通用电气、花旗集团、联邦快递、美国银行、Intuit公司、Gap、Kaiser Permanente、摩根士丹利和摩根大通这些大企业都从公共云服务的使用中学到了怎样的经验教训?
在过去六个月中,来自上述这些大型企业的一组代表与开放网络用户集团(ONUG)合作,开发了一份白皮书,探索当前的企业组织在使用混合云服务方面的挑战。ONUG的混合云工作组(HCWG)不仅总结了他们在使用云服务过程中的有价值的经验提示,而且列出了这些一线企业希望云服务供应商怎样发展其平台的愿望清单。
如下,是这些企业代表们所总结出的10大技巧贴士:
1、将应用程序按照安全风险级别分为低、中和高三等
哪些应用程序应迁移到云中?在回答这个问题之前,您需要对您企业的应用程序进行分类,以充分了解您所拥有的应用程序。HCWG建议:企业组织应该对其应用程序按照安全风险级别进行低、中、中+、高的分类。
具有最高安全风险的应用程序应该有遵循更严格的安全协议。低风险数据包括公共或非敏感信息,例如面向客户的数据。中等风险的数据(如ERP系统和业务管理应用程序,但不包括知识产权或专利数据)可以通过额外的安全预防措施转移到公共云服务。中+等级的应用程序被归类为政府控制的未分类的数据或受到严格的合规性监管控制的数据。对于高安全风险等级的应用程序而言,不建议迁移到公共云中使用;这包括专利,关键业务流程和敏感财务信息等。
2、使用云代理
一旦一家企业组织确定了哪些应用程序适合于采用公共云,下一项挑战便是正式的迁移了。企业组织可以从任何互联网连接访问公共云资源。然而,ONUG企业成员建议使用云代理或“中间人”,原因有两个:安全性(HCWG称为漏洞缓解)和提高性能。云代理通常是提供对多家公共云提供商的访问点的配置提供商。这方面的供应商包括Equinix公司、AT&T、Verizon公司和Sprint公司。
云代理可以被认为是一家企业数据中心的新的“远端”,即在网络流量到达企业园区或远程数据中心之前,对进入和离开云服务的网络流量,提供安全检查的一个地方。该份白皮书解释说:“数据包检测/扫描或审查流量发生在云代理中,以便在从云服务提供商进入企业的数据中心之前减少攻击,或者试图减少对来自私有云的云托管服务造成的损害。”
从性能的角度来看,云代理可以提供直接的光纤连接到多家IaaS云供应商。云代理也可以满足其他方面的目的,从诸如负载平衡和域名系统/动态主机配置协议(DNS / DHCP)等应用程序交付控制功能到托管活动目录以认证用户。作为云服务与企业网络之间的缓冲区,其是托管入侵防御系统(IPS)/防火墙安全以及其他网络监控和分析工具的理想之选。因为其是一款配置设施,占地面积完全由客户控制,可以根据客户的需求调整其规模大小。
3、列出的价格并不是实际价格
大型企业直接与公共云服务供应商协商,并以折扣价格订立企业协议。其官网列出的在线定价通常只是一个指导价。然而,HCWG警告说,合同谈判可能是一个漫长而艰巨的过程。
4、选择专业的谈判专家
当与云服务供应商谈判企业协议合同条款时,建议使用专业谈判专家。一些HCWG企业成员花了18个月的时间就一项合同进行谈判,花费了数十万美元的法律费用。而经验丰富的的谈判专家代表则是可以企业内部的法务人员或外部聘请的专家。
5、云中的许可授权是不同的
HCWG成员警告企业客户在使用公共云服务时要注意许可授权的问题。确保许可在企业内部部署环境下所使用的任何软件都被允许在云中合法的使用。即使没有对在公共云中托管企业内部部署应用程序的法律限制,但一些许可授权并没有考虑公共云服务。 “许可授权可以基于访问软件的CPU数量,一旦将应用程序放置在云中,这一数量可能会显着增加,能够使得更多的员工可以访问到它。”ONUG解释说。在可能的情况下,搜索公共云原生的软件许可证授权。
6、合规性官员的培训
对于已经在企业客户内部负责运营审计的人员,当扩展到公共云服务领域时,他们的整个职业生涯可能会遭遇一定的挑战。 “对许多审计人员来说,他们对于云计算的语言和资产的定位可能是外行。”ONUG的白皮书解释说。如果他们不熟悉公共云服务,那么一上来就要求这些审计人员准备对该陌生领域进行审查可能会是一个令人沮丧的过程。故而ONUG鼓励公共云服务供应商应为审计人员提供相应的培训计划和工具。
7、责任是一大麻烦
某些ONUG企业成员在与其IaaS云提供商在就合同的责任条款进行谈判时,发现了相当大的失望。在更传统的托管服务或其他外包合同安排中,服务商的责任通常包括企业客户外包资产价值的损失,损害和责任。而云服务提供商有时则提供了不同类型的责任。
“云服务提供商所寻求的是覆盖企业客户所花费的价格数额等值的责任。”该份白皮书解释说: “也就是说,如果一家企业客户每年花费50,000美元与云服务提供商签订托管应用程序的合同,然后经历了10,000,000美元的损失,云服务提供商则要求其承担50,000美元的责任。这种责任水平将限制将企业客户迁移到云提供商的应用程序的类型,同时将应用程序的安全风险级别降低到中低风险级别。”
8、当心被供应商锁定
HCWG解释说,在某些情况下,被某家公共IaaS云服务提供商锁定是不可避免的,但这并不一定是坏事。该小组建议最终用户识别并承认这一事实。白皮书指出,在不同的云服务供应商之间迁移数据的成本相对较高,并以这样的一句谚语加以强调:将数据导入云中是很容易的,但是想要导出则是成本昂贵且困难的。
某些应用程序更容易被锁定,包括工作负载创建工具,非标准的业务流程工具,非标准的配置工具和特定供应商的调度或自动化工具。企业组织的开发人员或云管理员使用和依靠专门针对某一家供应商的这类工具越多,在另一个环境中运行这些工作负载就越困难。
9、加密一切,并管理密钥
对所有存储在云中的数据,在迁移到云服务之前实施加密正在成为一种常见的企业做法。ONUG还提醒最终用户确保他们对于这些加密密钥的管理。正在成为常见做法的另一个安全提示是使用基于角色的访问控制——这意味着,例如,并非企业组织中的每个人都能够访问云环境中的管理控制。这些应该至采用双因素认证来进行保护。
10、了解公共云的限制
除了基于他们使用公共云服务的经验教训提出了上述的详细贴士,HCWG的企业成员还要求云服务供应商们了解如何改进其平台以使云服务更易于使用。通过探索这些企业客户的愿望清单项目,能够很明显的看到公共云在哪些方面存在不足。例如,HCWG企业成员希望在公共云之间更容易迁移,各种云供应商之间应采用通用的加密协议和通用的北行API。云服务固然有很多优点,但它不是万灵药。