通用電氣、花旗集團、聯邦快遞、美國銀行、Intuit、Gap、凱澤永久醫療集團(Kaiser Permanente)、摩根士丹利和摩根大通,這些大企業從公共云當中學到了怎樣的經驗教訓?
在過去的六個月,來自上述這些企業的一群代表與開放網絡用戶組織(ONUG)一同撰寫了一份白皮書,探究使用混合云方面面臨的挑戰。ONUG的混合云工作組(HCWG)不僅總結了其在使用云過程中寶貴的經驗,還列出了這些企業希望廠商如何完善其平臺的愿望清單。
下面是十大要點:
1、將應用程序的風險級別分為低、中和高三檔。
哪些應用程序應遷移到云端?在回答這個問題之前,你要對應用程序進行分類,了解自己擁有哪些應用程序。HCWG建議,應采用下列分類方法,將應用程序的安全風險級別分為低、中、中+和高這四檔。
安全風險最高的應用程序應該有更嚴格的安全協議。低風險數據包括公共或非敏感信息,比如面向客戶的數據。如果采取額外的安全預防措施,中等風險的數據(比如ERP系統和業務管理應用程序,但包括知識產權或專利數據的應用程序不在此列)可以發送到公共云。中+這一檔應用程序被歸類為政府管制的未機密數據,或受到監管法規嚴格管制的數據。不建議在公共云端使用高風險的應用程序,主要包括專利、關鍵業務流程和敏感財務信息之類的信息。
2、使用云代理商。
一旦企業組織確定了哪些應用程序適合使用公共云,下一個挑戰就是將它們遷移過去。企業組織可以從任何互聯網連接訪問公共云資源。不過,ONUG的公司成員建議使用云代理商或“中間人”。原因有兩個:確保安全(HCWG稱之為漏洞緩解)和提高性能。云代理商通常是一家托管服務提供商,它為用戶提供了接入點,以便訪問多家公共云提供商。這方面的提供商包括Equinix、AT&T、韋里遜和斯普林特。
云代理商就好比是企業數據中心的新的“遠端”,它提供了一個安全場地,以便進出云端的網絡流量到達企業園區或遠程數據中心之前對它進行檢查。白皮書解釋:“數據包檢測/掃描或審查流量出現在云代理商處,以便漏洞從云服務提供商進入企業數據中心之前緩解漏洞,或者緩解企圖從私有云對云托管服務造成破壞的漏洞。”
從性能的角度來看,代理商可以提供直接光纖連接到多家IaaS云提供商的服務。代理商還能滿足其他用途,從應用程序交付控制功能,比如負載均衡和域名系統/動態主機配置協議(DNS/DHCP),到托管活動目錄以驗證用戶身份。作為云與企業網絡之間的一個緩沖區,它是托管入侵防御系統(IPS)/防火墻安全以及其他網絡監控和分析工具的理想地方。由于它是一種托管設施,占地面積完全由客戶控制,大小可以根據客戶的需求來調整。
3、標注的價格不是實際價格。
大企業直接與公共云提供商洽談,可以達成價格打折的企業協議。網上的標注價格通常只是指導價。然而,HCWG提醒道:合同談判可能是個漫長而艱苦的過程。
4、利用專業的談判人員。
與提供商洽談企業協議時,要利用專業的談判專家。HCWG的一些公司成員花長達18個月的時間來洽談合同,花費數十萬美元的法律費用。經驗豐富的談判人員可以是企業內部的法務人員,也可以是從外面聘請的專家。
5、云端許可不一樣。
HCWG的成員提醒使用公共云時要留意許可問題。確保許可在本地環境下使用的任何軟件事先在法律上被允許可在云端使用。即使沒有法律限制阻止在公共云托管本地應用程序,一些許可證在設計時也根本沒有考慮到公共云。ONUG解釋:“許可可能基于訪問軟件的處理器數量,一旦將應用程序放到云端――現在更多的員工可以訪問它,處理器的數量可能會顯著增加。”盡量尋找公共云原生軟件許可證。
6、合規工作人員的培訓。
在公共云環境下工作時,之前一直面對本地環境的審計人員會遇到挑戰。ONUG的白皮書聲稱:“云計算語言和資產位置對許多審計人員來說很陌生。”如果審計人員不熟悉公共云,就要有心理準備:可能面臨令人沮喪的過程。ONUG鼓勵公共云提供商為審計人員提供培訓計劃和工具。
7、責任不好處理。
ONUG的一些成員在與IaaS云提供商就責任方面進行洽談時覺得相當沮喪。在比較傳統的托管服務或其他外包方案中,責任通常包括損失、損害以及高達外包資產的價值的責任。云提供商有時提供一種不同類型的責任。
白皮書解釋:“云提供商尋求的是承擔等同于客戶所花金額的責任。也就是說,如果一家公司每年在一家云提供商身上花5萬美元來托管應用程序,但是遭受1000萬美元的損失,云提供商只想承擔5萬美元的責任。這種級別的責任將把遷移到云提供商的應用程序的類型限制于中低風險級別的應用程序。”
8、提防鎖定現象。
HCWG解釋,在一些情況下,被公共IaaS云提供商鎖定是不可避免的,未必是件壞事。該組織建議最終用戶要認識到并承認這一點。白皮書特別指出了在不同的云提供商之間遷移數據的成本比較高,證實了這句格言:將數據導到云端很容易,但是要導出數據卻比較費錢、費力。
某些應用程序也更容易被提供商鎖定,包括工作負載創建工具、非標準的編排工具、非標準的配置工具和針對特定廠商的調度或自動化工具。企業組織的開發人員或云管理員越使用和依賴專門針對某一家提供商的這類工具,就越難在另一個環境中運行那些工作負載。
9、加密一切數據,管理密鑰。
加密所有傳送到云端并在云端存儲起來的數據正成為一種常見的企業做法。ONUG還提醒最終用戶確保管理好密鑰。成為常見做法的另一個安全提示就是,使用基于角色的訪問控制機制――比如說這意味著,不是企業組織中的每個人都可以訪問云環境中的管理控制機制。那些應該至少使用雙因子驗證來加以保護。
10、了解公共云的局限性。
除了根據企業在使用公共云方面的經驗教訓提出上述的詳細要點外,HCWG的成員還對云提供商提出了一系列問題,要求了解它們可以如何改進平臺,讓云更易于使用。通過探究這些愿望清單項目,可以清楚地看到公共云在哪方面不盡如人意。比如說,HCWG的成員希望在公共云之間更容易移植,諸云提供商之間采用通用的加密協議,以及通用的北向API。云有很多優點,但不是什么萬靈藥。
原文標題:10 tips from the front lines of enterprise public cloud use,作者:Brandon Butler
京公網安備 11010502049343號