本文是通用電氣、聯(lián)邦快遞、美國銀行、摩根大通和摩根士丹利等一線企業(yè)使用云計算的方式一覽。
通用電氣、花旗集團(tuán)、聯(lián)邦快遞、美國銀行、Intuit公司、Gap、Kaiser Permanente、摩根士丹利和摩根大通這些大企業(yè)都從公共云服務(wù)的使用中學(xué)到了怎樣的經(jīng)驗教訓(xùn)?
在過去六個月中,來自上述這些大型企業(yè)的一組代表與開放網(wǎng)絡(luò)用戶集團(tuán)(ONUG)合作,開發(fā)了一份白皮書,探索當(dāng)前的企業(yè)組織在使用混合云服務(wù)方面的挑戰(zhàn)。ONUG的混合云工作組(HCWG)不僅總結(jié)了他們在使用云服務(wù)過程中的有價值的經(jīng)驗提示,而且列出了這些一線企業(yè)希望云服務(wù)供應(yīng)商怎樣發(fā)展其平臺的愿望清單。
如下,是這些企業(yè)代表們所總結(jié)出的10大技巧貼士:
1、將應(yīng)用程序按照安全風(fēng)險級別分為低、中和高三等
哪些應(yīng)用程序應(yīng)遷移到云中?在回答這個問題之前,您需要對您企業(yè)的應(yīng)用程序進(jìn)行分類,以充分了解您所擁有的應(yīng)用程序。HCWG建議:企業(yè)組織應(yīng)該對其應(yīng)用程序按照安全風(fēng)險級別進(jìn)行低、中、中+、高的分類。
具有最高安全風(fēng)險的應(yīng)用程序應(yīng)該有遵循更嚴(yán)格的安全協(xié)議。低風(fēng)險數(shù)據(jù)包括公共或非敏感信息,例如面向客戶的數(shù)據(jù)。中等風(fēng)險的數(shù)據(jù)(如ERP系統(tǒng)和業(yè)務(wù)管理應(yīng)用程序,但不包括知識產(chǎn)權(quán)或?qū)@麛?shù)據(jù))可以通過額外的安全預(yù)防措施轉(zhuǎn)移到公共云服務(wù)。中+等級的應(yīng)用程序被歸類為政府控制的未分類的數(shù)據(jù)或受到嚴(yán)格的合規(guī)性監(jiān)管控制的數(shù)據(jù)。對于高安全風(fēng)險等級的應(yīng)用程序而言,不建議遷移到公共云中使用;這包括專利,關(guān)鍵業(yè)務(wù)流程和敏感財務(wù)信息等。
2、使用云代理
一旦一家企業(yè)組織確定了哪些應(yīng)用程序適合于采用公共云,下一項挑戰(zhàn)便是正式的遷移了。企業(yè)組織可以從任何互聯(lián)網(wǎng)連接訪問公共云資源。然而,ONUG企業(yè)成員建議使用云代理或“中間人”,原因有兩個:安全性(HCWG稱為漏洞緩解)和提高性能。云代理通常是提供對多家公共云提供商的訪問點的配置提供商。這方面的供應(yīng)商包括Equinix公司、AT&T、Verizon公司和Sprint公司。
云代理可以被認(rèn)為是一家企業(yè)數(shù)據(jù)中心的新的“遠(yuǎn)端”,即在網(wǎng)絡(luò)流量到達(dá)企業(yè)園區(qū)或遠(yuǎn)程數(shù)據(jù)中心之前,對進(jìn)入和離開云服務(wù)的網(wǎng)絡(luò)流量,提供安全檢查的一個地方。該份白皮書解釋說:“數(shù)據(jù)包檢測/掃描或?qū)彶榱髁堪l(fā)生在云代理中,以便在從云服務(wù)提供商進(jìn)入企業(yè)的數(shù)據(jù)中心之前減少攻擊,或者試圖減少對來自私有云的云托管服務(wù)造成的損害。”
從性能的角度來看,云代理可以提供直接的光纖連接到多家IaaS云供應(yīng)商。云代理也可以滿足其他方面的目的,從諸如負(fù)載平衡和域名系統(tǒng)/動態(tài)主機(jī)配置協(xié)議(DNS / DHCP)等應(yīng)用程序交付控制功能到托管活動目錄以認(rèn)證用戶。作為云服務(wù)與企業(yè)網(wǎng)絡(luò)之間的緩沖區(qū),其是托管入侵防御系統(tǒng)(IPS)/防火墻安全以及其他網(wǎng)絡(luò)監(jiān)控和分析工具的理想之選。因為其是一款配置設(shè)施,占地面積完全由客戶控制,可以根據(jù)客戶的需求調(diào)整其規(guī)模大小。
3、列出的價格并不是實際價格
大型企業(yè)直接與公共云服務(wù)供應(yīng)商協(xié)商,并以折扣價格訂立企業(yè)協(xié)議。其官網(wǎng)列出的在線定價通常只是一個指導(dǎo)價。然而,HCWG警告說,合同談判可能是一個漫長而艱巨的過程。
4、選擇專業(yè)的談判專家
當(dāng)與云服務(wù)供應(yīng)商談判企業(yè)協(xié)議合同條款時,建議使用專業(yè)談判專家。一些HCWG企業(yè)成員花了18個月的時間就一項合同進(jìn)行談判,花費了數(shù)十萬美元的法律費用。而經(jīng)驗豐富的的談判專家代表則是可以企業(yè)內(nèi)部的法務(wù)人員或外部聘請的專家。
5、云中的許可授權(quán)是不同的
HCWG成員警告企業(yè)客戶在使用公共云服務(wù)時要注意許可授權(quán)的問題。確保許可在企業(yè)內(nèi)部部署環(huán)境下所使用的任何軟件都被允許在云中合法的使用。即使沒有對在公共云中托管企業(yè)內(nèi)部部署應(yīng)用程序的法律限制,但一些許可授權(quán)并沒有考慮公共云服務(wù)。 “許可授權(quán)可以基于訪問軟件的CPU數(shù)量,一旦將應(yīng)用程序放置在云中,這一數(shù)量可能會顯著增加,能夠使得更多的員工可以訪問到它。”ONUG解釋說。在可能的情況下,搜索公共云原生的軟件許可證授權(quán)。
6、合規(guī)性官員的培訓(xùn)
對于已經(jīng)在企業(yè)客戶內(nèi)部負(fù)責(zé)運營審計的人員,當(dāng)擴(kuò)展到公共云服務(wù)領(lǐng)域時,他們的整個職業(yè)生涯可能會遭遇一定的挑戰(zhàn)。 “對許多審計人員來說,他們對于云計算的語言和資產(chǎn)的定位可能是外行。”ONUG的白皮書解釋說。如果他們不熟悉公共云服務(wù),那么一上來就要求這些審計人員準(zhǔn)備對該陌生領(lǐng)域進(jìn)行審查可能會是一個令人沮喪的過程。故而ONUG鼓勵公共云服務(wù)供應(yīng)商應(yīng)為審計人員提供相應(yīng)的培訓(xùn)計劃和工具。
7、責(zé)任是一大麻煩
某些ONUG企業(yè)成員在與其IaaS云提供商在就合同的責(zé)任條款進(jìn)行談判時,發(fā)現(xiàn)了相當(dāng)大的失望。在更傳統(tǒng)的托管服務(wù)或其他外包合同安排中,服務(wù)商的責(zé)任通常包括企業(yè)客戶外包資產(chǎn)價值的損失,損害和責(zé)任。而云服務(wù)提供商有時則提供了不同類型的責(zé)任。
“云服務(wù)提供商所尋求的是覆蓋企業(yè)客戶所花費的價格數(shù)額等值的責(zé)任。”該份白皮書解釋說: “也就是說,如果一家企業(yè)客戶每年花費50,000美元與云服務(wù)提供商簽訂托管應(yīng)用程序的合同,然后經(jīng)歷了10,000,000美元的損失,云服務(wù)提供商則要求其承擔(dān)50,000美元的責(zé)任。這種責(zé)任水平將限制將企業(yè)客戶遷移到云提供商的應(yīng)用程序的類型,同時將應(yīng)用程序的安全風(fēng)險級別降低到中低風(fēng)險級別。”
8、當(dāng)心被供應(yīng)商鎖定
HCWG解釋說,在某些情況下,被某家公共IaaS云服務(wù)提供商鎖定是不可避免的,但這并不一定是壞事。該小組建議最終用戶識別并承認(rèn)這一事實。白皮書指出,在不同的云服務(wù)供應(yīng)商之間遷移數(shù)據(jù)的成本相對較高,并以這樣的一句諺語加以強(qiáng)調(diào):將數(shù)據(jù)導(dǎo)入云中是很容易的,但是想要導(dǎo)出則是成本昂貴且困難的。
某些應(yīng)用程序更容易被鎖定,包括工作負(fù)載創(chuàng)建工具,非標(biāo)準(zhǔn)的業(yè)務(wù)流程工具,非標(biāo)準(zhǔn)的配置工具和特定供應(yīng)商的調(diào)度或自動化工具。企業(yè)組織的開發(fā)人員或云管理員使用和依靠專門針對某一家供應(yīng)商的這類工具越多,在另一個環(huán)境中運行這些工作負(fù)載就越困難。
9、加密一切,并管理密鑰
對所有存儲在云中的數(shù)據(jù),在遷移到云服務(wù)之前實施加密正在成為一種常見的企業(yè)做法。ONUG還提醒最終用戶確保他們對于這些加密密鑰的管理。正在成為常見做法的另一個安全提示是使用基于角色的訪問控制——這意味著,例如,并非企業(yè)組織中的每個人都能夠訪問云環(huán)境中的管理控制。這些應(yīng)該至采用雙因素認(rèn)證來進(jìn)行保護(hù)。
10、了解公共云的限制
除了基于他們使用公共云服務(wù)的經(jīng)驗教訓(xùn)提出了上述的詳細(xì)貼士,HCWG的企業(yè)成員還要求云服務(wù)供應(yīng)商們了解如何改進(jìn)其平臺以使云服務(wù)更易于使用。通過探索這些企業(yè)客戶的愿望清單項目,能夠很明顯的看到公共云在哪些方面存在不足。例如,HCWG企業(yè)成員希望在公共云之間更容易遷移,各種云供應(yīng)商之間應(yīng)采用通用的加密協(xié)議和通用的北行API。云服務(wù)固然有很多優(yōu)點,但它不是萬靈藥。