Principe 3. Disposer d'une stratégie et d'une gouvernance claires pour le soutenir - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principe 3. Disposer d'une stratégie et d'une gouvernance claires pour le soutenir

Décider d'adopter une stratégie multicloud ne suffit pas ; vous devez établir une stratégie pour atteindre vos objectifs, notamment une gouvernance claire pour déterminer quelles charges de travail seront transférées où et pourquoi. Les critères d'évaluation doivent être utilisés pour optimiser les charges de travail et leurs dépendances. Si l'évaluation est laissée à l'appréciation des individus, un étalement non coordonné risque d'éroder la valeur de la stratégie multicloud. CSPs Nous vous recommandons d'évaluer régulièrement les performances de la charge de travail du CSP et d'utiliser votre évaluation comme élément clé pour la sélection, les critères et l'utilisation future du CSP.

Une stratégie de gouvernance efficace nécessite une visibilité sur le nombre total de services, d'applications et de composants utilisés dans l'entreprise. Une stratégie de balisage robuste qui couvre CSPs et définit clairement la propriété, l'utilisation et l'environnement (tels que le développement, l'assurance qualité, la mise en scène et la production) pour toutes les ressources déployées font partie intégrante de cette stratégie. Tout doit être associé à un propriétaire ; s'il n'est pas étiqueté ou s'il est impossible d'identifier un propriétaire, il doit être supprimé. Nous travaillons en étroite collaboration avec une grande organisation de services financiers qui trouve et supprime automatiquement toutes les ressources non étiquetées, et considère qu'il s'agit d'une bonne pratique, quels que soient les inconvénients que cela représente pour les équipes de développement. Cette approche de balisage codifie les règles de gouvernance et automatise leur application au lieu de créer des obstacles à la progression (c'est-à-dire qu'elle met en œuvre des barrières de sécurité et non des barrières). Les coûts, les opérations et la sécurité doivent être suivis, surveillés et gérés de la même manière, avec la même profondeur de données et la même transparence CSPs.

Lorsque vous mettez en œuvre une stratégie multicloud, il est essentiel d'établir une structure de compte claire et cohérente pour tous les fournisseurs de cloud afin de maintenir le contrôle opérationnel et la sécurité. Nous vous recommandons d'adopter un hub-and-spoke modèle dans lequel vous créez des éléments distincts Comptes AWS pour les différentes unités commerciales. Ils sont ancrés par deux comptes centraux essentiels : un security/audit compte pour la surveillance consolidée de la conformité et de la sécurité, et un compte réseau central pour la gestion de l'interconnectivité. (Cette approche est codifiée dans la conception de AWS Control Tower. Cependant, les principes du moindre privilège et de la séparation des tâches s'appliquent également aux autres clouds. Le AWS Well-Architected Framework aborde longuement ces concepts et est vivement recommandé aux publics techniques.) Cette approche fondamentale doit être reprise par tous les fournisseurs de cloud afin de maintenir la cohérence de la gouvernance et des opérations. Les comptes de charge de travail doivent être organisés par environnement (développement, mise en scène, production) ou par fonction, avec des processus clairs établis pour la création et la suppression des comptes.

Nos conseils :

  • Mettez en œuvre une stratégie de balisage complète afin de maintenir des modèles de propriété et d'utilisation clairs pour toutes les ressources du cloud. Suivez les environnements, les centres de coûts, les applications et les unités commerciales grâce à des politiques de balisage cohérentes. Supprimez les ressources dépourvues de balises appropriées pour appliquer les normes de gouvernance et préserver la clarté de l'environnement.

  • Établissez un cadre de conformité unifié qui cartographie les exigences réglementaires dans votre environnement multicloud. Conservez une documentation claire sur la manière dont les contrôles et les certifications de chaque fournisseur de cloud répondent à vos obligations de conformité.

  • Automatisez l'application de la gouvernance grâce à l'automatisation au lieu d'utiliser des processus d'approbation manuels. Codez vos règles de gouvernance dans des systèmes automatisés qui préviennent les violations des politiques avant qu'elles ne se produisent. Cela élimine les erreurs humaines tout en maintenant la vitesse de développement.

  • Structurez les comptes dans un hub-and-spoke modèle doté d'une sécurité et d'un contrôle réseau centralisés. Créez des comptes dédiés à l'audit de sécurité et à la gestion du réseau afin de centraliser les fonctions critiques. Cette base permet des politiques de sécurité cohérentes et une connectivité réseau cohérentes au sein de l'entreprise.

  • Pour maintenir les limites opérationnelles, créez des comptes, des abonnements ou des projets distincts (selon la nomenclature de votre CSP) pour différents environnements et fonctions. Répartissez les charges de travail par environnements de développement, de préparation et de production. Cette séparation empêche les incidents de sécurité de se propager et permet de maintenir des domaines opérationnels clairs.

  • Surveillez les coûts, les opérations et la sécurité grâce à des mesures cohérentes dans l'ensemble de l'environnement. Mettez en œuvre une surveillance unifiée de l'utilisation des ressources, des événements de sécurité et des habitudes de dépenses. Utilisez ces données pour optimiser le placement de la charge de travail et les décisions d'allocation des ressources.

  • Empêchez l'utilisation non autorisée du cloud grâce à des politiques organisationnelles et à des contrôles automatisés. Définissez des processus clairs pour la création de comptes et le provisionnement des ressources. Mettez en œuvre des politiques de contrôle des services (SCPs) pour garantir le respect des normes organisationnelles sur tous les comptes.

  • Établissez des contrôles de détection et de prévention pour empêcher l'informatique parallèle d'émerger par le biais de comptes de fournisseurs non autorisés. Surveillez l'utilisation non autorisée du cloud grâce aux notes de dépenses et au trafic réseau. Bloquez l'accès non autorisé des fournisseurs tout en préservant les voies d'innovation approuvées.