Principio 3. Avere una strategia e una governance chiare per supportarlo - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Principio 3. Avere una strategia e una governance chiare per supportarlo

Decidere di perseguire una strategia multicloud non è sufficiente; è necessario stabilire una strategia per raggiungere i propri obiettivi, inclusa una governance chiara su quali carichi di lavoro andranno dove e perché. È necessario utilizzare criteri di valutazione per ottimizzare i carichi di lavoro e le relative dipendenze. Se la valutazione viene lasciata ai singoli individui, un'espansione incontrollata e non coordinata potrebbe erodere CSPs il valore della strategia multicloud. Ti consigliamo di valutare regolarmente le prestazioni del carico di lavoro del CSP e di utilizzare la valutazione come input chiave per la selezione, i criteri e l'utilizzo futuro del CSP.

Una strategia di governance efficace richiede la visibilità sul numero totale di servizi, applicazioni e componenti utilizzati in tutta l'azienda. Parte integrante di ciò è una solida strategia di tagging che comprenda CSPs e stabilisca proprietà, utilizzo e ambiente chiari (ad esempio sviluppo, controllo qualità, allestimento e produzione) per tutte le risorse distribuite. Ogni elemento deve essere assegnato a un proprietario; se non è etichettato o se il proprietario non può essere identificato, deve essere rimosso. Lavoriamo a stretto contatto con un'importante organizzazione di servizi finanziari che trova e rimuove automaticamente tutte le risorse non etichettate e la considera una best practice, indipendentemente dagli inconvenienti che comporta per i team di sviluppo. Questo approccio di etichettatura codifica le regole di governance e ne automatizza l'applicazione anziché creare ostacoli al progresso (in altre parole, implementa barriere e non cancelli). I costi, le operazioni e la sicurezza devono essere tracciati, monitorati e gestiti allo stesso modo, con la stessa profondità di dati e la stessa trasparenza. CSPs

Quando si implementa una strategia multicloud, stabilire una struttura di account chiara e coerente tra i provider di cloud è fondamentale per mantenere il controllo operativo e la sicurezza. Ti consigliamo di adottare un hub-and-spoke modello che preveda la creazione di unità aziendali separate Account AWS per diverse unità aziendali. Queste sono gestite da due account centrali fondamentali: un security/audit account per il monitoraggio consolidato della conformità e della sicurezza e un account di rete centrale per la gestione dell'interconnettività. (Questo approccio è codificato nella progettazione di. AWS Control Tower Tuttavia, i principi del privilegio minimo e della separazione dei compiti sono ugualmente applicabili ad altri cloud. Il AWS Well-Architected Framework discute a lungo questi concetti ed è altamente consigliato per il pubblico tecnico.) Questo approccio fondamentale dovrebbe essere rispecchiato in tutti i provider di servizi cloud per mantenere la coerenza nella governance e nelle operazioni. Gli account dei carichi di lavoro devono essere organizzati per ambiente (sviluppo, allestimento, produzione) o funzione, con processi chiari per la creazione e l'eliminazione degli account.

La nostra guida:

  • Implementa una strategia di tagging completa per mantenere chiari modelli di proprietà e utilizzo su tutte le risorse cloud. Tieni traccia degli ambienti, dei centri di costo, delle applicazioni e delle unità aziendali attraverso politiche di etichettatura coerenti. Rimuovi le risorse prive di tag appropriati per applicare gli standard di governance e mantenere la chiarezza dell'ambiente.

  • Stabilisci un framework di conformità unificato che mappa i requisiti normativi in tutto il tuo ambiente multicloud. Conserva una documentazione chiara su come i controlli e le certificazioni di ciascun provider di cloud supportano i tuoi obblighi di conformità.

  • Automatizza l'applicazione della governance tramite l'automazione anziché utilizzare processi di approvazione manuali. Codifica le tue regole di governance in sistemi automatizzati che impediscono le violazioni delle policy prima che si verifichino. Ciò elimina l'errore umano mantenendo al contempo la velocità di sviluppo.

  • Struttura gli account in un hub-and-spoke modello con sicurezza centralizzata e controllo della rete. Crea account dedicati per il controllo della sicurezza e la gestione della rete per centralizzare le funzioni critiche. Questa base consente politiche di sicurezza e connettività di rete coerenti in tutta l'organizzazione.

  • Per mantenere i limiti operativi, crea account, abbonamenti o progetti separati (a seconda della nomenclatura del CSP) per ambienti e funzioni diversi. Dividi i carichi di lavoro per ambienti di sviluppo, allestimento e produzione. Questa separazione impedisce la diffusione degli incidenti di sicurezza e mantiene chiari i domini operativi.

  • Monitora i costi, le operazioni e la sicurezza attraverso metriche coerenti in tutto l'ambiente. Implementa il monitoraggio unificato dell'utilizzo delle risorse, degli eventi di sicurezza e dei modelli di spesa. Utilizza questi dati per ottimizzare il posizionamento dei carichi di lavoro e le decisioni di allocazione delle risorse.

  • Impedisci l'utilizzo non autorizzato del cloud attraverso politiche organizzative e controlli automatizzati. Definisci processi chiari per la creazione di account e l'approvvigionamento delle risorse. Implementa politiche di controllo del servizio (SCPs) per far rispettare la conformità agli standard organizzativi in tutti gli account.

  • Stabilisci controlli investigativi e preventivi per impedire che l'IT ombra emerga attraverso account di provider non autorizzati. Monitora l'utilizzo non autorizzato del cloud tramite note spese e traffico di rete. Blocca l'accesso non autorizzato dei provider mantenendo al contempo percorsi di innovazione approvati.