云圖集:構(gòu)建云服務(wù)提供商目錄
作為技術(shù)人員,我們都知道企業(yè)正在不斷的增加云計算的使用。越來越多的IT專家現(xiàn)在也意識到,在企業(yè)IT架構(gòu)之外,更多云應(yīng)用會出現(xiàn)。比如,個人業(yè)務(wù)單元會直接同第三方云提供商合作,沒有直接介入IT,而實現(xiàn)了這種客戶關(guān)系。
結(jié)果,最可能出現(xiàn)的是單一的企業(yè),出于不同的目的,和不同的云服務(wù)提供商建立了多種關(guān)系。這些服務(wù)提供商可能忙于實現(xiàn)所有的功能,從基礎(chǔ)架構(gòu)即服務(wù)(IaaS)IT消費(fèi)化(比如,災(zāi)難恢復(fù)、按需容量改善、虛擬測試平臺等等),到應(yīng)用支持服務(wù)(PaaS),企業(yè)內(nèi)部開發(fā)者可以部署應(yīng)用和組件開發(fā)到外部托管的應(yīng)用(SaaS),直接實現(xiàn)不同的業(yè)務(wù)部門的業(yè)務(wù)需求支持。
從業(yè)務(wù)部門的觀點(diǎn)來看,可能有一些預(yù)期的優(yōu)勢,比如服務(wù)交付即時性,但是從技術(shù)治理的角度看,就會導(dǎo)致問題。其中一項挑戰(zhàn)就是個人業(yè)務(wù)單元很少彼此協(xié)作,來確認(rèn)他們正在從同一個提供商購買類似的服務(wù)。從安全和法規(guī)遵從的視角來看,造成了確保每一個廠商合適的審查以及管理的挑戰(zhàn),法規(guī)遵從問題則關(guān)乎敏感數(shù)據(jù)和法規(guī)數(shù)據(jù),只能發(fā)送給企業(yè),而且要能以安全控制的方式來審批。
服務(wù)目錄價值
盡管一些配套齊全的企業(yè)正準(zhǔn)備著手管理企業(yè)業(yè)務(wù)使用的多種云服務(wù)提供商,大多數(shù)企業(yè)卻并沒有這么做。由于很多這種關(guān)系都涉及了存儲規(guī)定或者敏感信息,或從業(yè)務(wù)連續(xù)性角度看,數(shù)據(jù)對于業(yè)務(wù)是關(guān)鍵的,對這些關(guān)系不施以合適的治理,就會導(dǎo)致潛在的安全和法規(guī)后果。此外,因為這些關(guān)系可能出現(xiàn)在IT外部(多個源頭),存在邏輯負(fù)載型,因為這些關(guān)系可能并不能很好的適用于以前的治理模型。
圍繞服務(wù)提供商關(guān)系構(gòu)建一個目錄,可以協(xié)助二者更好的管理潛在風(fēng)險,為進(jìn)一步的戰(zhàn)略云計算應(yīng)用計劃實施奠定基礎(chǔ)。首先也是最重要的,這個目錄幫助企業(yè)識別和文檔化正在使用的不同服務(wù)提供商。這很有幫助,因為服務(wù)本身不是靜態(tài)的,也不是關(guān)于他們在企業(yè)中如何使用的。記住服務(wù)提供商,就像是組織機(jī)構(gòu)一樣,會不斷改變其提供的服務(wù),他們可能升級了安全控制,導(dǎo)致了宕機(jī)時間,或者成為違規(guī)的犧牲品,或者一個組織機(jī)構(gòu)決定擴(kuò)展使用的提供商的范圍。為了管理這些,需要進(jìn)行核心集中監(jiān)督。
一個架構(gòu)化服務(wù)提供商關(guān)系目錄意味著很多事情。能夠協(xié)助企業(yè)確定每一種關(guān)系的具體所有者,比如,誰簽訂的這項服務(wù)就來對這項用例負(fù)責(zé)。也要幫助保持與服務(wù)提供商產(chǎn)品更新保持一致,協(xié)助本地區(qū)域潛在的整合實現(xiàn)。比如企業(yè)可以利用服務(wù)提供商來部署更多,這都要進(jìn)行協(xié)商,或者對比不同產(chǎn)品的效果。簡而言之,追蹤云服務(wù)提供商關(guān)系對于企業(yè)來說,和追蹤第三方關(guān)系具有同樣的價值。
構(gòu)建詳細(xì)目錄
在將這些結(jié)構(gòu)化目錄放到一起之前,要找出大型企業(yè)中云服務(wù)用例的全部范圍,這確實是一項額外的挑戰(zhàn)。可能最簡單的方法就是找到那些維護(hù)這些歷史慣例的清單,編制出一個當(dāng)前廠商關(guān)系目錄。然而,這樣做可能只能編制出一個真?zhèn)€網(wǎng)絡(luò)的子目錄。因為很多云服務(wù)提供商對于任何的客戶都非常易用,其產(chǎn)品可能只需要用信用卡交易就能支付實現(xiàn),這就很難追蹤。有一些還針對一些用例免費(fèi)。
實施云服務(wù)發(fā)現(xiàn)流程最好的辦法就是查詢企業(yè)內(nèi)所有不同的業(yè)務(wù)、技術(shù)和支持團(tuán)隊,確定他們使用的用例是什么,包括正在使用什么服務(wù),如何使用。
比如,如果針對企業(yè)可持續(xù)發(fā)展計劃(BCP)的商業(yè)影響分析實踐是定期管理的,收集云服務(wù)使用的用例,對于自動化這個流程也有幫助,減少了一些問題。或者,在應(yīng)用風(fēng)險回顧中詢問目標(biāo)問題,也有助于新計劃和業(yè)務(wù)流程的回顧。
從個體收集數(shù)據(jù)時,記住很多用戶對于“云”是什么并沒有概念。比如,如果你問一個問題“你使用什么云服務(wù)?”,他們可能不理解像SalesForce這樣的工具就是云服務(wù),因此他們也不會提供你尋求的數(shù)據(jù)。相反,要問一些更合適的問題,“比如哪家公司托管和管理XYZ服務(wù)?”如果他們不知道答案,至少你知道下一步工作的方向。
底線
在企業(yè)中將云服務(wù)提供商目錄放在一起是一項生產(chǎn)性實踐,允許管理者對比他們正在審查和批準(zhǔn)的關(guān)系,評估具體的用例類型以及對象可能要求遵守的法規(guī)環(huán)境。此外,在先關(guān)的調(diào)查中,可靠的目錄格外有用。
