Principio 3. Tenga una estrategia y una gobernanza claras que lo respalden - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Principio 3. Tenga una estrategia y una gobernanza claras que lo respalden

Decidir seguir una estrategia multinube no es suficiente; debe establecer una estrategia para cumplir sus objetivos, incluida una gobernanza clara sobre qué cargas de trabajo se destinarán a dónde y por qué. Los criterios de evaluación se deben utilizar para optimizar las cargas de trabajo y sus dependencias. Si la evaluación se deja en manos de las personas, es probable que una dispersión descoordinada entre todos los participantes CSPs disminuya el valor de la estrategia multinube. Le recomendamos que evalúe el rendimiento de la carga de trabajo del CSP con regularidad y que utilice su evaluación como información clave para la selección, los criterios y el uso futuro del CSP.

Una estrategia de gobierno eficaz requiere la visibilidad del número total de servicios, aplicaciones y componentes que se utilizan en la empresa. Para ello, es fundamental contar con una estrategia de etiquetado sólida que abarque CSPs y establezca claramente la propiedad, el uso y el entorno (como el desarrollo, el control de calidad, la preparación y la producción) para todos los recursos desplegados. Todo debe estar etiquetado a nombre de un propietario; si no está etiquetado o no se puede identificar a un propietario, se debe quitar. Trabajamos en estrecha colaboración con una importante organización de servicios financieros que encuentra y elimina automáticamente cualquier recurso sin etiquetar, y lo considera una buena práctica, independientemente de las molestias que ello suponga para los equipos de desarrollo. Este enfoque de etiquetado codifica las normas de gobernanza y automatiza su aplicación en lugar de obstaculizar el progreso (es decir, implementa barreras, no barreras). Los costes, las operaciones y la seguridad deben rastrearse, supervisarse y gestionarse de la misma manera, con la misma profundidad de datos y con la misma transparencia. CSPs

Al implementar una estrategia multinube, establecer una estructura contable clara y coherente entre los proveedores de servicios en la nube es crucial para mantener el control y la seguridad operativos. Recomendamos adoptar un hub-and-spoke modelo en el que se creen unidades de negocio independientes Cuentas de AWS para las diferentes. Están anclados en dos cuentas centrales fundamentales: una security/audit cuenta para la supervisión consolidada del cumplimiento y la seguridad, y una cuenta de red central para gestionar la interconectividad. (Este enfoque está codificado en el diseño de. AWS Control Tower Sin embargo, los principios de privilegio mínimo y separación de funciones se aplican igualmente a otras nubes. El AWS Well-Architected Framework analiza estos conceptos en detalle y es muy recomendable para el público técnico.) Este enfoque fundamental debe reflejarse en todos los proveedores de servicios en la nube para mantener la coherencia en la gobernanza y las operaciones. Las cuentas de carga de trabajo deben organizarse por entorno (desarrollo, puesta en escena, producción) o función, con procesos claros establecidos para la creación y eliminación de cuentas.

Nuestra guía:

  • Implemente una estrategia de etiquetado integral para mantener patrones de propiedad y uso claros en todos los recursos de la nube. Realice un seguimiento de los entornos, los centros de costes, las aplicaciones y las unidades de negocio mediante políticas de etiquetado coherentes. Elimine los recursos que carezcan de las etiquetas adecuadas para hacer cumplir los estándares de gobierno y mantener la claridad del entorno.

  • Establezca un marco de cumplimiento unificado que mapee los requisitos normativos en su entorno multinube. Lleve una documentación clara sobre cómo los controles y las certificaciones de cada proveedor de nube respaldan sus obligaciones de cumplimiento.

  • Automatice la aplicación de la gobernanza mediante la automatización en lugar de utilizar procesos de aprobación manuales. Codifique sus reglas de gobierno en sistemas automatizados que eviten las infracciones de las políticas antes de que se produzcan. Esto elimina los errores humanos y, al mismo tiempo, mantiene la velocidad de desarrollo.

  • Estructure las cuentas en un hub-and-spoke modelo con control centralizado de seguridad y redes. Cree cuentas dedicadas a la auditoría de seguridad y la administración de la red a fin de centralizar las funciones críticas. Esta base permite políticas de seguridad y conectividad de red coherentes en toda la organización.

  • Para mantener los límites operativos, cree cuentas, suscripciones o proyectos separados (según la nomenclatura de su CSP) para diferentes entornos y funciones. Divida las cargas de trabajo por entornos de desarrollo, puesta en escena y producción. Esta separación evita que los incidentes de seguridad se propaguen y mantiene claros los dominios operativos.

  • Supervise los costes, las operaciones y la seguridad mediante métricas coherentes en todo el entorno. Implemente un monitoreo unificado para la utilización de los recursos, los eventos de seguridad y los patrones de gasto. Utilice estos datos para optimizar las decisiones sobre la ubicación de la carga de trabajo y la asignación de recursos.

  • Evite el uso no autorizado de la nube mediante políticas organizativas y controles automatizados. Defina procesos claros para la creación de cuentas y el aprovisionamiento de recursos. Implemente políticas de control de servicios (SCPs) para garantizar el cumplimiento de los estándares organizacionales en todas las cuentas.

  • Establezca controles preventivos y de detección para evitar que la TI clandestina aparezca a través de cuentas de proveedores no autorizados. Supervise el uso no autorizado de la nube mediante informes de gastos y tráfico de red. Bloquee el acceso de proveedores no autorizados y, al mismo tiempo, mantenga las vías de innovación aprobadas.