A védelmi felhő bevezetésének megtervezése
A terv módszertana a felhőbevezetés parancstartományába tartozik.
1. ábra: Tartománykövető – parancstartomány
A terv módszertana az, ahol a küldetéstulajdonosok felkészülnek a felhőbevezetésre. Meg kell határozniuk a követelményeket, olyan döntéseket kell hozniuk, amelyek segítenek a küldetés célkitűzéseinek teljesítésében, és bevonni a megfelelő érdekelt feleket. Ezek a tervek határozzák meg a személyzet és a platformkezelési igényeket. A megfelelő tervezés segít biztosítani, hogy a projekt megkapja a bevásárlást az érdekelt felektől.
Javasoljuk, hogy használjon felhőközvetítőt, és a tervezés során a küldetéstulajdonosok kiválasztják a felhőközvetítési szolgáltatások használatát. Feltételezzük, hogy a küldetéstulajdonosok meghatározott technikai követelményekkel rendelkeznek a célkitűzéseik teljesítéséhez. Ha nem, akkor a felhőközvetítői stratégia kiválasztása előtt előfeltételnek kell lennie. A felhőközvetítő használata ajánlott eljárás a védelmi szervezetekben a kapcsolat által biztosított számos előny miatt. Egyes védelmi szervezetek egy adott felhőközvetítő használatát követelik meg a parancsláncban. A felhőközvetítők fontossága és előnyei miatt érdemes megvizsgálni a felhőközvetítő előnyeit és megközelítéseit.
A felhőközvetítő előnyei
A felhőközvetítők olyan központosított csoportok, amelyek felhőplatformokat építenek és kezelnek. A felhőközvetítők számos olyan feladatot végeznek el, amely a felhőkörnyezet szabályozásához és a felhőbevezetés egyszerűbbé tétele a küldetéstulajdonosok számára. A védelmi szervezeteknek néha felhőközvetítői követelményekkel kell rendelkezniük, és a küldetéstulajdonosoknak ezeket a követelményeket bele kell számolniuk a tervükbe. Ha a küldetéstulajdonosok több felhőközvetítő közül is választhatnak, meg kell határozniuk, hogy melyik felhőközvetítő kínálja a legjobb szolgáltatásokat és árakat ehhez a projekthez.
A felhőközvetítők a következő előnyöket biztosították:
Szabályozott platform kezdőzónája – A védelmi környezetben üzemeltetett szolgáltatások, megoldások és alkalmazások szabályozott környezeteket igényelnek. A felhőközvetítők olyan szabályozott platformkörnyezeteket (platform-kezdőzónákat) építenek ki és tartanak fenn, amelyek megfelelnek a megfelelőségi követelményeknek.
Az Azure-beli célzónák olyan célarchitektúrát biztosítanak, amely tartalmazza a biztonságos, megbízható és költséghatékony felhőműveletekhez szükséges összes összetevő védelmi alkalmazást (lásd a 2. ábrát). Az Azure-beli célzónák nyolc tervezési területen követik a fő alapelveket. Az Azure-beli célzóna-környezetek platform-célzónákból és alkalmazás-kezdőzónákból állnak.
Platform kezdőzónája: A platform kezdőzónája olyan előfizetés, amely több alkalmazás által használt alapvető szolgáltatásokat biztosít. A mintaarchitektúrában (lásd a 2. ábrát) a pirosban tagolt összetevők és előfizetések a platform kezdőzónái. Megosztott szolgáltatásokat, például identitást, felügyeletet és kapcsolatot biztosítanak a környezetbeli alkalmazásokhoz.
Alkalmazás kezdőzónája: Az alkalmazás kezdőzónája az alkalmazások üzemeltetésére szolgáló előfizetés. A mintaarchitektúra (lásd a 2. ábrát) kék mezői az alkalmazás kezdőzónáját vázolják fel. Az architektúrában két alkalmazás-célzóna található: "Az alkalmazás kezdőzónája A1-előfizetés" és az "Alkalmazás kezdőzónája A2-előfizetés". Az architektúra csak az "Alkalmazás kezdőzónája A2-előfizetést" jeleníti meg részletesen.
2. ábra: Az Azure célzóna elméleti architektúrája
Felhőközvetítő nélkül a küldetéstulajdonosok felelősek az alkalmazás kezdőzónáiért és a platform kezdőzónáiért. A felhőközvetítők esetében azonban a küldetéstulajdonosoknak csak az alkalmazás kezdőzónáit kell kezelniük, és az alkalmazások modernizálására kell összpontosítaniuk, hogy megfeleljenek a küldetés célkitűzéseinek. A felhőközvetítők viselik a platform kezdőzónáiban található alapvető szolgáltatások technikai felelősségét.
A platform kezdőzónái a következő szemléleteket tartalmazó tervezési döntéseket tartalmazzák:
- Költségkezelés
- Biztonsági alapkonfiguráció kezelése
- Identitáskezelési alapkonfiguráció kezelése
- Erőforrások konzisztenciája
- Üzembe helyezés gyorsítása
További információ: platform és alkalmazás kezdőzónái.
Alapvető szolgáltatások – A felhőszervezők olyan alapvető szolgáltatásokat implementálnak és kezelnek, mint az identitás, a hálózatkezelés és a felügyelet. A felhőközvetítők a legtöbb esetben biztonságosan csatlakoztatják az új felhőkörnyezetet a helyszíni hálózatokhoz, üzemeltetési környezeteket építenek ki, és létrehoznak egy identitáshozzáférés-kezelési (IAM) megoldást, amely a szabályzatok végrehajtására vonatkozó követelményeken alapul.
Platformengedélyezési szolgáltatás (ATO) – A tapasztalt felhőközvetítők gyorsabban érhetik el a platformszintű ATO-t, mint a küldetéstulajdonosok. A platformszintű ATO közvetlenül befolyásolja a kritikus fontosságú alkalmazások üzembe helyezésének sebességét. További információ: ATO felgyorsítása.
Jobb hatékonyság – A felhőszervezők automatizálhatják az információáramlást, így szükségtelenné teszi az adatok manuális generálását és a platformmegfelelőségi követelmények kezelését. Ez az automatizálás lehetővé teszi, hogy időben és pontosan útválasztást biztosítson a jóváhagyó hatóságoknak az alkalmazás üzembe helyezéséhez, ami nyomon követhetőséget és elszámoltathatóságot biztosít. Felhőközvetítő nélkül a küldetéstulajdonosoknak az alábbi akadályok között kell navigálniuk:
- Alapok beszerzése és kiosztása
- Felügyeleti és megfelelőségi követelmények kezelése
- Jóváhagyás beszerzése a biztonsági csapatoktól
- A projekt átadása a műszaki csapatoknak az alkalmazás buildeléséhez
Ezek a tevékenységek hetekig vagy hónapokig, bizonyos esetekben évekig is tarthatnak. A felhőközvetítő leegyszerűsíti és felgyorsítja a küldetéstulajdonosok számára a folyamatot.
Felhőközvetítői megközelítések
A küldetéstulajdonosoknak különböző megközelítéseket kell figyelembe venniük a felhőszervezők használata során. A küldetéstulajdonosok egyetlen felhőközvetítőt vagy több felhőközvetítőt használhatnak, és a megfelelő megközelítés a küldetés igényeitől függ.
Egyetlen felhőközvetítői megközelítés – Egyetlen felhőközvetítői megközelítésben a küldetéstulajdonosok egyetlen entitással kötnek felhőszolgáltatásokat. Lehetnek különböző támogatási modellek, de a felhőközvetítő az egyetlen kapcsolattartó pont. Egyetlen felhőközvetítő egyetlen felhőalapú identitásmegoldást biztosít, amelyet bérlőnek nevezünk. Az önálló bérlői bérletnek van néhány különböző előnye. Egyetlen bérlő a következő előnyöket kínálja:
- Csökkenti az identitás- és hozzáférés-kezelés összetettségét azáltal, hogy minden felhőkörnyezetben javítja a láthatóságot és az átláthatóságot
- Javítja a biztonságot, miközben elősegíti a megfelelő információmegosztást
- Egyszerűsíti a nulla megbízhatóságú architektúra kiépítését
- Növeli az adatátvitel hatékonyságát a háborús harcosok között a megszorítási körülmények között
Ha ezek az előnyök megfelelnek a küldetéstulajdonosok igényeinek, akkor valószínűleg egyetlen közvetítő a jobb megközelítés.
Több felhőközvetítői megközelítés – A többfelhős közvetítők megközelítése két vagy több felhőközvetítőt használ felügyelt felhőszolgáltatások biztosítására. Összetett szervezetekben több felhőközvetítő is jobb, a védelmi környezetek pedig gyakran elég összetettek ahhoz, hogy több felhőközvetítői stratégiát garantáljanak. De van egy kikötés. Több felhőközvetítő több kockázatot is felvehet a felhőbevezetési tervbe, és további kommunikációs vonalakat adhat hozzá a szervezet számára a felügyelethez.
Az alábbi tényezők segíthetnek meghatározni, hogy a több felhőközvetítő megközelítés a megfelelő-e.
Tulajdonjog: Előfordulhat, hogy a küldetéstulajdonosoknak saját felhőközvetítőkre van szükségük. A döntéshozatali csoportoknak gyakran szükségük van saját bérlőjükre a küldetéscélok teljesítéséhez és a függőségek miatti késések elkerüléséhez.
Elkülönítés: A küldetéstulajdonosoknak megfelelőségi, irányítási vagy identitási okokból izolált környezetekre lehet szükségük. Minden bérlő (a Microsoft Entra ID példánya) egy izolált identitáskörnyezetet jelöl, és szükség esetén szilárd elkülönítési korlátot hozhat létre.
Felügyelet: Az összetett környezetek elkülönítése ideális lehet a felhőalkalmazások kezeléséhez és modernizálásához. Ez a felügyeleti elkülönítés azonban nagyobb összetettséghez vezet a parancsláncban. Egyre nehezebb egyetlen nézetet létrehozni az összes felhőeszközről.
Biztonság: A különböző hatásszintekhez való adatmegfelelőség több bérlőt és több felhőközvetítőt igényelhet, akik rendelkeznek engedéllyel és tapasztalattal az érintett szintek kezeléséhez.
A többfelhős közvetítői stratégia a védelmi szervezetek különböző szintjein használható. A közvetítő lehet hozzárendelni az egyes katonai ágak (tengeri, légi, földi) vagy csoportok alkalmazások. A választás a védelmi szervezet igényeitől függ a tulajdonjog, az elkülönítés, a felügyelet és a biztonság körében.
További információt a Tervezés áttekintése és a Migrálási felmérés ellenőrzőlistája című témakörben talál.
Következő lépés
A tervezés előkészíti a védelmi szervezeteket a végrehajtásra. A rendszerezési módszertan ezt a tervet használja, és megkezdi a nem műszaki előfeltételek teljesítését.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: