【51CTO.com快譯】通用電氣、花旗集團(tuán)、聯(lián)邦快遞、美國(guó)銀行、Intuit、Gap、凱澤永久醫(yī)療集團(tuán)(Kaiser Permanente)、摩根士丹利和摩根大通，這些大企業(yè)從公共云當(dāng)中學(xué)到了怎樣的經(jīng)驗(yàn)教訓(xùn)?

在過(guò)去的六個(gè)月，來(lái)自上述這些企業(yè)的一群代表與開(kāi)放網(wǎng)絡(luò)用戶組織(ONUG)一同撰寫了一份白皮書，探究使用混合云方面面臨的挑戰(zhàn)。ONUG的混合云工作組(HCWG)不僅總結(jié)了其在使用云過(guò)程中寶貴的經(jīng)驗(yàn)，還列出了這些企業(yè)希望廠商如何完善其平臺(tái)的愿望清單。

[[178700]]

下面是十大要點(diǎn)：

1、將應(yīng)用程序的風(fēng)險(xiǎn)級(jí)別分為低、中和高三檔。

哪些應(yīng)用程序應(yīng)遷移到云端?在回答這個(gè)問(wèn)題之前，你要對(duì)應(yīng)用程序進(jìn)行分類，了解自己擁有哪些應(yīng)用程序。HCWG建議，應(yīng)采用下列分類方法，將應(yīng)用程序的安全風(fēng)險(xiǎn)級(jí)別分為低、中、中+和高這四檔。

安全風(fēng)險(xiǎn)最高的應(yīng)用程序應(yīng)該有更嚴(yán)格的安全協(xié)議。低風(fēng)險(xiǎn)數(shù)據(jù)包括公共或非敏感信息，比如面向客戶的數(shù)據(jù)。如果采取額外的安全預(yù)防措施，中等風(fēng)險(xiǎn)的數(shù)據(jù)(比如ERP系統(tǒng)和業(yè)務(wù)管理應(yīng)用程序，但包括知識(shí)產(chǎn)權(quán)或?qū)＠麛?shù)據(jù)的應(yīng)用程序不在此列)可以發(fā)送到公共云。中+這一檔應(yīng)用程序被歸類為政府管制的未機(jī)密數(shù)據(jù)，或受到監(jiān)管法規(guī)嚴(yán)格管制的數(shù)據(jù)。不建議在公共云端使用高風(fēng)險(xiǎn)的應(yīng)用程序，主要包括專利、關(guān)鍵業(yè)務(wù)流程和敏感財(cái)務(wù)信息之類的信息。

2、使用云代理商。

一旦企業(yè)組織確定了哪些應(yīng)用程序適合使用公共云，下一個(gè)挑戰(zhàn)就是將它們遷移過(guò)去。企業(yè)組織可以從任何互聯(lián)網(wǎng)連接訪問(wèn)公共云資源。不過(guò)，ONUG的公司成員建議使用云代理商或“中間人”。原因有兩個(gè)：確保安全(HCWG稱之為漏洞緩解)和提高性能。云代理商通常是一家托管服務(wù)提供商，它為用戶提供了接入點(diǎn)，以便訪問(wèn)多家公共云提供商。這方面的提供商包括Equinix、AT&T、韋里遜和斯普林特。

云代理商就好比是企業(yè)數(shù)據(jù)中心的新的“遠(yuǎn)端”，它提供了一個(gè)安全場(chǎng)地，以便進(jìn)出云端的網(wǎng)絡(luò)流量到達(dá)企業(yè)園區(qū)或遠(yuǎn)程數(shù)據(jù)中心之前對(duì)它進(jìn)行檢查。白皮書解釋：“數(shù)據(jù)包檢測(cè)/掃描或?qū)彶榱髁砍霈F(xiàn)在云代理商處，以便漏洞從云服務(wù)提供商進(jìn)入企業(yè)數(shù)據(jù)中心之前緩解漏洞，或者緩解企圖從私有云對(duì)云托管服務(wù)造成破壞的漏洞。”

從性能的角度來(lái)看，代理商可以提供直接光纖連接到多家IaaS云提供商的服務(wù)。代理商還能滿足其他用途，從應(yīng)用程序交付控制功能，比如負(fù)載均衡和域名系統(tǒng)/動(dòng)態(tài)主機(jī)配置協(xié)議(DNS/DHCP)，到托管活動(dòng)目錄以驗(yàn)證用戶身份。作為云與企業(yè)網(wǎng)絡(luò)之間的一個(gè)緩沖區(qū)，它是托管入侵防御系統(tǒng)(IPS)/防火墻安全以及其他網(wǎng)絡(luò)監(jiān)控和分析工具的理想地方。由于它是一種托管設(shè)施，占地面積完全由客戶控制，大小可以根據(jù)客戶的需求來(lái)調(diào)整。

3、標(biāo)注的價(jià)格不是實(shí)際價(jià)格。

大企業(yè)直接與公共云提供商洽談，可以達(dá)成價(jià)格打折的企業(yè)協(xié)議。網(wǎng)上的標(biāo)注價(jià)格通常只是指導(dǎo)價(jià)。然而，HCWG提醒道：合同談判可能是個(gè)漫長(zhǎng)而艱苦的過(guò)程。

4、利用專業(yè)的談判人員。

與提供商洽談企業(yè)協(xié)議時(shí)，要利用專業(yè)的談判專家。HCWG的一些公司成員花長(zhǎng)達(dá)18個(gè)月的時(shí)間來(lái)洽談合同，花費(fèi)數(shù)十萬(wàn)美元的法律費(fèi)用。經(jīng)驗(yàn)豐富的談判人員可以是企業(yè)內(nèi)部的法務(wù)人員，也可以是從外面聘請(qǐng)的專家。

5、云端許可不一樣。

HCWG的成員提醒使用公共云時(shí)要留意許可問(wèn)題。確保許可在本地環(huán)境下使用的任何軟件事先在法律上被允許可在云端使用。即使沒(méi)有法律限制阻止在公共云托管本地應(yīng)用程序，一些許可證在設(shè)計(jì)時(shí)也根本沒(méi)有考慮到公共云。ONUG解釋：“許可可能基于訪問(wèn)軟件的處理器數(shù)量，一旦將應(yīng)用程序放到云端――現(xiàn)在更多的員工可以訪問(wèn)它，處理器的數(shù)量可能會(huì)顯著增加。”盡量尋找公共云原生軟件許可證。

6、合規(guī)工作人員的培訓(xùn)。

在公共云環(huán)境下工作時(shí)，之前一直面對(duì)本地環(huán)境的審計(jì)人員會(huì)遇到挑戰(zhàn)。ONUG的白皮書聲稱：“云計(jì)算語(yǔ)言和資產(chǎn)位置對(duì)許多審計(jì)人員來(lái)說(shuō)很陌生。”如果審計(jì)人員不熟悉公共云，就要有心理準(zhǔn)備：可能面臨令人沮喪的過(guò)程。ONUG鼓勵(lì)公共云提供商為審計(jì)人員提供培訓(xùn)計(jì)劃和工具。

7、責(zé)任不好處理。

ONUG的一些成員在與IaaS云提供商就責(zé)任方面進(jìn)行洽談時(shí)覺(jué)得相當(dāng)沮喪。在比較傳統(tǒng)的托管服務(wù)或其他外包方案中，責(zé)任通常包括損失、損害以及高達(dá)外包資產(chǎn)的價(jià)值的責(zé)任。云提供商有時(shí)提供一種不同類型的責(zé)任。

白皮書解釋：“云提供商尋求的是承擔(dān)等同于客戶所花金額的責(zé)任。也就是說(shuō)，如果一家公司每年在一家云提供商身上花5萬(wàn)美元來(lái)托管應(yīng)用程序，但是遭受1000萬(wàn)美元的損失，云提供商只想承擔(dān)5萬(wàn)美元的責(zé)任。這種級(jí)別的責(zé)任將把遷移到云提供商的應(yīng)用程序的類型限制于中低風(fēng)險(xiǎn)級(jí)別的應(yīng)用程序。”

8、提防鎖定現(xiàn)象。

HCWG解釋，在一些情況下，被公共IaaS云提供商鎖定是不可避免的，未必是件壞事。該組織建議最終用戶要認(rèn)識(shí)到并承認(rèn)這一點(diǎn)。白皮書特別指出了在不同的云提供商之間遷移數(shù)據(jù)的成本比較高，證實(shí)了這句格言：將數(shù)據(jù)導(dǎo)到云端很容易，但是要導(dǎo)出數(shù)據(jù)卻比較費(fèi)錢、費(fèi)力。

某些應(yīng)用程序也更容易被提供商鎖定，包括工作負(fù)載創(chuàng)建工具、非標(biāo)準(zhǔn)的編排工具、非標(biāo)準(zhǔn)的配置工具和針對(duì)特定廠商的調(diào)度或自動(dòng)化工具。企業(yè)組織的開(kāi)發(fā)人員或云管理員越使用和依賴專門針對(duì)某一家提供商的這類工具，就越難在另一個(gè)環(huán)境中運(yùn)行那些工作負(fù)載。

9、加密一切數(shù)據(jù)，管理密鑰。

加密所有傳送到云端并在云端存儲(chǔ)起來(lái)的數(shù)據(jù)正成為一種常見(jiàn)的企業(yè)做法。ONUG還提醒最終用戶確保管理好密鑰。成為常見(jiàn)做法的另一個(gè)安全提示就是，使用基于角色的訪問(wèn)控制機(jī)制――比如說(shuō)這意味著，不是企業(yè)組織中的每個(gè)人都可以訪問(wèn)云環(huán)境中的管理控制機(jī)制。那些應(yīng)該至少使用雙因子驗(yàn)證來(lái)加以保護(hù)。

10、了解公共云的局限性。

除了根據(jù)企業(yè)在使用公共云方面的經(jīng)驗(yàn)教訓(xùn)提出上述的詳細(xì)要點(diǎn)外，HCWG的成員還對(duì)云提供商提出了一系列問(wèn)題，要求了解它們可以如何改進(jìn)平臺(tái)，讓云更易于使用。通過(guò)探究這些愿望清單項(xiàng)目，可以清楚地看到公共云在哪方面不盡如人意。比如說(shuō)，HCWG的成員希望在公共云之間更容易移植，諸云提供商之間采用通用的加密協(xié)議，以及通用的北向API。云有很多優(yōu)點(diǎn)，但不是什么萬(wàn)靈藥。

原文標(biāo)題：10 tips from the front lines of enterprise public cloud use，作者：Brandon Butler

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】