企业的云计算合规性不能存在差异,即使采用多个云计算提供商的云计算服务,因此企业需要实现合规性目标。
合规性从来都不是一件容易的事,企业的任何一个云计算承诺都可能让合作伙伴的基础设施中的一些应用程序、数据和流程陷入困境。尤其是多云模型,它为法规遵从性挑战带来新的维度,如果不加以解决,可能会使企业的整个计划面临风险。
云合规风险将分为三类:信息安全、网络安全、法规遵从。解决这些问题是一个复杂过程,在这个过程中需要考虑偏离补救的条件,企业需要明白这一点。
毫无疑问,法规遵从性是复杂的,所以需要回顾一下使这项困难工作减轻负担的策略和工具。此外,还需要熟悉许多支持IT安全性的框架。
使用云合规性
多云合规性的起点是企业当前的合规性模型和工具。这里的第一条规则是将其方法组织成一组特定的目标,然后将企业当前的实践明确地与每个目标相关联。这将确保企业涵盖当前所有内容,并保留尽可能多的当前合规性实践。安全性和法规遵从性始终是目标,但许多用户希望实现减少成本和管理性能目标,以确保他们保护其多云业务案例。
多云是不同的,因为有多个自治托管域,每个云平台和数据中心都各有一个。多云合规性规划的目标是利用每个域中的合规性工具来完成共同任务。这意味着企业知道发生了什么(即云计算监控),并采取措施解决出现的任何问题。这些是云计算合规性过程中的条件和偏差。
此外,还应注意,多云环境中每个公共云提供商的性质和位置会影响云计算监管合规性方面的问题。企业的数据存在于特定国家/地区通常意味着遵守其管辖权,因此在企业采用更多云计算提供商的服务时,需要为遵守更多的法规做好准备。
监控是多云合规性实施的一个关键方面。多云监控工具随时可用,其中包括Bitnami Stacksmith、New Relic、Stackify Retrace和Ulia。这些将有助于收集信息。一些监控产品进行日志分析,一些使用系统探针,一些使用应用程序探针。
企业也可以使用这些产品来监控自己的数据中心托管环境。这为企业提供了大多数合规团队希望得到的统一合规策略。特定于应用程序的监视尤其有用,因为应用程序类型决定了信息类型,这是大多数信息安全和法规遵从性问题的基础。
与提供商合作
企业使用监控数据和计划目标来推动审核和修复的方式取决于其与云计算服务提供商的关系。
企业需要问一些重要问题:
- 企业的云域到底有多自治?
- 企业是将所有托管域,甚至其中几个域视为独立和并行环境?还是将它们视为资源池?
- 企业是否正在使用基本的IaaS式托管或某种托管云服务?
如果企业使用自治托管域的托管云服务,则需要协调服务合同中的云计算合规性保证,以使其中的每一个都相同。接下来,将与合同相关的监控集中在一个位置,即一种合规性控制台。到目前为止,这是处理多云合规性的较简单、较好的方法,企业的目标是简化所涉及的技术步骤。
如果企业无法通过监控一组一致的合同来协调其多云合规流程,则需要通过构建在所有托管域之上的监控或管理层进行协调。这种方法取决于企业是否在公共云中管理容器服务(通常是托管的Kubernetes),或者企业是否在云中的虚拟机上进行部署。
如果采用容器方法进行应用程序部署,则通过协调技术层实现多云合规将更容易。 Kubernetes可用于数据中心、基础设施即服务以及托管容器或Kubernetes服务。如果企业无法迁移到容器或者将它们与虚拟机混合使用,则适用相同的原则,但企业需要将DevOps工具(例如Chef、Puppet和Ansible)替换为Kubernetes编排。
企业的每个云平台都是一个单独的托管域,每个域都有自己的策略。基于先前引用的合规政策合同协调的相同工具的统一监控策略将在此处起作用。如果云计算的域是自治的,并且企业不希望在云计算提供商之间或云计算与数据中心之间进行扩展或故障转移,则这种常见的监控方法应该足够了。企业将希望结合前面描述的多云监控策略来完成这项工作。
如果企业计划将多云用作资源池,则需要考虑创建一个企业范围的策略集来描述如何移动应用程序和数据。这有时被称为Kubernetes域的联盟,它得到了谷歌新的Anthos服务以及Cloudify、Netapp、Platform9、Rancher和Terraform的支持。通过在域策略之上分层全局策略来创建联合。
策略控制的域联合将统一所有域的合规性流程,这意味着统一多云环境。一旦企业采用合同或联合协调合规性,在多云合规性方面还有一个需要解决的问题,即托管域之外的东西,但同样重要的是:网络。
安全地公开资产
每个云计算提供商都会将内部元素分配给私有IP地址,然后提供网关机制,将外部访问的组件的API映射到公共地址空间(如公司VPN或Internet)。这些资产如何公开是合规性的一个关键问题,因为与应用程序资产的非法连接肯定会危及信息安全。
企业遵循一些简单的规则来正确建立网络:
- 永远不要公开不会在托管域外部访问的API。没有暴露的东西不需要提供特殊保护。
- 在公开API时,通过API代理或类似工具提供访问安全性,尤其是当它暴露为允许与多云的另一部分中的组件连接时。
- 确保明确监视每个公开的API。这允许其用于记录,并且它检测任何滥用情况。具有显式连接控制的SD-WAN产品可能是企业的网络计划中的一个重要元素,因此需要仔细查看其选项,以确保所选产品能够支持云托管,并支持显式连接权限和优先级策略。
作为云合规性讨论的最后一点,请记住采用多云策略存在业务和技术原因。重要的是要根据多云部署的复杂性来衡量这些优势,并确保企业的多云应用都受到其应用程序部署模型的保护。获得这些好处也是一个多云合规性目标。