A védelmi felhő bevezetésének szabályozása

A szabályozási módszertan a platformtartományra összpontosít. Hatással van a számítási feladatok költségkezelésére, a biztonsági alapkonfigurációra, az identitás-hozzáférési szerepkörökre és az erőforrás-konzisztencia paramétereire.

1. ábra: Tartománykövető – platformtartomány

A szabályozás egy olyan keretrendszer, amely a személyzetet, az üzembe helyezéseket és a költségvetéseket egy közös kezdeményezéshez igazítja, és megakadályozza a jövőképtől való eltérést. Szabályozza a felhőkörnyezeteket, és segít a védelmi szervezeteknek teljesíteni a küldetéscélokat.

A védelmi szervezeteknek irányításra van szükségük a kockázatok csökkentéséhez. A hatékony költség-, biztonság- és szabályzatszabályozás egyszerűsítheti a platformműveleteket, és lehetővé teszi ezeknek a védőkorlátoknak a számítási feladatok szintjén történő öröklődését. Megfelelő irányítás nélkül jelentős felügyeleti terhek és termelékenységi korlátok lépnek fel. A szabályozás hiánya emellett felelősségi hiányosságokat is okoz, biztonsági kockázatokat vezet be, és késlelteti a beruházások megtérülését (ROI-k) a túlzott üzembehelyezési késések és az újramunkálás miatt.

Néhány ilyen probléma elkerülése érdekében érdemes megfontolni az alábbi szabályozási ajánlott eljárásokat.

Szerepkörök és felelősségek kiértékelése

A küldetéstulajdonosoknak olyan felelősségi modellre van szükségük, amely a felhő minden erőforrásához tartozik, mielőtt elköteleződnek egy szabályozási stratégia mellett. Ha elérhető, a küldetéstulajdonosoknak a szerepköröket és a felelősségeket a felhőszervezői stratégiával kell összehangolni. Ha a felhőszervező nem biztosít szerepkör- és felelősségmodellt, a küldetéstulajdonosoknak szabályozási funkciókat kell létrehozniuk.

A felhőbevezetés megváltoztathatja az informatikai műveletek szempontjait. Ezek a módosítások a szerepkörök és a felelősségek újraértékelését igénylik. Az átértékelés célja, hogy ne legyen több csoport/személyzet ugyanazon szolgáltatásért felelős személy, miközben biztosítja, hogy ne legyenek felelősségi különbségek.

Az alábbi technikák segíthetnek elkerülni a szabályozási redundanciákat vagy hiányosságokat:

• Szolgáltatásfüggőség-térkép létrehozása: A szolgáltatásfüggőség-térkép olyan dokumentum, amely felsorolja az összes informatikai szolgáltatást és az azokért felelős személyeket. Szolgáltatásfüggőség-térkép létrehozásához vázolja fel a szervezet által nyújtott összes szolgáltatást, majd azonosítsa az egyes szolgáltatásokért felelős csapatokat vagy személyeket.
• Nyomon követheti a felelős, elszámoltatható, konzultált és tájékozott (RACI): A RACI-mátrix az adott szolgáltatás felelősségi szintjeit határozza meg. Meg kell adnia, hogy ki a felelős és felelős az egyes szolgáltatásokért, és kiket kell konzultálni és tájékoztatni a döntéshozatali folyamat során.

További információ: felhőszabályozási függvények.

Megfelelőség automatizálása

A védelmi szervezetek megfelelőségi követelményekkel rendelkeznek a bizalmas adatok és titkos kódok védelme érdekében. A szabályozás szükséges ezeknek az eszközöknek a védelméhez, de felügyeleti terheket okoz. A szabályozás pontosságot, ismétlődést és konzisztenciát igényel, és ezek a feladatok automatizálása sokkal jobban teljesít, mint az emberek. A védelmi szervezeteknek automatizálnia kell a szabályozási folyamatokat. Ez javítani fogja a működési hatékonyságot és a biztonságot, valamint a védelmi személyzetet, hogy más prioritásokra összpontosítson.

Az Azure leegyszerűsíti a védelmi szabályozás számos aspektusát. Az Azure-nak van egy Azure Policy nevű automatizált irányítási eszköze, amely az Azure-platformba van beépítve. Ez az eszköz az elérhető szabályzatokkal, szabványokkal és megfelelőségi követelményekkel összhangban tartja a felhőkörnyezeteket. Lehetővé teszi a csapatok számára, hogy automatizálják a megfelelőségi értékeléseket, és még az előre meghatározott megfelelőségi szabványoknak megfelelő szervizelést is.

Az Azure-ban számos beépített szabályzat érhető el, amelyek megkönnyítik a szabályozás automatizálását. Ezek a beépített szabályzatok számos kormányzati megfelelőségi követelménynek megfelelnek. Ezek közé tartozik az NIST 800-53, az NIST 800-171, a CMMC 2.0, az Impact-Level 4, az Impact-Level 5, az ISO 27001:2013, a FedRAMP High és mások. A Microsoft Sentinelben vannak olyan munkafüzetek is, amelyek segítenek a megfelelőség megjelenítésében. A szabályozási csapatok szabályzatokkal kényszeríthetik a felhőbeli erőforrások szabályozását. A felhasználók kiválasztják a kívánt szabályzatokat, és hozzárendelik őket a megfelelő erőforrás-hatókörhöz. Az Azure Policy emellett lehetővé teszi a felhasználók számára, hogy szabályzatokat hozzanak létre és módosítsanak a különböző szabályozási követelményeknek megfelelően.

Ezek a szabályzatok ellenőrzik, hogy az új üzemelő példányok és a meglévő erőforrások megfelelnek-e a életbe léptetett szabályzatoknak. Azok az új üzembe helyezések, amelyek nem felelnek meg a szabályzatkövetelményeknek, nem lesznek üzembe helyezve. A rendszer a szabályozási szabályzatoknak nem megfelelő meglévő üzembe helyezéseket is azonosítja, így a csapatok minden erőforráson kikényszeríthetik a megfelelőséget.

Az Azure-beli szabályzatok szilárd védőkorlátot hoznak létre, és automatizálják a szabályozási feladatok nagy részét. Ennek során mérsékelik a kockázatokat és növelik a hatékonyságot, segítve a küldetéstulajdonosokat küldetéscéljaik gyorsabb elérésében.

A szabályozási automatizálással kapcsolatos további információkért lásd:

• Biztonsági szabályozás
• Azure szabályzat áttekintése
• Megfelelőség az Azure-ban
• Azure-megfelelőségi szabványok
• Szabályozási vizualizációs eszköz
• Microsoft Sentinel-munkafüzetek

Költségszabályozási stratégia létrehozása

A költségek kézzelfoghatóan jelzik az irányítási hatékonyságot. A díjaknak összhangban kell lennie az elvárásokkal és a számla meglepetéseivel, ami azt jelenti, hogy a szabályozási megközelítésnek vannak hiányosságai. A költségszabályozás célja, hogy a lehető legtöbbet kihozzuk a szükséges erőforrásokból, és megakadályozzuk a nem engedélyezett erőforrás-telepítéseket.

Íme néhány szempont a költségszabályozási stratégia létrehozásakor:

A költségfelelősség ismerete – Az erőforrás-felhasználásnak szabályozásra van szüksége a költségek optimalizálásához, a pazarlás elkerüléséhez és a lefoglalt költségvetés betartásához. A költségszabályozás olyan költségkezelési technikákat biztosít, amelyekkel előre jelezheti, szabályozhatja és megfelelően hozzárendelheti a költségeket. A költségszabályozás gyakran rendelkezik kapcsolódó jogi követelményekkel. Ezt olyan törvények alátámasztják, amelyek kezdeményezik a költségvetési felügyeleti bizottságokat a jogsértések kivizsgálására és megbüntetésére.

A számlázás áttekintése – A költségeket minden számlázási ciklusban felül kell vizsgálni. A gyakoribb felülvizsgálatok jobb költségszabályozást eredményeznek. A rendszeres költség-felülvizsgálatok segítenek a problémák korai szabályozásának azonosításában. Javasoljuk, hogy a felhőközvetítők és a küldetések tulajdonosai az érdeklődési kör alapján hajtsanak végre költségvetéseket és riasztásokat. A költségvetések segítenek nyomon követni a kiadásokat, és riasztásokat küldenek, ha a kiadási küszöbértékek túllépik azokat. Több küszöbérték is beállítható, hogy a költségvetések időben értesüljenek.

Költségbiztonság – A rossz költségszabályozás biztonsági kockázatokat okoz, és korlátozza a küldetés célkitűzéseinek való megfelelés lehetőségét. Költségszabályozás nélkül bárki hozzáadhat további költségeket a számlákhoz az erőforrások engedély nélküli kiépítésével. Az így kiépített szolgáltatások könnyen figyelmen kívül hagyhatók és elfelejthetők. Az elfelejtett erőforrások növelik a támadási felületet és a felhő potenciális biztonsági réseit. A szükségtelen szolgáltatásokra fordított kiadások nemcsak kockázatot jelentenek, hanem más prioritásokból is pénzt lopnak. A váratlan díjak helytelen szabályozást jelezhetnek, és a szervezet irányítási szemléletének felülvizsgálatát igénylik.

Trendelemzés – Trendelemzést végezhet az átláthatóság érdekében, és lehetővé teszi az aktív erőforrások és a felhasználás átláthatóságát. Az erőforrás-kiadások rendellenes kiugrásai, és magyarázatért a műszaki csapathoz kell fordulni. A művelet új fázisát jelezheti, vagy szabályozási hiányosságokat jelezhet. Megjelölheti és áttekintheti a trendek új díjait vagy kiugró csúcsait. Az aktív költségkezelés ezen formája segít elkerülni a hulladékot, és csökkenti a kockázatokat. A trendelemzés segíthet az infrastruktúra kezelésében és a jövőbeli prioritások meghatározásában is. A küldetéstulajdonosok láthatják, hogy mennyi pénzt költenek egy adott képességre. Ha az elköltött pénz nem segít a küldetés célkitűzéseinek teljesítésében, az erőforrás vagy a számítási feladat jövőjét újra kell értékelni.

További információ: költségszabályozás és költségkezelés > számlázás.

Költségkonfigurációk létrehozása

A számítási feladatok költségszabályozása alapterv-becslésekkel kezdődik. A védelmi csapatoknak TCO-becslést kell végeznie a felhőbe várhatóan migrálni kívánt egyes számítási feladatokra vonatkozóan. A küldetéstulajdonosoknak figyelniük kell ezeket a felhőbeli erőforrások költségeit, és megfelelően kell kezelniük a szolgáltatásaikat a kívánt eredmények eléréséhez. A felhő egyik előnye az alacsonyabb megosztott szolgáltatások díja. Ezek általában a helyszíni adatközpont szolgáltatási díjainak töredékét teszik ki.

A számítási feladatok becsléseinek létrehozásának néhány gyakorlati lépése:

Kezdje a felhőbe való áttérés megtérülésével (ROI) – A felhő megtérülésének kiszámításához a küldetéstulajdonosoknak meg kell határozniuk a felhőbe áttérő egyes számítási feladatok teljes bekerülési költségét (TCO). Az Azure rendelkezik egy TCO-kalkulátorsal , amely lehetővé teszi, hogy a misszió tulajdonosa több változóval becsülje meg a példányonkénti költségeket:

• Létesítmények (épület, ingatlan)
• Áram- és hűtési díjak
• Hálózat (az adatközpont belső és/vagy külső)
• Hardver (kiszolgálók, állványok, útválasztók, lemeztárolók)
• A rendszer- és alkalmazásszoftverek licencei
• Operatív személyzet

Nem minden változó igényel bejegyzést, és egyes szolgáltatások becslése nehéz lehet. A missziótulajdonosoknak meg kell határozniuk az alapkonfiguráció létrehozásához szükséges pontossági szintet. A TCO-becslés létrehozása után a küldetéstulajdonosoknak dokumentálniuk kell ezeket az adatokat későbbi elemzés céljából.

A szükséges szolgáltatások havi költségeinek becslése – A számítási feladatok költségeinek alapkonfigurációjának következő lépése a szükséges szolgáltatások becsült havi költségeinek meghatározása. A havi becslések a költségvetésekhez kötődnek, és a költségvetések lehetővé teszik az üzleti előrejelzést. Az Azure-beli erőforrás-szervezési képességek megkönnyítik a szervezeti struktúra különböző szintjein a költségvetéseket. A költségvetések a felügyeleti csoport, az előfizetés vagy az erőforráscsoport szintjén alkalmazhatók. A költségvetések Azure-beli létrehozásáról, monitorozásáról és frissítéséről a Microsoft Cost Management dokumentációjában talál további információt. Az Azure díjkalkulátorával havi becsléseket és TCO-kalkulátorokat hozhat létre. Ezeket a becsléseket minden egyes migrálandó számítási feladat esetében futtatni kell. Miután kiszámítottunk egy havi Azure-számítási feladatot, a küldetés tulajdonosának dokumentálnia kell ezeket az adatokat egy adattárba vagy más követési erőforrásba későbbi elemzés céljából. Ennek a helynek meg kell egyeznie a TCO becslésével. További információ: költségeszközök.

Az irányítással kapcsolatos további információkért lásd:

• Szabályozási útmutató
• Szabályozási szemléletek

Következő lépés

Az irányítás után a felhőbevezetés a számítási feladatok tartományába kerül, és az bevezetési módszertannal kezdődik.

Elfogadja