Prinsip 3. Memiliki strategi dan tata kelola yang jelas untuk mendukungnya - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prinsip 3. Memiliki strategi dan tata kelola yang jelas untuk mendukungnya

Memutuskan untuk mengejar strategi multicloud tidak cukup; Anda harus menetapkan strategi untuk mencapai tujuan Anda, termasuk tata kelola yang jelas untuk beban kerja mana yang akan pergi ke mana dan mengapa. Kriteria evaluasi harus digunakan untuk mengoptimalkan beban kerja dan dependensinya. Jika evaluasi diserahkan kepada individu, penyebaran yang tidak terkoordinasi kemungkinan CSPs akan mengikis nilai strategi multicloud. Kami menyarankan Anda mengevaluasi kinerja beban kerja CSP secara teratur dan menggunakan penilaian Anda sebagai masukan utama untuk pemilihan CSP, kriteria, dan penggunaan future.

Strategi tata kelola yang efektif membutuhkan visibilitas ke dalam jumlah total layanan, aplikasi, dan komponen yang digunakan di seluruh perusahaan. Integral dari ini adalah strategi penandaan yang kuat yang mencakup CSPs dan menetapkan kepemilikan, penggunaan, dan lingkungan yang jelas (seperti pengembangan, QA, pementasan, dan produksi) untuk semua sumber daya yang digunakan. Semuanya harus ditandai ke pemilik; jika tidak ditandai atau pemilik tidak dapat diidentifikasi, itu harus dihapus. Kami bekerja sama dengan organisasi jasa keuangan utama yang secara otomatis menemukan dan menghapus sumber daya yang tidak ditandai, dan menganggap ini sebagai praktik terbaik, terlepas dari ketidaknyamanan yang ditimbulkannya kepada tim pengembangan. Pendekatan penandaan ini mengkodifikasikan aturan tata kelola dan mengotomatiskan penegakan alih-alih membuat blok untuk kemajuan (yaitu, menerapkan pagar pembatas, bukan gerbang). Biaya, operasi, dan keamanan harus dilacak, dipantau, dan ditindaklanjuti dengan cara yang sama, dengan kedalaman data dan transparansi yang sama. CSPs

Ketika Anda menerapkan strategi multicloud, membangun struktur akun yang jelas dan konsisten di seluruh penyedia cloud sangat penting untuk menjaga kontrol operasional dan keamanan. Kami merekomendasikan mengadopsi hub-and-spoke model, di mana Anda membuat terpisah Akun AWS untuk unit bisnis yang berbeda. Ini ditambatkan oleh dua akun pusat penting: security/audit akun untuk kepatuhan terkonsolidasi dan pemantauan keamanan, dan akun jaringan pusat untuk mengelola interkonektivitas. (Pendekatan ini dikodifikasi dalam desain. AWS Control Tower Namun, prinsip-prinsip hak istimewa dan pemisahan tugas sama-sama berlaku untuk awan lainnya. The AWS Well-Architected Framework membahas konsep-konsep ini panjang lebar, dan sangat direkomendasikan untuk khalayak teknis.) Pendekatan dasar ini harus dicerminkan di seluruh penyedia cloud untuk menjaga konsistensi dalam tata kelola dan operasi. Akun beban kerja harus diatur oleh lingkungan (pengembangan, pementasan, produksi) atau fungsi, dengan proses yang jelas ditetapkan untuk pembuatan dan penghapusan akun.

Bimbingan kami:

  • Menerapkan strategi penandaan yang komprehensif untuk mempertahankan pola kepemilikan dan penggunaan yang jelas di semua sumber daya cloud. Lacak lingkungan, pusat biaya, aplikasi, dan unit bisnis melalui kebijakan penandaan yang konsisten. Hapus sumber daya yang tidak memiliki tag yang tepat untuk menegakkan standar tata kelola dan menjaga kejelasan lingkungan.

  • Buat kerangka kerja kepatuhan terpadu yang memetakan persyaratan peraturan di seluruh lingkungan multicloud Anda. Menjaga dokumentasi yang jelas tentang bagaimana kontrol dan sertifikasi masing-masing penyedia cloud mendukung kewajiban kepatuhan Anda.

  • Otomatiskan penegakan tata kelola melalui otomatisasi alih-alih menggunakan proses persetujuan manual. Kode aturan tata kelola Anda ke dalam sistem otomatis yang mencegah pelanggaran kebijakan sebelum terjadi. Ini menghilangkan kesalahan manusia sambil mempertahankan kecepatan pengembangan.

  • Struktur akun dalam hub-and-spoke model dengan keamanan terpusat dan kontrol jaringan. Buat akun khusus untuk audit keamanan dan manajemen jaringan untuk memusatkan fungsi penting. Yayasan ini memungkinkan kebijakan keamanan yang konsisten dan konektivitas jaringan di seluruh organisasi.

  • Untuk mempertahankan batasan operasional, buat akun, langganan, atau proyek terpisah (tergantung pada nomenklatur CSP Anda) untuk lingkungan dan fungsi yang berbeda. Membagi beban kerja dengan pengembangan, pementasan, dan lingkungan produksi. Pemisahan ini mencegah insiden keamanan menyebar dan mempertahankan domain operasional yang jelas.

  • Pantau biaya, operasi, dan keamanan melalui metrik yang konsisten di seluruh lingkungan. Menerapkan pemantauan terpadu untuk pemanfaatan sumber daya, peristiwa keamanan, dan pola pengeluaran. Gunakan data ini untuk mengoptimalkan penempatan beban kerja dan keputusan alokasi sumber daya.

  • Mencegah penggunaan cloud yang tidak sah melalui kebijakan organisasi dan kontrol otomatis. Tentukan proses yang jelas untuk pembuatan akun dan penyediaan sumber daya. Menerapkan kebijakan pengendalian layanan (SCPs) untuk menegakkan kepatuhan terhadap standar organisasi di semua akun.

  • Menetapkan kontrol detektif dan preventif untuk mencegah bayangan TI muncul melalui akun penyedia yang tidak sah. Pantau penggunaan cloud yang tidak sah melalui laporan pengeluaran dan lalu lintas jaringan. Blokir akses penyedia yang tidak sah sambil mempertahankan jalur inovasi yang disetujui.