信息化觀察網(wǎng)

公有云作為云計算的主要形態(tài)，近幾年發(fā)展如火如荼，成為企業(yè)競相爭奪的香餑餑。公有云雖可以為企業(yè)帶來很多好處，但不同的云服務(wù)商提供的服務(wù)類型不同，服務(wù)質(zhì)量也參差不齊，因此企業(yè)在選擇公有云服務(wù)商時應(yīng)根據(jù)自己企業(yè)的需求，選擇出最適合自己企業(yè)的公有云服務(wù)商。

要素一服務(wù)的類別

云計算的三大類服務(wù)是各不相同的，企業(yè)在選擇云計算的時候要注意區(qū)別它們之間的差異。如果需要對服務(wù)有更多的控制，那么企業(yè)應(yīng)該選取IaaS類服務(wù)。但是，更多的控制同時對企業(yè)IT的技術(shù)要求要更高，因為IaaS服務(wù)底層的硬件平臺由服務(wù)商管理，但是其上的平臺一般需要客戶自己來管理。如果需要把盡可能多的IT服務(wù)外包出去，那么企業(yè)應(yīng)該選擇最上層的SaaS類服務(wù)。當(dāng)然，如果選這類服務(wù)，企業(yè)對服務(wù)環(huán)境的控制力就非常有限，而且也不是所有應(yīng)用需求都有相應(yīng)的SaaS服務(wù)。

要素二計費情況

提供商業(yè)云計算服務(wù)的供應(yīng)商會根據(jù)不同的情況來進行收費，比如有多少使用用戶、具體使用了多少計算資源、使用了什么樣的服務(wù)等。與所有購買的服務(wù)一樣，企業(yè)需要能夠看清所有服務(wù)的計費情況，尤其是在所使用的云計算服務(wù)能夠動態(tài)擴展資源的情況下。大部分云計算服務(wù)供應(yīng)商都會提供一個應(yīng)用或接口為用戶提供資源計費的具體情況。如果服務(wù)提供商不能提供類似的信息，那么企業(yè)選擇這樣的供應(yīng)桑就很可能會有問題。當(dāng)然，另外一個與計費直接相關(guān)的問題就是服務(wù)的收費情況，企業(yè)需要做兩方面的比較。一個是直接提供服務(wù)的成本與一個服務(wù)周期內(nèi)預(yù)計服務(wù)費用的比較，另外一個就是不同云計算服務(wù)商之間收費的橫向比較。

要素三關(guān)于標(biāo)準遵循和認證問題

云計算服務(wù)的標(biāo)準遵循會從幾個方面影響客戶。如果云計算服務(wù)支持標(biāo)準，那么用戶就可以通過標(biāo)準的方式來訪問。另外一方面，云計算平臺對標(biāo)準的支持可以讓用戶有選擇的余地，而不至于完全鎖定在一個特定的云計算服務(wù)上面。當(dāng)然，不同層次的云計算服務(wù)對用戶的鎖定程度是不一樣的，一般來說PaaS類服務(wù)比IaaS類服務(wù)更具有鎖定性，而SaaS類服務(wù)比PaaS類服務(wù)更具有鎖定性，但是用戶至少需要有能夠把數(shù)據(jù)從云計算服務(wù)平臺上遷移或備份出來的能力。

云計算服務(wù)商所獲得的認證也是一個非常重要的考察指標(biāo)，認證是第三方對于服務(wù)商的一種認可和肯定。有一些認證與IT系統(tǒng)的運維和安全相關(guān)，比如ISO/IEC 27001:2500有一些認證與合規(guī)性相關(guān)，比如在美國有一個SAS 70審計準則說明的認證。SAS70認證是一個關(guān)于服務(wù)商的內(nèi)部控制和財務(wù)相關(guān)的認證，因此對于云計算服務(wù)商而言這個認證尤為重要。SAS70認證由美國注冊公共會計師協(xié)會創(chuàng)建，這種認證主要包含兩個級別。一種是第一類認證，通過企業(yè)自己搜集內(nèi)部信息，向監(jiān)管機構(gòu)證明所做的所有行為、控制目標(biāo)、流程符合法律法規(guī)的監(jiān)管。第二類認證更加嚴格，是在第一類認證的基礎(chǔ)上，增加了服務(wù)監(jiān)管人對于這個企業(yè)審核的意見。有了這兩個認證的企業(yè)基本上可以保證在法律法規(guī)以及風(fēng)險管理方面符合企業(yè)對于云計算安全的考慮。

要素四安全性問題

云計算放大了IT的挑戰(zhàn)，原來放在自己服務(wù)器內(nèi)部的一些服務(wù)資料，現(xiàn)在要放到云當(dāng)中，而云當(dāng)中的應(yīng)用可能在任何的地方。如何保證用戶登錄的安全，這個應(yīng)用能否從某一個點遷移到另外一個點，到底什么人能夠看到什么樣的信息，看到這些信息的資料多少到底是由什么決定的，所有這些問題都是企業(yè)在考慮云計算安全時需要考慮的因素。如果在選擇云計算服務(wù)的時候能夠特別關(guān)注供應(yīng)商在安全方面的具體實現(xiàn)情況，并且采用一些安全方面的最佳實踐，那么將可以提高企業(yè)使用云計算服務(wù)的安全性。

公司在使用云計算服務(wù)之前應(yīng)當(dāng)進行全面的風(fēng)險評估，其中涉及數(shù)據(jù)保護、數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)和合規(guī)性。我們建議企業(yè)在評估云計算安全的時候采用類似于金融服務(wù)行業(yè)的風(fēng)險管控模式。云計算的風(fēng)險管控要從安全性、隱私、合規(guī)性以及服務(wù)的可持續(xù)性等方面綜合考慮。企業(yè)需要查看云計算服務(wù)商有沒有相關(guān)的安全認證，相關(guān)的安全架構(gòu)、流程和風(fēng)險管控的方法等具體情況。另外，根據(jù)一些國家監(jiān)管的規(guī)定，企業(yè)可能還需要了解服務(wù)商物理數(shù)據(jù)中心的位置，以滿足企業(yè)對數(shù)據(jù)存儲地點的要求。

要素五與企業(yè)已有系統(tǒng)的集成問題

企業(yè)在構(gòu)建信息系統(tǒng)的時候要盡量避免形成“信息孤島”的情況。無論是在數(shù)據(jù)層次、應(yīng)用層次或者是在界面層次，應(yīng)用和應(yīng)用之間都要能夠比較方便地集成，從而讓數(shù)據(jù)能夠方便地流轉(zhuǎn)，最終用戶也能有良好的用戶體驗。這就需要企業(yè)在選擇公有云服務(wù)的時候，要考慮目標(biāo)公有云服務(wù)與自己企業(yè)內(nèi)部的系統(tǒng)如何進行集成。這種集成可以通過多種方式來實現(xiàn)。

比如數(shù)據(jù)交換是一個比較基本的要求，最低的一個要求是可以借助手工操作的方式來進行。當(dāng)然理想的目標(biāo)是通過自動化的方式來實現(xiàn)各種集成方式。企業(yè)可以從兩個方面來考察云計算服務(wù)的集成能力。一個是云計算服務(wù)是否提供與企業(yè)數(shù)據(jù)之間的安全傳輸通道來進行集成通信。另外一方面是看云計算服務(wù)供應(yīng)商有沒有提供一個開放的管理接口或管理工具，以便企業(yè)可以把云計算服務(wù)集成到自身數(shù)據(jù)中心中的應(yīng)用管理中去。

（原標(biāo)題：如何選擇適合你的公有云服務(wù)商？）