雲端移轉(Cloud Migration)準則:從開始到完成

文章來源:Trend Labs 趨勢科技全球技術支援與研發中心

雲端遷移將帶來的部分好處。技術上的優勢,包含可擴展性、高可用性、簡化基礎設施維護及符合許多產業認證的環境,就成本來說,也能將CapEx(資本支出)轉換成OpEx(營運支出)模式,而且無需資料中心成本。

雖然搬遷肯定會伴隨著許多的風險,但只要善加規劃,加上公司專心一志,就可以成功地踏上雲端運算的第一步。而公司的專心一志是必須要認知的重要一環。企業需要經由不斷地學習、成長及適應這新環境來整合雲端運算所提供的敏捷性。

在雲端移轉過程中,會遇到適合不同配置的各種雲端服務。從雲端基礎設施服務(IaaS)到雲端軟體服務(SaaS),都需要根據服務的控制層級來對雲端服務進行運營監督(包括安全性)。舉例而言,因為負責作業系統和應用程式,因此在一個雲端執行個體中,仍需部署適當的修補管理程序,至於雲端檔案物件儲存,則只需監督權限和資料管理。

誰會參與雲端移轉中的安全性?

  • InfoSec─負責組織內所有的資訊安全。因為雲端移轉與「資訊」相關,因此InfoSec需要參與來了解該如何取得資料以監控跟組織有關的安全性和風險問題。
  • 雲端架構師─這是另一個我認為值得一提的部門;如果你是以直接移轉的方式來建構雲端環境的安全框架,那麼注定會背負舊的運作方式所留下來的過時原則。為了自動化各項操作(包括安全性)而建造的敏捷平台會是移轉成功的重點。
  • IT/雲端運營─這可能是相同或不同的團隊。隨著越來越多資源搬遷到雲端,IT團隊對實體基礎設施的責任會越來越小,因為現在改由雲端服務供應商運作。他們必須提升自己來學習操作和保護混合環境的新技能。而要完成新技能的提升需要管理階層的協助。
  • 管理階層─管理階層在運營和安全性方面扮演著重要的角色,即便不是CIO/CISO/COO階級。儘管我有些猶豫是否該直接點出,不過在進行雲端移轉的過程中,業務轉型是必不可少的步驟。雲端所帶來的加速不能被傳統運營和安全意識形態所抑制。每個部門都需要參與經由實作敏捷流程(包括自動化運營和雲端安全性)來加速為客戶群創造價值。

但無論企業在哪個階段,讓所有關鍵參與者專注在讓雲端移轉成功可以達到最終階段:企業的徹底改造,運營和安全性的自動化可以加速為客戶提供價值。

建立完善的框架

遷移第一個工作負載前所需要的關鍵原則,便是架構良好的結構(Well-Architecture Framework)安全性支柱,因為它完整地闡述雲端設計最佳實踐內的安全性概念。

以AWS為例,熟悉AWS Well-Architected Framework至關重要,讀者不妨參考以下部落格文章(https://wa.aws.amazon.com/index.en.html),以了解此框架的強大。它由五個支柱(Pillar)組成,包含了在各領域擁有豐富經驗的架構師所寫的最佳實踐資訊。

此一安全性框架裡包含了七個原則:

  • 建立強大的身份管理基礎
  • 啟用可追溯機制
  • 對每一層都提供安全防護
  • 自動化最佳安全實踐
  • 保護傳輸中和靜止時的資料
  • 讓人與資料保持距離
  • 準備好應對安全事件

現在,這些原則裡有好幾項可以透過原生雲端服務解決,通常那些也是最容易實作的部分。此框架並沒有提供的是如何設定或配置這些服務的建議。雖然它可能會提到啟用多因子身份認證(MFA)是身份和存取管理策略所必需的步驟,但預設並不會啟用。關於檔案物件加密也是一樣,它提供此功能讓你使用,但你不一定要啟用才能建立物件。

趨勢科技擁有一個包含數百則對應架構良好的結構的雲端規則的知識庫,可以在進行雲端移轉期間及之後加強你的知識。以上述所提到的多因子身份認證為例,在知識庫文章詳細介紹了四個R:風險(Risk)、理由(Reason)、原因(Rationale)和MFA是最佳安全實踐的參考資料(Reference)。

從風險(Risk)等級開始並詳細說明為什麼這對你的設定構成威脅,這是對發現進行優先排序的好方法。它還包含不同的合規性要求和架構良好(Well-Architected)支柱(在此情況下顯然是安全性),並提供對不同框架的描述性連結來取得更多詳細資訊。此知識庫規則存在的理由(Reason)也包含在內,可提供規則的脈絡資訊,有助於在雲端移轉期間進一步推動安全態勢。

雲端移轉的原則

一個持續發展的組織必須以DevOps的心態看待資安,企業的每位員工都有責任落實資安。這不該只是營運團隊的責任,而是公司所應培養的新文化:從一開始就將資安做好,將資安視為理所當然。建議可從以下幾點開始著手:

1.從上到下都應重視資安。

高階經理人應該將資安視為雲端移轉計畫的關鍵成功因素之一,而非只是其中一個步驟。資安必須是預計執行雲端移轉計畫的企業,在規劃、建置、開發、部署雲端應用程式時的最高指導原則。

2.建立一套雲端資安政策或將資安融入現有的政策當中。

從已知的先著手:最低權限管理原則、雲端原生網路防護等等。這有助於開始為新的雲端資源建立一套適合未來使用的架構。您可和您的雲端供應商及資安廠商 (如趨勢科技) 共同討論如何根據一開始的移轉服務來規劃一套完整的政策。提醒您,將工作負載搬上雲端之後,移轉的工作並不會就此結束。必須繼續投入資源在營運團隊與流程,才能邁入雲端原生應用程式交付的下一階段。

3.趨勢科技的 Cloud One 可協助您完成許多工作。

採用一整套全方位的雲端防護服務,如Trend Micro Cloud One 可大大減輕您為新的雲端移轉計畫建立執行時期資安控管的壓力。這套服務中的 Workload Security 早已廣獲全球數千家客戶採用,保護了數十億小時的 AWS 雲端工作負載,提供主機入侵防護、惡意程式防護等資安控管,還有法規遵循所需的一致性檢查與應用程式控管。而 Network Security 則能滿足您所有雲端網路封包安全檢查需求,直接與雲端網路基礎架構整合,提供巨大的效能與設計優勢,遠遠超越 Layer 4 虛擬裝置,不必經常變動路由表,也不必將錢浪費在基礎架構上。當您在移轉工作負載時,您可利用Conformity來隨時檢查您的資安狀況是否符合 Well Architected 架構的要求。如此一來,您將擁有一套安全、靈活的全新基礎架構,讓您的團隊徹底發揮全新雲端工作負載的效益,開始打造新一代雲端原生應用程式。