CIO如何为企业选择合适的云服务商

标签:技术前沿新闻解决方案调查分析

访客:21589  发表于:2012-05-23 15:37:32

Gartner预测云计算服务的市场在2013年将超过1500亿美元。不同的云计算服务商纷至沓来,他们有由传统IT厂商演变而来的,也有新型的初创企业,甚至有从在线电子商务公司转变而来的。他们提供不同的服务类型,服务质量也良莠不齐。企业在选择这些云计算服务的时候要结合自身需求,从不同的角度进行考察。

  虽然说云计算能给企业带来许多好处,但是企业在面对云计算这个相对比较新的IT服务模式的时候还是有许多担心。由于私有云的服务模式与传统IT服务方式没有本质的区别,因此这些担心主要集中在公有云服务上面。

   为了帮助企业选择一个最适合自己的公有云服务商,编者从以下五个要素阐述。
   要素一、服务的类别

    云计算的三大类服务是各不相同的,企业在选择云计算的时候要注意区别它们之间的差异。如果需要对服务有更多的控制,那么企业应该选取IaaS类服务。但是,更多的控制同时对企业IT的技术要求要更高,因为IaaS服务底层的硬件平台由服务商管理,但是其上的平台一般需要客户自己来管理。如果需要把尽可能多的IT服务外包出去,那么企业应该选择最上层的SaaS类服务。当然,如果选这类服务,企业对服务环境的控制力就非常有限,而且也不是所有应用需求都有相应的SaaS服务。

     要素二、计费情况

     提供商业云计算服务的供应商会根据不同的情况来进行收费,比如有多少使用用户、具体使用了多少计算资源、使用了什么样的服务等。与所有购买的服务一样,企业需要能够看清所有服务的计费情况,尤其是在所使用的云计算服务能够动态扩展资源的情况下。大部分云计算服务供应商都会提供一个应用或接口为用户提供资源计费的具体情况。如果服务提供商不能提供类似的信息,那么企业选择这样的供应桑就很可能会有问题。当然,另外一个与计费直接相关的问题就是服务的收费情况,企业需要做两方面的比较。一个是直接提供服务的成本与一个服务周期内预计服务费用的比较,另外一个就是不同云计算服务商之间收费的横向比较。

     要素三、关于标准遵循和认证问题

     云计算服务的标准遵循会从几个方面影响客户。如果云计算服务支持标准,那么用户就可以通过标准的方式来访问。比如微软Windows Azure平台的存储访问是基于标准的REST方式,那么无论用户使用什么语言在什么平台上,都可以基于REST来访问这些存储。另外一方面,云计算平台对标准的支持可以让用户有选择的余地,而不至于完全锁定在一个特定的云计算服务上面。

      当然,不同层次的云计算服务对用户的锁定程度是不一样的,一般来说PaaS类服务比IaaS类服务更具有锁定性,而SaaS类服务比PaaS类服务更具有锁定性,但是用户至少需要有能够把数据从云计算服务平台上迁移或备份出来的能力。

      云计算服务商所获得的认证也是一个非常重要的考察指标,认证是第三方对于服务商的一种认可和肯定。有一些认证与IT系统的运维和安全相关,比如ISO/IEC 27001:2500。有一些认证与合规性相关,比如在美国有一个SAS 70(Statement on Auditing Standards),审计准则说明的认证。
     SAS70认证是一个关于服务商的内部控制和财务相关的认证,因此对于云计算服务商而言这个认证尤为重要。SAS70认证由美国注册公共会计师协会创建,这种认证主要包含两个级别。一种是第一类认证,通过企业自己搜集内部信息,向监管机构证明所做的所有行为、控制目标、流程符合法律法规的监管。第二类认证更加严格,是在第一类认证的基础上,增加了服务监管人对于这个企业审核的意见。有了这两个认证的企业基本上可以保证在法律法规以及风险管理方面符合企业对于云计算安全的考虑。

      要素四、安全性问题

     云计算放大了IT的挑战,原来放在自己服务器内部的一些服务资料,现在要放到云当中,而云当中的应用可能在任何的地方。如何保证用户登录的安全,这个应用能否从某一个点迁移到另外一个点,到底什么人能够看到什么样的信息,看到这些信息的资料多少到底是由什么决定的,所有这些问题都是企业在考虑云计算安全时需要考虑的因素。

     从前面IDC的调研可以看到安全是企业采纳云计算时最担心的地方,但是如果在选择云计算服务的时候能够特别关注供应商在安全方面的具体实现情况,并且采用一些安全方面的最佳实践,那么将可以提高企业使用云计算服务的安全性。

    公司在使用云计算服务之前应当进行全面的风险评估,其中涉及数据保护、数据完整性、数据恢复和合规性。我们建议企业在评估云计算安全的时候采用类似于金融服务行业的风险管控模式。云计算的风险管控要从安全性、隐私、合规性以及服务的可持续性等方面综合考虑。

    企业需要查看云计算服务商有没有相关的安全认证,相关的安全架构、流程和风险管控的方法等具体情况。另外,根据一些国家监管的规定,企业可能还需要了解服务商物理数据中心的位置,以满足企业对数据存储地点的要求。

    要素五、与企业已有系统的集成问题

     企业在构建信息系统的时候要尽量避免形成"信息孤岛"的情况。无论是在数据层次、应用层次或者是在界面层次,应用和应用之间都要能够比较方便地集成,从而让数据能够方便地流转,最终用户也能有良好的用户体验。这就需要企业在选择公有云服务的时候,要考虑目标公有云服务与自己企业内部的系统如何进行集成。这种集成可以通过多种方式来实现。

    比如数据交换是一个比较基本的要求,最低的一个要求是可以借助手工操作的方式来进行。当然理想的目标是通过自动化的方式来实现各种集成方式。企业可以从两个方面来考察云计算服务的集成能力。一个是云计算服务是否提供与企业数据之间的安全传输通道来进行集成通信。比如微软的Windows Azure平台和亚马逊的AWS就提供它们的云平台数据中心与企业数据中心之间基于IPSec的安全通道。

      另外一方面是看云计算服务供应商有没有提供一个开放的管理接口或管理工具,以便企业可以把云计算服务集成到自身数据中心中的应用管理中去。微软的Windows Azure平台提供了基于REST的服务管理的编程接口(Service Management API),而且微软还更进一步扩展了其基于System Center的系统管理工具,让企业IT管理人员可以在一个管理界面上同时管理其部署在企业内部的应用和部署在Windows Azure平台上的应用。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");