转向云计算，是当前众多企业面临的重要变革。无论从业务还是从技术的角度，云平台的应用都具备相当优势。然而，在涉及到应用和数据安全时，企业上云仍充满挑战。

（图片来源于网络）

上一次，我们谈到中国企业云战略遭逢的窘境，当前对于企业而言， 要将核心应用置于云上，将控制权交给第三方云供应商，似乎并不现实。

我们看到，中国企业之所以不顾一切地上云，很多是为了贯彻上级意志，为了上云而上云，而并没有从实际出发，走切合自身需求的上云之路。更有一些技术控，言必谈互联网，一切技术标准都要向BAT看齐，而不顾自身的IT状况和需求。事实上，云本身并没有上下高低之分，只有适合与不适合。很多初创公司都很喜欢阿里云，互联网公司都在大铺OpenStack，但是这并不意味着这些技术就是唯一可行的路径。尤其对大型企业，它们拥有长期的技术经验和数据积累，对于他们来说，彻底推翻现有架构而去拥抱新技术，既高风险又无必要性。

企业上云之首要考虑

企业用户实施云战略，首先应该考虑的，并不是各种云架构，而是自己上云的主要需求是什么。云计算应该是实现目标的手段，而不应该成为目标本身。目标诸如，提升IT部署的灵活性，支持移动应用，快速部署，提高性能，降低运营成本等等。根据这些需求，再来分析实现目标可以选用的技术手段。

（图片来源于网络）

企业上云之技术手段

技术手段有可能包括外部云，OpenStack，但也有很大可能是在传统架构上的改造。云的核心价值有两点，一是将架构和设备变成一种可分配的资源，二是将IT能力以服务的方式提供。实际上，传统架构已经完全能够实现这样的价值。这种基于企业IT所熟悉的技术搭建的云往往不牵扯应用迁移，在可行性和稳定性上来看，相比迁移到外部云或者新平台，往往是更优的方案。

很多基于互联网类型的新型应用，在外部云或者OpenStack这样的云平台上可以发挥很好的价值。而对于企业应用，尤其是核心应用，能不能放在外部云或者OpenStack上，还有很多的问题需要解决。在未来，大部分传统企业可能需要同时运维两套甚至三套架构，才能够同时支撑起企业的核心应用和新型应用。传统架构，可能还会存在并且发展多年。

企业上云之安全战略

另一方面，制定并实施一个健壮的云安全战略，保证云环境能够和本地环境一样安全对于企业上云意义重大。

（图片来源于网络）

云安全战略包含很多重要的决策和步骤， 合规性标准就是重要的一项。对于垂直行业市场，如医疗，金融等领域，需要确保他们的云环境和云服务供应商遵守相应法规。 除了合规性，IT安全团队还需要确定他们特有的应用安全性需求，判断传统的安全方法，比如用户ID和密码，是否足以保证数据的安全。在很多情况下，更高级别的安全措施，比如主动监测，身份和访问管理，对于新应用都是必须的。 为了满足这些需求，企业应该考虑使用每个公有云平台提供的原生云安全系统或者第三方安全产品。那些认为他们不需要满足合规，或对于他们的安全战略满意的企业，也需要持续审查他们的云安全框架。

事实上，即使企业完成了以上云安全战略，这一切也并没有结束。持续的，自动化的安全测试，将安全整合到日常IT运营中，才能有效保障企业真正上云。