本文是通用電氣、聯邦快遞、美國銀行、摩根大通和摩根士丹利等一線企業使用云計算的方式一覽。

通用電氣、花旗集團、聯邦快遞、美國銀行、Intuit公司、Gap、Kaiser Permanente、摩根士丹利和摩根大通這些大企業都從公共云服務的使用中學到了怎樣的經驗教訓?

在過去六個月中，來自上述這些大型企業的一組代表與開放網絡用戶集團(ONUG)合作，開發了一份白皮書，探索當前的企業組織在使用混合云服務方面的挑戰。ONUG的混合云工作組(HCWG)不僅總結了他們在使用云服務過程中的有價值的經驗提示，而且列出了這些一線企業希望云服務供應商怎樣發展其平臺的愿望清單。

如下，是這些企業代表們所總結出的10大技巧貼士：

1、將應用程序按照安全風險級別分為低、中和高三等

哪些應用程序應遷移到云中?在回答這個問題之前，您需要對您企業的應用程序進行分類，以充分了解您所擁有的應用程序。HCWG建議：企業組織應該對其應用程序按照安全風險級別進行低、中、中+、高的分類。

具有最高安全風險的應用程序應該有遵循更嚴格的安全協議。低風險數據包括公共或非敏感信息，例如面向客戶的數據。中等風險的數據(如ERP系統和業務管理應用程序，但不包括知識產權或專利數據)可以通過額外的安全預防措施轉移到公共云服務。中+等級的應用程序被歸類為政府控制的未分類的數據或受到嚴格的合規性監管控制的數據。對于高安全風險等級的應用程序而言，不建議遷移到公共云中使用;這包括專利，關鍵業務流程和敏感財務信息等。

2、使用云代理

一旦一家企業組織確定了哪些應用程序適合于采用公共云，下一項挑戰便是正式的遷移了。企業組織可以從任何互聯網連接訪問公共云資源。然而，ONUG企業成員建議使用云代理或“中間人”，原因有兩個：安全性(HCWG稱為漏洞緩解)和提高性能。云代理通常是提供對多家公共云提供商的訪問點的配置提供商。這方面的供應商包括Equinix公司、AT&T、Verizon公司和Sprint公司。

云代理可以被認為是一家企業數據中心的新的“遠端”，即在網絡流量到達企業園區或遠程數據中心之前，對進入和離開云服務的網絡流量，提供安全檢查的一個地方。該份白皮書解釋說：“數據包檢測/掃描或審查流量發生在云代理中，以便在從云服務提供商進入企業的數據中心之前減少攻擊，或者試圖減少對來自私有云的云托管服務造成的損害。”

從性能的角度來看，云代理可以提供直接的光纖連接到多家IaaS云供應商。云代理也可以滿足其他方面的目的，從諸如負載平衡和域名系統/動態主機配置協議(DNS / DHCP)等應用程序交付控制功能到托管活動目錄以認證用戶。作為云服務與企業網絡之間的緩沖區，其是托管入侵防御系統(IPS)/防火墻安全以及其他網絡監控和分析工具的理想之選。因為其是一款配置設施，占地面積完全由客戶控制，可以根據客戶的需求調整其規模大小。

3、列出的價格并不是實際價格

大型企業直接與公共云服務供應商協商，并以折扣價格訂立企業協議。其官網列出的在線定價通常只是一個指導價。然而，HCWG警告說，合同談判可能是一個漫長而艱巨的過程。

4、選擇專業的談判專家

當與云服務供應商談判企業協議合同條款時，建議使用專業談判專家。一些HCWG企業成員花了18個月的時間就一項合同進行談判，花費了數十萬美元的法律費用。而經驗豐富的的談判專家代表則是可以企業內部的法務人員或外部聘請的專家。

5、云中的許可授權是不同的

HCWG成員警告企業客戶在使用公共云服務時要注意許可授權的問題。確保許可在企業內部部署環境下所使用的任何軟件都被允許在云中合法的使用。即使沒有對在公共云中托管企業內部部署應用程序的法律限制，但一些許可授權并沒有考慮公共云服務。 “許可授權可以基于訪問軟件的CPU數量，一旦將應用程序放置在云中，這一數量可能會顯著增加，能夠使得更多的員工可以訪問到它。”ONUG解釋說。在可能的情況下，搜索公共云原生的軟件許可證授權。

6、合規性官員的培訓

對于已經在企業客戶內部負責運營審計的人員，當擴展到公共云服務領域時，他們的整個職業生涯可能會遭遇一定的挑戰。 “對許多審計人員來說，他們對于云計算的語言和資產的定位可能是外行。”ONUG的白皮書解釋說。如果他們不熟悉公共云服務，那么一上來就要求這些審計人員準備對該陌生領域進行審查可能會是一個令人沮喪的過程。故而ONUG鼓勵公共云服務供應商應為審計人員提供相應的培訓計劃和工具。

7、責任是一大麻煩

某些ONUG企業成員在與其IaaS云提供商在就合同的責任條款進行談判時，發現了相當大的失望。在更傳統的托管服務或其他外包合同安排中，服務商的責任通常包括企業客戶外包資產價值的損失，損害和責任。而云服務提供商有時則提供了不同類型的責任。

“云服務提供商所尋求的是覆蓋企業客戶所花費的價格數額等值的責任。”該份白皮書解釋說： “也就是說，如果一家企業客戶每年花費50,000美元與云服務提供商簽訂托管應用程序的合同，然后經歷了10,000,000美元的損失，云服務提供商則要求其承擔50,000美元的責任。這種責任水平將限制將企業客戶遷移到云提供商的應用程序的類型，同時將應用程序的安全風險級別降低到中低風險級別。”

8、當心被供應商鎖定

HCWG解釋說，在某些情況下，被某家公共IaaS云服務提供商鎖定是不可避免的，但這并不一定是壞事。該小組建議最終用戶識別并承認這一事實。白皮書指出，在不同的云服務供應商之間遷移數據的成本相對較高，并以這樣的一句諺語加以強調：將數據導入云中是很容易的，但是想要導出則是成本昂貴且困難的。

某些應用程序更容易被鎖定，包括工作負載創建工具，非標準的業務流程工具，非標準的配置工具和特定供應商的調度或自動化工具。企業組織的開發人員或云管理員使用和依靠專門針對某一家供應商的這類工具越多，在另一個環境中運行這些工作負載就越困難。

9、加密一切，并管理密鑰

對所有存儲在云中的數據，在遷移到云服務之前實施加密正在成為一種常見的企業做法。ONUG還提醒最終用戶確保他們對于這些加密密鑰的管理。正在成為常見做法的另一個安全提示是使用基于角色的訪問控制——這意味著，例如，并非企業組織中的每個人都能夠訪問云環境中的管理控制。這些應該至采用雙因素認證來進行保護。

10、了解公共云的限制

除了基于他們使用公共云服務的經驗教訓提出了上述的詳細貼士，HCWG的企業成員還要求云服務供應商們了解如何改進其平臺以使云服務更易于使用。通過探索這些企業客戶的愿望清單項目，能夠很明顯的看到公共云在哪些方面存在不足。例如，HCWG企業成員希望在公共云之間更容易遷移，各種云供應商之間應采用通用的加密協議和通用的北行API。云服務固然有很多優點，但它不是萬靈藥。