事实表明,企业不仅可以在公有云环境中安全运营关键工作负载,而且还可以减轻IT合规性负担。
毫无疑问,公有云提供了更高的速度、敏捷性、可扩展性、按需付费,以及基于消费的定价。这些是大多数想要更好地运营业务并采用云计算新的业务模式的企业正在寻求的属性。大多数企业将数字化转型视为创新和创造差异化价值的基础,他们也意识到IT基础设施现代化是数字化转型的必要条件,而公有云为基础设施的现代化提供了绝佳机会。很多企业在公有云上运行一些主要工作负载。然而在金融服务、保险或电信等受监管行业,在采用公有云运营关键工作负载的速度方面通常落后于中小型企业。有许多知名的初创公司在云中诞生。然而,很少有企业将关键型工作负载广泛应用在公有云。
企业级计算在公有云上全面应用的障碍常常围绕着企业级、加固的计算环境的需求而被提及,该运营环境围绕安全性、隐私性、合规性、弹性和运营准备度提供持续的保证。公有云提供商具有良好的物理安全性,并且有更多安全运营的证据,可与企业的内部部署数据中心相媲美。云计算提供商迅速采取行动以应对其负责的云平台出现的安全威胁。然而,在应用程序的运营环境中,通常认为拥有工作负载的客户有责任处理有关安全和数据保护的保证,但对控制的一致性并不总是那么可靠。云计算提供商在过去通常是提供各种低成本、低消费壁垒的计算平台,而不一定是为个别客户强化应用程序工作负载环境。一些云计算提供商已经认识到企业级计算对于运营环境的需求,并开始为这样的工作负载认证他们的环境。
多年来,很多企业已经在内部部署数据中心开发和强化了运营环境,这些环境符合他们对安全性、合规性、性能、弹性、灾难恢复等方面的控制要求。很多企业尝试在公有云中寻找相同类型的运营环境,并且经常由于缺乏对在那里运行的工作负载的透明度和控制度而受到阻碍。因此,很多企业不愿意迁移到公有云。各种研究表明,在已迁移到云平台的关键企业工作负载中,这一数字不到30%。企业花费了数年时间来开发一个他们现在可以信任的环境,并确信这是一个完全由他们控制的安全操作环境。他们普遍的感觉是,这种受控的环境无法复制到内部部署数据中心之外。随着云计算服务提供商意识到需要更加关注为客户的应用程序工作负载提供企业级计算的运营环境,这种看法正在发生变化。公有云提供商越来越意识到他们需要提供满足企业计算需求的运营环境,并正在采取措施提供被认为值得“受监管的工作负载”的运营环境。
实际考虑
为了缓解和降低进入公有云的风险,并开始实现快速上市,企业需要考虑以下一些问题:
(1)从证明其运营环境可以轻松满足和展示符合行业标准的IT控制应用的云计算提供商开始。例如,很多企业寻求采用与治理、风险和合规性(GRC)管理相关的行业最佳实践的云计算提供商合作,并已建立一个受控框架,以确保可追溯性和控制符合性的证据,以及持续的合规性。企业应查看为自己的数据中心工作负载实施的控制,并将其映射到云计算提供商环境中的控制,以查看这些控制是否已经到位,或者在持续合规性的情况下建立所需控制的速度有多快。在通常情况下,企业应用程序需要几个月的时间才能通过认证以投入生产。在公有云环境中,已经有一个框架来建立对客户工作负载以及云平台提供服务的企业控制的合规性,可以显著地减少这一时间以实现云计算运营环境的真正好处。
(2)企业应为其团队制定一份全面的风险和控制评估手册,可以管理确定控制范围、数据分类、合规要求、准备情况评估和验收标准。这一手册将有助于避免每个团队从头开始。企业应根据工作负载和数据存储特性集中评估控制措施。这应该使用云计算提供商的评估框架来完成,而不是让分散在风险和合规范围内的小组来查看他们的控制措施是否与其他小组重叠,并且通常以人工方式使用不同的电子表格。
(3)企业架构师和基础设施架构师应利用由云计算提供商提供的参考架构来设计弹性、安全的环境,并从转型项目的蓝图阶段开始规划生产级准备。他们应该规划管理区域和工作负载区域的明确分离,以便在环境中建立明确的职责分离,并且管理活动可以与生产活动区分开来并且易于审计。应用程序团队在构建应用程序后经常会面临这一事实,这导致许多周期被用于生产环境的重新设计。云计算由于其灵活性,使其使用和资源配置变得非常容易。但是,如果事后对运营环境进行了强化,则可能会导致应用程序在最终用户面前出现显著延迟。
(4)企业应该建立一个轻量级和敏捷的治理框架,创建和推广经过验证的公有云基础设施和服务的使用模式,这些基础设施和服务经过强化和审查,并符合企业自身的控制。公有云有一个庞大的目录,包含数百种具有不同成熟度的服务,通常来自各种第三方提供商。在通常情况下,大多数工作负载会根据企业中现有的稳定性、受欢迎程度和技能基础使用这些服务的一小部分。作为公有云之旅的一部分,企业应建立自己的内部的云服务目录,并为其应用程序团队提供指导。随着其他使用模式的确定,该目录应该不断发展和补充。企业应该进行自己的概念验证,以从安全、隐私和合规性角度评估使用的可行性,然后再将其开放给应用程序团队广泛使用。关键方面包括使用诸如本机加密和保留密钥、传输级别加密等构造的服务,以及多个云计算提供商区域中的可用性。这些关键方面是建立强化运行时环境所需的良好属性。
(5)企业应采用公有云中现成的众多工具进行安全开发和部署的实践。云计算提供标准的构建和部署管道、内置漏洞检查和静态代码分析。企业应指导应用程序团队在开发生命周期的早期引入安全原则。企业不应仅仅将工作负载从现有运营环境中迁移出来,并将其特征反映在公有云上。相反,他们应该灵活地重新设计,并构建成为独立的可扩展、可观察、有弹性、功能不同的组件。降低公有云的成本不应始终是决定性因素,在获得速度和敏捷性的同时需要优先考虑安全性、合规性和可审计性。
结论
本文探讨了在风险管理、合规性、安全性、隐私和运营弹性方面使用全面的企业范围方法。通过这种方法,企业不仅可以在公有云环境中运营其关键工作负载获得信心,而且还可以在他们踏上公有云之旅的过程中减轻IT合规性负担。