随着企业为基础架构即服务使用云服务逐渐转移到更加核心的业务用例中,包括核心平台和应用,以一种整体的方式加强治理成为风险管理和终端用户组织信任的关键所在。因为应用成为IT价值堆栈的顶部,常常要在IT前面面对业务,确保这个层级合适的治理要考虑的不只是基础架构,还有应用本身更广泛的背景和环境。
提供商应该关注云治理中用户未知的问题,因为他们对于云应用影响显著。因此,针对将企业的规则和IT资源用例权限转换成为云治理策略,探讨一些最佳实践至关重要。包括提供商如何协助客户确保云资源被合理访问、准备、确保安全、操作和监控,到安全保障和法规遵从。
尽管这项指南适用于已经确立私有云的企业,但是云提供商提供的外部服务和混合云实施在提供平台确保客户控制这个层面仍有作用。
将规则和权限转换成应用为核心的策略
不管底层IT基础架构多么简单,部署和管理应用和平台需要关注具体应用的管饭策略。一个企业级云治理模型应用遵循下面的策略类型实施:
用户/群组访问:控制云服务访问,包括基于角色的访问控制和联合身份认证管理。
资产权利:限制用户对于具体资产类型的访问,比如堆栈、脚本、模板和拓扑结构。
部署:限制工作负载部署和数据进入基于广泛策略的认证环境(PCI、HIPAA、本地化策略、地理约束和其他的治理和安全指令)。
编制:跨资产和服务应用多层策略,以便确保配置管理标准和标准操作环境(SOE)。
服务水平协议:动态扩展基于复合自动扩展规则和性能临界的应用和平台拓扑结构。
安全:通过策略强制安全区域法规遵从,这种编制是基于主机和hypervisor防火墙、反病毒软件、托管入侵检测系统(HIDS)、虚拟网络、数据加密和其他的安全工具的。
生命周期事件:在多种生命周期事件中执行策略,比如启动、关机和系统开发生命周期(SDLC)代码推进。
备份和故障转移:加强高可用性和灾难恢复策略。
资源约束:限制部署实例的最大数。
租约和调度:限制部署实例的租约和调度。
Chargeback/测量:限制资源消耗和测量基于自定制价格模型的消耗。
动态策略:从工作负载和第三方系统监控事件流,当超过临界值时,执行复合事件关联来实现预定义策略和动作。
确保云治理策略同多种变更需求保持同步
面对现实:公司治理变化无常。新规要求、变更内部标准、进入新市场或者区域,以及其他的市场变化导致了频繁的改变,让治理云变得棘手。可以让IT迅速自定制策略来解决更为广泛的当前和未来业务需求的可扩展策略框架成为必需。创建和执行无限制子性质策略范围可能通过使用扩展元模型的策略引擎实现。这样让客户或者提供商来创建新属性的策略,可用来参照做出决策。比如,新的元模型扩展因包括新的安全区域定义,迫使通过其部署策略跨云工作负载分类。这样的定义能够确保这个工作负载坚持管控约束。
基于云的IT操作模型是一种新的有变革能力的方法,可以为大多数客户交付IT服务。因此,权利和功能范围将会治理控制会难以控制。通常而言,云治理策略的主要主题是直接为有需要的终端用户提供自服务、按需访问IT资源,让这些IT资源自动响应需求和环境变化。治理策略不仅可以由企业内不同的利益相关者合作开发,也可以为云服务提供商治理和控制器自己IT资源的消耗。
下面是一些基于策略的治理场景,很好的说明了这些策略的用处。
为不同团队、项目和工作负载实施准备约束策略。比如,市场项目经检验适合在亚马逊EC2公有云,但是德国开发团队必须且只能部署在本地的基于欧盟的云,同时支付处理团队只能部署符合PCI的云上。
让IT资源受限于项目图团队或者基于个人的实例租赁、调配或者数量。例如,应用开发团队的一个员工在私有云中最多使用两个用例。可能Hadoop项目只能在工作日下午七点到凌晨五点之间部署。可能外包的用户界面(UI)团队只能在亚马逊EC2上获得90天实例租赁,在那之后就会自动退出。
加强动态策略响应入侵或/和盗用实例。例如,一个事件关联应该包括(1)托管入侵检测系统在公有云中为实例发送“关键”警报类型,结合(2)高出站流量临界值溢出以及(3)高CPU利用率,策略结果就是释放实例且在安全的私有云中自动重部署一个新的实例。
云应用正在加速,很多企业正在面临治理挑战。客户期望快速发布基于云服务的完整治理组合,交付敏捷软件开发者和业务用户需求,同时控制成本并确保法规遵从。企业需要一种可扩展基于策略的控制点进行云治理,能够加强自定制策略的不受限范围,来解决变更的业务需求。通过正确的云管理平台,提供商可以提供大量需求控制点进行治理、法规遵从和确保跨公有云和私有云计划的安全,协助将IT转换到基于云的操作模型中。