Freigeben über

„Plan“ für die Cloudeinführung in der Verteidigung

  • Artikel

Die Plan-Methodik fällt in die Befehlsdomäne der Cloudeinführung.

Abbildung, die einen Domänentracker zeigt. Hier ist die Befehls-, Plattform- und Missionsdomäne zu sehen. „Befehl“ ist hervorgehoben, um zu zeigen, dass wir uns in der Befehlsdomäne der Cloudeinführung befinden.Abbildung 1: Domänentracker – Befehlsdomäne

Bei der Plan-Methodik bereiten sich Missionsbesitzer auf die Cloudeinführung vor. Sie müssen Anforderungen definieren, Entscheidungen treffen, die zur Erreichung der Missionsziele beitragen, und die richtigen Beteiligten einbeziehen. Diese Pläne bestimmen den Personal- und Plattformverwaltungsbedarf. Die richtige Planung trägt dazu bei, dass das Projekt von den Beteiligten unterstützt wird.

Es wird empfohlen, einen Cloudbroker zu verwenden. Bei der Planung wählen Missionsbesitzer einen Ansatz für die Verwendung von Cloudbrokerdiensten aus. Wir gehen davon aus, dass Missionsbesitzer technische Anforderungen definiert haben, um ihre Ziele zu erreichen. Andernfalls ist dies eine Voraussetzung, die vor der Entscheidung über die Cloudbrokerstrategie erfüllt sein muss. Die Verwendung eines Cloudbrokers ist aufgrund der vielen Vorteile, die durch die Beziehung geboten werden, eine bewährte Methode für Verteidigungsorganisationen. Einige Verteidigungsorganisationen schreiben die Verwendung eines bestimmten Cloudbrokers in der Befehlskette vor. Angesichts der Bedeutung und der Vorteile von Cloudbrokern lohnt es sich, ihre Vorteile und Cloudbrokeransätze zu untersuchen.

Vorteile eines Cloudbrokers

Cloudbroker sind zentralisierte Gruppen, die Cloudplattformen erstellen und verwalten. Cloudbroker führen viele der Aufgaben aus, die erforderlich sind, um eine Cloudumgebung zu steuern. Sie vereinfachen die Cloudeinführung für Missionsbesitzer. Verteidigungsorganisationen haben in einigen Fällen Cloudbrokeranforderungen, und Missionsbesitzer sollten diese Anforderungen in ihren Plan einbeziehen. Wenn Missionsbesitzer aus mehreren Cloudbrokern auswählen können, müssen sie ermitteln, welcher Cloudbroker die besten Dienste und Preise für das vorliegende Projekt bietet.

Cloudbroker bieten die folgenden Vorteile:

Geregelte Plattformzielzone: Die in einer Verteidigungsumgebung gehosteten Dienste, Lösungen und Anwendungen erfordern geregelte Umgebungen. Cloudbroker erstellen und verwalten eine verwaltete Plattformumgebung (Plattformzielzonen), die die Complianceanforderungen erfüllt.

Eine Azure-Zielzone bietet eine Zielarchitektur, die alle Komponenten umfasst, die Verteidigungsanwendungen für sichere, zuverlässige und kostengünstige Cloudvorgänge benötigen (siehe Abbildung 2). Eine Azure-Zielzone folgt den wichtigsten Prinzipien in acht Entwurfsbereichen. Eine Azure-Zielzonenumgebung besteht aus Plattformzielzonen und Anwendungszielzonen.

  • Plattformzielzone: Eine Plattformzielzone ist ein Abonnement, das Kerndienste bereitstellt, die von mehreren Anwendungen verwendet werden. In der Beispielarchitektur (siehe Abbildung 2) sind die rot dargestellten Komponenten und Abonnements die Plattformzielzonen. Sie stellen Dienste wie Identität, Verwaltung und Konnektivität für die Anwendungen in dieser Umgebung bereit.

  • Anwendungszielzone: Eine Anwendungszielzone ist ein Abonnement zum Hosten von Anwendungen. In der Beispielarchitektur (siehe Abbildung 2) sind die blauen Felder die Anwendungszielzonen. Es gibt zwei Anwendungszielzonen in der Architektur: „Anwendungszielzone A1-Abonnement“ und „Anwendungszielzone A2-Abonnement“. Die Architektur zeigt nur das „Anwendungszielzone A2-Abonnement“ im Detail an.

Diagramm einer Azure-Zielzonenarchitektur. Eine Beispielarchitektur, die die Plattformzielzone und Anwendungszielzonen zeigt. Hier ist der Microsoft Entra-Mandant mit Verwaltungsgruppen darunter zu sehen. Die Verwaltungsgruppen sind in Plattform, Zielzonen, Außer Betrieb genommen und Sandbox unterteilt. Unter diesen Verwaltungsgruppen sind untergeordnete Verwaltungsgruppen mit Abonnements darunter. Die Architektur zeigt den Inhalt dieser Abonnements an. Die Verwaltungsgruppe der Plattformzielzone enthält Identitäts-, Verwaltungs- und Konnektivitätsabonnements. Es gibt Blackboxes rund um die Abonnements der Plattformzielzone. Die Verwaltungsgruppe der Anwendungszielzone enthält zwei Anwendungszielzonen-Abonnements. Der Inhalt eines Abonnements wird ausführlich dargestellt. Um die Anwendungszielzonen-Abonnements sind rote Felder vorhanden.Diagramm 2: Beispielarchitektur mit der Plattformzielzone

Ohne einen Cloudbroker sind Missionsbesitzer für die Anwendungszielzonen und die Plattformzielzonen verantwortlich. Mit einem Cloudbroker müssen Missionsbesitzer jedoch nur die Anwendungszielzonen verwalten und können sich auf die Modernisierung von Anwendungen konzentrieren, um die Missionsziele zu erreichen. Cloudbroker tragen die technische Verantwortung für die Kerndienste in Plattformzielzonen.

Plattformzielzonen bieten Entwurfsoptionen, die die folgenden Disziplinen umfassen:

  • Cost Management
  • Sicherheitsbaselineverwaltung
  • Identitätsbaselineverwaltung
  • Ressourcenkonsistenz
  • Beschleunigung der Bereitstellung

Weitere Informationen finden Sie unter Plattform- und Anwendungszielzonen.

Kerndienste: Cloudbroker implementieren und verwalten Kerndienste wie Identität, Netzwerk und Verwaltung. In den meisten Fällen verbindet ein Cloudbroker die neue Cloudumgebung sicher mit lokalen Netzwerken, erstellt Betriebsumgebungen und richtet eine IAM-Lösung (Identity Access Management) mit Richtlinienerzwingung basierend auf den Missionsanforderungen ein.

Genehmigung zum Betrieb (Authorization to Operate, ATO) für die Plattform: Erfahrene Cloudbroker können dazu beitragen, eine ATO auf Plattformebene schneller zu erreichen als Missionsbesitzer allein. Eine ATO auf Plattformebene wirkt sich direkt auf die Geschwindigkeit aus, mit der Missionsbesitzer kritische Anwendungen bereitstellen können. Weitere Informationen finden Sie unter Beschleunigen der ATO.

Verbesserte Effizienz: Ein Cloudbroker kann den Informationsfluss automatisieren, wodurch die manuelle Generierung von Daten und die Verwaltung von Plattformkonformitätsanforderungen entfallen. Diese Automatisierung ermöglicht ein zeitnahes und genaues Routing an Genehmigungsstellen für die Anwendungsbereitstellung und sorgt für Rückverfolgbarkeit und Verantwortlichkeit. Ohne einen Cloudbroker müssen Missionsbesitzer die folgenden Hürden bewältigen:

  • Mittel beschaffen und zuweisen
  • Aufsichts- und Complianceanforderungen verwalten
  • Genehmigung von Sicherheitsteams einholen
  • Projekt an technische Teams für den Anwendungsbuild übergeben

Diese Aktivitäten können Wochen oder Monate und in einigen Fällen Jahre dauern. Der Cloudbroker vereinfacht und beschleunigt den Prozess für Missionsbesitzer.

Cloudbrokeransätze

Bei der Verwendung eines Cloudbrokers müssen Missionsbesitzer verschiedene Ansätze berücksichtigen. Missionsbesitzer können einen einzelnen Cloudbroker oder mehrere Cloudbroker verwenden. Welcher Ansatz der richtige ist, hängt von den Anforderungen der Mission ab.

Ansatz mit einem einzelnen Cloudbroker: Bei einem Ansatz mit einem einzelnen Cloudbroker nehmen Missionsbesitzer Clouddienste von einer einzelnen Entität in Anspruch. Es gibt möglicherweise verschiedene Unterstützungsmodelle, aber der Cloudbroker ist der zentrale Ansprechpartner. Ein einzelner Cloudbroker stellt eine einzelne Cloudidentitätslösung bereit, die als Mandant bezeichnet wird. Einzelmandanten bieten einige klare Vorteile. Dazu gehören:

  • Verringert die Komplexität der Identitäts- und Zugriffsverwaltung durch verbesserte Sichtbarkeit und Transparenz in allen Cloudumgebungen
  • Verbessert die Sicherheit bei gleichzeitiger Erleichterung des konformen Informationsaustauschs
  • Vereinfacht die Erstellung einer Zero-Trust-Architektur
  • Sorgt für eine höhere Effizienz bei der Datenübertragung zwischen Einsatzkräften unter strengen Bedingungen

Wenn diese Vorteile die Anforderungen der Missionsbesitzer erfüllen, ist ein einzelner Broker wahrscheinlich der bessere Ansatz.

Ansatz mit mehreren Cloudbrokern: Bei einem Ansatz mit mehreren Cloudbrokern werden zwei oder mehr Cloudbroker eingesetzt, um verwaltete Clouddienste bereitzustellen. Mehrere Cloudbroker eignen sich in komplexen Organisationen besser. Verteidigungsumgebungen sind häufig komplex genug, um eine Strategie mit mehreren Cloudbrokern zu rechtfertigen. Es gibt jedoch eine Einschränkung. Wenn mehrere Cloudbroker eingesetzt werden, kann der Cloudeinführungsplan riskanter ausfallen. Außerdem entstehen möglicherweise zusätzliche Kommunikationslinien für die Organisation, die verwaltet werden müssen.

Anhand der folgenden Faktoren können Sie ermitteln, ob der Ansatz mit mehreren Cloudbrokern der richtige für Sie ist.

  • Besitz: Missionsbesitzer benötigen möglicherweise eigene Cloudbroker. Für die Entscheidungsfindung verantwortliche Gruppen benötigen häufig einen eigenen Mandanten, um die Missionsziele zu erreichen und Verzögerungen aufgrund von Abhängigkeiten zu vermeiden.

  • Isolation: Missionsbesitzer benötigen aus Compliance-, Governance- oder Identitätsgründen möglicherweise isolierte Umgebungen. Jeder Mandant (Instanz von Microsoft Entra ID) stellt eine isolierte Identitätsumgebung dar und kann bei Bedarf eine solide Isolationsbarriere schaffen.

  • Verwaltung: Die Trennung komplexer Umgebungen kann für die Verwaltung und Modernisierung Ihrer Cloudanwendungen ideal sein. Diese Verwaltungstrennung führt jedoch zu einer höheren Komplexität weiter oben in der Befehlskette. Es wird schwieriger, eine einheitliche Sicht auf alle Cloudressourcen zu haben.

  • Sicherheit: Die Datenkonformität für unterschiedliche Impact Levels erfordert möglicherweise mehrere Mandanten und mehrere Cloudbroker, die autorisiert sind und über die entsprechende Erfahrung verfügen, diese Impact Levels zu verwalten.

Die Strategie mit mehreren Cloudbrokern kann auf verschiedenen Ebenen in einer Verteidigungsorganisation verwendet werden. Ein Broker kann einzelnen militärischen Zweigstellen (Marine, Luft, Boden) oder Gruppen von Anwendungen zugewiesen werden. Die Entscheidung hängt von den Anforderungen Ihrer Verteidigungsorganisation in Bezug auf Eigentum, Isolation, Verwaltung und Sicherheit ab.

Weitere Informationen finden Sie unter Planungsübersicht und Prüfliste zur Migrationsbewertung.

Nächster Schritt

Die Plan-Methodik bereitet Verteidigungsorganisationen auf die Ausführung vor. Die Organize-Methodik verwendet diesen Plan und beginnt damit, die nicht technischen Voraussetzungen zu erfüllen.

Organisieren