海量的私有云基礎架構可能會對你的組織造成危害。專家Ed Moyle將討論如何以及何時考慮使用云整合來減少云泛濫。
對大部分組織來說,云的采納具有十分重要意義。盡管在當今企業(yè)界大規(guī)模的采用公有云,私有云部署仍然是大型組織的中流砥柱。雖然有些統(tǒng)計數(shù)據(jù)表示私有云的使用量開始下降,但過去這幾年所遺留下來的私有云規(guī)模還是頗為可觀的,對于某些大型機構,例如財富500強公司,仍然維持著幾十個獨立的私有云環(huán)境的情況也并不少見。
但是,這可能會帶來幾種潛在的安全問題。當環(huán)境在使用范圍上重疊時,它可能代表了次優(yōu)或甚至低效率的資源運用;當多重環(huán)境有著微妙的不同,或者在某些狀況下,有著明顯矛盾的安全控制時,它可能意味著安全及維護的問題;它可能會帶來架構和性能上的挑戰(zhàn),它也可能會使法規(guī)遵守相關的工作倍增。
后果是,組織們必須要控制好“私有云泛濫”,這很重要。對資源做出最好的運用,并預防即將產(chǎn)生的負面后果,亦即我們必須了解現(xiàn)存的私有云環(huán)境是怎樣的,然后才能做出有關云整合的戰(zhàn)略決策。在某些情形中,整合是可取的。而其他的狀況中,組織可能必須繼續(xù)維護超過一個環(huán)境,但也必須戰(zhàn)略性的重置資源的分配狀況。這個決策必須是精準的,并且是經(jīng)過深思熟慮的,而不是(通常情況下)因為事情自然發(fā)展的結果。
什么導致了私有云泛濫?
有些人抓破頭也想不通為什么某些組織會一開始就變成了數(shù)個私有云的狀況及如何變成這樣,畢竟,難道私有云不是通常來說云模型中最昂貴的嗎?為什么某些組織會想要超過一個私有云呢?在現(xiàn)實中,有幾種方法可以讓這個發(fā)生。第一,并購行為,當組織A收購組織B時,他們可能兩個都擁有一個私有云。而既然兩個組織要在IT層面的整合可能要花上好幾年,這些環(huán)境自然會在這段時間中繼續(xù)存在,并且有可能之后也繼續(xù)存在著。
另一種導致這種現(xiàn)象發(fā)生的途徑有多個,松耦合的業(yè)務單位(例如,當這些業(yè)務單元各自維持著自己的IT支持團隊時)各自建立(或者從服務供應商租賃)他們自己的私有云,而彼此都不知情或為了不同的目的。這常常發(fā)生在不同地理區(qū)域并由不同團隊支持的情況,或者當每個業(yè)務單元的IT業(yè)務是以獨立的方式處理的。
最后,組織可能會為了某個戰(zhàn)略目的而建立數(shù)個私有云關系。謹記私有云意味著一個云環(huán)境中該用戶是唯一的租戶,一個私有云環(huán)境可以存放于一個云服務供應商(CSP)那里。當然,很多私有云都是在本地的,但不總是這樣。所以,某個組織可能會有一個或以上的本地私有云環(huán)境,同時在組織外部的某個CSP或托管商那里也擁有一個或以上的私有云環(huán)境。
減少和重用?
不論私有云泛濫的情形是如何產(chǎn)生的,重要的是,安全團隊必須要了解不同的狀況決定了如此多的私有云對組織的安全態(tài)勢是有益還是有害的。
我們之前討論了一些可能遇到的挑戰(zhàn),但為了說明使用私有云可能對組織有益這個觀點,請你想像某個在不同使用場景下?lián)碛卸嘀乇O(jiān)管要求的組織。例如,一家醫(yī)院可能會為了臨床環(huán)境在本地維護一個私有云,并為了他們的支付和計費系統(tǒng)維護一個外部的私有云,因為他們使用了本地資源,所以在臨床環(huán)境方面符合了 HIPAA的要求,這樣的安排很合理,因為醫(yī)院在該領域多半有著深厚的專業(yè)知識。另一方面,PCI可能就不是他們的核心競爭力了。這樣,選擇一個外部通過審查(也就是,在認證服務供應商名單中)的CSP也許頗有安全性和規(guī)則上的價值,從總體來看,擁有兩個私有云環(huán)境可以更好的為這家醫(yī)院提供服務。
要了解何時,如何以及是否要整合私有云環(huán)境是一件很棘手的事情。許多企業(yè)都落入了急著整合的陷阱中,但后來才發(fā)現(xiàn)為什么他們不能或不應該整合是有很合理的原因的。為了避免這樣的問題,企業(yè)需要收集不少數(shù)據(jù)才能做出戰(zhàn)略上的決策。他們需要了解:
這個環(huán)境是存在的
環(huán)境里有什么
使用環(huán)境所需的安全要求
現(xiàn)今這個環(huán)境中已經(jīng)存在哪些控制/流程
如何開始整合私有云環(huán)境?
就像很多事情一樣,腳踏實地的第一步是發(fā)現(xiàn)。首先從列舉你的企業(yè)里現(xiàn)有的私有云環(huán)境開始。如果你的企業(yè)是個大型組織,那可能這個數(shù)量比你想象的多,你可能需要多跑腿才能確定你已經(jīng)把它們?nèi)勘嬲J出來了。利用你組織現(xiàn)正進行的盤點活動來收集這些信息,例如為業(yè)務延續(xù)性規(guī)劃所做的業(yè)務影響評估(BIA),就很適合。既然BIA無可避免會接觸到大部分的業(yè)務,你可以同時用它來了解私有云使用的領域。
接下來,你應該要列舉出每個環(huán)境有關安全性的考量。問自己以下的問題:監(jiān)管的背景是什么?這個環(huán)境包括了什么?環(huán)境內(nèi)部處理的是什么類型的數(shù)據(jù)?
再次提醒,要了解每個環(huán)境,你可能需要多跑跑腿;你必須要了解每個環(huán)境里包括的細節(jié)才能回答這些問題。除非你的組織在記錄有效的庫存方面很拿手(大部分都不是),你必須要偵查每個環(huán)境才能得到可靠的名單。
最后,將每個環(huán)境提供的安全性、支持和業(yè)務“功能”拿來比對安全性,支持和業(yè)務的需求。這代表了你必須對每個環(huán)境有著足夠的了解才能清楚的辨認這些。有可能部分的服務供應商會在你的要求下告訴你(并且證明給你看)這些信息,但也有可能你將需要做一些審查才能得到答案。
這三種數(shù)據(jù)的來源結合在一起使用,會給予你的組織所需的原始材料,幫助做出關于整合是否是正確的這一戰(zhàn)略層面的決策。如果結論是是的話,將會幫助你建立如何讓整合更有效的計劃。云整合本身,雖然是個長期的活動,只有這樣才能被仔細規(guī)劃,以便讓你的組織最大化的利用資源。如果你的企業(yè)正在考慮將應用放到私有云里,那么這些信息也會幫助你做出最適合業(yè)務需求的決策。