雲端平台的治理/風險控管/合規 part 3

雲端平台上的治理

前兩篇我們提及了雲端的益處,這一篇我們要談一下在雲端平台上的治理(governace).

再談雲端平台的治理前,我們需要先了解一下雲端平台的特性.根據美國國家標準暨技術研究院(NIST)的雲端運算定義.(也包含您的私有雲.也有是說若您的地端機房也符合這些要件也可被稱為雲端平台)

Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

由上面NIST對雲端運算的定義,雲端運算是是隨手可得的運算資源,無論你身處何時何地都可以隨時取用,就像開水龍頭這麼簡單.但太過簡單也造成了一些管理/治理上的問題.我們就雲端這些特性來看會造成的問題有哪些.

  1. 資源隨時可以取用 —- 以往傳統的IT環境若想要建置運算資源,這裡指的運算資源大概是從需求發起,採購相對應的軟硬體,評估,採購,建置,測試..等等.到了服務建立好要開始運作可能就是幾個月後的事了.這種運作的好處是所有相關單位能很清楚的了解到這些需求是要做什麼用的以及所需要的相關費用,公司能很清楚預估.但若您所處的產業來自客戶的需求是很高度變動的.哪您可能很不樂見此種狀況經常發生.雲端資源的隨選即用特性就會解決剛剛說的此種狀況,但是也因為隨選即用,IT管理者能說開就開起這些運算資源,沒有像在一般IT的流程能夠很清楚的讓相關單位知道或是預估可能的費用.可能等到下個月收到帳單後才知道花費.在這一部分我們需要建立好相關的 (1.)資源啟用流程,以便能讓相關單位都能瞭解現行的需求及得到核可.而IT部門也可能需要平常有一些 (2.)歷史數據能才夠預估所需要的資源花費.雲端平台的流程控制需要被考慮.
  2. 雲端平台的角色制定 –根據上一點延伸出來,因為有流程所以各類的角色在雲端雲台的的權限就會要被制定以便能清楚定義流程明確的定出責任歸屬及當責制度. 例如平台管理者/軟體架構師/平台架構師/資料管理者/資料架構師/開發團隊/維運團隊等等..可以做哪些事不能做哪些事以及需要哪些事需要核可等.並在在流程管理特性及雲端特性做出平衡.若您的公司有導入ITIL服務,哪這一類角色/流程制定就不會太困難或陌生.
  3. 隨選即用所需要網路控管–雲端運算的特性讓你無論身處何地都可以隨時取用,所以網路的控管也變得極度重要.因為若沒有做好相對應的控管,ㄧ些惡意人士取得掌控權,輕則讓您下隔月帳單多花錢(開一堆機器挖礦採比特幣),重則刪除掉您的平台及資料.大部分的人大概都會想到用帳號及複雜密碼來控制.但現今的網路環境恐怕已無法應付.需要額外的方式加強管控,例如加上二次驗證/限制來源ip/制定資源政策等等都需要在整個平台作業流程中逐項檢討與制定反制措置.並定期檢視做到P.D.C.A的模式.
  4. 做好資訊/資料的分級/ 分類 — 雲端上最重要的部分應該是您的”資訊/資料”了,在雲端環境中如何有效控管您的資料,例如資訊的分級/分類,管理政策,授權,監管,加密等甚至是資料所在地的法令法規,因為有可能您的雲端機房不在台灣,目前國際大廠在台灣雲端機房就只有Google, 若您的產業是高度監管的行業屬政府高度監管.這一類的議題就被必須考量進去.
  5. 做好災難復原的準備 — 雲端平台的跟您的地端機房ㄧ樣也是會失效的.而且衝擊面可能會比地端機房更大更廣.另外雲端機房本身並不是您所管控,也無法知道何時回復正常.故如何做好雲端的災難復原計畫並定期演練就相對重要.針對”災難復原”,有些人會將私有雲作為主要機房公有雲為備援機房.至於雲端備援是hot site/warm site/ clod site取決於 貴公司的RTO/RPO來決定.也有人是將公有雲G業者當成主要機房,A業者當成備援機房.更有甚者能做到兩個雲端平台同時服務客戶,讓災難發生時衝擊減至最低讓客戶沒有感覺有任何狀況發生.

最後,IT人員的管理心態將至為重要,在地端機房的管理模式哪種看的見摸得到的資產,轉化成看不見摸不到的資產.雲端日常管理工作將與地端會有很大的不同.IT技能與心態需要大幅的轉變.

發佈留言