隨著企業(yè)為基礎(chǔ)架構(gòu)即服務(wù)使用云服務(wù)逐漸轉(zhuǎn)移到更加核心的業(yè)務(wù)用例中,包括核心平臺和應(yīng)用,以一種整體的方式加強治理成為風(fēng)險管理和終端用戶組織信任的關(guān)鍵所在。因為應(yīng)用成為IT價值堆棧的頂部,常常要在IT前面面對業(yè)務(wù),確保這個層級合適的治理要考慮的不只是基礎(chǔ)架構(gòu),還有應(yīng)用本身更廣泛的背景和環(huán)境。
提供商應(yīng)該關(guān)注云治理中用戶未知的問題,因為他們對于云應(yīng)用影響顯著。因此,針對將企業(yè)的規(guī)則和IT資源用例權(quán)限轉(zhuǎn)換成為云治理策略,探討一些最佳實踐至關(guān)重要。包括提供商如何協(xié)助客戶確保云資源被合理訪問、準(zhǔn)備、確保安全、操作和監(jiān)控,到安全保障和法規(guī)遵從。
盡管這項指南適用于已經(jīng)確立私有云的企業(yè),但是云提供商提供的外部服務(wù)和混合云實施在提供平臺確保客戶控制這個層面仍有作用。
將規(guī)則和權(quán)限轉(zhuǎn)換成應(yīng)用為核心的策略
不管底層IT基礎(chǔ)架構(gòu)多么簡單,部署和管理應(yīng)用和平臺需要關(guān)注具體應(yīng)用的管飯策略。一個企業(yè)級云治理模型應(yīng)用遵循下面的策略類型實施:
用戶/群組訪問:控制云服務(wù)訪問,包括基于角色的訪問控制和聯(lián)合身份認(rèn)證管理。
資產(chǎn)權(quán)利:限制用戶對于具體資產(chǎn)類型的訪問,比如堆棧、腳本、模板和拓?fù)浣Y(jié)構(gòu)。
部署:限制工作負(fù)載部署和數(shù)據(jù)進入基于廣泛策略的認(rèn)證環(huán)境(PCI、HIPAA、本地化策略、地理約束和其他的治理和安全指令)。
編制:跨資產(chǎn)和服務(wù)應(yīng)用多層策略,以便確保配置管理標(biāo)準(zhǔn)和標(biāo)準(zhǔn)操作環(huán)境(SOE)。
服務(wù)水平協(xié)議:動態(tài)擴展基于復(fù)合自動擴展規(guī)則和性能臨界的應(yīng)用和平臺拓?fù)浣Y(jié)構(gòu)。
安全:通過策略強制安全區(qū)域法規(guī)遵從,這種編制是基于主機和hypervisor防火墻、反病毒軟件、托管入侵檢測系統(tǒng)(HIDS)、虛擬網(wǎng)絡(luò)、數(shù)據(jù)加密和其他的安全工具的。
生命周期事件:在多種生命周期事件中執(zhí)行策略,比如啟動、關(guān)機和系統(tǒng)開發(fā)生命周期(SDLC)代碼推進。
備份和故障轉(zhuǎn)移:加強高可用性和災(zāi)難恢復(fù)策略。
資源約束:限制部署實例的最大數(shù)。
租約和調(diào)度:限制部署實例的租約和調(diào)度。
Chargeback/測量:限制資源消耗和測量基于自定制價格模型的消耗。
動態(tài)策略:從工作負(fù)載和第三方系統(tǒng)監(jiān)控事件流,當(dāng)超過臨界值時,執(zhí)行復(fù)合事件關(guān)聯(lián)來實現(xiàn)預(yù)定義策略和動作。
確保云治理策略同多種變更需求保持同步
面對現(xiàn)實:公司治理變化無常。新規(guī)要求、變更內(nèi)部標(biāo)準(zhǔn)、進入新市場或者區(qū)域,以及其他的市場變化導(dǎo)致了頻繁的改變,讓治理云變得棘手。可以讓IT迅速自定制策略來解決更為廣泛的當(dāng)前和未來業(yè)務(wù)需求的可擴展策略框架成為必需。創(chuàng)建和執(zhí)行無限制子性質(zhì)策略范圍可能通過使用擴展元模型的策略引擎實現(xiàn)。這樣讓客戶或者提供商來創(chuàng)建新屬性的策略,可用來參照做出決策。比如,新的元模型擴展因包括新的安全區(qū)域定義,迫使通過其部署策略跨云工作負(fù)載分類。這樣的定義能夠確保這個工作負(fù)載堅持管控約束。
基于云的IT操作模型是一種新的有變革能力的方法,可以為大多數(shù)客戶交付IT服務(wù)。因此,權(quán)利和功能范圍將會治理控制會難以控制。通常而言,云治理策略的主要主題是直接為有需要的終端用戶提供自服務(wù)、按需訪問IT資源,讓這些IT資源自動響應(yīng)需求和環(huán)境變化。治理策略不僅可以由企業(yè)內(nèi)不同的利益相關(guān)者合作開發(fā),也可以為云服務(wù)提供商治理和控制器自己IT資源的消耗。
下面是一些基于策略的治理場景,很好的說明了這些策略的用處。
為不同團隊、項目和工作負(fù)載實施準(zhǔn)備約束策略。比如,市場項目經(jīng)檢驗適合在亞馬遜EC2公有云,但是德國開發(fā)團隊必須且只能部署在本地的基于歐盟的云,同時支付處理團隊只能部署符合PCI的云上。
讓IT資源受限于項目圖團隊或者基于個人的實例租賃、調(diào)配或者數(shù)量。例如,應(yīng)用開發(fā)團隊的一個員工在私有云中最多使用兩個用例。可能Hadoop項目只能在工作日下午七點到凌晨五點之間部署。可能外包的用戶界面(UI)團隊只能在亞馬遜EC2上獲得90天實例租賃,在那之后就會自動退出。
加強動態(tài)策略響應(yīng)入侵或/和盜用實例。例如,一個事件關(guān)聯(lián)應(yīng)該包括(1)托管入侵檢測系統(tǒng)在公有云中為實例發(fā)送“關(guān)鍵”警報類型,結(jié)合(2)高出站流量臨界值溢出以及(3)高CPU利用率,策略結(jié)果就是釋放實例且在安全的私有云中自動重部署一個新的實例。
云應(yīng)用正在加速,很多企業(yè)正在面臨治理挑戰(zhàn)。客戶期望快速發(fā)布基于云服務(wù)的完整治理組合,交付敏捷軟件開發(fā)者和業(yè)務(wù)用戶需求,同時控制成本并確保法規(guī)遵從。企業(yè)需要一種可擴展基于策略的控制點進行云治理,能夠加強自定制策略的不受限范圍,來解決變更的業(yè)務(wù)需求。通過正確的云管理平臺,提供商可以提供大量需求控制點進行治理、法規(guī)遵從和確保跨公有云和私有云計劃的安全,協(xié)助將IT轉(zhuǎn)換到基于云的操作模型中。
