„Ready“ für die Cloudeinführung in der Verteidigung
Die Ready-Methodik ist der erste Schritt in der Plattformdomäne der Cloudeinführung.
Abbildung 1: Domänentracker – Plattformdomäne
Die Ready-Methodik konzentriert sich auf die Erstellung der Cloudplattform. Wir bezeichnen diese Cloudplattform als Zielzone. Zielzonen beherbergen die Kerndienste, Workloads und Anwendungen. Sie bilden eine Grundlage für die Sicherheits- und Ressourcenverwaltung. Sie ermöglichen die Anwendungsmigration, -modernisierung und -innovation auf Unternehmensebene. In der Zielzone werden Dienste, Anwendungen und Workloads bereitgestellt. Im Folgenden finden Sie wichtige Überlegungen für den Build der Zielzone, dem der Cloudbroker folgen sollte.
Erstellen einer sicheren Zielzone
Innerhalb der Zielzone erstellt der Cloudbroker die Plattformumgebungen, und der Missionsbesitzer verwaltet die Workloadumgebungen. Diese Workloadumgebungen erben die Sicherheitskontrollen der Plattform. Zielzonen sind die Grundlage der Workloadsicherheit und müssen sicher sein. Verteidigungsorganisationen verfügen häufig über Compliancestandards für die Architektur, die für Zielzonen gelten. Der Cloudbroker ist für das Erstellen einer Zielzone verantwortlich, die diese Standards erfüllt. Informationen zu Zielzonen finden Sie unter:
Im Folgenden finden Sie einige allgemeine Architekturempfehlungen für Bereitstellungen von Zielzonen:
Platzieren einer Firewall zwischen Cloud und Verteidigungsnetzwerk: Die Architektur sollte eine Firewall, ein Intrusion-Detection-System (IDS) und/oder ein Eindringschutzsystem (Intrusion Prevention System, IPS) verwenden, um das Verteidigungsnetzwerk vor Angriffen aus der Cloud zu schützen. Sie sollte sich im Verteidigungsnetzwerk befinden und den gesamten Datenverkehr untersuchen und filtern, der aus der Cloud im Verteidigungsnetzwerk eingeht. Diese Platzierung stellt eine Barriere zwischen den beiden Umgebungen dar.
Überprüfen des gesamten eingehenden Datenverkehrs: Leiten Sie den gesamten eingehenden Datenverkehr über Ihren Sicherheitsstapel weiter, bevor Sie ihn an Anwendungen senden. Der Sicherheitsstapel sollte sich in einer eigenen Umgebung befinden und den Datenverkehr vor dem Weiterleiten an Cloudanwendungen untersuchen und filtern.
Isolieren von Sicherheitsverwaltungstools: Erstellen Sie eine separate Umgebung für Ihre Sicherheitsverwaltungstools. Die Sicherheitsverwaltungsumgebung sollte mindestens die Überprüfung von Sicherheitsrisiken, die Hostüberprüfung, den Endpunktschutz und zentrale Protokollierung umfassen.
Benennen eines Architekturbesitzers: Missionsbesitzer sollten ein einzelnes Mitglied ihres Personals festlegen, das für die Sicherheit der Zielzone verantwortlich ist. Diese Person sollte für die Koordination mit dem Cloudbroker, die Verwaltung der Identität und des Zugriffs und die Einschränkung von erhöhten Rechten verantwortlich sein.
Weitere Informationen finden Sie unter
Definieren von Erwartungen an den Betrieb und die Verwaltung
Missionsbesitzer und Cloudbroker sollten die Erwartungen an den Betrieb und die Verwaltung während der Erstellung der Zielzone definieren. Workloads hängen während ihres gesamten Lebenszyklus stark von der Plattform ab. Änderungen an den Konfigurationen der Plattformidentität, -verwaltung oder -konnektivität wirken sich auf die gehosteten Workloads aus. Es ist wichtig, die Erwartungen und Prioritäten während der Plattformerstellung abzustimmen, damit Missionsbesitzer und Cloudbroker das gleiche Verständnis von Erfolg haben. Wenn vor der Live-Schaltung von Produktionsumgebungen eine solide Arbeitsbeziehung besteht, können Risiken minimiert werden.
Wir haben die folgenden Empfehlungen für den Betrieb und die Verwaltung:
Einrichten von Kommunikationskanälen: Missionsbesitzer sollten Kommunikationskanäle für den Cloudbroker einrichten. Die Kommunikation sollte häufig, konsistent und klar sein. Die Missionsbesitzer sollten auch bei allen dringenden Angelegenheiten außerhalb der regulären Besprechungen im Rahmen der Außenkommunikation ansprechbar sein. Durch Kommunikation werden Risiken und technische Abweichungen von den Missionszielen minimiert. Die Erwartungen sollten aufgeschrieben, erläutert und für die Cloudbroker zugänglich sein. Regelmäßige Abstimmungen zwischen Cloudbrokern und Missionsbesitzern stellen sicher, dass der Cloudbroker die Sicherheits-, Leistungs- und finanziellen Anforderungen von Missionsbesitzern und deren Workloads versteht.
Auswählen operativer Messungen: Legen Sie fest, wie operative Measures überprüft werden. Der Missionsbesitzer und der Cloudbroker sollten bestimmen, wie Feedback empfangen und Verbesserungen vorgenommen werden.
Gemeinsame Nutzung von Kerndiensten: Der Cloudbroker sollte in den meisten Instanzen gemeinsame Dienste anbieten, die von Missionsbesitzern verwendet werden können. Gemeinsame Dienste umfassen Azure Virtual Desktops für sicheres Clientcomputing und ein gemeinsames DevOps-Toolset wie Azure DevOps. Cloudbroker können auch eine gemeinsame Datenplattform mit Governance oder eine gemeinsame Containerplattform nutzen. Die Nutzung gemeinsamer Dienste spart Geld und verbessert die Compliance.
Besprechen der Infrastrukturautomatisierung: Ein hochfunktionaler Cloudbroker legt IaC-Vorlagen (Infrastructure-as-Code) an, um konsistent und schnell sichere Workloadumgebungen zu erstellen. Diese IaC-Vorlagen können gehärtete VMs, Funktionen, Speicher u. v. m. erstellen. Der Broker könnte sogar die gesamte Zielzone des Missionsbesitzers mithilfe von Code erstellen, um für Konsistenz und Compliance zu sorgen.
Einrichten des Change Management-Prozesses: Änderungen sind in der Cloud erforderlich. Tatsächlich ist ein großer Vorteil der Cloud die Fähigkeit, Änderungen zu beschleunigen. Die Beschleunigung positiver Veränderungen ist das Ziel digitaler Transformation. Es ist wichtig, dass Missionsbesitzer und Cloudbroker einen Change Management-Prozess einrichten. Beim Change Management sollten Standardanforderungen, normale Anforderungen und Anforderungen einer Notfalländerung berücksichtigt werden. Jeder Anforderungstyp sollte über einen eigenen Prozess verfügen, der für Konsistenz, Geschwindigkeit und Sicherheit ausgelegt und optimiert ist.
Weitere Informationen finden Sie unter
Nächster Schritt
Die Ready-Methodik konzentriert sich auf die Erstellung einer Cloudplattform. Die Govern-Methodik konzentriert sich auf die Regulierung der Plattform mit Blick auf Sicherheit, Kosten und Verwaltung.