云实施已成为大多数企业组织的趋势。虽然企业界目前正在大规模使用公有云,但私有云部署仍然是很多大型企业的主要选择。虽然一些数据显示私有云的使用量呈下降趋势,但经过这几年的积累,私有云的存量不容小觑;对于一些大型企业(比如世界500强企业)来说,维护几十个独立的私有云环境并不是很困难。但是,这也带来了很多潜在的安全问题。也就是说,当环境范围重叠时,可能会出现资源使用效率低下或未优化的情况;多个环境略有不同时的安全和维护问题;或在这种情况下,与安全策略存在明显差异;它会产生架构和性能问题,并且还会引入与合规性相关的额外集成工作。因此,企业组织对“私有云扩容”的掌控就显得尤为重要。实现资源的最佳利用——在享受收益的同时防止负面影响——意味着在充分了解私有云环境的基础上做出云整合的战略决策。在某些情况下,合并是有意义的。在其他情况下,组织可能需要维护多个环境,但他们需要从战略上重新分配托管位置。它的决定应该是准确和有远见的,因为风险很高。是什么导致私有云蔓延?总有一些人,总是一头雾水。他们不知道企业为什么要把多私有云环境的实现放在首位,以及如何做到这一点。毕竟,私有云并不是普遍可用的。它是最昂贵的云模型吗?为什么一个组织需要多个私有云环境?在现实世界中,出现这种情况的原因有很多。首先,考虑并购活动;当组织A收购组织B时,他们可能都已经拥有私有云。由于这两个组织可能需要数年时间才能在IT级别进行集成,因此这些私有云环境将在此期间保持并行运行——甚至可能更长。或者,多个松散分组的业务部门(例如,当业务部门各自维护独立的IT支持团队时)已经开发(或从服务提供商处租赁)他们自己的专有云,并且彼此不了解或使用不同的目的。当不同地理区域的业务由不同的技术团队支持时,或者当IT操作由每个业务部门在内部处理时,也会发生这种情况。最后,组织可能会战略性地考虑实施多个私有云。请记住,私有云仅意味着单租户云环境;单个云服务提供商(CSP)可以驻留在私有云环境中。当然,其中很多是在组织内部,但情况并非总是如此。因此,一个组织可能在本地部署了一个或多个私有云环境,并在外部CSP或主机托管处托管了一个或多个私有云。减量化再利用?无论私有云如何蔓延,安全团队都必须了解拥有如此多的私有云对组织的安全状况是好是坏。我们讨论了上面的一些挑战,但指出私有云也可能是一件好事,因为企业对不同的应用程序有多种合规性要求。例如,医院为临床环境维护一个内部私有云,为支付和计费系统维护一个外部私有云。之前临床环境使用的内部资源需要符合HIPAA标准,因为医院可能在这方面有很深的了解。专业知识,因此使用私有云是有意义的。另一方面,PCI可能不是其核心业务。在这种情况下,选择一家合格的外部CSP(例如,它在认可的服务提供商名单上)可能具有相当大的安全性和一致性价值,同时整个医院可以通过这两个私有云环境访问并获得更好的服务.了解何时、如何以及是否集成私有云可能是一件棘手的事情。许多企业急于着手进行集成工作,结果却发现了一个令人信服的理由,说明他们以后不能或不应该实施私有云集成。为避免落入此类陷阱,业务组织需要大量信息作为做出此战略决策的输入。他们需要知道:?现有环境是什么?环境中有什么?此应用程序的安全要求是什么?该环境中当前有哪些控制/流程用户如何开始集成私有云环境?对于许多工作,谨慎的第一步是发现。首先,首先了解您组织的私有云环境的现状。如果您的组织是一家大型企业,实际情况可能比您想象的要复杂;您可能需要做一些跑腿工作以确保您很好地理解它们。最好使用组织中已在运行的行之有效的方法来收集此信息,例如用于业务连续性规划的业务影响评估(BIA)。由于IBA基本上是接触了大部分业务,你可以通过它同时了解私有云领域的实际情况。接下来,您需要为每个环境列举与安全相关的注意事项。问一些问题,特别是:监管环境是什么?环境包括什么?在环境中处理什么类型的数据?此外,对于每个环境,可能需要做一些特定的研究工作;回答上面这些问题你需要非常了解每个环境。除非您的组织非常擅长维护可靠的清单(而大多数企业组织都不是),否则您将需要做好每个环境的映射工作以获得可靠的列表。***,为了安全,在安全、支持、业务需求和每个环境提供的安全、支持、业务等“功能”之间做一个一对一的映射。这意味着您将需要充分了解每个环境以了解它们是什么。一些服务提供商可能会告诉您(或向您证明)这些信息是出于需求驱动的,但您可能还需要做一些审计工作才能得到答案。这三个数据源(合并时)应该为您的组织提供必要的原始信息,使您的组织的决策者能够做出关于是否实施私有云集成的战略决策,如果是,它们应该帮助您制定影响集成的计划努力。云整合本身就是一项长期工作,您应该为此做好规划,以便您的组织能够真正最大限度地利用资源。如果您的组织正在考虑私有应用程序云,此信息还将帮助他们做出最适合您的业务需求的决策。
