本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Tenet 3. 擁有明確的策略和控管來支援它
決定追求多雲端策略並不足夠;您必須建立實現目標的策略,包括明確控管哪些工作負載將前往何處及其原因。應使用評估條件來最佳化工作負載及其相依性。如果評估保留給個人,則跨 CSPs 的不協調擴展可能會侵蝕多雲端策略的值。我們建議您定期評估 CSP 工作負載效能,並使用評估做為 CSP 選擇、條件和未來用量的關鍵輸入。
有效的控管策略需要了解整個企業使用的服務、應用程式和元件總數。整合到此是強大的標記策略,可跨越 CSPs,並為所有部署的資源建立明確的擁有權、用量和環境 (例如開發、QA、預備和生產)。所有內容都應標記給擁有者;如果未標記或無法識別擁有者,則應將其移除。我們與主要金融服務組織緊密合作,該組織會自動尋找和移除任何未標記的資源,並認為這是最佳實務,無論它對開發團隊造成的不便為何。此標記方法會編纂控管規則,並自動化強制執行,而不是建立要繼續的區塊 (即實作護欄,而不是閘道)。成本、操作和安全性必須以相同的方式進行追蹤、監控和操作,並在 CSPs 之間具有相同的資料深度和透明度。
當您實作多雲端策略時,跨雲端提供者建立清楚且一致的帳戶結構,對於維護營運控制和安全性至關重要。我們建議採用hub-and-spoke模型,您可以在其中 AWS 帳戶 為不同的業務單位建立個別的模型。這些由兩個關鍵的中央帳戶錨定:用於合併合規和安全監控的安全/稽核帳戶,以及用於管理互連性的中央聯網帳戶。(此方法在 的設計中編AWS Control Tower
我們的指引:
-
實作全面的標記策略,在所有雲端資源中維持明確的擁有權和使用模式。透過一致的標記政策追蹤環境、成本中心、應用程式和業務單位。移除缺少適當標籤的資源,以強制執行控管標準並保持環境清晰度。
-
建立統一的合規架構,以映射多雲端環境中的法規要求。維護明確文件,說明每個雲端供應商的控制和認證如何支援您的合規義務。
-
透過自動化自動執行控管,而不是使用手動核准程序。將您的控管規則編碼為自動化系統,防止政策違規發生。這可移除人為錯誤,同時維持開發速度。
-
使用集中式安全和聯網控制,在hub-and-spoke模型中建構帳戶。建立安全稽核和網路管理的專用帳戶,以集中關鍵功能。此基礎可在整個組織中實現一致的安全政策和網路連線。
-
若要維持操作界限,請為不同的環境和函數建立單獨的帳戶、訂閱或專案 (取決於您的 CSP 命名法)。依開發、預備和生產環境分割工作負載。此區隔可防止安全事件分散,並維持明確的操作網域。
-
透過整個環境的一致指標來監控成本、操作和安全性。針對資源使用率、安全事件和花費模式實作統一監控。使用此資料可最佳化工作負載配置和資源配置決策。
-
透過組織政策和自動化控制,防止未經授權的雲端使用。定義明確的帳戶建立和資源佈建程序。實作服務控制政策 SCPs),在所有帳戶中強制遵循組織標準。
-
建立偵測和預防性控制,以防止影子 IT 透過未經授權的提供者帳戶產生。透過費用報告和網路流量監控未經授權的雲端使用情況。封鎖未經授權的供應商存取,同時維護核准的創新路徑。
