Grundsatz 3. Verfügen Sie über eine klare Strategie und Unternehmensführung, um dies zu unterstützen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundsatz 3. Verfügen Sie über eine klare Strategie und Unternehmensführung, um dies zu unterstützen

Die Entscheidung, eine Multi-Cloud-Strategie zu verfolgen, reicht nicht aus. Sie müssen eine Strategie zur Erreichung Ihrer Ziele festlegen, einschließlich einer klaren Steuerung, für welche Workloads wo und warum verwendet werden. Bewertungskriterien sollten verwendet werden, um Workloads und ihre Abhängigkeiten zu optimieren. Wenn die Bewertung den einzelnen Personen überlassen wird, CSPs wird eine unkoordinierte Ausbreitung der Multi-Cloud-Strategie wahrscheinlich den Wert der Multi-Cloud-Strategie untergraben. Wir empfehlen Ihnen, die Leistung der CSP-Workloads regelmäßig zu bewerten und Ihre Bewertung als wichtigen Input für die Auswahl, die Kriterien und die future Nutzung des CSP zu verwenden.

Eine effektive Governance-Strategie erfordert einen Überblick über die Gesamtzahl der Dienste, Anwendungen und Komponenten, die im gesamten Unternehmen genutzt werden. Ein wesentlicher Bestandteil dieser Strategie ist eine robuste Tagging-Strategie, die klare Eigentumsverhältnisse, Nutzung und Umgebung (wie Entwicklung, Qualitätssicherung, Staging und Produktion) für alle eingesetzten Ressourcen umfasst CSPs und festlegt. Alles sollte einem Besitzer zugeordnet sein. Wenn es nicht markiert ist oder ein Besitzer nicht identifiziert werden kann, sollte es entfernt werden. Wir arbeiten eng mit einem großen Finanzdienstleistungsunternehmen zusammen, das automatisch alle Ressourcen ohne Tags findet und entfernt, und betrachten dies als bewährte Methode, unabhängig von den Unannehmlichkeiten, die es für Entwicklungsteams mit sich bringt. Dieser Tagging-Ansatz kodifiziert die Regeln der Unternehmensführung und automatisiert deren Durchsetzung, anstatt den Fortschritt zu blockieren (d. h. es werden Leitplanken und keine Tore eingeführt). Kosten, Betriebsabläufe und Sicherheit müssen auf die gleiche Weise verfolgt, überwacht und entsprechende Maßnahmen ergriffen werden, und zwar mit der gleichen Datentiefe und Transparenz. CSPs

Wenn Sie eine Multi-Cloud-Strategie implementieren, ist die Einrichtung einer klaren und konsistenten Kontostruktur für alle Cloud-Anbieter von entscheidender Bedeutung, um die betriebliche Kontrolle und Sicherheit aufrechtzuerhalten. Wir empfehlen die Einführung eines hub-and-spoke Modells, bei dem Sie separate Modelle AWS-Konten für verschiedene Geschäftsbereiche erstellen. Diese basieren auf zwei wichtigen zentralen Konten: einem security/audit Konto für die konsolidierte Compliance- und Sicherheitsüberwachung und einem zentralen Netzwerkkonto für die Verwaltung der Interkonnektivität. (Dieser Ansatz ist im Entwurf von kodifiziert. AWS Control Tower Die Prinzipien der geringsten Privilegien und der Aufgabentrennung gelten jedoch auch für andere Clouds. Das AWS Well-Architected Framework behandelt diese Konzepte ausführlich und ist für technische Zielgruppen sehr zu empfehlen.) Dieser grundlegende Ansatz sollte sich bei allen Cloud-Anbietern widerspiegeln, um eine einheitliche Verwaltung und Betriebsabläufe zu gewährleisten. Workload-Konten sollten nach Umgebung (Entwicklung, Bereitstellung, Produktion) oder Funktion organisiert werden, wobei klare Prozesse für die Erstellung und Löschung von Konten festgelegt werden sollten.

Unsere Leitlinien:

  • Implementieren Sie eine umfassende Tagging-Strategie, um klare Eigentums- und Nutzungsmuster für alle Cloud-Ressourcen aufrechtzuerhalten. Verfolgen Sie Umgebungen, Kostenstellen, Anwendungen und Geschäftsbereiche mithilfe einheitlicher Tagging-Richtlinien. Entfernen Sie Ressourcen, denen die richtigen Tags fehlen, um Governance-Standards durchzusetzen und die Transparenz der Umgebung zu wahren.

  • Richten Sie ein einheitliches Compliance-Framework ein, das die regulatorischen Anforderungen in Ihrer Multi-Cloud-Umgebung abbildet. Sorgen Sie für eine klare Dokumentation darüber, wie die Kontrollen und Zertifizierungen der einzelnen Cloud-Anbieter Ihre Compliance-Verpflichtungen unterstützen.

  • Automatisieren Sie die Durchsetzung der Unternehmensführung durch Automatisierung, anstatt manuelle Genehmigungsprozesse zu verwenden. Kodieren Sie Ihre Governance-Regeln in automatisierten Systemen, die Richtlinienverstöße verhindern, bevor sie auftreten. Dadurch werden menschliche Fehler vermieden und gleichzeitig die Entwicklungsgeschwindigkeit beibehalten.

  • Strukturieren Sie Konten in einem hub-and-spoke Modell mit zentraler Sicherheits- und Netzwerksteuerung. Erstellen Sie spezielle Konten für Sicherheitsüberprüfungen und Netzwerkmanagement, um wichtige Funktionen zu zentralisieren. Diese Grundlage ermöglicht einheitliche Sicherheitsrichtlinien und Netzwerkkonnektivität im gesamten Unternehmen.

  • Um betriebliche Grenzen zu wahren, sollten Sie separate Konten, Abonnements oder Projekte (abhängig von der Nomenklatur Ihres CSP) für verschiedene Umgebungen und Funktionen erstellen. Teilen Sie die Workloads nach Entwicklungs-, Staging- und Produktionsumgebungen auf. Diese Trennung verhindert, dass sich Sicherheitsvorfälle ausbreiten, und sorgt für klare Betriebsbereiche.

  • Überwachen Sie Kosten, Abläufe und Sicherheit mithilfe einheitlicher Kennzahlen in der gesamten Umgebung. Implementieren Sie eine einheitliche Überwachung der Ressourcennutzung, Sicherheitsereignisse und Ausgabenmuster. Verwenden Sie diese Daten, um Entscheidungen zur Verteilung der Arbeitslast und zur Ressourcenzuweisung zu optimieren.

  • Verhindern Sie unbefugte Cloud-Nutzung durch Unternehmensrichtlinien und automatisierte Kontrollen. Definieren Sie klare Prozesse für die Kontoerstellung und die Bereitstellung von Ressourcen. Implementieren Sie Richtlinien zur Servicekontrolle (SCPs), um die Einhaltung der Unternehmensstandards für alle Konten durchzusetzen.

  • Richten Sie detektive und präventive Kontrollen ein, um zu verhindern, dass Schatten-IT über nicht autorisierte Anbieterkonten nach außen gelangt. Halten Sie mithilfe von Spesenabrechnungen und Netzwerkverkehr Ausschau nach unbefugter Cloud-Nutzung. Blockieren Sie den Zugriff unberechtigter Anbieter und behalten Sie gleichzeitig bewährte Innovationspfade bei.