Przejdź do głównej zawartości

chmura, bezpieczeństwo

#MicrosoftMówi: Microsoft IT opiera swoją strategię na chmurze

W Microsoft od wielu lat jesteśmy w podróży, której celem jest wdrożenie chmury w całej firmie. Dla działu IT jest to bardzo złożone, a zarazem strategiczne przedsięwzięcie obejmujące wiele zespołów wewnątrz organizacji. Aby uczynić tą podróż jak najbardziej płynną dla całej firmy musimy bardzo dobrze zrozumieć strategię, aspekty operacyjne oraz zmianę kulturową która przed nami stoi.

Naszym celem jest posiadanie 90% całej infrastruktury w chmurze publicznej.

Od 2011 roku realizujemy bardzo wiele projektów, które opierają się głównie na naszej chmurze Azure. Chcemy jak najszybciej korzystać z wydajnej platformy, która daje nam olbrzymie możliwości takie jak elastyczność podczas tworzenia nowych usług, oraz skrócenie czasu dostarczenia nowych produktów dla naszych klientów biznesowych.

Na początku naszym celem było posiadanie 80% wszystkich usług i aplikacji w chmurze publicznej, jednakże od 2011 roku strategia ta ewoluowała i obecnie naszym celem jest migracja 90% wszystkich usług IT. Aktualnie wykorzystujemy model hybrydowy, korzystając zarówno z chmury publicznej jak i prywatnej.

Jakie korzyści osiągnęliśmy?

Zdaliśmy sobie sprawę, że dzięki migracji do chmury osiągnęliśmy wiele korzyści:

  • Uprościliśmy portfolio aplikacji
  • Zespoły IT mogą koncentrować się na zadaniach, które niosą ze sobą wartość dla naszej firmy, a nie muszą tracić czasu na wdrożenie samej infrastruktury technicznej
  • Zwiększyliśmy integrację działu IT z działami biznesowymi, dzięki czemu możemy wdrażać jeszcze lepsze usługi, dopasowane do wymogów biznesowych.
  • Mamy możliwość szybszego reagowania na zmiany w założeniach biznesowych.

Ogólnie rzecz biorąc, nie wyobrażamy sobie dzisiaj wsparcia naszego biznesu bez chmury. Wszystkie te korzyści wpłynęły pozytywnie na zmianę kulturową oraz technologiczną w naszej organizacji i bardzo mocno odbijają się we wszystkich aspektach działania.

Ewolucja chmury hybrydowej

Chociaż naszym nadrzędnym celem jest przeniesienie wszystkich systemów do chmury i wiemy, że Microsoft Azure jest doskonałą platformą jesteśmy świadomi, że niektóre nasze aplikacje nie są jeszcze do tego gotowe. Obecnie największym wyzwaniem są dla nas stare złożone systemy, ale pomimo tych trudności większość z nich skierowana jest do migracji tak szybko, jak to tylko możliwe.

Chcąc przyśpieszyć migrację starszych systemów, które nadal znajdują się w naszych tradycyjnych centrach danych, już dzisiaj chcemy uruchamiać te komponenty, które są zoptymalizowane pod chmurę.

W związku z ciągłym rozwojem platformy Azure liczba aplikacji wewnętrznych, uruchomionych w tradycyjnym modelu staje się coraz mniejsza.

Strategia hybrydowa

Chmura hybrydowa jest mieszanką chmury prywatnej (on-premises) oraz chmury publicznej (off-premises). Połączenie tych dwóch modelów zapewnia nam dużą elastyczność oraz możliwość przenoszenia obciążeń pomiędzy lokalizacjami w zależności od potrzeb biznesowych.

Rysunek 1. Strategia chmury hybrydowej w Microsoft IT

Przy realizacji nowych projektów zawsze wybieramy chmurę publiczną Azure, ponieważ oferuje ona największą elastyczność oraz skalowalność. Dla usług powszechnych takich jak poczta, SharePoint, CRM wykorzystujemy model Software as a Service (SaaS) korzystając z takich produktów jak Office 365 czy Microsoft Dynamics CRM Online. Jeżeli planujemy dokonać inwestycji związanych z modyfikacją istniejącej aplikacji wykorzystujemy do tego celu Azure Platform as a Service (PaaS). Dzięki temu skracamy znacząco czas wdrożenia do produkcji nowej usługi. Natomiast jeżeli nie planujemy modyfikacji danej aplikacji, ale nadal planujemy ją dostarczać, wówczas zostanie ona przeniesiona do Azure Infrastructure as a Service (IaaS). Ponadto, wszystkie środowiska przedprodukcyjne uruchamiane są obecnie w Azure.

Dla małej ilości pozostałych aplikacji, które z różnych względów muszą nadal być uruchomione w niezmienionej architekturze, wybieramy chmurę prywatną, czyli tradycyjne centrum danych (on-premises).

Dowiedz się więcej na temat chmury hybrydowej Microsoft.

Migracja do chmury

Dla nas migracja do chmury jest czymś co ciągle ewoluuje. W początkowej fazie, kiedy zaczęliśmy wyznaczać aplikacje które zostaną przeniesione do chmury, dokonaliśmy prostej klasyfikacji, aby ustalić kiedy dana aplikacja powinna zostać przeniesiona. Pod uwagę braliśmy dwa czynniki: złożoność techniczną oraz wpływ na działanie firmy.

Zaczęliśmy od aplikacji, które posiadały najmniej złożoną architekturę oraz najmniejszy wpływ na funkcjonowanie firmy. Te podejście pozwoliło nam stworzyć odpowiednie modele architektury aplikacyjnej w chmurze oraz podnieść umiejętności naszych inżynierów, aby w pełni skorzystać z nowych możliwości, bez większego ryzyka.

Projektowe podejście do migracji

Aby usprawnić cały proces powołaliśmy zespół, którego głównym celem było skoncentrowanie się na procesie migracji do chmury wewnątrz Microsoft. Zespół ten pełnił kilka bardzo ważnych funkcji, takich jak:

  • Analiza – oszacowanie możliwości chmury, aplikacji oraz platformy pod kątem migracji naszych obecnych systemów
  • Ocena gotowości migracji do chmury – budowa ram decyzyjnych, czy oraz kiedy aplikacja może zostać migrowana do chmury.
  • Doradztwo oraz szkolenia w zakresie chmury – rola wewnętrznego konsultanta dla zespołów projektowych tworzących nowe wewnętrzne aplikacje, oraz szkolenia w obrębie implementacji chmury.
  • Raportowanie – rola umożliwiająca ocenę w którym miejscu obecnie jesteśmy, co udało się już dokonać, a co jeszcze przed nami.

Nowy ład korporacyjny wspiera rozwiązania chmurowe

Aby można było efektywnie wspierać nowe projekty w procesie migracji niezbędna była zmiana ładu korporacyjnego oraz globalnych polityk wewnątrz firmy Od stycznia 2015 roku, chcąc wdrożyć infrastrukturę lokalną potrzebny jest szereg dodatkowych akceptacji, dla przykładu, aby zakupić serwer fizyczny potrzebna jest zgoda Dyrektora Generalnego, Finansowego, oraz grupy odpowiedzialnej za chmurę Azure.

Funkcja zarządcza oraz kontrolna mają na celu wzmocnienie przekazu, że obecnie realizujemy jedynie projekty oparte na chmurze. Oczywiście wyjątki są akceptowane, ale wymagają bardzo wnikliwej analizy, czy w danym projekcie nie możemy zastosować chmury i wymagają zgody członków zarządu.

Bezpieczeństwo infrastruktury

Aby przejście do chmury było dla nas bezpieczne skoncentrowaliśmy się na edukacji naszych pracowników oraz podnoszeniu ich świadomości w zakresie bezpieczeństwa. Zastosowaliśmy również segmentację sieci i poświęciliśmy jeszcze więcej uwagi na bezpieczeństwo aplikacji. W czasach przed chmurą swoją uwagę koncentrowaliśmy głównie na zabezpieczeniu sieci komputerowej oraz bezpieczeństwu urządzeń końcowych. Dostęp do sieci był wówczas bardzo mocno kontrolowany, a użytkownik musiał zalogować się najpierw do sieci korporacyjnej, aby mieć dostęp do zasobów. Od kiedy aplikacje oraz usługi zaczęły pojawiać się w chmurze ta granica troszeczkę się zatarła więc musieliśmy zmienić nasze podejście.

Użytkownik obecnie ma dostęp do szerokiej gamy usług udostępniających pliki i dane. Dlatego bardzo duży nacisk kładziemy na edukację w zakresie udostępniania danych, jakie dane mogą być udostępniane, jaka jest ich klasyfikacja oraz gdzie są przechowywane. Poza zwiększeniem świadomości naszych użytkowników chronimy również naszą sieć. Kluczowym aspektem, który daje możliwość kontroli dostępu w warstwie sieci oraz warstwie aplikacyjnej jest segmentacja. Aplikacje są uruchamiane w wyizolowanych środowiskach, dzięki czemu w razie ataku lub włamania nie ma między nimi komunikacji.

Wcześniej, jeżeli użytkownik był już zalogowany do sieci i używał ważnego konta domenowego, dostęp do aplikacji był nadal kontrolowany, ale nie na tak wysokim poziomie jak jest dzisiaj. Obecnie podczas prac nad nowymi systemami lub migracją wymagane są bardzo rygorystyczne testy bezpieczeństwa, a użytkownik musi logować się zawsze za pomocą uwierzytelnienia wieloskładnikowego.

Dowiedz się więcej na temat bezpieczeństwa chmury Microsoft Azure

Zarządzanie oraz monitorowanie środowiska hybrydowego

Do zarządzania całą infrastrukturą hybrydową, w którą wchodzi Azure oraz systemy lokalne oparte na Windows Serwer, używamy System Center Operations Manager. Dzięki temu na bieżąco dostajemy informacje o stanie wszystkich naszych zasobów, ich dostępności, funkcjonowaniu oraz wydajności. System ten również umożliwia automatyzację niektórych zadań oraz identyfikację potencjalnych problemów związanych z bezpieczeństwem.

Do monitorowania aplikacji zespoły programistów używają Azure Application Insights. Application Insights umożliwia nam wysyłanie informacji o wydajności, obecnym wykorzystaniu zasobów oraz danych telemetrycznych bezpośrednio do portalu Azure. Daje nam to możliwość monitorowania tego co dzieje się wewnątrz aplikacji.

Dzięki wcześniej przygotowanym obrazom systemów operacyjnych stworzenie nowej wirtualnej maszyny w Azure jest bardzo szybkim i prostym procesem. Obrazów takich używamy zarówno do tworzenia wirtualnych maszyn w środowisku on-premises jak również w chmurze Azure. Używanie tego samego obrazu znacząco obniża koszty utrzymywania całej infrastruktury.

Dowiedz się więcej na temat zarządzania środowiskiem chmury hybrydowej

Sieć komputerowa

Przejście do rozwiązań bazujących na chmurze postawiło zupełnie nowe wyzwania przed naszą siecią komputerową. Spowodowało to znaczące zmiany w charakterze i ilości ruchu, który trafia oraz wychodzi na zewnątrz sieci korporacyjnej. Przez okres 15 miesięcy ilość ruchu wychodzącego z sieci korporacyjnej do Internetu wzrosła dziesięciokrotnie. Większość tego ruchu kierowana była do chmury publicznej Azure, wcześniej natomiast ruch ten kierowany byłby do lokalnych centrów danych z wykorzystaniem sieci wewnętrznej. Ogólnie rzecz biorąc istniejąca infrastruktura sieciowa była niewystarczająca, aby wspierać i rozwijać rozwiązania chmurowe tak jak zaplanowaliśmy to wcześniej. Dlatego też, wdrożyliśmy projekty, które miały tą sytuację zmienić i dotyczyły one dwóch głównych obszarów:

  • Rozproszony dostęp do sieci Internet oraz Azure. Wymieniliśmy serwery proxy starszego typu zastępując je nowymi sprzętowymi rozwiązaniami z wbudowanym systemem firewall. Dzięki rozróżnieniu pomiędzy chmurą Azure oraz innymi połączeniami Internetowymi mogliśmy zastosować inne zasady bezpieczeństwa oraz jakości usług dla tych dwóch typów połączeń.
  • ExpressRoute. Wdrożyliśmy również niezawodne, wysoko wydajne oraz bezpieczne łącza ExpressRoute, które były wpięte bezpośrednio do chmury Azure. Wykorzystywane są one, aby zapewnić połączenie pomiędzy aplikacjami w lokalnym centrum danych, które korzystają z zasobów w chmurze Azure.

Zespół sieciowy w Microsoft IT dokonał wielu zmian związanych z architekturą połączeń sieciowych. Wszystkie wiadomości email oraz aplikacje zapewniające produktywność naszym użytkownikom wychodzą obecnie poza obszar naszej sieci korporacyjnej. Na diagramie sieciowym przedstawionym poniżej widzimy schemat połączeń, gdzie określony kolor przedstawia typ logicznego lub fizycznego łącza zaprojektowanego pod konkretną usługę. Każdy z tych typów połączeń musi być zoptymalizowany pod konkretną usługę. Nasza infrastruktura sieciowa rozwija się wraz z naszymi aplikacjami oraz zasobami, do których użytkownicy muszą mieć dostęp

Rysunek 2 Zmodernizowana architektura sieciowa w Microsoft

Zmiany organizacyjne oraz kulturowe

Wiele korzyści, które płyną z wdrożenia chmury pozwoliły nam stać się strategicznym partnerem biznesu. Dzięki zmniejszeniu zadań operacyjnych, których było bardzo wiele przed wdrożeniem chmury, obecnie możemy skupić się na dostarczeniu wartości biznesowej dla naszej firmy. Zmiana ta miała bardzo duży wpływ przede wszystkim na jakość obsługi naszych wewnętrznych klientów, co jest dla nas najważniejszym elementem.

Chmura spowodowała również pojawienie się wielu ciekawych oraz innowacyjnych projektów, które przekształciły się w strategiczne inwestycje. Pracownicy są u nas zachęcani do wdrażania nowych pomysłów, natomiast ewentualne porażki uznawane są jako możliwości rozwoju oraz nauki. Wraz z przejściem do chmury nasza podstawowa rola również uległa zmianie. Kiedyś pełniliśmy rolę głównego właściciela zasobów i byliśmy za to odpowiedzialni. Przy rozproszonym modelu przetwarzania danych w chmurze, mamy teraz możliwość skutecznego zarządzania całym środowiskiem, które jest coraz bardziej samoobsługowe.

Nowe role w IT

Poza potrzebą zmian w kulturze organizacyjnej, nasze role wewnątrz IT muszą dostosować się do wspierania nowego modelu bazującego na chmurze. Okazało się, że jest to jedna z największych korzyści płynących z migracji do chmury, ale również dla niektórych była to bardzo duża i nieoczekiwana zmiana. Po migracji do chmury, organizacja IT jest mniej zaangażowana w prace operacyjne związane z codzienną obsługą serwerów, ale za to mamy możliwość swobodnego rozszerzania naszych ról, tak aby były bardziej zorientowane na dostarczaniu wartości dla biznesu. Daje to dodatkowe możliwości dla specjalistów IT w rozwoju ich kariery, ponieważ przechodzą oni z typowego dostawcy technologii i usług do osób odpowiedzialnych za rozwój procesów biznesowych.

Rysunek 3. Ewolucja stanowisk wewnątrz działu IT

Szybsze wdrożenia, oszczędność kosztów oraz zwiększenie efektywności

Postępująca migracja do chmury w Microsoft przyniosła nam szybszy rozwój aplikacji, oszczędności oraz znaczne zwiększenie efektywności operacyjnej. Poniższe wykresy przedstawiają trend jak kształtowała się zmiana w ilości mocy obliczeniowej związanej z różnymi typami infrastruktury (serwery fizyczne, IaaS oraz PaaS), jak również ilość incydentów związanych z infrastrukturą serwerową, które obsługiwał dział IT.

Bardzo dużo procesów udało się nam zautomatyzować, co pociągnęło za sobą obniżenie kosztów, jest to związane z przyśpieszeniem adopcji rozwiązań bazujących na platformie PaaS oraz IaaS. Ten pozytywny aspekt przejścia do chmury obserwujemy rok do roku, analizując koszty utrzymania infrastruktury.

Kilka pozytywnych aspektów, które nasza organizacja IT zauważyła:

  • Ilość lokalnie zainstalowanych serwerów zmniejsza się o 63%, z 14584 do 9208
  • Wdrożenia PaaS wzrost o 257%, z 88 do 252
  • Wdrożenia IaaS wzrost o 286%, z 2536 do 6507
  • Ilość incydentów spadła o 66%, z 7902 do 5197

W rezultacie, koszty operacyjne działu IT znacząco spadły. Dzięki systemowi samoobsługi użytkownicy mogą bardzo szybko dokonać wdrożenia nowej wirtualnej maszyny. Dzięki PaaS udało się zautomatyzować wiele funkcji związanych z tworzeniem nowych aplikacji.

Jesteśmy na dobrej drodze do chmury

Jesteśmy na dobrej drodze do osiągnięcia naszego celu posiadania 90% całej infrastruktury w chmurze publicznej Azure. Osiągamy również znaczące korzyści, które płyną z zastosowania technologii, dającej nam dużą elastyczność oraz skraca znacząco czas wdrażania nowych aplikacji. Od kiedy dokonaliśmy pierwszych migracji do chmury technologia znacząco się rozwinęła i oferuje nam dzisiaj jeszcze więcej możliwości. Chmura umożliwiła na stworzenie rzeczy, które były niemożliwe. Przewidujemy, że ewolucja chmury nadal będzie kontynuować co pozwoli nam na tworzenie aplikacji jeszcze lepiej dopasowanych do wymagań biznesowych naszych klientów.

Dodatkowe informacje:

Główna strona poświęcona Microsoft Azure https://www.microsoft.com/pl-pl/cloud-platform/

Wirtualna Akademia Microsoft poświęcona chmurze https://www.microsoft.com/pl-pl/cloud-platform/