Cloud Migration 101: Strategi, Forholdsregler, Risici og Sikkerhed
Bekymringer omkring cybersikkerhed før og efter migration. Fordele og ulemper ved cloud-migration.
This post is also available in:
English
Lige siden cloud computing blev noget mere end en akademisk isbryder, har virksomheder forsøgt at høste dens fordele. En af de mange nyskabelser inden for cloud computing er cloudmigrering eller processen med at flytte applikationer, databaser og forretningsarkitekturer til et (tredjeparts) cloud miljø.
Det er klart, at der er flere fordele ved migration på skyen – nedsat latenstid, færre omkostninger, øget sikkerhed og et niveau af fleksibilitet, der ellers ville have været uopnåeligt ved fysiske midler (dvs. en virksomheds netværksinfrastruktur, der spænder over hundreder af servere, routere, kabler, stik og den slags).
Cloud migation er kommet for at blive, og førend du er klar over det, begynder du at undersøge ting som “AWS”, “Azure”, “Google Cloud” eller “Cloud migreringsværktøjer”. For at spare dig for besværet med at bruge utallige timer på at lede efter cloud migration-relaterede emner, har jeg oprettet denne lille, men omfattende guide, der forhåbentlig vil hjælpe dig med at træffe en uddannet beslutning om at ‘cloude’ din virksomhed.
Hvad er cloudmigration?
Svaret på dette spørgsmål er dobbelt – at flytte fysiske aktiver og software. Det er ret nemt at forstå, hvordan software kan ‘virtualiseres’, men hvad med fysiske aktiver? I cloudmigrering kasseres netværksudstyr som routere, fysiske firewalls og mile af kabler til fordel for en cloud-hostet infrastruktur.
Det første skridt i at migrere infrastrukturen til skyen er at fastslå, hvilken slags udstyr der kan kastes over bord. Så det ville være i din bedste interesse at holde en opdateret netværk udstyrs opgørelse, fra kontakter til broer, multiplexers, transceivers, og hubs. Et godt råd, er dog – aldrig nogensinde at fjerne dine on-premises backup-servere.
Mange SaaS-, PaaS –og CaaS-operatører tilbyder DLP-løsning (Data Loss Prevention), men som du kunne forestille dig, ville disse sikkerhedskopier ikke længere være i dine hænder. Better safe, than sorry, som vi altid gerne vil sige inden for cybersikkerhed.
Nu, for så vidt angår den anden del af spørgsmålet, er der en hel del kontroverser der flyder rundt. Nogle siger, at det blot er et spørgsmål om at droppe nogle apps, få nye og fyre op for den cloudhostede arkitektur. I en ideel verden, ville denne erklæring sandsynligvis være sand. Men siden vi lever i en mindre end ideel verden, er det kun rimeligt at antage, at app- og softwaremigrering er en kompleks procedure.
Ældre software og indledende evaluering
På nuværende tidspunkt mener jeg, at vi bør drøfte ældre software i forbindelse med cloudmigreringsprocessen. Jeg vil ikke gå ind i mere tekniske detaljer, da min kollega gjorde et rigtig godt stykke arbejde, der beskriver ins og outs, fordele og ulemper ved ældre software.
Sørg for at tjekke hendes artikel, før du går videre. Alt hvad du behøver at vide er, at ældre software stadig kan bruges til at udføre nogle af dine mere verdslige opgaver, men på grund af deres art udgør de betydelige sikkerhedsproblemer. Vær opmærksom på det, når du udarbejder din cloudmigreringsplan.
Tilbage til planlægningsdelen – der er ikke plads til fejl her. Derfor bør etablering af et migrationsflow være din første forretningsgang.
Det kan være så nemt at opbygge et handlingsrettet migreringsflow, når du laver en indkøbsliste:
- Definer formål.
- Vurder omkostninger og behov.
- Vælg et cloudmiljø.
- Vælg en installationsplan.
- Vælg en arkitektur.
- Installer og nyd godt af det
eller så indviklet som diagrammet nedenfor:
Venligst udlånt af GlassHouse
Så alt er fint og flot, men hvordan migrerer du dine aktiver til Clouden? Lad os diskutere alle de involverede trin.
A) Vurder perspektivet
Du bliver nødt til at tage den direkte vej på denne her. Før du selv tager et kursus i handlinger, skal du overveje alle de involverede faktorer: omkostninger, fordele, krav, sikkerhed og en hjælpeplan, hvis der sker noget under eller efter overdragelsesprocessen er afsluttet. Hvorfor en overdragelse og så mange checkpoints undervejs?
Fordi du bogstaveligt talt outsourcer en stor del af din virksomhed. Som jeg nævnte, er cloud-migrering en dobbelt proces – hardware og software. Softwaredelen involverer virksomhedsfølsomme oplysninger (dvs. databaser fyldt til randen med klient- eller partnerdata). Du ønsker virkelig ikke, at den slags oplysninger falder i de forkerte hænder, gør du?
Ifølge Amazons AWS Cloud-dokumentation har cloudmigreringsvurdering-/evalueringsfasen følgende komponenter:
BEREGNING AF TCO
Den finansielle vurderingsfase; TCO (Total Cost of Ownership) er et skøn over de samlede udgifter, der normalt er forbundet med køb, vedligeholdelse og drift af et produkt. Som en del af den finansielle vurderingsfase hjælper TCO dig med at finde ud af, om produktet – som i dette tilfælde er cloud-tjenesten – er investeringen værd eller ej.
Der er masser af online værktøjer, der kan hjælpe dig med at finde ud af TCO-kvotienten, selv en oprettet specielt til Amazons AWS. Men hvis du stadig er en pen-og-papir person, er her den matematiske formel til beregning af de samlede ejer omkostninger.
TCO = I + O + M + D + P + R
I – Indledende omkostninger. Normalt omkring 10% af TCO.
O – Operation. Omkostninger ved drift.
M – Vedligeholdelse. Udgifter til vedligeholdelse.
P – Produktion. Produktionsomkostninger.
R – Resterende værdi.
Det er matematikken bag TCO. Så hvordan gælder dette for cloudmigrering? Her er et hurtigt eksempel udvundet fra Amazons prisberegner til Amazon Athena.
De anslåede omkostninger ved at køre Amazon Athena er $ 1.500 om dagen med 10 forespørgsler og 1 TB scannede data pr. Forespørgsel. Det er noget af en sum, men dette simulerer på ingen måde, den måde TOC fungerer i et real-life scenario.
OVERENSSTEMMELSE OG SIKKERHEDSEVALUERING/-VURDERING
For at kunne unloade software og infrastruktur til den offentlige cloud skal virksomheden opfylde flere lovkrav. De mest almindelige er GDPR, HITRUST, PCI-DSS og HIPAA. Afhængigt af den cloudtjeneste du vælger, skal du muligvis indhente andre myndighedscertifikater. Hvis du vil have yderligere oplysninger om forudsætninger for overholdelse, kan det være en god ide at se vejledningen til din cloudleverandør.
Se tjeklisten nedenfor om sikkerhedskrav til cloudmigrering.
1) Planlægning af båndbredde. Den nye model og det forbedrede dataflow vil højst sandsynligt trække ekstra båndbredde. Planlæg det på forhånd for at forhindre udfordringer undervejs.
2) Løsning af resterende overholdelsesproblemer.
3) Beredskabsplan for tab af data.
4) Opret en handlingsrettet LMF (Lifecycle Management Framework).
5) Yderligere sikkerhedspolstring (IDS/ IPS, firewall til webapp, cloud-adgangssikkerhedsmægler osv.)
Leveret af Amazon AWS
TEKNISK EVALUERING
Denne fase involverer apps, dataoversigt og klassificering. Under den tekniske vurdering vil apps blive prioriteret (f.eks. ældre, forretningsformål og brugersag).
Dernæst har vi dataklassifikation, en underfase, hvor vi konstaterer aspekter som datafølsomhed, skader under transit, intellektuel ejendomsret og aktionæroplysninger. Det næste skridt er krav og overholdelses evaluering, hvor tech-teamet afgør, om virksomheden opfylder alle krav til cloudmigrering. Endelig presses en foreløbig beslutning til ledelsen.
INDSAMLING AF DIN VÆRKTØJSKASSE
Navnet siger det hele – baseret på resultaterne af de tekniske og finansielle evalueringer vil sysadmins samle de nødvendige værktøjer til at lave cloudovergangen. Note til mig selv: Nogle værktøjer kan genbruges, mens andre skal konstrueres fra bunden.
OVERFLYTTE, OPRETTE OG MÅLE
En evaluering på øverste niveau, hvis formål er at fastslå gennemførligheden af hele bestræbelsen.
B) Proof-of-concept
I denne fase konstrueres et pilotprogram. Dybest set er dette en få-dine-hænder-beskidte situation, fordi dette er dit første møde med skyen. Mange leverandører tilbyder udvidede prøveversioner af deres produkter. Og ja, det er gode nyheder for dine sysadmins, da de vil være i stand til at udføre flere ydelsestest på den fremtidige skyinfrastruktur.
C) Overførsel af data
Det næste trin består i at flytte dataene fra dine lokale lagerenheder til den foretrukne cloudtjeneste (dvs. filservere, kommerciel RDBMS og MySQL)
D) Overførsel af dine programmer
Definer og implementer overflytningsstrategierne. Der er forskellige typer skymigrering, men de mest almindelige er forklift og hybrid migreringer. I forklift-migrering flyttes alle apps og deres afhængigheder nu til skyen i et enkelt og hurtigt træk.
Denne type strategi anbefales, når du håndterer tæt sammentømrede applikationer (dvs. indbyrdes afhængige apps, der ikke kan adskilles) eller selvstændige apps. I hybrid migrering flyttes alle apps og deres afhængigheder nu til skyen en ad gangen.
Denne strategi anvendes normalt, når der er en øget risiko for tab af data under overgangen. Da apps flyttes en efter en, kan sysadmin også bruge denne tid til at optimere apps, før de flyttes til skyen. Mens forklift strategier anbefales til indbyrdes afhængige applikationer, kan hybrid strategier bedst bruges til løse apps, med få afhængigheder.
De 5 R’er for cloud-migrering
forklifting og hybridisering er så de eneste cloud migreringsstrategier tilgængelige. I praksis styres selve processen af den såkaldte 5R-migrationsstrøm. De 5 R’er for cloudmigrering er: Rehost, Refactor, Revise, Rebuild og Replace. Lad os se på disse trin til cloudmigrering.
Rehost – en rekonstruktion af app arkitekturen på den foretrukne cloud-infrastruktur. Gælder normalt, når du går med en infrastruktur-as-a-service-udbyder (IaaS). Det kommer jeg til om et øjeblik.
Refactor – denne cloud migreringsstrategi gælder for virksomheder, der er villige til at gå sammen med en PaaS-udbyder (Platform-as-a-Service) i stedet for IaaS. Det drejer sig om genanvendelse af eksisterende rammer og kodekser.
Revise – denne strategi har mere at gøre med kode og rammer end med tjenesteudbydere. Det indebærer at udvide og / eller omskrive kodebasen for at implementere apps til skyen.
Rebuild – det er præcis, hvad det lyder som: at genopbygge alt fra bunden. Dybest set betyder denne strategi at skrive ny kode og skabe en ramme, så apps kan understøtte den nye cloudplatform. Fungerer bedst med PaaS-skyen.
Replace – du kan også vælge at viske tavlen ren og starte forfra. I forbindelse med cloudmigrering betyder det at droppe ældre eller forældede applikationer og bruge de apps / værktøjer, der leveres af dine SaaS-leverandører.
E) Optimering
Lige nu er I dybt inde i skyen. Et Tillykke ville være på sin plads, men der er stadig meget mere at gøre. Først og fremmest skal du finde en måde at udnytte alle de tjenester, der tilbydes af skyen. Afhængigt af dit valg – mere om det i det kommende afsnit – vil disse tjenester hjælpe dig med at optimere dine apps og flows. Du bør også se på en mere centraliseret visning af cloudressourcerne og dine aktiver.
Med hensyn til optimering er der sådan noget, der hedder en optimeringssløjfe – en ramme, der definerer mål, udfordringer og løsninger i optimeringsprocessen efter migrering. Generelt skaber hvert hold med ansvar for migrering sin egen løkke. kun til eksempel formål, er her hvordan optimerings loop ser ud for G-Cloud.
Leveret af Google
Cloud-idiosynkratiske sikkerhedsproblemer
Cloud-migrering leveres med et sæt unikke cybersikkerhedsudfordringer. Hermed vil jeg forsøge at fremhæve de vigtigste spørgsmål og naturligvis nogle løsninger.
1. Slutbrugeren har mindre kontrol over de cloudhostede apps.
En af de mindst underholdende fakta om cloud-migration er den manglende autonomi, når det kommer til slutbrugeren. Det kan virke som en mindre ulempe, men det kan meget vel blive til en forpligtelse, hvis cloududbyderens server kommer under angreb. Du kan ikke arbejde dig udenom. I hvert fald ikke direkte. Før du vælger en cloududbyder, skal du sørge for at gennemgå deres sikkerhedscertifikater og, hvis sagen kræver det, foretage nogle bestemmelser af dine egne. Du bør også overveje en hybrid DLP-løsning – cloud + fysiske sikkerhedskopier.
2. Falske VM-forekomster
Det er meget nemt at oprette og konfigurere virtuelle maskiner eller containere i et skymiljø – fantastisk til UX, men ikke så fantastisk, når det kommer til intern sikkerhed. Da alle med de rigtige legitimationsoplysninger kan få adgang til og foretage ændringer af apps, data, VM’er og containere placeret i miljøet, er det ret nemt at forestille sig, hvad der ville ske, hvis en trussels aktør ville få fingrene i dine legitimationsoplysninger.
Pseudo-VM’er kan straks opfostres i miljøet og bruges til at udfiltrere virksomhedskritiske oplysninger. Løsningen omfatter ændring af brugernavn – par af adgangskoder, periodisk cybersikkerhedstræning og privilegeret adgang (dvs. kun brugere med administratorrettigheder bør have tilladelse til at oprette eller bekræfte ændringer af cloudressourcer og -apps.)
3. API-følsomhed
En API (Application Programming Interface) er en type computer interface, der agerer mellemled mellem samspillet af to eller flere stykker software. Den største fordel ved at bruge API’er er, at de ikke behøver at vide, hvordan apps implementeres; dette sparer udviklere en masse tid og penge.
Usikrede API’er kan dog blive et adgangspunkt for ondsindede aktører. Nu er der masser af værktøjer derude, der kan hjælpe dig med at se den WEBADRESSE, der er forbundet med hvert API-opkald, samt de parametre, som API’en forventer. Disse værktøjer kan også bruges af hackere på udkig efter en vej ind i dine databaser.
4. Insider trussel
Uanset om du er i skyen eller stadig er afhængig af internt udstyr, er der virkelig ingen måde at dæmpe insidertruslen på. Den forkerte person med de rigtige legitimationsoplysninger kan bringe hele organisationen i knæ i løbet af få sekunder. Mit råd: En A-prime access governance løsning og behandle dine medarbejdere rigtigt.
5. Det, der slettes, kan aldrig fjernes.
Sikker sletning af data er en af udfordringerne ved lagring og administration af clouddata. Det er nu nemt at slette lokale data (f.eks. afinstallere apps på en computer og slette midlertidige data). Hvis afinstallationsguiden ikke får arbejdet gjort, kan du bruge fil shredder til at slette de resterende data. Det kan blive et problem inden for cloud computing, da dataafhængighederne i en app hostes på mere end ét center.
6. Cloud lock-ins
I nogle tilfælde kan ændring af cloududbyderen være det rigtige træk for din virksomhed, især hvis din nuværende cloududbyder er mangelfuld, når det kommer til cybersikkerhed.
Det er dog ikke så let at ændre cloududbyderen som at skifte fra Netflix til HBO Go. Faktisk kan det i nogle tilfælde være næsten umuligt at migrere dine data til en anden sky på grund af det faktum, at cloud-tjenesteudbydere bruger ikke-kompatible værktøjer, unik API og ikke-standarddataformater.
Heimdal® Threat Prevention - Network
- No need to deploy it on your endpoints;
- Protects any entry point into the organization, including BYODs;
- Stops even hidden threats using AI and your network traffic log;
- Complete DNS, HTTP and HTTPs protection, HIPS and HIDS;
Værktøjer til cloudmigrering
Naturligvis har man brug for de rigtige værktøjer til jobbet. Så hvad er den bedste cloud migration man kan købe for penge? Her er en liste over nogle af mine foretrukne migreringsværktøjer. Se disse cloudmigreringstjenester.
1. Tjenesten Til overflytning af AWS-server
Amazons SMS er en webbaseret tjeneste, der giver dig mulighed for at flytte tusinder af arbejdsbelastninger til skyen. Tjenestens Servermigrering har nogle meget seje funktioner som avanceret planlægning, sporing af trinvise replikeringer af liveserverenhederne, fuldt tilpasselige kontrolelementer, lavt båndbreddeforbrug og minimal nedetid. Oven i det, er det gratis for os
2. Tjenesten AWS Database Migration
Tjenesten Databaseoverførsel er en fantastisk måde at flytte store databaser til AWS på. Det er sikkert, let og i stand til at konsolidere databaser op til en petabyte. Andre smarte funktioner omfatter lave omkostninger (starter ved $ 3 per måned), task automation, og database multi-format støtte (dvs. kompatibel med både homogene og heterogene databaser).
3. TSO Logik
TSO’s datadrevne Logic-værktøj kan hurtigt generere cloud computing-analyser og appanbefalinger. Ikke et cloud-migreringsværktøj i sig selv, men ganske nyttigt til at lave cloudestimater (f.eks. hvor optimeret en app skal være, kører du den rigtige software, hvis du opskalerer eller nedskalerer din arkitektur osv.).
4. AWS-migreringshub
AWS Migration Hub er en alt-i-en-cloudmigreringsløsning, der kan hjælpe dig med at se status for din appmigreringsproces på tværs af flere skyer. Andre bemærkelsesværdige funktioner omfatter forbedret synlighed, sporing for individuelle apps, migrering og optimeringsmålinger og meget mere.
5. AWS CART (Cloud Adoption Readiness Tool)
CART hjælper dig med at måle virkningen af cloudmigrering. Værktøjet giver nøjagtige målinger af forretning, mennesker, applikationer og kunder. Nogle seje funktioner, du bør se frem til er cloud paratheds heatmaps, månedlige paratheds rapporter, diagrammer og meget mere.
AWS vs. Azure vs. Google Cloud
I øjeblikket er cloud-migrationsmarkedet delt mellem nogle store aktører: Amazons AWS, Microsofts Azure og Googles Cloud. Nedenfor finder du en tabel, der indeholder de funktioner og tjenester, der tilbydes af de tre kandidater.
| Amazon AWS | Microsoft Azure | Google Cloud |
|---|---|---|
| • Virtual Server Instances • Elastic Beanstalk PaaS • Lambda Serverless Computing • ECS Docker Management • EKS Kubernetes Management • S3 Object Storage • Glacier Archive Storage • EFS File Storage • CloudFront Global Content Delivery • Redshift Managed Data Warehouse | • Virtual Machines • Cloud Services PaaS • Azure Functions Serverless Computing • Container Service Docker Management • Kubernetes Service • Black Blob Object Storage • Archive Storage • Azure Files • Delivery Network GCD • SQL Warehouse | • Virtual Machine Instances • App Engine PaaS • Cloud Functions Serverless Computing • Container Engine Docker Management • Kubernetes Engine • Cloud Storage • Cloudline Archive Storage • Avere/ZFS File Storage • Cloud CDN • Big Query |
Leveringstyper i skyen
Gennem hele artiklen har jeg nævnt ting som IaaS, PaaS og SaaS. Disse kaldes cloud-leveringsmodeller, der hver især har sit eget særlige ekspertiseområde. For eksempel dækker IaaS opbevaring, virtualisering, CDN, netværk og databehandling. På den anden side vil PaaS være til stor hjælp inden for applikationsplatforming, database, udvikling og integration, mens SaaS tager sig af Business Management, sikkerhed og værktøjer.
Fordele og ulemper ved cloudmigrering
Nu undrer du dig sandsynligvis over, om cloudmigrering er det værd. Så vidt jeg ved, er det et must-have for en virksomhed i hastig udvikling. Cloud tilbyder dig hastighed, fleksibilitet, øget lagerkapacitet og reducerede vedligeholdelsesomkostninger. Cloud migration har, ja, en masse opture, men hvad med nedture? Prøv lige at se her.
| Pros | Cons |
|---|---|
| Increased efficiency – outsourcing, minimal disruptions, improved client services Data centralization – view, review, and commit changes to data from all your cloud-connected devices Scalability – limited in the public cloud. Consider investing in a hybrid or private cloud. Improved Data Recovery– as compared to an on-premises solution. Collaboration – business collaboration is easier and more secure on the cloud Decreased data storage-associated costs. | Security concerns – CSPs employ the latest cybersecurity countermeasures to protect data, but security breaches can also happen in the cloud. Even worse is the fact that a public cloud, for instance, holds the data of hundreds of companies. Inflexibility – some data storage and formatting issues that may prove to be disadvantageous towards the client. Cost concerns – every cloud vendor has its own payment schema. Most operate a Pay-Per-Use pricing tiers, but not all. Carefully review the terms and conditions, especially under “Pricing” so as not to pay more than you're bargaining for. |
En sidste ting ….
I cyber sikkerhed er der et ordsprog, som vi værdsætter frem for alt andet: “Der er ikke noget der hedder for meget sikkerhed”. Til det formål anbefaler jeg stærkt at tilføje et ekstra lag af sikkerhed efter overgangen til skyen.
Heimdal™ Security’s Forseti kan være det ideelle valg til din virksomheds sky. Forseti er primært en perimeterløsning og tilbyder fuld DNS-beskyttelse, der aktivt blokerer for enhver trussel, før de har en chance for at nå dine systemer. Nogle funktioner at se frem til er beskyttelse mod kendte og ukendte infektioner, passive og aktive tilstande, fuld netværkslogning og MDM.
Konklusion
Cloud migration giver bare mening. Det er økonomisk forsvarligt, lettere at administrere, og i det lange løb er det langt billigere end at køre fysisk udstyr. Selvfølgelig betyder det ikke, at du skal gå på krigsstien, og smide alt gear ud. Som jeg nævnte tidligere, bør du i det mindste holde en lokal server oppe og køre til DLP-formål. Har du spørgsmål om cloudmigrering? Så gå til kommentarfeltet, og lad mig det vide.