通用电气、花旗集团、联邦快递、美国银行、Intuit、Gap、凯泽永久医疗集团(Kaiser Permanente)、摩根士丹利和摩根大通,这些大企业从公共云当中学到了怎样的经验教训?
在过去的六个月,来自上述这些企业的一群代表与开放网络用户组织(ONUG)一同撰写了一份白皮书,探究使用混合云方面面临的挑战。ONUG的混合云工作组(HCWG)不仅总结了其在使用云过程中宝贵的经验,还列出了这些企业希望厂商如何完善其平台的愿望清单。
下面是十大要点:
1、将应用程序的风险级别分为低、中和高三档。
哪些应用程序应迁移到云端?在回答这个问题之前,你要对应用程序进行分类,了解自己拥有哪些应用程序。HCWG建议,应采用下列分类方法,将应用程序的安全风险级别分为低、中、中+和高这四档。
安全风险高的应用程序应该有更严格的安全协议。低风险数据包括公共或非敏感信息,比如面向客户的数据。如果采取额外的安全预防措施,中等风险的数据(比如ERP系统和业务管理应用程序,但包括知识产权或专利数据的应用程序不在此列)可以发送到公共云。中+这一档应用程序被归类为政府管制的未机密数据,或受到监管法规严格管制的数据。不建议在公共云端使用高风险的应用程序,主要包括专利、关键业务流程和敏感财务信息之类的信息。
2、使用云代理商。
一旦企业组织确定了哪些应用程序适合使用公共云,下一个挑战就是将它们迁移过去。企业组织可以从任何互联网连接访问公共云资源。不过,ONUG的公司成员建议使用云代理商或“中间人”。原因有两个:确保安全(HCWG称之为漏洞缓解)和提高性能。云代理商通常是一家托管服务提供商,它为用户提供了接入点,以便访问多家公共云提供商。这方面的提供商包括Equinix、AT&T、韦里逊和斯普林特。
云代理商就好比是企业数据中心的新的“远端”,它提供了一个安全场地,以便进出云端的网络流量到达企业园区或远程数据中心之前对它进行检查。白皮书解释:“数据包检测/扫描或审查流量出现在云代理商处,以便漏洞从云服务提供商进入企业数据中心之前缓解漏洞,或者缓解企图从私有云对云托管服务造成破坏的漏洞。”
从性能的角度来看,代理商可以提供直接光纤连接到多家IaaS云提供商的服务。代理商还能满足其他用途,从应用程序交付控制功能,比如负载均衡和域名系统/动态主机配置协议(DNS/DHCP),到托管活动目录以验证用户身份。作为云与企业网络之间的一个缓冲区,它是托管入侵防御系统(IPS)/防火墙安全以及其他网络监控和分析工具的理想地方。由于它是一种托管设施,占地面积完全由客户控制,大小可以根据客户的需求来调整。
3、标注的价格不是实际价格。
大企业直接与公共云提供商洽谈,可以达成价格打折的企业协议。网上的标注价格通常只是指导价。然而,HCWG提醒道:合同谈判可能是个漫长而艰苦的过程。
4、利用专业的谈判人员。
与提供商洽谈企业协议时,要利用专业的谈判专家。HCWG的一些公司成员花长达18个月的时间来洽谈合同,花费数十万美元的法律费用。经验丰富的谈判人员可以是企业内部的法务人员,也可以是从外面聘请的专家。
5、云端许可不一样。
HCWG的成员提醒使用公共云时要留意许可问题。确保许可在本地环境下使用的任何软件事先在法律上被允许可在云端使用。即使没有法律限制阻止在公共云托管本地应用程序,一些许可证在设计时也根本没有考虑到公共云。ONUG解释:“许可可能基于访问软件的处理器数量,一旦将应用程序放到云端――现在更多的员工可以访问它,处理器的数量可能会显著增加。”尽量寻找公共云原生软件许可证。
6、合规工作人员的培训。
在公共云环境下工作时,之前一直面对本地环境的审计人员会遇到挑战。ONUG的白皮书声称:“云计算语言和资产位置对许多审计人员来说很陌生。”如果审计人员不熟悉公共云,就要有心理准备:可能面临令人沮丧的过程。ONUG鼓励公共云提供商为审计人员提供培训计划和工具。
7、责任不好处理。
ONUG的一些成员在与IaaS云提供商就责任方面进行洽谈时觉得相当沮丧。在比较传统的托管服务或其他外包方案中,责任通常包括损失、损害以及高达外包资产的价值的责任。云提供商有时提供一种不同类型的责任。
白皮书解释:“云提供商寻求的是承担等同于客户所花金额的责任。也就是说,如果一家公司每年在一家云提供商身上花5万美元来托管应用程序,但是遭受1000万美元的损失,云提供商只想承担5万美元的责任。这种级别的责任将把迁移到云提供商的应用程序的类型限制于中低风险级别的应用程序。”
8、提防锁定现象。
HCWG解释,在一些情况下,被公共IaaS云提供商锁定是不可避免的,未必是件坏事。该组织建议最终用户要认识到并承认这一点。白皮书特别指出了在不同的云提供商之间迁移数据的成本比较高,证实了这句格言:将数据导到云端很容易,但是要导出数据却比较费钱、费力。
某些应用程序也更容易被提供商锁定,包括工作负载创建工具、非标准的编排工具、非标准的配置工具和针对特定厂商的调度或自动化工具。企业组织的开发人员或云管理员越使用和依赖专门针对某一家提供商的这类工具,就越难在另一个环境中运行那些工作负载。
9、加密一切数据,管理密钥。
加密所有传送到云端并在云端存储起来的数据正成为一种常见的企业做法。ONUG还提醒最终用户确保管理好密钥。成为常见做法的另一个安全提示就是,使用基于角色的访问控制机制――比如说这意味着,不是企业组织中的每个人都可以访问云环境中的管理控制机制。那些应该至少使用双因子验证来加以保护。
10、了解公共云的局限性。
除了根据企业在使用公共云方面的经验教训提出上述的详细要点外,HCWG的成员还对云提供商提出了一系列问题,要求了解它们可以如何改进平台,让云更易于使用。通过探究这些愿望清单项目,可以清楚地看到公共云在哪方面不尽如人意。比如说,HCWG的成员希望在公共云之间更容易移植,诸云提供商之间采用通用的加密协议,以及通用的北向API。云有很多优点,但不是什么万灵药。