Princípio 3. Tenha uma estratégia e governança claras para apoiá-la - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Princípio 3. Tenha uma estratégia e governança claras para apoiá-la

A decisão de adotar uma estratégia de multicloud é insuficiente; você deve estabelecer uma estratégia para cumprir seus objetivos, incluindo uma governança clara para quais cargas de trabalho irão para onde e por quê. Os critérios de avaliação devem ser usados para otimizar as cargas de trabalho e suas dependências. Se a avaliação for deixada para indivíduos, uma dispersão descoordenada provavelmente CSPs corroerá o valor da estratégia multicloud. Recomendamos que você avalie o desempenho da carga de trabalho do CSP regularmente e use sua avaliação como uma entrada importante para a seleção, os critérios e o uso futuro do CSP.

Uma estratégia de governança eficaz exige visibilidade do número total de serviços, aplicativos e componentes usados em toda a empresa. Parte integrante disso é uma estratégia de marcação robusta que abrange CSPs e estabelece propriedade, uso e ambiente claros (como desenvolvimento, controle de qualidade, preparação e produção) para todos os recursos implantados. Tudo deve ser marcado para um proprietário; se não estiver marcado ou se o proprietário não puder ser identificado, ele deve ser removido. Trabalhamos em estreita colaboração com uma grande organização de serviços financeiros que encontra e remove automaticamente todos os recursos não marcados e considera isso uma prática recomendada, independentemente do inconveniente que isso represente às equipes de desenvolvimento. Essa abordagem de marcação codifica as regras de governança e automatiza a fiscalização em vez de criar obstáculos ao progresso (ou seja, implementa grades de proteção, não barreiras). Custo, operações e segurança devem ser monitorados, monitorados e aplicados da mesma forma, com a mesma profundidade de dados e transparência. CSPs

Quando você implementa uma estratégia multicloud, estabelecer uma estrutura de contas clara e consistente entre os provedores de nuvem é crucial para manter o controle operacional e a segurança. Recomendamos a adoção de um hub-and-spoke modelo em que você crie unidades de negócios separadas Contas da AWS para diferentes unidades de negócios. Elas são ancoradas por duas contas centrais críticas: uma security/audit conta para monitoramento consolidado de conformidade e segurança e uma conta de rede central para gerenciar a interconectividade. (Essa abordagem é codificada no design do AWS Control Tower. No entanto, os princípios de privilégio mínimo e separação de deveres são igualmente aplicáveis a outras nuvens. O AWS Well-Architected Framework discute esses conceitos detalhadamente e é altamente recomendado para o público técnico.) Essa abordagem fundamental deve ser espelhada em todos os provedores de nuvem para manter a consistência na governança e nas operações. As contas de carga de trabalho devem ser organizadas por ambiente (desenvolvimento, preparação, produção) ou função, com processos claros estabelecidos para criação e exclusão de contas.

Nossa orientação:

  • Implemente uma estratégia abrangente de marcação para manter padrões claros de propriedade e uso em todos os recursos da nuvem. Monitore ambientes, centros de custos, aplicativos e unidades de negócios por meio de políticas de etiquetagem consistentes. Remova os recursos que não têm etiquetas adequadas para aplicar os padrões de governança e manter a clareza do ambiente.

  • Estabeleça uma estrutura de conformidade unificada que mapeie os requisitos regulatórios em seu ambiente multicloud. Mantenha uma documentação clara de como os controles e certificações de cada provedor de nuvem apoiam suas obrigações de conformidade.

  • Automatize a fiscalização da governança por meio da automação, em vez de usar processos de aprovação manual. Codifique suas regras de governança em sistemas automatizados que evitam violações de políticas antes que elas ocorram. Isso elimina o erro humano e, ao mesmo tempo, mantém a velocidade de desenvolvimento.

  • Estruture contas em um hub-and-spoke modelo com segurança centralizada e controle de rede. Crie contas dedicadas para auditoria de segurança e gerenciamento de rede para centralizar funções críticas. Essa base permite políticas de segurança e conectividade de rede consistentes em toda a organização.

  • Para manter os limites operacionais, crie contas, assinaturas ou projetos separados (dependendo da nomenclatura do seu CSP) para diferentes ambientes e funções. Divida as cargas de trabalho por ambientes de desenvolvimento, preparação e produção. Essa separação evita que incidentes de segurança se espalhem e mantém domínios operacionais claros.

  • Monitore custos, operações e segurança por meio de métricas consistentes em todo o ambiente. Implemente monitoramento unificado para utilização de recursos, eventos de segurança e padrões de gastos. Use esses dados para otimizar o posicionamento da carga de trabalho e as decisões de alocação de recursos.

  • Evite o uso não autorizado da nuvem por meio de políticas organizacionais e controles automatizados. Defina processos claros para criação de contas e provisionamento de recursos. Implemente políticas de controle de serviços (SCPs) para garantir a conformidade com os padrões organizacionais em todas as contas.

  • Estabeleça controles preventivos e de detetive para evitar que a TI paralela surja por meio de contas de fornecedores não autorizados. Monitore o uso não autorizado da nuvem por meio de relatórios de despesas e tráfego de rede. Bloqueie o acesso não autorizado de fornecedores e, ao mesmo tempo, mantenha caminhos aprovados para inovação.