企业上云的现状与趋势

云计算,如今已经成为了像水和电一般关系到国计民生的国家基础设施。云计算为企业带了前所未有的资源交付效率和运维效率的提升,同时也用全新的技术帮助企业在新的价值网络中创造新的商业赛道、挖掘新的商业模式。越来越多的企业开始主动或被动地尝试使用云,而那些已经尝到云“甜头”的企业在加速上云节奏,不断将创新业务、非核心的企业业务、乃至企业核心业务逐步迁移上云。

企业的上云步骤,一般可分为“尝鲜”和“云化”两个阶段。

  • 在“尝鲜”阶段,企业初始做云化,一般会从开发测试环境开始,或者选择企业的创新业务、非核心业务去尝试构建云原生应用,尝试云产品,对比不同云服务以及基础设施架构。
  • 在“云化”阶段,企业对基础设施进行改造,在企业信息安全和成本控制允许的情况下,将更多业务迁移到云上来,既要兼顾企业云上业务发展的便捷、高效与速度,同时需要帮助企业在云上的安全管控、成本优化等做好保驾护航。

在“云化”阶段,随着企业云上业务量的增加、云上业务对企业的重要性或者核心程度的增加,对于有着多年内部 IT 管理业务和经验的企业来说,原来“深藏不露”的企业 IT 管理部门势必被推到云上管理的前台,配合业务部门,为企业在云上的资源购买和使用、云上业务应用或服务等提供云上 IT 运维管理和支持。随之而来的,还有企业的财务与安全合规部门,他们将对企业在云上的业务从财务管控和安全合规风控的角度提出不同的管理要求。企业在追求效率和速度的同时,不得不考虑统一管控、安全、成本控制、自动化、性能等企业管理视角的业务需求。

比较常见的场景是,当企业在“尝鲜”阶段享受到上云的好处、做出更加大规模的上云决策后,IT、财务、安全等一个或多各部门逐步介入,在保证企业用户能够简便、高效使用云资源、云服务的同时,确保企业用户在云上的行为符合企业内部的IT规定、成本控制、以及安全规范。与此同时,还需要实现企业原有的 IT 管控流程、运维人员和检验标准与云上业务的有效集成、而不至于在同一家企业内部形成管理断层。

企业云上管理的问题

当企业的业务逐渐上云,参与云的团队人数增多,云上使用的资源数量也大幅增加,随之带来的是管理复杂度的增加。其中,企业IT部门最头疼的问题包括:

  • 云上的安全风险
    初期上云许多企业,为了追求速度,缺少最基本的安全安全策略。例如所有员工共用主账号的用户名和密码,所有员工都具有管理员权限,用户的身份缺乏统一的管理等。员工离职带走密码,或者用户名密码泄漏,对企业IT设施是致命的打击。
  • 资源管理的混乱
    在“尝鲜”阶段,少量团队在云上做最初的尝试,对于资源管控的需求很弱。当云上的资源迅速增加,大量的资源混在一起无法区分,IT部门对于不同组织结构、不同项目所消耗的云资源和产生的成本无法提供足够的信息。使用云资源的不同部门也无法只管理“自己”的资源。种种问题,让IT部门备受压力,企业开始思考是不是云并不适合所有企业。
  • 云上的成本浪费
    企业在云上的成本主要来自资源的成本和运维人员的成本。闲置的资源和低下的运维效率都会造成成本的浪费。

云上 IT 治理框架

不同类型、不同规模的企业在云上的管理复杂度也不尽相同。管理复杂度通常取决于公司研发运维的人数、组织架构的复杂度、云上资源的规模、IT供应商的数量等等。为了解决云上IT管理所面临的问题,阿里云提供相应的访问控制、资源管理、财资管理、合规管理等能力。这些能力可以单独或结合起来使用。

阿里云IT治理能力说明

资源管理

资源管理是云上IT管理的核心。企业中的应用(以及应用所对应的IT资源)通常会按照类似组织结构的方式进行划分。不同部门会对应着不同的应用;也有的企业按照产品线、产品的方式划分。
和公司的组织结构一样,资源的组织结构通常也成树状。阿里云资源管理服务可以帮助企业映射组织关系和应用的结构。通过资源目录,企业可以定义:

  • 资源夹:资源夹对应组织的具体结构,不同的结构可以作为账单、管控的单元。
  • 资源账号或云账号:用来代表应用、服务(一组应用),或者应用的生产、测试环境。

下图为阿里云在资源结构划分的示意图。

阿里云资源管理服务同时提供账号内资源组的管理。云账号的所有者可以对账号内的资源进行进一步的划分,以满足权限分离的需求,从而提高多人协作的效率。资源的分组通常可以按照应用的模块,例如Web前端,服务后端,网络等。

在简单管控模型中,也可以直接将云账号使用为部门,并使用资源组来划分应用。

访问控制

和资源管理平行的是对身份的管理。企业的组织结构通常代表着企业对于职能,业务,地域的划分,呈树状结构。企业对于组织、身份通常使用既有的管理系统进行集中管理,例如员工的入职、离职、密码、汇报关系等等。在使用云的过程中,使用云的人员需要在云上有相应的身份,并被授予相应的权限去访问云上的环境。

阿里云用来管理身份权限的产品叫访问控制。访问控制提供两种身份管理的方式:没有本地人员管理系统的企业,可以直接使用阿里云的用户、用户组对人员的身份进行管理;有本地人员管理系统的企业,可以使用访问控制中SSO(单点登录)功能,链接本地身份和阿里云身份。

在我们服务大型企业的过程中,发现很多企业已经使用身份认证系统,如微软Active Directory, Azure Active Directory, Okta等,并且希望人员的管理依然在原有的身份认证系统中。阿里云提供两种SSO的方式:

  • 角色SSO:IT管理员预先在阿里云上创建管理角色,如“管理员”,“运维”,“监控”,并为角色分配对应的权限。在企业身份认证系统中,不同的用户会映射到不同的角色。阿里云上无需进行用户同步。
  • 用户SSO:IT管理员同步本地人员登陆信息到阿里云,并在阿里云上创建用户组以及管理权限。

以下示例为使用角色SSO登陆阿里云:

资源、人员的问题解决后,IT管理员可以对人员权限作出规划。【访问控制】中的权限策略提供了常用的系统策略,同时支持用户自定义权限策略。权限策略定义了用户可以执行操作,以及执行的条件。
阿里云【访问控制】支持三种级别的授权:账号级别,资源组级别,资源级别。
权限控制中需要注意的问题是:

  • 控制Root账号。Root账号具有所有的权限,因此也带来更大的安全隐患。通常情况下,您无需使用Root账号。
  • 授权策略遵守最小够用原则。
  • 在较高的层次授权来减少管理的复杂性。尽可能使用账号或资源组级别的授权。

审计与合规

虽然有了授权机制让使用者没有权限做不符合企业规定的事情,但在权限范围内使用者依然有可能由于多种原因作出错误的操作。因此,审计作为IT部门最后一道防线,记录所有发生的事情。一旦发生不符合预期的事情,IT部门有可以调出历史记录,追溯事故发生的原因。另一方面,为了避免事故发生,企业根据业界标准和企业过往的最佳实践,制定出内部IT规定,例如密码策略规定,公网访问规定等。 这些规定需要系统化的方式被监控,确保企业时刻处于“合规“的状态。 阿里云在审计和合规方面提供丰富的能力。

操作审计

操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。通过ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。
ActionTrail收集云服务的API调用记录(包括用户通过控制台触发的API调用记录),规格化处理后将操作记录以日志的形式保存到指定的日志服务Logstore中,或者以文件形式保存到指定的OSS存储空间。用户可以使用存储产品丰富的管理功能来管理这些审计数据,比如授权、开启生命周期管理、归档管理、检索、分析、报警等。

配置审计(Cloud Config)

配置审计是本次云栖大会发布公测的重量级产品。它为您提供您在阿里云上的资源列表、当前配置快照、历史配置快照等信息,帮助您了解资源配置的历史变更详情。同时它还支持您配置合规审计规则,来监控资源部署和资源配置的合规性。当您的资源配置发生变更时,Config会将变更快照以文件的形式保存到您指定的OSS中。当出现“不合规”情况时,Config将按照您的订阅设置向您发送告警。帮助您在面对大量资源时,轻松的实现基础设施的自主监管,持续保证合规性。

财资管理

企业作为一个整体通常在财务方面有统一的管理。常见的两种场景是:

  • 统一支付:绝大多数的企业用户和云厂商已企业维度进行结算。对应的阿里云提供资源目录下的财资托管,让企业可以对于名下的多个账号进行统一结算和支付。
  • 成本分析和Chargeback:对于云上成本重视的企业,通常会按照不同维度进行成本分析,例如按照项目、负责人、组织结构等。更进一步,有的企业会根据每个部门产生的成本做内部结算。在阿里云,用户可以通过资源组、标签等方式来标识资源,并最终在账单中得到体现。企业通过账单API获取账单详细信息,并根据这些标识来进行分账。未来阿里云也会提供更优质的账单、成本方面的体验。

写在结尾的话

上云不同阶段的企业,在IT治理方面会遇到不同的挑战。上云早期的企业,了解IT治理框架,可以为企业日后规模化的上云做好准备。上云成熟的企业,了解阿里云上IT治理最佳实践,能够让效率事半功倍。

9月26日杭州云栖大会带你了解更多,“阿里云数据智能技术峰会”全揭秘,硬核技术,普惠AI。全面了解阿里云覆盖云服务、AI开发平台、算法、产业AI的全数智能力。
https://yunqi.aliyun.com/2019/hangzhou/schedule

本文作者:云攻略小攻

原文链接

本文为云栖社区原创内容,未经允许不得转载。

来杭州云栖大会,全面了解企业如何实现云上IT治理的更多相关文章

  1. 应用上云新模式,Aliware 全家桶亮相杭州云栖大会

    全面上云带来的变化,不仅是上云企业数量上的攀升,也是企业对云的使用方式的转变,越来越多的企业用户不仅将云作为一种弹性资源,更是开始在云上部署架构和应用,借助 Serverless 等技术,开发人员只需 ...

  2. 阿里云在云栖大会发布SaaS加速器3.0版最新成果,让天下没有难做的SaaS

    2019年杭州·云栖大会顺利落幕,超过6万人次观展,200余位顶尖科学家分享了前沿技术.作为“阿里云不做SaaS”,坚持“被集成”战略的落地体现,阿里云SaaS加速器在云栖大会现场发布了SaaS加速器 ...

  3. 【云栖大会】阿里巴巴集团CTO张建锋:用计算和数据去改变整个世界

    摘要: 当浩瀚的数字化信息能够联网在线,在万物互联网的新世界中,所有东西都可能有感知.变智能,想象一下电表.冰箱.心电图监测仪等设备的信息都能数字化并联网,从城市管理到个人生活,都会迎来翻天覆地的变化 ...

  4. Quick BI助力云上大数据分析---深圳云栖大会

    在3月29日深圳云栖大会的数据分析与可视化专场中,阿里云产品专家陌停对大数据智能分析产品 Quick BI 进行了深入的剖析.大会现场的精彩分享也赢得观众们的一直认可和热烈的反响. 大数据分析之路的挑 ...

  5. 2019云栖大会开幕,5G边缘计算成首日焦点

    9月25日,全球顶尖科技盛会——2019云栖大会如期上演,1000余位当代技术领军人物与数万名开发者集结杭州,聚焦数字经济,共话面向未来20年的基础科学.科技创新与应用突破.其中,边缘计算技术领域因5 ...

  6. 【2019云栖大会】这一场,我们好好聊聊5G和边缘计算

    一年一度的科技盛会杭州云栖大会Apsara Conference就要来了9月25-27日数万名开发者将齐聚杭州云栖小镇共同探索人类科技演进的脉搏聚焦面向未来的创新.热点技术话题 5G和边缘计算是201 ...

  7. 云栖大会压轴好戏 阿里云发布视频云V5计划与系列新产品

    9月25 - 27日,2019云栖大会如期召开.在大会最后一天下午,阿里云智能视频云分论坛为今年的云栖大会献上了一场精彩的压轴好戏. 视频云V5计划发布 使能生态合作伙伴 会上,阿里云智能研究员金戈进 ...

  8. #云栖大会# 移动安全专场——APP加固新方向(演讲速记)

    主持人导语: 近些年来,移动APP数量呈现爆炸式的增长,黑产也从原来的PC端转移到了移动端,伴随而来的逆向攻击手段也越来越高明.在解决加固产品容易被脱壳的方案中,代码混淆技术是对抗逆向攻击最有效的方式 ...

  9. 云栖大会day1 上午

    参与云栖大会第一天感受 早晨参与内容 数据智能实践专场 议程是 09:00-09:25 互联网下半场用户增长之路 吕志国 [友盟+]CPO 09:25-09:50 数据开启智慧零售的升级引擎 刘延明 ...

随机推荐

  1. Codeforces 1159A A pile of stones

    题目链接:http://codeforces.com/problemset/problem/1159/A 题意:初始石头堆石子数未知,求进行 n 次加减操作后,石头堆石子数最小的可能是多少. 思路:正 ...

  2. ashx后门[转]

    https://www.cnblogs.com/Fluorescence-tjy/p/9855828.html 一.标准ASPX一句话木马 .NET平台下的一句话木马则百年不变,最常见的当属下面这句 ...

  3. scrt 关闭退格键声音

    options-> session Options -> Terminal -> audio bell (删除勾选) 这样就可以在secureCRT 在出错时不‘滴滴’的响了.

  4. elasticsearch实现读写分离

    简介 今天我们不讲三国,我们讲一讲elasticsearch(以下简称ES)读写分离,这是个好东西,全文索引的时候使用它贼得劲,对elasticsearch索引原理不太清楚的,请自行查找相关的文章 这 ...

  5. Web UI 设计(网页设计)命名规范

    Web UI 设计命名规范 一.网站设计及基本框架结构: 1.    Container“container“ 就是将页面中的所有元素包在一起的部分,这部分还可以命名为: “wrapper“, “wr ...

  6. 21-2-substring

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  7. 02->交互式图形学--用glut库实现Sierpinski镂垫

    Sierpinski图形是一类有趣的图形,本文结合交互式图形学教材,讲解Sierpinski镂垫图形生成,作为入门图形学编程的第一课.为了简便,本文就2D来进行讨论.实验环境见01 算法 主要是根据随 ...

  8. SQL 标量函数-----日期函数 day() 、month()、year() 转载

      select day(createtime) from life_unite_product     --取时间字段的天值 select month(createtime) from life_u ...

  9. Jmeter接口自动化测试:简单使用步骤

    好处:不需要页面就可以提前介入测试,实施成本低,修改量少,相对于UI自动化来说更为稳定 1. 下载略过 2. 使用步骤 创建线程组合控制器(Jmeter基本操作) 针对http协议的接口增加Sampl ...

  10. day34 反射、面向对象内置方法:如__str__、面向对象的软件开发

    Python之路,Day21 = 反射.面向对象内置方法:如__str__.面向对象的软件开发 几个内置查看的方法使用 .__base__ 查看类的继承结构.mro() 对象找属性的顺序存在里面 -- ...