如ERP系統(tǒng)和業(yè)務(wù)管理應(yīng)用程序,但包括知識產(chǎn)權(quán)或?qū)@麛?shù)據(jù)的應(yīng)用程序不在此列)可以發(fā)送到公共云。中+這一檔應(yīng)用程序被歸類為政府管制的未機密數(shù)據(jù),或受到監(jiān)管法規(guī)嚴(yán)格管制的數(shù)據(jù)。不建議在公共云端使用高風(fēng)險的應(yīng)用程序,主要包括專利、關(guān)鍵業(yè)務(wù)流程和敏感財務(wù)信息之類的信息。

2、使用云代理商。

一旦企業(yè)組織確定了哪些應(yīng)用程序適合使用公共云,下一個挑戰(zhàn)就是將它們遷移過去。企業(yè)組織可以從任何互聯(lián)網(wǎng)連接訪問公共云資源。不過,ONUG的公司成員建議使用云代理商或“中間人”。原因有兩個:確保安全(HCWG稱之為漏洞緩解)和提高性能。云代理商通常是一家托管服務(wù)提供商,它為用戶提供了接入點,以便訪問多家公共云提供商。這方面的提供商包括Equinix、AT&T、韋里遜和斯普林特。

云代理商就好比是企業(yè)數(shù)據(jù)中心的新的“遠(yuǎn)端”,它提供了一個安全場地,以便進(jìn)出云端的網(wǎng)絡(luò)流量到達(dá)企業(yè)園區(qū)或遠(yuǎn)程數(shù)據(jù)中心之前對它進(jìn)行檢查。白皮書解釋:“數(shù)據(jù)包檢測/掃描或?qū)彶榱髁砍霈F(xiàn)在云代理商處,以便漏洞從云服務(wù)提供商進(jìn)入企業(yè)數(shù)據(jù)中心之前緩解漏洞,或者緩解企圖從私有云對云托管服務(wù)造成破壞的漏洞。”

從性能的角度來看,代理商可以提供直接光纖連接到多家IaaS云提供商的服務(wù)。代理商還能滿足其他用途,從應(yīng)用程序交付控制功能,比如負(fù)載均衡和域名系統(tǒng)/動態(tài)主機配置協(xié)議(DNS/DHCP),到托管活動目錄以驗證用戶身份。作為云與企業(yè)網(wǎng)絡(luò)之間的一個緩沖區(qū),它是托管入侵防御系統(tǒng)(IPS)/防火墻安全以及其他網(wǎng)絡(luò)監(jiān)控和分析工具的理想地方。由于它是一種托管設(shè)施,占地面積完全由客戶控制,大小可以根據(jù)客戶的需求來調(diào)整。

3、標(biāo)注的價格不是實際價格。

大企業(yè)直接與公共云提供商洽談,可以達(dá)成價格打折的企業(yè)協(xié)議。網(wǎng)上的標(biāo)注價格通常只是指導(dǎo)價。然而,HCWG提醒道:合同談判可能是個漫長而艱苦的過程。

4、利用專業(yè)的談判人員。

與提供商洽談企業(yè)協(xié)議時,要利用專業(yè)的談判專家。HCWG的一些公司成員花長達(dá)18個月的時間來洽談合同,花費數(shù)十萬美元的法律費用。經(jīng)驗豐富的談判人員可以是企業(yè)內(nèi)部的法務(wù)人員,也可以是從外面聘請的專家。

5、云端許可不一樣。

HCWG的成員提醒使用公共云時要留意許可問題。確保許可在本地環(huán)境下使用的任何軟件事先在法律上被允許可在云端使用。即使沒有法律限制阻止在公共云托管本地應(yīng)用程序,一些許可證在設(shè)計時也根本沒有考慮到公共云。ONUG解釋:“許可可能基于訪問軟件的處理器數(shù)量,一旦將應(yīng)用程序放到云端――現(xiàn)在更多的員工可以訪問它,處理器的數(shù)量可能會顯著增加。”盡量尋找公共云原生軟件許可證。

6、合規(guī)工作人員的培訓(xùn)。

在公共云環(huán)境下工作時,之前一直面對本地環(huán)境的審計人員會遇到挑戰(zhàn)。ONUG的白皮書聲稱:“云計算語言和資產(chǎn)位置對許多審計人員來說很陌生。”如果審計人員不熟悉公共云,就要有心理準(zhǔn)備:可能面臨令人沮喪的過程。ONUG鼓勵公共云提供商為審計人員提供培訓(xùn)計劃和工具。

7、責(zé)任不好處理。

ONUG的一些成員在與IaaS云提供商就責(zé)任方面進(jìn)行洽談時覺得相當(dāng)沮喪。在比較傳統(tǒng)的托管服務(wù)或其他外包方案中,責(zé)任通常包括損失、損害以及高達(dá)外包資產(chǎn)的價值的責(zé)任。云提供商有時提供一種不同類型的責(zé)任。

白皮書解釋:“云提供商尋求的是承擔(dān)等同于客戶所花金額的責(zé)任。也就是說,如果一家公司每年在一家云提供商身上花5萬美元來托管應(yīng)用程序,但是遭受1000萬美元的損失,云提供商只想承擔(dān)5萬美元的責(zé)任。這種級別的責(zé)任將把遷移到云提供商的應(yīng)用程序的類型限制于中低風(fēng)險級別的應(yīng)用程序。”

8、提防鎖定現(xiàn)象。

HCWG解釋,在一些情況下,被公共IaaS云提供商鎖定是不可避免的,未必是件壞事。該組織建議最終用戶要認(rèn)識到并承認(rèn)這一點。白皮書特別指出了在不同的云提供商之間遷移數(shù)據(jù)的成本比較高,證實了這句格言:將數(shù)據(jù)導(dǎo)到云端很容易,但是要導(dǎo)出數(shù)據(jù)卻比較費錢、費力。

某些應(yīng)用程序也更容易被提供商鎖定,包括工作負(fù)載創(chuàng)建工具、非標(biāo)準(zhǔn)的編排工具、非標(biāo)準(zhǔn)的配置工具和針對特定廠商的調(diào)度或自動化工具。企業(yè)組織的開發(fā)人員或云管理員越使用和依賴專門針對某一家提供商的這類工具,就越難在另一個環(huán)境中運行那些工作負(fù)載。

9、加密一切數(shù)據(jù),管理密鑰。

加密所有傳送到云端并在云端存儲起來的數(shù)據(jù)正成為一種常見的企業(yè)做法。ONUG還提醒最終用戶確保管理好密鑰。成為常見做法的另一個安全提示就是,使用基于角色的訪問控制機制――比如說這意味著,不是企業(yè)組織中的每個人都可以訪問云環(huán)境中的管理控制機制。那些應(yīng)該至少使用雙因子驗證來加以保護。

10、了解公共云的局限性。

除了根據(jù)企業(yè)在使用公共云方面的經(jīng)驗教訓(xùn)提出上述的詳細(xì)要點外,HCWG的成員還對云提供商提出了一系列問題,要求了解它們可以如何改進(jìn)平臺,讓云更易于使用。通過探究這些愿望清單項目,可以清楚地看到公共云在哪方面不盡如人意。比如說,HCWG的成員希望在公共云之間更容易移植,諸云提供商之間采用通用的加密協(xié)議,以及通用的北向API。云有很多優(yōu)點,但不是什么萬靈藥。

原文標(biāo)題:10 tips from the front lines of enterprise public cloud use,作者:Brandon Butler

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號