Készen áll a védelmi felhő bevezetésére
A kész módszertan a felhőbevezetés platformtartományának első lépése.
1. ábra: Tartománykövető – platformtartomány
A kész módszertan a felhőplatform kiépítésére összpontosít. Ezt a felhőplatformot kezdőzónának nevezzük. A kezdőzónák az alapvető szolgáltatásoknak, számítási feladatoknak és alkalmazásoknak adnak otthont. Ezek a biztonsági és erőforrás-kezelési alapokat biztosítják. Lehetővé teszik az alkalmazások migrálását, modernizálását és innovációt nagyvállalati szinten. A kezdőzóna az a terület, ahol szolgáltatásokat, alkalmazásokat és számítási feladatokat helyeznek üzembe. Az alábbiakban a felhőközvetítő által követendő kezdőzóna-build legfontosabb szempontjait ismertetjük.
Biztonságos célzóna létrehozása
A célzónán belül a felhőközvetítő létrehozza a platformkörnyezeteket, és a feladat tulajdonosa felügyeli a számítási feladatok környezeteit. Ezek a számítási feladatok környezetei öröklik a platform biztonsági vezérlőit. A kezdőzónák a számítási feladatok biztonságának alapjai, és biztonságosnak kell lenniük. A védelmi szervezetek gyakran rendelkeznek a célzónákra vonatkozó architektúra megfelelőségi szabványokkal. A felhőközvetítő feladata lesz egy célzóna létrehozása ezeknek a szabványoknak megfelelően. A kezdőzónákkal kapcsolatos információkért lásd:
Íme néhány általános architektúra-javaslat a kezdőzónák üzembe helyezéséhez:
Tűzfal elhelyezése a felhő és a védelmi hálózat között – Az architektúrának tűzfalat, behatolásészlelő rendszert (IDS) és/vagy behatolásmegelőző rendszert (IPS) kell használnia, hogy megvédje a védelmi hálózatot a felhőből érkező támadásoktól. A védelmi hálózatban kell ülnie, és meg kell vizsgálnia és szűrnie kell az összes forgalomfejlécet a felhőből a védelmi hálózatba. Ez az elhelyezés akadályt jelent a két környezet között.
Az összes bejövő forgalom vizsgálata – Az összes bejövő forgalom átirányítása a biztonsági veremen keresztül, mielőtt elküldené az alkalmazásokat. A biztonsági veremnek a saját környezetében kell lennie, és a felhőalkalmazásokhoz való útválasztás előtt meg kell vizsgálnia és szűrnie kell a forgalmat.
Biztonsági felügyeleti eszközök elkülönítése – Hozzon létre egy külön környezetet a biztonsági felügyeleti eszközök számára. A biztonsági felügyeleti környezetnek legalább tartalmaznia kell a biztonsági rések vizsgálatát, a gazdagép vizsgálatát, a végpontvédelmet és a központosított naplózást.
Architektúra tulajdonosának kijelölése – A küldetéstulajdonosoknak egyetlen tagot kell kijelölniük a személyzetükből a saját célzónájuk biztonságára. Ennek a személynek kell felelősnek lennie a felhőközvetítővel való koordinációért, az identitás és a hozzáférés kezeléséért, valamint az emelt szintű jogosultságok korlátozásáért.
További információkért lásd:
Üzemeltetési és felügyeleti elvárások meghatározása
A küldetéstulajdonosoknak és a felhőközvetítőknek meg kell határozniuk az üzemeltetési és felügyeleti elvárásokat a kezdőzóna buildelési időszakában. A számítási feladatok nagy mértékben függnek a platformtól az életciklusuk során. A platform identitásának, felügyeletének vagy kapcsolati konfigurációjának változásai hatással lesznek az üzemeltetett számítási feladatokra. Fontos, hogy a platform összeállítása során szinkronizálni kell az elvárásokat és a prioritásokat, hogy a küldetéstulajdonosok és a felhőközvetítők közösen megértsék a sikert. Ha az éles környezetek éles üzeme előtt szilárd munkakapcsolatot létesít, azzal mérsékelheti a kockázatokat.
Az alábbi javaslatok vannak a műveletekre és a felügyeletre vonatkozóan:
Kommunikációs csatornák létrehozása – A küldetéstulajdonosoknak kommunikációs csatornákat kell létrehozniuk a felhőközvetítő számára. A kommunikációnak gyakorinak, következetesnek és egyértelműnek kell lennie. A missziótulajdonosoknak a rendes üléseken kívüli sürgős ügyek esetében is rendelkezésre kell álljanak a helyszíni kommunikációhoz. A kommunikáció minimálisra csökkenti a misszió célkitűzéseitől való kockázat- és technikai eltérést. Az elvárásokat le kell írni, el kell magyarázni és elérhetővé kell tenni a felhőközvetítők számára. A felhőközvetítő és a küldetés tulajdonosa közötti rendszeres szinkronizálás segít biztosítani, hogy a felhőközvetítő megértse a küldetéstulajdonosok és számítási feladataik biztonsági, teljesítménybeli és pénzügyi követelményeit.
Működési mérések kiválasztása – A működési intézkedések felülvizsgálatának megállapítása. A küldetés tulajdonosának és a felhőközvetítőnek meg kell határoznia a visszajelzések fogadásának és a fejlesztéseknek a módját.
Alapvető szolgáltatások megosztása – A legtöbb esetben a felhőközvetítőnek megosztott szolgáltatásokat kell kínálnia a küldetéstulajdonosok számára. A megosztott szolgáltatások közé tartoznak az Azure Virtual Desktopok a biztonságos ügyfél-számításhoz, valamint egy megosztott DevOps-eszközkészlet, például az Azure DevOps. A felhőközvetítők közös adatplatformot is megoszthatnak a cégirányítással vagy egy megosztott tárolóplatformmal. A közös szolgáltatások megosztása pénzt takarít meg, és javítja a megfelelőséget.
Infrastruktúra-automatizálás ismertetése – Egy jól működő felhőközvetítő kód (IaC) sablonként építi ki az infrastruktúrát a biztonságos számítási feladatok környezeteinek következetes és gyors létrehozásához. Ezek az IaC-sablonok többek között edzett virtuális gépeket, függvényeket, tárterületet hozhatnak létre. A közvetítő akár a teljes küldetéstulajdonos kezdőzónáját is létrehozhatja kóddal a konzisztencia és a megfelelőség biztosítása érdekében.
Változáskezelési folyamat létrehozása – A változás szükséges a felhőben. Valójában a felhő egyik fő előnye a változás felgyorsításának képessége. A pozitív változások felgyorsítása a digitális átalakítás célja. Létfontosságú, hogy a küldetéstulajdonosok és a felhőközvetítők változáskezelési folyamatot hozzanak létre. A változáskezelésnek figyelembe kell vennie a standard, a normál és a vészhelyzeti változáskéréseket. Minden kéréstípusnak saját folyamatnak kell lennie, amely konzisztenciára, sebességre és biztonságra van optimalizálva és leegyszerűsítve.
További információkért lásd:
Következő lépés
A kész módszertan a felhőplatform kiépítésére összpontosít. Az irányítási módszertan a biztonság, a költségek és a felügyelet platformjának szabályozására összpontosít.