使用 AWS Managed Services 实现卓越运营 - AWS 规范性指导
安全性合规性主动事件管理自动化和自动修复深厚的 AWS 专业知识成本优化及时更新云原生持续治理无供应商锁定

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Managed Services 实现卓越运营

AWS Managed Services(AMS)可帮助您管理 AWS 基础设施的运营。无论您是从单账户还是多账户登录区开始,AMS 都可以帮助您大规模采用 AWS 并高效安全地运营。AMS 中的主动性、预防性和侦测性功能旨在降低风险并提高可靠性,同时又不影响敏捷性,从而使您的组织能够优先考虑创新,例如新功能和错误修复。AMS 的运营功能包括全天候主动监控和修复、事件检测和管理、安全管理、修补、备份和成本优化。AMS 可帮助您实施运营最佳实践,并提供专业的自动化、技能和经验。有关更多信息,请参阅 AWS Managed Services 功能

AMS 作为扩展运营合作伙伴,能够帮助您有效地管理云基础设施和安全运营。这减少了 IT 运营团队执行运营任务所花的时间。这样您的团队便可专注于应用程序更高层次的活动,快速跟踪开发过程,为您的客户提供新功能。以下 AMS 功能可通过减轻内部云运营团队的负担来帮助加快云采用:

安全性

安全性对每个公司都至关重要,也是 AWS Well-Architected Framework 中的关键支柱。AWS 的安全最佳实践旨在帮助保护组织的云数据、系统和资产。日志记录、监控、身份和访问管理以及加密是您可以实施的安全控制措施的示例,用于帮助保护您的云资源。安全控制措施是一种技术或管理护栏,可防止、检测或降低威胁行为者利用安全漏洞的能力。

AMS 通过使用 AWS 最佳实践和 AWS 服务,持续帮助降低云运营风险。规范性、预防性、侦测性和响应性安全控制措施均为内置。AMS 通过 AWS ConfigAmazon GuardDuty 等 AWS 服务部署和监控 200 多项托管护栏和安全检查。AMS 还可以自动修复调查发现与不合规的资源。AMS 响应流程符合美国国家标准与技术研究所(NIST)网络安全框架(CSF)标准。

例如,GuardDuty 是一项针对 AWS 环境的持续安全监控服务。它使用机器学习和威胁情报源(例如,恶意 IP 地址和域的列表)来识别潜在的未经授权或异常行为。当您订阅 AMS 时,将启用 GuardDuty 以监控您的账户是否存在任何入侵迹象,例如异常访问行为、未经授权的基础设施部署或异常的 API 调用。例如,GuardDuty 会检测您账户中的用户是否发出 API 调用以降低密码策略中的密码强度要求。

AMS 全天候监控 GuardDuty 调查发现。AMS 会与安全专家一起研究调查发现,并与您合作修复或遏制问题。有关更多信息,请参阅本指南中的主动事件管理

此外,AMS 还提供 Trusted Remediator 等高级工具,其可自动化修复 AWS Trusted Advisor 检查中的安全调查发现。Trusted Advisor 检查表明您有机会弥补 AWS 账户的安全漏洞时,Trusted Remediator 会生成相应的建议。借助 Trusted Remediator,您可以使用既定的最佳实践,以安全、标准化的方式处理这些安全建议。

有关 AMS 如何帮助保护 AWS 云中基础设施和数据的更多信息,请参阅 AMS 文档中的安全管理

合规性

AMS 提供帮助您满足合规性要求的加速途径。AMS 符合多项行业标准,包括:

  • Center for Internet Security(CIS)

  • 支付卡行业数据安全标准 (PCI DSS)

  • 《健康保险流通与责任法案》(HIPAA)

  • 健康信息信任联盟共同安全框架 (HITRUST CSF)

  • 中等影响和高影响 FedRAMP 工作负载

您可以加快迈向许多需要类似控制措施的合规框架和其他行业框架的步伐。例如,由于 AMS 符合 PCI DSS,因此其默认的安全、日志记录和审计基础设施可帮助您的组织更快地实现 PCI DSS 合规性。

为了满足行业标准和框架,AMS 会维护一个 AWS Config 规则库并将其部署到您的账户。这些规则评估您的 AWS 账户是否符合安全和运营完整性标准。AWS Config 会持续跟踪资源的配置变更。如果变更违反了任何规则的条件,AMS 会报告其调查发现。根据违规的严重程度,您可以配置 AMS 以自动修复违规。有关 AMS 如何使用 AWS Config 帮助保护账户的更多信息,请参阅 AMS 文档中的 Configuration compliance

主动事件管理

通过全天候监控,AMS 可以主动检测关键事件并通知您。它使用全天候模式,在不同时区的七个以上地理位置之间处理和交接问题,以提供持续的服务。如果没有及时解决,则许多事件都可能导致关键业务功能停机。AMS 还对重复发生的事件进行趋势分析,以便帮助识别和调查根本原因。由于 AWS 专家已识别并查看调查发现,因此 AMS 事件管理模式可以显著缩短组织的平均响应时间和平均解决时间(MTTR)。

自动化和自动修复

AMS 通过自动化和标准化进行扩展。自动化和自动修复可减少人为错误、提升效率并提高应用程序可靠性。AMS 采用自动化优先方法运营,以便提供一致性、速度、准确性和高质量的成果。这些自动化包括集中式修补、监控、提醒、备份、恢复或修复问题。有关自动修复的更多信息,请参阅 AMS automatic remediation of alerts。通过持续的改进机制,AMS 可以帮助解决复杂的问题,并为全球所有 AMS 订阅用户提供持续的运营效率,无论企业规模或细分市场如何。自动化修复措施可以减少对员工参与的需求,从而降低成本并提高一致性和可靠性。例如,如果 Amazon Elastic Compute Cloud(Amazon EC2)实例接近其存储容量的定义阈值(例如 95%),AMS 会自动压缩已知日志或扩展底层磁盘和文件系统以帮助避免停机时间。AMS 运营团队还将与您合作,找出根本原因,以帮助防止未来出现类似问题。

深厚的 AWS 专业知识

AMS 运营和交付团队在运营 AWS 服务以及扩展和提升云运营和治理能力方面拥有深厚的专业知识。通过使用 AMS 运营能力和经验,您可以最大限度地减少组织所需的云运营资源数量,并在不增加更多资源的情况下扩展业务。AMS 提供事件响应和恢复的服务水平协议(SLA),并以服务抵扣金作为支持。由于 AMS 是更广泛 AWS 支持 覆盖范围的一部分,因此 AMS 可以直接联系能够解决复杂技术问题的 AWS 服务专家,这还可以显著降低 MTTR。

成本优化

AMS 云服务交付经理(CSDM)会定期提出建议,以帮助您优化 AWS 资源和云运营。他们使用各种成本优化工具和服务,例如 AWS Trusted Advisor、AWS Compute Optimizer 和 AWS Well-Architected Tool。AMS 可以使用按需运营功能大规模实施所需的更改。使用 AMS 通常可以节省年度运营成本,从而大幅抵消 AMS 本身的成本。

由于 AMS 提供动手操作服务来管理 AWS 基础设施,因此 AMS 实际上可以进行成本优化变更,例如更改未充分利用实例的实例类型。AMS 配备了先进的高性价比功能,例如 AMS 资源调度器,它有 20 多种标准节省模式,可以用来实现短期和长期节省目标。有关更多信息,请参阅 AMS 文档中的 Cost optimization with AMS Resource Scheduler

此外,AMS 还提供 Trusted Remediator 等高级工具,其可自动化修复 AWS Trusted Advisor 检查中的成本优化调查发现。Trusted Advisor 检查确定您有机会修复成本漏洞时,Trusted Remediator 会生成相应的建议,从而降低总拥有成本(TCO)。借助 Trusted Remediator,您可以使用既定的最佳实践,以安全、标准化的方式处理这些安全建议。

及时更新

通过补丁编排,AMS 提供所有 AWS 账户和 AWS 区域的自动化操作系统(OS)修补,以使基础设施保持最新状态。这样便可及时更新操作系统供应商提供的关键安全补丁,从而减少安全漏洞并帮助保护基础设施。如果修补失败,AMS 会尝试对其进行修复;如果需要保持平稳运行,它会从修补前的备份恢复实例。您还可以利用 AMS 按需修补来解决零日漏洞。有关更多信息,请参阅 AMS 文档中的 Patch management

云原生

AMS 使用云原生 AWS 服务实现其所有自动化和工具功能,以高效且具成本效益地监控和管理 AWS 基础设施。例如,为了执行修补自动化,AMS 使用 AWS Systems Manager、AWS Lambda 和 Amazon Simple Notification Service(Amazon SNS)的组合。如果您决定取消订阅 AMS,而您的云运营团队接管基础设施和安全管理,则您的团队无需学习任何第三方产品来提升技能。您可以查看 AMS 在 AWS 账户中执行的所有更改和操作。

有关 AMS 如何使用云原生 AWS 服务实现其某些关键运营能力的卓越运营的更多信息,请参阅 AMS 参考架构图

持续治理

AMS 通过提供与安全、性能、可靠性、成本和整体卓越运营相关的持续治理,增强了云卓越中心(CCoE)团队的能力。除了自助式报告外,您还有指定的资源,即云服务交付经理(CSDM)和云架构师(CA),他们作为扩展团队成员提供持续的指导。通过业务审查,他们使用 AWS Cost ExplorerAWS 成本和使用情况报告AWS Trusted Advisor 等工具,深入分析关键运营风险和指标。这些资源与您一起识别并实施潜在的改进。AMS 可以帮助您的 CCoE 团队分载无差异化任务,从而使团队变得更精简,可以专注于改进应用程序设计和现代化,而不是日常的治理活动。

无供应商锁定

与许多其他服务提供商不同,AMS 采用逐月按实际使用量付费模式,与大多数其他 AWS 服务类似。云运营团队可以学习 AMS 自动化和治理。随着时间的推移,团队通过使用 AMS 获得的经验不断提升技能,可以改进自身的 IT 运营实践,并最终接管基础设施和安全管理和运营。由于 AMS 仅使用云原生 AWS 服务,因此订阅 AMS 无需承诺任何第三方合同或许可。