私有云蔓延:云整合如何提高安全性?云和虚拟化
对于大多数企业组织来说,云实施已成为一种大势所趋。虽然目前企业界都在大规模地使用公共云,但是私有云部署仍是众多大型企业的主要选择。虽然一些统计数据表明私有云的使用已呈下降趋势,但是经过过去几年的积累,私有云的存量还是不容小觑;对于一些大型企业(例如世界500强企业)来说,维护几十个独立的私有云环境还不是非常困难的。
但是,这样也就带来了许多潜在的安全问题。也就是说,当环境范围重叠时,有可能出现低效资源使用或非最优化的情况;当多个环境略有不同时,则有安全性和维护方面的问题;或者在某些情况下,与安全策略有着明显的不符;它会带来架构和性能方面的问题,并且还会带来与合规性相关的额外整合工作量。
因此,对于企业组织来说,控制好“私有云扩张”是非常重要的。实现资源的最佳利用——防止在享受成果的同时出现负面影响——意味着在充分理解私有云环境的基础上制定一个云整合的战略决策。在一些情况下,整合是有意义的。而在另一些情况下,企业组织可能需要维护一个以上的环境,但是他们需要从战略上重新分配在哪里进行托管。其决策应当是精确且又远见的,因为事关重大。
是什么造成了私有云蔓延?
总有一些人老是摸不着头脑,不知道一个企业为什么把实现多个私有云环境放在第一位,以及如何做到这一点,毕竟私有云不一般都是最昂贵的云模式吗?为什么一家组织会需要一个以上的私有云环境呢?在现实世界中,有很多原因会造成这一情况的出现。首先,可考虑并购活动;当组织A收购了组织B时,他们可能都已有着一个私有云。既然,两家组织要在IT层面上实现集成可能需要花费几年的时间,那么这些私有云环境将在这段时间内保持并行运行——甚至实际运行时间可能还超过这段时间。
另一种情况则是,多个松散组合的业务部门(例如,当这些业务部们都维护着独立的IT支持团队时)都开发了(或从一家服务供应商处租借了)他们自己的私有云,且互不知晓或使用目的不同。当不同地理区域的业务由不同技术团队进行技术支持时,或者当IT业务是由每一个业务部门内部进行处理时,这种情况也会发生。
最后,组织可能会从战略角度出发,考虑实施若干个私有云。请记住,私有云只是意味着一个单租户的云环境;一个私有云环境中可以驻留一个云服务供应商(CSP)。当然,很多都是在组织内部的,但是事实也并非都是如此。所以,一家组织可能会有一个或多个的内部部署私有云环境,以及一个或多个私有云托管在外部CSP或主机代管。
减量和重用?
无论私有云蔓延情况如何出现,对于安全团队来说,理解有如此多的私有云对于组织的安全状态是利是弊将是非常重要的。
我们讨论了上述的一些挑战,但说明了一点,即考虑到一家企业对于不同的应用有着多个合规性要求,私有云也可以是一件好事。例如,有一家医院维护着一个内部私有云用于临床环境,一个外部的私有云用于支付和结算系统,前者的临床环境使用的内部资源需满足HIPAA标准,因为医院有可能在这方面拥有深厚的专业知识所以使用私有云是有意义的。另一方面,PCI可能并不是其核心业务。在这种情况下,选择一家具有资质(例如,它在经批准的服务供应商列表上)的外部CSP可能具有相当高的安全性和一致性价值,而整个医院则可通过这两个私有云环境而得到更好的服务。
知道何时、如何以及是否整合私有云是一项棘手的工作。很多企业都陷入了匆忙上马整合工作,却之后只是发现为什么他们不能或者不应当实施私有云整合的有力理由。为了避免落入这样的陷阱,企业组织需要相当一些信息作为输入以便于做出这一战略决策。他们需要知道:
· 那个现有的环境
· 环境中有些什么
· 这一应用有些什么安全性方面的要求
· 目前,在该环境中已经有哪些控制/流程就位了
用户如何开始整合私有云环境?
对于很多工作来说,跨出谨慎的第一步就是发现。首先,从弄清楚现在组织中私有云环境的实际情况开始。如果你的组织属于大型企业,那么实际情况可能比你所想象的要复杂得多;你可能需要花费一点跑腿的功夫以确保对它们足够了解。通过使用一个已在你组织中运行成熟的方法来收集这一信息将是一个不错的选择,例如一个针对业务连续性规划的业务影响评估(BIA)。由于IBA接触的基本上都是大部分的业务,所以你可以使用它来同时了解私有云领域的实际情况。
接下来,你将需要针对每一个环境列举与安全性相关的注意事项。询问一些问题,具体包括:监管环境是什么?环境中包括了哪些内容?在环境中要处理什么类型的数据?
此外,对于每一个环境,可能还需要做一些具体的调研工作;回答上述这些问题需要你非常了解每一个环境。除非你的组织非常擅于保持可靠的库存(但大部分企业组织都不是),否则你将需要在每一个环境中做好摸底工作以便于获得一个可靠的列表。
最后,针对安全性做好安全、支持以及业务等需求与每个环境所提供的安全、支持以及业务等“功能”的一一映射。这意味着你将需要充分了解每一个环境,知道它们是什么。一些服务供应商可能会告诉你(或者证明给你看)这一信息是由某个需求驱动的,但是你也有可能需要做一些审核工作以便于得到答案。
数据的三个来源(当组合时)应当为你的组织提供必需的原始信息以便于让组织的决策层做出战略决策,决定是否实施私有云整合,如果确定要实施整合工作,它们应帮助你制定影响整合工作的规划。云整合本身就是一项长期性的工作,你应当做好规划,以便于你的组织能够真正地实现资源使用最大化。如果你的组织正在考虑应用程序私有云化,这个信息也将有助于他们做出最符合企业业务需求的决定。