制定您的雲端平台轉移計畫

如何制定專屬於您的轉移計畫

之前我們提到了雲端平台的成本效益分析,在公司內部也討論了資安風險/資安管理/雲端平台治理/等等.接下來我們需要開始制定雲端平台的轉移/使用計畫.
雲端平台的使用或轉移要確切的契合兩個最重要的目標.
符合貴公司的“業務營運”及“貴公司的”資安要求“,當然有一些行業可能有政府監管機關的資安要求也需要ㄧ併考量進去.除此之外任何其他的目標都是次要的.

在制定計畫之前,有些問題需要釐清.這些問題不只是您的部門也會有跨部門需要一同討論.因為“界定問題”會比一直做功能比較來得重要許多.功能是比不完,功能過多要偏移你想解決的目標也可能會讓您多花錢.

有一些問題我們需要釐清
1. 什麼樣的雲端部署模式是貴公司所需要的呢?
公有雲?私有雲?混合雲? 這個問題會帶出以下幾個子問題
1.1 這個雲端部署的終端使用者是誰?公司內部人員還是外部客戶或是一般大眾?
1.2 什麼樣的資料會在這個雲端模式”被使用“及”儲存“?
1.3 平台的連線如何能夠有效的被開啟/管理/稽核/移除?
1.4 平台的連線能夠根據公司的資安要求被限制嗎?例如限制IP/時間/用戶電腦等等.

2. 什麼樣的雲端服務模式是我們所需要的呢? IaaS/PaaS/SaaS?
這個一樣會帶出幾個子問題,這幾個問題就如同問題 1.1 -1.4是一樣的

我們來舉一個實際運作的案例來看

ABC這間公司經過了大量的雲端雲台的成本效益分析/風險管理/IT治理等等一連串的IT內部及與相關部門的跨部門討論後.認知到使用雲端平台的效益高過於風險.
他們決定採用混合雲架構,其中包含他們公司的私有雲平台(因為之前已經花錢建立了,使用年限還未到)及公有雲服務.根據公司的IT治理/資安要求等等將資料分成機敏跟非機敏,之後相關的專家根據如上一起制定了如下的整體方案

混合雲架構的解決方案
將非機敏資料架構在GCP上/機敏資料放在私有雲,並在GCP及私有雲之間架設專線,以保持效能及傳輸的安全性.並架設 site to site VPN, 維持網路的高可用性並啟用GCP的VPC flow logs(網路連線紀錄)配合 GCP的stackdriver 監控來做到網路連線的稽核 .

風險管理導向的資料分級解決方案
制定整個公司的資料分級制度,定義資資料的流向等等方案.由於不允許有機敏資料流進GCP, 所以啟用了GCP DLP 的功能能自動尋找並移除或遮蓋所有在GCP上不符合公司的資料分級政策並主動發出通知給相關人員且能指出問題所在.在所有GCP上的VM都採取硬碟加密,並自行主導加密金鑰.

IT治理指南方案
由公司的CRO(chief risk officer)風險長制定貫穿整個公司的GRC (governance/risk/compliance)政策. 該風險長與相關人員討論後決定採用GCP SCC(security command center) 平台做為在GCP的GRC平台,並配合SIEM(SOC)業者加強風險控管.

雲端架構確切符合公司日常的為營運業務方案
收集或彙整相關雲端平台資訊,並與Google及Google 合作夥伴.配合公司內部IT/PMO(project management office)/BA(business analyst)共同討論出最適切的雲端架構.在這一個案例中考慮了雲端平台的短中長期目標及現有架構的限制,使用了IaaS/PaaS混合並用的模式.短期將Application 放在IaaS, DataBase放在PaaS.
並配合GCP Cloud Security Scan 自動地掃描安全漏洞.

以上就是一個簡單的雲端轉移計畫範例,供您參考.