隨著企業為基礎架構即服務使用云服務逐漸轉移到更加核心的業務用例中,包括核心平臺和應用,以一種整體的方式加強治理成為風險管理和終端用戶組織信任的關鍵所在。因為應用成為IT價值堆棧的頂部,常常要在IT前面面對業務,確保這個層級合適的治理要考慮的不只是基礎架構,還有應用本身更廣泛的背景和環境。
提供商應該關注云治理中用戶未知的問題,因為他們對于云應用影響顯著。因此,針對將企業的規則和IT資源用例權限轉換成為云治理策略,探討一些最佳實踐至關重要。包括提供商如何協助客戶確保云資源被合理訪問、準備、確保安全、操作和監控,到安全保障和法規遵從。
盡管這項指南適用于已經確立私有云的企業,但是云提供商提供的外部服務和混合云實施在提供平臺確保客戶控制這個層面仍有作用。
將規則和權限轉換成應用為核心的策略
不管底層IT基礎架構多么簡單,部署和管理應用和平臺需要關注具體應用的管飯策略。一個企業級云治理模型應用遵循下面的策略類型實施:
用戶/群組訪問:控制云服務訪問,包括基于角色的訪問控制和聯合身份認證管理。
資產權利:限制用戶對于具體資產類型的訪問,比如堆棧、腳本、模板和拓撲結構。
部署:限制工作負載部署和數據進入基于廣泛策略的認證環境(PCI、HIPAA、本地化策略、地理約束和其他的治理和安全指令)。
編制:跨資產和服務應用多層策略,以便確保配置管理標準和標準操作環境(SOE)。
服務水平協議:動態擴展基于復合自動擴展規則和性能臨界的應用和平臺拓撲結構。
安全:通過策略強制安全區域法規遵從,這種編制是基于主機和hypervisor防火墻、反病毒軟件、托管入侵檢測系統(HIDS)、虛擬網絡、數據加密和其他的安全工具的。
生命周期事件:在多種生命周期事件中執行策略,比如啟動、關機和系統開發生命周期(SDLC)代碼推進。
備份和故障轉移:加強高可用性和災難恢復策略。
資源約束:限制部署實例的最大數。
租約和調度:限制部署實例的租約和調度。
Chargeback/測量:限制資源消耗和測量基于自定制價格模型的消耗。
動態策略:從工作負載和第三方系統監控事件流,當超過臨界值時,執行復合事件關聯來實現預定義策略和動作。
確保云治理策略同多種變更需求保持同步
面對現實:公司治理變化無常。新規要求、變更內部標準、進入新市場或者區域,以及其他的市場變化導致了頻繁的改變,讓治理云變得棘手。可以讓IT迅速自定制策略來解決更為廣泛的當前和未來業務需求的可擴展策略框架成為必需。創建和執行無限制子性質策略范圍可能通過使用擴展元模型的策略引擎實現。這樣讓客戶或者提供商來創建新屬性的策略,可用來參照做出決策。比如,新的元模型擴展因包括新的安全區域定義,迫使通過其部署策略跨云工作負載分類。這樣的定義能夠確保這個工作負載堅持管控約束。
基于云的IT操作模型是一種新的有變革能力的方法,可以為大多數客戶交付IT服務。因此,權利和功能范圍將會治理控制會難以控制。通常而言,云治理策略的主要主題是直接為有需要的終端用戶提供自服務、按需訪問IT資源,讓這些IT資源自動響應需求和環境變化。治理策略不僅可以由企業內不同的利益相關者合作開發,也可以為云服務提供商治理和控制器自己IT資源的消耗。
下面是一些基于策略的治理場景,很好的說明了這些策略的用處。
為不同團隊、項目和工作負載實施準備約束策略。比如,市場項目經檢驗適合在亞馬遜EC2公有云,但是德國開發團隊必須且只能部署在本地的基于歐盟的云,同時支付處理團隊只能部署符合PCI的云上。
讓IT資源受限于項目圖團隊或者基于個人的實例租賃、調配或者數量。例如,應用開發團隊的一個員工在私有云中最多使用兩個用例。可能Hadoop項目只能在工作日下午七點到凌晨五點之間部署。可能外包的用戶界面(UI)團隊只能在亞馬遜EC2上獲得90天實例租賃,在那之后就會自動退出。
加強動態策略響應入侵或/和盜用實例。例如,一個事件關聯應該包括(1)托管入侵檢測系統在公有云中為實例發送“關鍵”警報類型,結合(2)高出站流量臨界值溢出以及(3)高CPU利用率,策略結果就是釋放實例且在安全的私有云中自動重部署一個新的實例。
云應用正在加速,很多企業正在面臨治理挑戰。客戶期望快速發布基于云服務的完整治理組合,交付敏捷軟件開發者和業務用戶需求,同時控制成本并確保法規遵從。企業需要一種可擴展基于策略的控制點進行云治理,能夠加強自定制策略的不受限范圍,來解決變更的業務需求。通過正確的云管理平臺,提供商可以提供大量需求控制點進行治理、法規遵從和確保跨公有云和私有云計劃的安全,協助將IT轉換到基于云的操作模型中。
