Přechod do cloudu vyžaduje pečlivé plánování

Obavy o bezpečnost, spolehlivost a dostupnost cloudových služeb jsou už z podstatné části rozptýleny, a tak je transformace podnikových systémů a aplikací cloudu v plném proudu. Migrace do cloudového prostředí ale nepředstavuje jen technologickou změnu. Jde o komplexní transformaci způsobu, jakým firmy přistupují ke své infrastruktuře IT, bezpečnosti, správě dat i provozním procesům. Přechod do cloudu ve výsledku ovlivňuje nejen oddělení IT, ale prostupuje celou organizační strukturou a mění způsob, jakým zaměstnanci každý den pracují s daty a aplikacemi.

Nasazení cloudových aplikací a služeb namísto stávající infrastruktury IT a podnikových řešení by však nikdy nemělo být spuštěno impulzivně. Organizace musí nejprve důkladně analyzovat své současné potřeby, dlouhodobé cíle a připravenost na tak zásadní změnu.

Prvním krokem je proto provedení komplexního auditu současné infrastruktury IT, tedy inventarizace všech aplikací, databází a systémů, analýza jejich vzájemných závislostí a vyhodnocení jejich kritičnosti pro podnikové procesy. Součástí takového auditu musí být i zhodnocení současných nákladů na provoz a údržbu infrastruktury, včetně těch skrytých, jako je čas strávený řešením výpadků nebo škálováním kapacit.

Výběr vhodného modelu

Cloudové služby poskytují různé modely nasazení, které se liší především mírou kontroly, flexibility a odpovědnosti. Je tedy nutné pečlivě zvážit, který model nejlépe odpovídá potřebám a schopnostem podniku.

Nejvyšší míru flexibility a škálovatelnosti s minimálními počátečními investicemi poskytuje veřejný cloud. O veškerou fyzickou infrastrukturu se stará poskytovatel cloudové služby, takže jde o vhodný model pro organizace, které potřebují rychle škálovat své zdroje nebo experimentovat s novými technologiemi bez významných investic.

Privátní cloud oproti tomu poskytuje vyšší míru kontroly a možnosti přizpůsobení, což je důležité pro organizace s přísnými regulatorními požadavky nebo specifickými potřebami na zabezpečení systémů a dat. Infrastruktura může být provozována interně nebo externím poskytovatelem, ale je dedikována výhradně jedné organizaci. Tento model vyžaduje vyšší počáteční investice a také větší znalosti pro správu prostředí.

Hybridní cloud kombinuje výhody obou přístupů a umožňuje organizacím uchovávat citlivá data a kritické aplikace v privátním prostředí, zatímco méně kritické služby poběží ve veřejném cloudu. Tento model poskytuje flexibilitu při rozhodování, kde budou jednotlivé aplikace provozovány, ale současně vyžaduje složitější řízení a správu napříč různými prostředími.

A pak je zde ještě multicloudová strategie, kdy organizace využívá služeb hned několika poskytovatelů cloudu. Tento stále populárnější přístup minimalizuje riziko závislosti na jediném dodavateli a umožňuje využívat nejlepší služby od různých poskytovatelů. Správa multicloudových prostředí ale vyžaduje pokročilé nástroje a procesy pro zajištění konzistence a bezpečnosti napříč platformami.

Připravte se na přistání

Pečlivou přípravu vyžaduje nejen samotný proces přechodu do cloudu, ale také příprava cílového cloudového prostředí. Velcí poskytovatelé cloudových služeb proto vyvinuli koncept „Landing Zone“, který představuje soubor osvědčených postupů a předpřipravených konfigurací, jež mají zajistit, aby bylo cloudové prostředí daného podniku už od počátku navrženo správným způsobem.

Landing Zone definuje základní strukturu cloudového prostředí včetně organizace účtů a předplatných, síťové architektury, bezpečnostních politik a pravidel správy. Tento přístup zajišťuje konzistenci napříč celým prostředím a usnadňuje budoucí rozšiřování bez nutnosti zásadních restrukturalizací.

Hierarchická organizace cloudových zdrojů umožňuje efektivní správu a delegování odpovědností v rámci organizačních jednotek, které odpovídají struktuře firmy nebo funkčním oblastem. Rozpadá se na jednotlivé účty nebo předplatná pro různé projekty, prostředí a týmy. Tato struktura umožňuje centralizovanou správu politik a zároveň poskytuje jednotlivým týmům potřebnou autonomii. Pro zajištění bezpečnosti a stability je důležitá také segmentace prostředí. Podnik by měl mít jasně oddělená prostředí pro vývoj, testování i produkci a každé prostředí by mělo mít vlastní bezpečnostní politiky a přístupová oprávnění.

Zabezpečení od základu

Bezpečnost je v cloudu zcela klíčovým prvkem, a proto musí být do cloudové architektury integrována od samého počátku. Model sdílené odpovědnosti přitom jasně definuje, za které bezpečnostní aspekty odpovídá poskytovatel cloudových služeb a za které zákazník. Pochopení tohoto modelu je zásadní pro správné nastavení bezpečnostních opatření.

Základem bezpečné cloudové infrastruktury je řízení identit a přístupů (IAM), společně s principem nejmenších oprávnění. Uživatelé a aplikace pak mají přístup pouze ke zdrojům, které skutečně potřebují. Moderní IAM systémy umožňují definovat detailní politiky založené na různých vlastnostech včetně role uživatele, času přístupu, lokace nebo stavu jeho zařízení.

Pro všechny uživatele cloudových zdrojů by měla být povinná také vícefaktorová autentizace (MFA). A podmíněný přístup umožňuje dynamicky upravovat bezpečnostní požadavky podle kontextu – například vyžadovat dodatečnou autentizaci při přístupu z neznámé lokace nebo zařízení mimo kontrolu organizace.

Samozřejmostí je také šifrování dat v klidu i během přenosu. Poskytovatelé cloudu v této souvislosti nabízejí různé možnosti správy šifrovacích klíčů. Od plně spravovaných služeb po možnost použití vlastních klíčů (BYOK), nebo dokonce vlastních hardwarových bezpečnostních modulů (HSM). Při výběru vhodné strategie správy šifrovacích klíčů je na podniku, aby zvážil citlivost šifrovaných dat a regulatorní požadavky, které musí splňovat.

Standardem pro bezpečnost v cloudu se stává model nulové důvěry (Zero Trust), který vychází z předpokladu, že žádný uživatel ani systém není automaticky důvěryhodný, bez ohledu na to, zda se nachází uvnitř nebo vně perimetru sítě. Každý požadavek na přístup je ověřován a autorizován na základě aktuálního kontextu a rizikového profilu.

Součástí zabezpečení cloudu by měla být rovněž detekce a reakce na hrozby, která vyžaduje implementaci monitorovacích a analytických nástrojů. Systémy označované jako Security Information and Event Management (SIEM) sbírají a analyzují bezpečnostní události z různých zdrojů a identifikují potenciální hrozby. Moderní SIEM řešení využívají pro detekci anomálií a neobvyklých vzorců chování strojové učení a umělou inteligenci.

Samostatnou kategorií spojenou s bezpečností cloudových systémů a dat je dodržování regulatorních požadavků a průmyslových standardů. Různá odvětví mají specifické požadavky na ochranu dat, jejich umístění a způsob zpracování, takže je nutné zajistit, že cloudová infrastruktura podniku umožňuje plnění těchto nároků.

Přenos aplikací a dat

Existuje také několik strategií migrace aplikací a dat do cloudu, které se liší složitostí, náklady a očekávanými přínosy.

Nejjednodušší je takzvaný rehosting, kdy jsou aplikace přesunuty do cloudu bez významných změn. Tento přístup umožňuje rychlou migraci, ale nevyužívá plně výhod cloudu. Je vhodný pro aplikace, které budou v budoucnu nahrazeny. Replatforming zahrnuje dílčí optimalizace aplikací pro cloudové prostředí bez změny základní architektury a poskytuje rovnováhu mezi rychlostí migrace a využitím výhod cloudu.

Zásadní změny v architektuře aplikací, aby plně využily cloudové služby, vyžaduje takzvaný refactoring. Aplikace může být rozdělena na mikroslužby, převedena na bezserverovou (serverless) architekturu nebo redesignována pro využití služeb typu Platform‑as‑a‑Service (PaaS). Tento přístup vyžaduje nejvíce času a zdrojů, ale poskytuje největší dlouhodobé výhody.

Řízení a optimalizace nákladů

Jednou z hlavních výhod cloudu je omezení kapitálových nákladů ve prospěch provozních výdajů. Ale bez správného řízení mohou náklady na cloud rychle překročit plány. Proto je důležité správně dimenzovat cloudové zdroje. Mnoho podniků zpočátku množství zdrojů přecení v obavě o dostatečný výkon. Cloudové platformy ale poskytují automatické škálování, které umožňuje přizpůsobovat kapacitu aktuálním potřebám. Proto je důležitá pravidelná analýza využití zdrojů, aby bylo možné identifikovat příležitosti k úsporám a vypnutí nevyužívaných zdrojů.

Při závazku využívání určité kapacity na delší období poskytují provozovatelé cloudu významné slevy. Pro sledování a alokaci nákladů se provádí označování zdrojů podle projektů, oddělení nebo vlastníků, aby byla zajištěna odpovědnost za spotřebu zdrojů. Praxe FinOps představuje odpovědný přístup ke cloudovým službám, kdy technické, finanční i obchodní týmy spolupracují na optimálním využití nákladů na cloud. Nezbytnou součástí je nepřetržitý monitoring s upozorněními na dosažení stanovených limitů i neobvyklou spotřebu zdrojů.

ICT revue

Stáhněte si přílohu v PDF

Měření úspěchu

Jak hodnotit úspěšnost transformace podnikových aplikací do cloudu? Technické metriky zahrnují dostupnost služeb, latenci, čas potřebný pro nasazení nových funkcí nebo počet bezpečnostních incidentů. Finanční metriky sledují celkové náklady na vlastnictví, návratnost investice nebo cenu za jednu transakci. Důležité je porovnání těchto metrik s původními náklady na lokální řešení, ovšem s uvážením dodatečné hodnoty, kterou cloud přináší. Obchodní metriky měří dopad na zákaznickou spokojenost, rychlost uvádění nových produktů nebo schopnost rychle reagovat na tržní příležitosti. Obtížněji měřitelné, ale nikoli nevýznamné, jsou metriky jako schopnost inovace, agilita a spokojenost zákazníků či zaměstnanců. Využít lze například různé formy průzkumů.

Celkově úspěch transformace do cloudu závisí na schopnosti podniku přijmout nové způsoby práce, investovat do rozvoje zaměstnanců a kontinuálně se adaptovat na měnící se technologické prostředí, protože nejde o jednorázový cíl, ale o průběžné vylepšování a optimalizaci.

Článek byl publikován ve speciální příloze HN ICT revue.