金融企业需要什么样的云管平台
作为云计算领域的一个重要技术分支,在企业级IT服务体系里云管平台已从传统IT系统建设中脱胎而出,愈发博得企业客户的关注。
那么何为云管平台呢?来自国际最具权威的IT研究与顾问资讯公司Gartner的定义:云管平台(Cloud Management Platform,CMP)是企业云战略的一种产品形态,提供对公有云、私有云和混合云整合管理的产品。
由于所处行业、规模等因素影响,不同的企业在IT管理上都有着自己独特的流程和特点,通过选取具有代表性的行业案例,我们可以归纳差异总结云管体系建设共性,而资金雄厚、IT基础设施建设完备、看重系统安全规范性的金融企业银行类客户就非常具有代表性。
企业云管诉求的普遍特性
自云计算问世以来,从陌生观望到完全接受总会经历一个过程,而在此期间企业也会在试用不同云厂商的不用云产品,因此不可避免的会形成多云局面。综合风险和安全的考量,在初具规模的企业中,多云不仅是公有云和公有云之间,也是公有云和私有云之间的混合式管理,在历史的发展过程中由于已积累了不少云厂商的产品,在一个平台内能实现不同云厂商不同云产品的统一纳管,是其基础诉求。
此外,对于云资源全生命周期的管理也是企业的核心诉求之一。企业的IT人员往往分为两类,一类是面向公司整体IT架构基础支撑的“系统管理员”,一类是隶属于各个业务线且只为本业务线IT服务的“业务管理员”,我们以某大型商业银行为例:图1:某大型商业银行IT组织架构
在该银行的IT组织架构中,架构部与基础运维组承担了系统管理员的角色,它们负责云厂商的选型以及对云资源的基础管理工作;同时,银行内部又存在上百个项目组,这些项目组承建具体的IT系统,如信用卡小程序、掌上银行等等,这些项目组的IT人员则承担了业务管理员的角色。
无论是公有云还是私有云厂商,他们提供的工具本质上是为系统管理员服务,业务管理员在需要云资源时只能向系统管理员提出申请,这样的管理环节中由于忽视了业务管理员的诉求,因此需要一个管理工具将云资源的申请、创建、释放、销毁等流程串联起来,以实现“云资源全生命周期管理”。图2:云资源全生命周期管理
而为了实现对云资源的全生命周期管理,务必要拥有:自助式门户、产品目录管理、计费管理、订单管理、工单中心、流程管理等功能模块。
由此,我们可以总结出企业对于云管平台的核心诉求。
图3:企业对于云管平台的核心诉求
当然,以上的总结是推理下的普遍特性,接下来,我们通过结合行云管家在金融行业所积累的大量银行客户案例,去深挖共性之下企业会需要什么样的云管平台。
行云管家:业界领先的第三方云管平台
作为业界领先的第三方云管平台,行云管家是国内唯一一家以SaaS形态提供云管服务的厂商,目前已成功服务过10万家的企业级用户,行云管家为您提供针对多家云厂商、多种云资源的一站式管理解决方案,帮助我们的客户:易上云、用好云、管好云。
4家银行客户案例详述
案例一:某世界500强商业银行
该银行是国内大型股份制商业银行之一,世界500强企业之一,旗下科技部门下设架构部、基础运维组及100多个项目组,研发和运维人员均身处于严格的办公内网之中。
在使用云服务时,基于安全因素考量,该银行客户选择了VPC网络部署模式,由位于VPC内的云主机对外提供相应的Web服务。
一方面是严格受限的办公内网,一方面是100多个项目组的云资源广泛分布在AWS、阿里云之上,复杂网络环境下的网络互通不仅是个难题,如何保证各小组之间的数据隔离,也十分棘手。
图4:某世界500强商业银行云管架构图
面对这样的问题,在行云管家中,我们将管理组件与连接组件进行了分离,负责“连接主机且创建主机会话”的功能模块被抽象成可单独部署的 “会话中转服务”,通过部署多个会话中转服务,即可实现每个VPC相互连通,以解决复杂网络环境下的网络互通问题。
图5:某世界500强商业银行内网访问云资源解决方案
此外,行云管家还提供多租户隔离机制,可保证每个项目组均是一个独立的租户(暨团队),实现租户与租户之间的数据完全隔离,并通过工单流程实现各业务部门的业务协同,更重要的是,行云管家内置了云堡垒机可为企业提供 “事前授权、事中监管、事后审计”的安全运维、合规审计能力。
图6:某世界500强商业银行租户隔离解决方案
案例二:中国某大型国有银行总行
该银行总行数据中心承担着全行所有金融电子数据的生产运行、业务保障、数据管理、交易监控以及门柜业务的后台处理职能。
由于地理因素、网络环境、安全规范的限制,在发生突发IT故障时,该银行客户各部门只能以各自集结点为主进行处置,难以统一集中、第一时间远程接入业务环境开展应急处置工作。
图7:中国某大型国有银行总行应急平台架构图
由此,行云管家为该银行客户搭建了一套统一应急响应平台,通过此平台的设备接入、会话协同、安全审计等特性,将多个数据中心、异地科技部门的设备和运维专家统一接入到平台上来,利用行云管家Proxy技术无感知、无侵入的在本地网络和平台之间建立起一条安全、高效、可靠的网络通道, 将所有分散在各地、不同类型不同厂商的设备统一纳入平台范围,实现集中管控。
图8:中国某大型国有银行总行内网访问解决方案
基于角色模型实现最小权限控制,银行各部门人员通过办公网/互联网络实现远程接入应急响应平台,每个运维人员、每台设备的操作权由指挥层统一调度和控制,远在外地的技术专家还可借助行云管家提供的基于桌面会话分享的多路分发与协同解决方案,实时查看同步的远程桌面,及时参与故障排查工作。
图9:中国某大型国有银行总行应急协同解决方案
案例三:中国六大银行某银行
从20世纪初开办的储金业务开始,至今已有百年历史,通过建设大数据平台对下一个百年意义重大,现今其大数据平台下连接着数量众多的各类型数据库及主机资源。
面对数量众多的IT资源,各方案厂商提供的管理工具却无法实现统一管理,在银保监会的要求下,该银行客户急需一套大数据平台数据操作安全管理系统 ,以构建自然数据安全操作审计屏障。
图10:中国六大银行某银行大数据平台数据操作安全管理系统
该银行客户通过部署行云管家,打造了自身的企业级IT运维中枢,承担起用户管理及运维数据资产的统一入口和中枢之职责,实现多来源用户的接入及多重身份认证机制,并具备多种类型、多种来源设备的统一管理能力,如支持管理各类数据库、主机等数据资产。
图11:中国六大银行某银行IT运维中枢解决方案
在运维安全审计这块,行云管家以“黑匣子”的形式,从旁路对运维操作进行日志记录,不影响运维操作,且其审计日志记录不可删除、不可篡改,实现运维操作的可回溯、可追踪。
借助行云管家,该银行客户还获得了自定义安全策略能力,通过创建主机运维策略组与关联设备进行关联,就能实现对关联主机上所执行的高危指令进行自定义处理,通过数据库访问方案实现SQL语句的审批,并由工单流程批量放行,事后可通过“录像/指令”双重审计的形式进行精准高效的运维审计。
图12:中国六大银行某银行运维安全审计解决方案
案例四:某世界500强商业银行
该银行是中国12家全国性股份制商业银行之一,世界500强商业银行之一,近年来其IT架构正向多云、混合云方向转变。
作为体制最为灵活的大型商业银行,该银行客户很早就将大量的IT系统迁移至以AWS和阿里云为主的公有云环境,并有近百个IT系统搭建在此之上,银行云管平台负责对公有云资源的管理工作,企业AD域负责银行内部所有系统的用户认证与鉴权。
出于金融监管的安全性要求,原有的云管体系离安全、合规、高效的目标仍有差距,在原有的管理体系之外还需一套符合云原生特性的云堡垒机,并能与云管平台、企业AD域紧密贴合,在实现个性化需求的同时,还能符合运维安全审计的标准规范。
图13:某世界500强商业银行安全运维审计架构图
在基于DevOps的理念下,该银行客户每天都有大量主机动态的创建与销毁,因此也面临着3个问题:
1)主机的动态变化信息如何自动同步到云堡垒机中?
2)一旦主机资源发生变化,如何能以用户的业务视角查看主机列表?
3)结合企业AD域,当主机资源发生动态变化时如何与堡垒机自动更新用户与主机资源之间的权限分配信息?
通过上线行云管家,该客户的问题得到了很好的解决。
基于行云管家提供的30大项共计600多个OpenAPI,该银行客户编写并部署了“云监听守候服务”,能够监听主机变化并通过API将主机信息同步到云堡垒机中,所有一切均自动化执行,用户无需手动维护主机的动态变化。
行云管家云堡垒机支持按分组视图展示主机列表,在行云管家管理界面用户可自定义分组节点,如按网络、按标签、按分组等,也可通过OpenAPI动态维护,从而实现让用户以自己的业务视角展现主机列表。
图14:某世界500强商业银行自定义主机列表分组展示
通过在行云管家中配置AD域/LDAP服务作为用户认证服务器,配置成功后,即可实现行云管家用户体系与AD域/LDAP服务的自动同步,而用户的认证与鉴权也会通过AD域/LDAP服务完成。
图15:某世界500强商业银行AD域授权同步解决方案
同时行云管家提供了主机资源授权的OpenAPI,该银行客户在“云监听守候服务”中,根据自己的业务逻辑,通过此API动态维护主机的授权信息,自动完成当主机资源发生动态变化时做到动态授权。
图16:某世界500强商业银行堡垒机解决方案
企业云管诉求提炼
最后,通过以上客户案例的分析,我们其实不难发现企业对于云管平台的一些诉求。
即,多云、混合云管理之下,实现对多家云厂商多种云计算资源的集中管理,从多云纳管、云资源全生命周期、等保运维合规审计、租户隔离自助式门户、自动化运维、监控与告警、成本管控、OpenAPI开放能力等多个维度提供统一运维管控。
对企业而言,只需一个控制台,即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源,从而进行灵活的资源管理与运维。
图17:行云管家云管平台系统架构图