:
https://yqh.aliyun.com/live/cloud_governance_center背景
雲計算經過十多年的發展,從基礎的IAAS,大資料,到各種的PaaS有豐富的産品和生态,非常有效地助力了業務增長和技術創新,并提高了業務的效率。最直覺的感受是過去需要幾天到一個月的資源傳遞,現在隻需要秒級就可以實作。
但在獲得雲的高效的同時,我們也會發現很多企業因為缺少統一的管理治理規劃會遇到以下這些問題:
- 第一類是身份風險。例如出現風險操作沒有辦法追溯到責任人,或把AK寫在代碼裡面,不小心洩露出去,導緻IT資産被黑客控制,又或是員工離職後不能及時收回權限,員工進行惡意操作等這些都是身份領域可能會遇到的風險。
- 第二類是成本失控。常見的問題是企業上雲之初沒有管控,多員工進行雲資源無限制的購買,造成成本失控。或企業資源從屬于多個賬号,因檢測困難造成資源閑置、無法複用的問題。
- 第三類是管理挑戰。例如沒有好的規劃,運維人員因為業務的需要随意申請一些網絡,導緻出現網段的沖突。又例如沒有标準化的規範,導緻隻能夠人肉運維,無法自動化,穩定性受到挑戰,整體運維效率低。
- 第四類是合規上的風險。由于國家的監管要求會越來越嚴格,做等保合規的時候,很多企業才發現其實自己有很多漏洞。那這些漏洞其實是上雲之初沒有做好合理的規劃,沒有設定安全基線導緻的。
那企業如何盡量避免這些風險,進而高效快速的進行雲落地呢?
上述這些問題表面上看起來分散,但是在實踐過程中,是否統一規劃治理會對企業上雲效率帶來較大的影響。阿裡雲在服務衆多企業客戶過程中,總結發現企業客戶上雲存在以下兩種類型:
- 一類是治理優先型企業,例如較成熟的跨國企業,由于IT 管理方面已有較成熟的經驗和體系。是以在上雲之前,就會向阿裡雲提出非常準确的 IT 管理需求,把網絡合規安全、财務和運維等基礎的治理架構在業務上雲前搭建好,之後在上雲的過程中就可避免上述這些IT治理的問題,可快速的傳遞資源,更快的享受雲的高效便捷,實作雲價值的最大化。
- 另外一類是業務優先型企業,例如網際網路企業,由于處于業務增長期,更加看重業務的靈活性。如果在上雲的初期沒有做統一的治理規劃,在業務上雲的過程中,問題就會逐漸暴露出來,比如身份洩露,網絡位址沖突等,這時就需要投入大量的人力物力不斷的修補這些問題,影響業務雲上傳遞的效率。另外,在修補的過程中,如果沒有長遠的考量,隻是臨時制定方案去解決問題,可能會為未來留下更大的隐患,整體的上雲曲線會更加漫長。
從以上兩類客戶的分析可以發現,無論客戶是業務優先還是治理優先的方式上雲,都需要從上雲初期有統一的治理管理規劃,才能夠讓企業在雲上的IT管理更加順暢。
那這個治理管理的規劃是否有方法,如何在企業中落地?雲治理中心就是我們實施落地的重要産品。
雲治理中心定位
雲治理中心是為企業提供統一的雲資源管理治理的平台。一方面雲治理中心提供友好的向導,可以降低學習門檻,一站式快速搭建LandingZone上雲架構。
另外一方面雲治理中心提供了對治理情況的持續觀測跟蹤,當企業的業務、合規要求發生變化的時候,便于維護和更新,保障雲上環境始終能夠符合企業的需求。
雲治理中心的核心功能
具體來說,雲治理中心具備以下這些核心能力:
- 第一個是幫助企業分析目前的治理現狀,一般作業系統都有一個root或者admin管理者賬号。但在阿裡雲上,我們建議客戶使用多賬号的管理結構,需要建立一個最高權限雲賬号,稱為master賬号,它可以管理整個企業的雲資源。這個賬号的安全要求非常高,是以如何決策非常關鍵。對于初次上雲的企業,雲治理中心可以把目前的空白賬号設定為管理者賬号。對于已經在雲上開展業務的企業,雲治理中心可以分析目前的賬号情況,幫助客戶決策是否需要優化,或者要建立一個新的管理賬号。
- 第二個能力是自動化配置多賬号環境,多賬号是landingzone上雲架構的基礎,雲治理中心可以幫助客戶規劃目前的多賬号結構,包括商業關系,資源目錄,和必要的職能賬号,如日志、共享服務賬号等。
- 第三個能力是設定合規基線,很多客戶有合規的需要,但是不知道應該如何設定,哪些是必要的合規規則。雲治理中心會給企業推薦可用的合規規則,主要利用阿裡雲的配置審計的能力和管控政策的能力,這些規則政策會自動應用到企業下的所有賬号,不需要客戶對每個賬号都進行配置,能夠保障企業中所有的雲賬号都受到監管,進而降低業務風險。
- 第四個能力是正在開發的賬号建立能力,稱為賬号工廠。在最佳實踐中,我們建議每個獨立的業務單元都建立一個賬号進行管理,友善結算、資源和權限的隔離。但是一個新的賬号要受到企業的監管并且需要預先設定企業的合規配置,比如安全組、标簽、使用者角色等,是比較複雜的過程。通過雲治理中心的賬号工廠,可以很便捷的建立一緻的合規雲賬号,快速傳遞給業務團隊使用。對于業務團隊而言,他們拿到這樣的賬号,不需要過多關心安全、網絡和資源的合規權限,隻需要專注業務的需求建立雲資源 ,把業務遷移上雲即可。
- 第五個功能是可持續治理,通過雲治理中心監控企業中所有賬号資源是否合規,包括企業資源目錄是否被改動,是否有私自建立的權限,是否有哪個賬号不符合基線要求出現了風險,哪個賬号有欠費等。另外在雲治理中心可以提升資源跨賬号的可觀測性,管理者能夠觀測到企業所有資源的分布情況和變化趨勢。
雲治理中心的場景
從場景上看,當企業遇到以下問題的時候,可以通過雲治理中心進行統一的治理。
第一個是有大量的賬号缺少統一管理。由于各個雲賬号分屬各個業務線管理,企業無法獲知到底有多少賬号,這些賬号管理不善可能導緻企業資料的洩露。
第二個是企業的員工賬号管理混亂。企業部分賬号存在過大授權,離職員工賬号沒有統一回收,導緻可能存在被惡意操作的風險。
第三個是企業需要符合内外部監管的要求,對日志進行統一歸集,設定統一的合規規則。
開通
以上介紹了如何使用雲治理中心搭建統一的IT治理環境,大家若感興趣可以通過在阿裡雲官網搜尋“雲治理中心”開通試用。