怎样做到让云计算“尽在掌控”？

核心提示： 谨慎对待服务等级协议监控不仅仅涉及位置识别，可用性、可访问性、审核以及控制也很重要，怎样做到让云计算“尽在掌控”？(7)，在今年一月，上百万名Salesforce用户遭遇了长达38分钟的服务中断，所以意见阐述可能不会覆盖整个运作流程，只有关于云环境控制的法律架构在立法、法规或者法庭案件中全面适用

谨慎对待服务等级协议

监控不仅仅涉及位置识别，可用性、可访问性、审核以及控制也很重要。在今年一月，上百万名Salesforce用户遭遇了长达38分钟的服务中断，去年 Amazon Web服务用户也曾有过类似经历。从中我们得到一个教训：谨慎对待服务提供商的服务等级协议（SLA）。

99.9%的可用性也就意味着每年有大约8.75小时的宕机时间，这在大多数情况下都是不能接受的。同时你还要确保清楚地了解排除情况。例如，服务等级协议条款通常是限制于服务提供商控制范围内的设备和服务水平，往往不包括像因特网中断这样的故障。

IT部门还要确保受法规保护的数据或者敏感数据被实施适当保护或者对这些数据的访问路径是经过审查的。必须有人专门负责数据保护，但是Amazon EC2和微软Azure等服务的协议是明确的：公司在使用他们服务的时候不需要对数据丢失或者法律处罚承担责任。现在，这两家厂商都推出了如何安全地使用他们的云计算平台的指南，实际上，这还是要取决于你自己的情况，数据在他们的云中可能比在你自己的设备中更安全。

但事实是，这些公司提供共享计算服务，而相关法律——包括PCI——通常要求IT部门证明他们的系统是被安全管理的，有时候还需要有第三方审查来证明这一点。除非你是他们的大客户，否则能否对Amazon或者微软的数据中心进行审查只能看你的运气了。

而对于小型提供商，你可能会更幸运一些。例如Zoho是一家在云环境中提供生产应用和其他应用的厂商，他们应用户的要求接受了第三方审查，当然用户是需要支付一定费用。

注意一点，服务提供商的SAS-70审查并不是对独立审查的必要补充。对于入门用户来说，你可能没有机会看到审查员的报告全文（其中详细提到了非常敏感的信息，例如基础架构和服务提供商的控制），你将只能看到审查员的意见阐述，这也是审查员对服务提供商的控制策略是否满足标准判断的一个总结。而且，SAS-70审查通常只适用于服务提供商IT系统的子系统，所以意见阐述可能不会覆盖整个运作流程。

只有关于云环境控制的法律架构在立法、法规或者法庭案件中全面适用，IT才可以尽情地拥抱云计算。（51CTO）