2.2 CAF

2.2.1 什么是CAF

CAF（Cloud Adoption Framework，云采用框架）是云厂商与公立机构及商业机构客户共同创建的企业云转型的框架。它可以帮助组织更好地设计采用云服务的途径，在构建贯穿IT建设生命周期的云采用方法中提供指导和最佳实践，而企业通过使用CAF可以更快地以较低的风险从采用的云服务实践中实现可衡量的业务收益。CAF是一个公开的框架，任何人都可以在网络上获取它。需要注意的是，CAF并不是一个企业可以拿来即用的交付手册，而是一个信息框架。

基于商业目标，CAF为企业提供了一个全局的视角来驱动高效、安全的框架。CAF可以帮助企业对上云商业价值进行识别，因为企业若想成功转型，就需要准确地识别哪些能力需要改善、哪些能力需要增加等。CAF可以帮助企业制定有效的云采用战略和计划，解决目前的技术与管理架构与上云后存在的差距问题。

2.2.2 CAF的维度

最早，CAF是从业务、人员、成熟度、平台、流程、运营和安全七个维度划分的，但之后改为业务、人员、治理、平台、运营和安全六个维度，这主要是出于以下几个方面的考虑：

● 成熟度并不应该作为独立的维度划分，因为它在云环境中，无论是业务、平台，还是安全，都会有体现。

● 流程被融入治理，这是因为流程往往会引起技术和业务治理的混淆，而把它与治理合并，统一从业务角度去看待流程，将会使定义更加清晰。同时，技术的流程部分归入运营更为合适。

● 将先前定义的维度中包含的组件重新分解并定义为客户需要具备的能力，这将有助于简化企业构建云应用的设计要求，避免出现不同企业的不同组件使企业上云之路的规划不一致的问题。

● CAF在更新中越来越匹配客户的实践要求，而在新版V2中，已经聚焦如何通过技能和过程来实现企业云上各项能力维度的建设。

● CAF考虑的每个维度都包含独特的利益相关方及他们管理或拥有的责任。一般来讲，平台、安全和运营聚焦技术能力，而业务、人员和治理侧重于业务能力。

2.2.3 CAF的能力要求

每个企业上云的过程都有独特的起点和要求，故需要根据业务优先级和现状来确定自己的IT牵引过程和目标。CAF可以帮助企业管理层、业务部门、财务部门的人员理解他们在采用云服务后角色的转变，以便提前进行调整。

CAF的每个安全维度都由一系列的能力要求构成，每个能力要求都由一些技能和流程构成，表2-2-1列出了CAF的六个维度及其角色和要求。

2.2.4 CAF的核心内容

云服务商应该把安全作为第一优先级的工作，并有能力对安全最敏感的客户提供安全的能力支撑，以满足CAF对安全维度的要求。如图2-2-1所示，CAF的安全维度包含四个部分：

第一是策略性控制机制（Directive），旨在围绕运营环境构建治理、风险和合规的模型。其主要是在迁移中提供安全规划，而有效进行安全规划的关键是制定一份指导并提供给实施和运营的人员，该指导会确定控制机制及运营的具体内容，包括账户、权限、控制框架、数据分类、资产变更与管理、数据位置、最低权限访问等。

第二是预防性控制机制（Preventative），旨在保护你的工作负载并减少威胁和漏洞。它为实施安全基建提供了指南，而实施适当的预防性控制措施的关键在于安全团队可以构建自动化部署，以便在敏捷、可扩展云环境中建立安全能力。在利用策略性控制机制确定控制措施后，再利用预防性控制机制确定如何有效地实施控制措施，包括身份和访问、基础设施保护、数据保护等。

第三是检测性控制机制（Detective），其可以使企业在云中的部署实现操作可视化。企业通过收集大量的数据信息，并将这些信息集中到用于管理和监控日志、事件、测试、审计的可扩展平台中，可以帮助自身了解安全的整体状况，提升安全运营的透明度和敏捷性。这个环节包括日志记录和监控、安全测试、资产管理、变更检测。

第四是响应性控制机制（Responsive），旨在纠正偏离安全基线的行为，它为企业对安全事件的响应提供了指南。企业通过准备和模拟响应所需要的流程和操作，可以更好地应对日后可能出现的事件。同时，借助于自动化事件响应和恢复能力，企业可以将安全团队的关注点从响应转移到执行取证和根因分析上，这个环节包括事件响应、安全事件响应模拟、取证等。

2.2.5 CAF在云转型中的作用

CAF提供了一系列的行动计划来帮助客户更好地进行云迁移，其步骤并不复杂，但实施起来有一定的难度。首先，企业需要确定哪些利益相关者对采用云服务至关重要。其次，企业需要了解哪些问题可能会延迟或阻碍它们采用云，然后去解决这些问题，比如提升技能或调整流程等。最后，企业需要创建一个行动计划，以更新已识别的技能或过程，图2-2-2所示是亚马逊云的行动计划样例，以供参考。

从图2-2-2中可以看到，企业在CAF的六个维度上都需要识别和提炼出对应不同部门或角色的行动计划。但当上升至组织层面时，综合的计划和行动往往又过于复杂，变得非常难以有效执行。这时就需要有一个完整的行动计划，以判断近期需要完成的工作并把优先级高的一些任务放进行动模板中，而这个过程可以是不断循环的，以此来逐渐完成上云之旅。

由于CAF来自不同云厂商的经验和实践，因此会有细微差别，但框架涉及的方面基本类似，主要用来指导企业如何配备其云化的战略目标与业务发展目标并让它们保持一致。CAF可以帮助企业发现其当前各种能力存在的差距，并通过设计工作流程来缩小这些差距。企业可以根据自己的需求，把 CAF 作为云迁移的向导和指南，以便所有利益相关方都能快速理解在云迁移的过程中如何调整和改善组织技能和流程。为了更好地使用 CAF，企业需要分析CAF控制框架如何满足自身的要求，并确定所有利益相关方的角色和工作，以及确定首要任务、长期目标、最低要求和可行的安全基准并不断迭代，以提高云上各类工作的负载和数据标准。