來杭州雲棲大會，全面瞭解企業如何實現雲上IT治理

時間 2020-02-28

原文原文鏈接

企業上雲的現狀與趨勢

雲計算，現在已經成爲了像水和電通常關係到國計民生的國家基礎設施。雲計算爲企業帶了史無前例的資源交付效率和運維效率的提高，同時也用全新的技術幫助企業在新的價值網絡中創造新的商業賽道、挖掘新的商業模式。愈來愈多的企業開始主動或被動地嘗試使用雲，而那些已經嚐到雲「甜頭」的企業在加速上雲節奏，不斷將創新業務、非核心的企業業務、乃至企業核心業務逐步遷移上雲。前端

企業的上雲步驟，通常可分爲「嚐鮮」和「雲化」兩個階段。算法

在「嚐鮮」階段，企業初始作雲化，通常會從開發測試環境開始，或者選擇企業的創新業務、非核心業務去嘗試構建雲原生應用，嘗試雲產品，對比不一樣雲服務以及基礎設施架構。
在「雲化」階段，企業對基礎設施進行改造，在企業信息安全和成本控制容許的狀況下，將更多業務遷移到雲上來，既要兼顧企業雲上業務發展的便捷、高效與速度，同時須要幫助企業在雲上的安全管控、成本優化等作好保駕護航。

在「雲化」階段，隨着企業雲上業務量的增長、雲上業務對企業的重要性或者核心程度的增長，對於有着多年內部 IT 管理業務和經驗的企業來講，原來「深藏不露」的企業 IT 管理部門勢必被推到雲上管理的前臺，配合業務部門，爲企業在雲上的資源購買和使用、雲上業務應用或服務等提供雲上 IT 運維管理和支持。隨之而來的，還有企業的財務與安全合規部門，他們將對企業在雲上的業務從財務管控和安全合規風控的角度提出不一樣的管理要求。企業在追求效率和速度的同時，不得不考慮統一管控、安全、成本控制、自動化、性能等企業管理視角的業務需求。後端

比較常見的場景是，當企業在「嚐鮮」階段享受到上雲的好處、作出更加大規模的上雲決策後，IT、財務、安全等一個或多各部門逐步介入，在保證企業用戶可以簡便、高效使用雲資源、雲服務的同時，確保企業用戶在雲上的行爲符合企業內部的IT規定、成本控制、以及安全規範。與此同時，還須要實現企業原有的 IT 管控流程、運維人員和檢驗標準與雲上業務的有效集成、而不至於在同一家企業內部造成管理斷層。安全

企業雲上管理的問題

當企業的業務逐漸上雲，參與雲的團隊人數增多，雲上使用的資源數量也大幅增長，隨之帶來的是管理複雜度的增長。其中，企業IT部門最頭疼的問題包括：網絡

雲上的安全風險
初期上雲許多企業，爲了追求速度，缺乏最基本的安全安全策略。例如全部員工共用主帳號的用戶名和密碼，全部員工都具備管理員權限，用戶的身份缺少統一的管理等。員工離職帶走密碼，或者用戶名密碼泄漏，對企業IT設施是致命的打擊。
資源管理的混亂
在「嚐鮮」階段，少許團隊在雲上作最初的嘗試，對於資源管控的需求很弱。當雲上的資源迅速增長，大量的資源混在一塊兒沒法區分，IT部門對於不一樣組織結構、不一樣項目所消耗的雲資源和產生的成本沒法提供足夠的信息。使用雲資源的不一樣部門也沒法只管理「本身」的資源。種種問題，讓IT部門備受壓力，企業開始思考是否是雲並不適合全部企業。
雲上的成本浪費
企業在雲上的成本主要來自資源的成本和運維人員的成本。閒置的資源和低下的運維效率都會形成成本的浪費。

雲上 IT 治理框架

不一樣類型、不一樣規模的企業在雲上的管理複雜度也不盡相同。管理複雜度一般取決於公司研發運維的人數、組織架構的複雜度、雲上資源的規模、IT供應商的數量等等。爲了解決雲上IT管理所面臨的問題，阿里雲提供相應的訪問控制、資源管理、財資管理、合規管理等能力。這些能力能夠單獨或結合起來使用。架構

阿里雲IT治理能力說明

資源管理

資源管理是雲上IT管理的核心。企業中的應用（以及應用所對應的IT資源）一般會按照相似組織結構的方式進行劃分。不一樣部門會對應着不一樣的應用；也有的企業按照產品線、產品的方式劃分。
和公司的組織結構同樣，資源的組織結構一般也成樹狀。阿里雲資源管理服務能夠幫助企業映射組織關係和應用的結構。經過資源目錄，企業能夠定義：框架

資源夾：資源夾對應組織的具體結構，不一樣的結構能夠做爲帳單、管控的單元。
資源帳號或雲帳號：用來表明應用、服務（一組應用），或者應用的生產、測試環境。

下圖爲阿里雲在資源結構劃分的示意圖。運維

阿里雲資源管理服務同時提供帳號內資源組的管理。雲帳號的全部者能夠對帳號內的資源進行進一步的劃分，以知足權限分離的需求，從而提升多人協做的效率。資源的分組一般能夠按照應用的模塊，例如Web前端，服務後端，網絡等。性能

在簡單管控模型中，也能夠直接將雲帳號使用爲部門，並使用資源組來劃分應用。測試

訪問控制

和資源管理平行的是對身份的管理。企業的組織結構一般表明着企業對於職能，業務，地域的劃分，呈樹狀結構。企業對於組織、身份一般使用既有的管理系統進行集中管理，例如員工的入職、離職、密碼、彙報關係等等。在使用雲的過程當中，使用雲的人員須要在雲上有相應的身份，並被授予相應的權限去訪問雲上的環境。

阿里雲用來管理身份權限的產品叫訪問控制。訪問控制提供兩種身份管理的方式：沒有本地人員管理系統的企業，能夠直接使用阿里雲的用戶、用戶組對人員的身份進行管理；有本地人員管理系統的企業，可使用訪問控制中SSO（單點登陸）功能，連接本地身份和阿里雲身份。

在咱們服務大型企業的過程當中，發現不少企業已經使用身份認證系統，如微軟Active Directory， Azure Active Directory, Okta等，而且但願人員的管理依然在原有的身份認證系統中。阿里雲提供兩種SSO的方式：

角色SSO：IT管理員預先在阿里雲上建立管理角色，如「管理員」，「運維」，「監控」，併爲角色分配對應的權限。在企業身份認證系統中，不一樣的用戶會映射到不一樣的角色。阿里雲上無需進行用戶同步。
用戶SSO：IT管理員同步本地人員登錄信息到阿里雲，並在阿里雲上建立用戶組以及管理權限。

如下示例爲使用角色SSO登錄阿里雲：

資源、人員的問題解決後，IT管理員能夠對人員權限做出規劃。【訪問控制】中的權限策略提供了經常使用的系統策略，同時支持用戶自定義權限策略。權限策略定義了用戶能夠執行操做，以及執行的條件。
阿里雲【訪問控制】支持三種級別的受權：帳號級別，資源組級別，資源級別。
權限控制中須要注意的問題是：

控制Root帳號。Root帳號具備全部的權限，所以也帶來更大的安全隱患。一般狀況下，您無需使用Root帳號。
受權策略遵照最小夠用原則。
在較高的層次受權來減小管理的複雜性。儘量使用帳號或資源組級別的受權。

審計與合規

雖然有了受權機制讓使用者沒有權限作不符合企業規定的事情，但在權限範圍內使用者依然有可能因爲多種緣由做出錯誤的操做。所以，審計做爲IT部門最後一道防線，記錄全部發生的事情。一旦發生不符合預期的事情，IT部門有能夠調出歷史記錄，追溯事故發生的緣由。另外一方面，爲了不事故發生，企業根據業界標準和企業過往的最佳實踐，制定出內部IT規定，例如密碼策略規定，公網訪問規定等。這些規定須要系統化的方式被監控，確保企業時刻處於「合規「的狀態。阿里雲在審計和合規方面提供豐富的能力。

操做審計

操做審計(ActionTrail)會記錄您的雲帳戶資源操做，提供操做記錄查詢，並能夠將審計事件保存到您指定的日誌服務Logstore或者OSS存儲空間。經過ActionTrail保存的全部操做記錄，您能夠實現安全分析、資源變動追蹤以及合規性審計。
ActionTrail收集雲服務的API調用記錄（包括用戶經過控制檯觸發的API調用記錄），規格化處理後將操做記錄以日誌的形式保存到指定的日誌服務Logstore中，或者以文件形式保存到指定的OSS存儲空間。用戶可使用存儲產品豐富的管理功能來管理這些審計數據，好比受權、開啓生命週期管理、歸檔管理、檢索、分析、報警等。

配置審計（Cloud Config）

配置審計是本次雲棲大會發布公測的重量級產品。它爲您提供您在阿里雲上的資源列表、當前配置快照、歷史配置快照等信息，幫助您瞭解資源配置的歷史變動詳情。同時它還支持您配置合規審計規則，來監控資源部署和資源配置的合規性。當您的資源配置發生變動時，Config會將變動快照以文件的形式保存到您指定的OSS中。當出現「不合規」狀況時，Config將按照您的訂閱設置向您發送告警。幫助您在面對大量資源時，輕鬆的實現基礎設施的自主監管，持續保證合規性。

財資管理

企業做爲一個總體一般在財務方面有統一的管理。常見的兩種場景是：

統一支付：絕大多數的企業用戶和雲廠商已企業維度進行結算。對應的阿里雲提供資源目錄下的財資託管，讓企業能夠對於名下的多個帳號進行統一結算和支付。
成本分析和Chargeback：對於雲上成本重視的企業，一般會按照不一樣維度進行成本分析，例如按照項目、負責人、組織結構等。更進一步，有的企業會根據每一個部門產生的成本作內部結算。在阿里雲，用戶能夠經過資源組、標籤等方式來標識資源，並最終在帳單中獲得體現。企業經過帳單API獲取帳單詳細信息，並根據這些標識來進行分帳。將來阿里雲也會提供更優質的帳單、成本方面的體驗。