Changer le cœur et l ' esprit des gens .... là réside la difficulté .
Dans le nouveau modèle , l ' infrastructure est le code et les architectures sont créées pour évoluer horizontalement . Le matériel est traité en tant que produit de base et on s ' attend à des défaillances . Architecturer dans le cloud signifie créer des logiciels qui sont indépendants de tout matériel , et peuvent automatiquement être récupérés lorsque les nœuds de calcul passent hors ligne et les nouveaux nœuds passent en ligne . Cela s ' appelle souvent l ' infrastructure immuable .
Il s ' agit non seulement d ' un changement majeur sur la manière dont les architectes et les développeurs doivent aborder le développement logiciel , mais encore plus drastique est le changement sur la manière dont les applications sont surveillées , gérées , sécurisées et auditées . Se focaliser sur la technologie seule et ignorer les aspects politiques et sociaux de ce changement est une recette du désastre . Le passage à l ' infrastructure immuable et aux architectures distribuées bouleverse les structures et responsabilités organisationelles traditionnelles .
Contrôle vs . agilité
Les entreprises hautement réglementées déploient souvent des contrôles très rigides afin de se protéger contre le risque de menace de sécurité et contre les vulnérabilités . Nombre de ces contrôles sont implémentés avec une série de processus qui ralentissent considérablement le SDLC . Dans un monde où nous livrons une fois tous les trois à six mois , les développeurs peuvent travailler avec ces contraintes . Dans le nouveau monde où nous souhaitons des nouvelles versions fréquemment , l ' implémentation de ces contrôles doit être réévaluée .
Je peux entendre le cri d ' effroi des experts en sécurité et conformité à la lecture de cette dernière déclaration . Pour être clair , je ne mets pas en cause les raisons pour lesquelles une entreprise requiert les contrôles et les politiques mises en place . Ce que je remets en cause c ' est la manière avec laquelle ces contrôles ont été implémentés . Très souvent , l ' implémentation des contrôles et des politiques prend uniquement en compte la sécurité et la conformité des acteurs principaux . Dans le nouveau monde aux nouvelles versions fréquentes , les développeurs doivent être considérés aussi comme une partie prenante majeure .
Il devrait y avoir un équilibre entre contrôle et agilité . Une entreprise peut être à la fois sécurisée et agile si elle s ' autorise à l ' être . Par exemple , de nombreuses entreprises déploient un portail de révision de sécurité manuelle pour toutes leurs applications . Si le déploiement est effectué seulement quelques fois par an , cette méthodologie peut fonctionner . Lorsque vous avez plusieurs équipes d ' applications qui le déploient plusieurs fois par mois , non seulement cela ne fonctionne pas , mais il n ' y a aucune évolutivité . Vous ne pouvez pas engager suffisamment de personnel pour vérifier manuellement le nombre de déploiements qui se produisent dans un environnement cloud mature .
La solution repose sur l ' automatisation et la confiance . De nombreux contrôles de sécurité peuvent être intégrés dans les plans de l ' infrastructure sousjacente . Lorsque les développeurs consomment les images renforcées approuvées , la plupart des contrôles de sécurité qui nécessitaient autrefois une vérification manuelle sont déjà en place . Le processus de création doit exécuter une analyse du code de sécurité qui permet aux experts de la sécurité d ' appliquer les politiques et de rechercher les fuites potentielles de sécurité . La création peut alors être configurée pour échouer si le niveau de l ' analyse n ' est pas suffisamment élevé pour répondre à la norme de sécurité établie . Voilà encore une nouvelle opportunité d ' éliminer un portail de vérification manuelle .
D ' un point de vue technologique , l ' implémentation est très facile . Le défi est de convaincre les parties prenantes de sécurité et de conformité d ' adhérer à l ' approche .
Outils de datacenters vs . outils du cloud
Un idiot avec un outil reste un idiot . J ' ai trop souvent vu des gens mariés avec un outil ou une demande de fournisseur pour que l ’ outil sur site de son choix soit utilisé dans le cloud . Un grand nombre de ces outils n ' ont jamais été créés pour fonctionner hors du parefeu ou sur une structure immuable . Ces outils apportent non seulement une faible valeur dans le cloud , mais retardent souvent la livraison en créant une quantité astronomique de travail inutile nécessaire pour intégrer l ' outil au cloud .
Les entreprises doivent réévaluer leurs choix d ' outils lorsqu ' elles passent au cloud . Choisir le meilleur outil pour le travail , et non pas l ' outil avec lequel tout le monde a ses habitudes . Un autre problème dans ce secteur est le fait que les développeurs nécessitent une plus grande visibilité de surveillance et de journalisation des données qu ' auparavant . Trop souvent les développeurs sont forcés d ' utiliser des outils avec lesquels les opérateurs sont à l ' aise , plutôt que des outils qui rendent le travail des développeurs plus efficace .
À nouveau , la technologie ici est facile . Changer le cœur et l ' esprit des gens .... là réside la difficulté .
72 | THE DOPPLER | ÉTÉ 2016