Preparación para la adopción de la nube de defensa
La metodología de preparación es el primer paso relacionado con el dominio de plataforma de adopción de la nube.
Figura 1: Seguimiento de dominios: dominio de plataforma
La metodología de preparación se centra en la creación de la plataforma en la nube. Llamamos a esta plataforma en la nube una zona de aterrizaje. Las zonas de aterrizaje son donde se encuentran los servicios principales, las cargas de trabajo y la aplicación. Proporcionan una base para proteger y administrar los recursos. También permiten la migración, modernización e innovación de aplicaciones a escala empresarial. La zona de aterrizaje es donde se implementan servicios, aplicaciones y cargas de trabajo. Estos son los aspectos más importantes que el agente de servicios en la nube debe tener en cuenta para la zona de aterrizaje.
Creación de una zona de aterrizaje segura
Dentro de la zona de aterrizaje, el agente de servicios en la nube crea los entornos de plataforma, mientras que el propietario de la misión administra los entornos de carga de trabajo. Estos entornos de carga de trabajo heredan los controles de seguridad de la plataforma. Las zonas de aterrizaje son la base de la seguridad de la carga de trabajo y deben ser seguras. Las organizaciones de defensa suelen tener estándares de cumplimiento para la arquitectura que se aplican a las zonas de aterrizaje. El agente de servicios en la nube será responsable de crear una zona de aterrizaje para cumplir estos estándares. Para obtener información sobre las zonas de aterrizaje, consulte:
Estas son algunas recomendaciones generales de arquitectura para las implementaciones de zonas de aterrizaje:
Colocar un firewall entre la nube y la red de defensa: la arquitectura debe usar un firewall, un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS) para proteger la red de defensa frente a ataques que se originan en la nube. Debe estar en la red de defensa e inspeccionar y filtrar todo el tráfico que se dirija a la red de defensa desde la nube. Esta colocación proporcionará una barrera entre los dos entornos.
Inspeccionar todo el tráfico entrante: haga pasar todo el tráfico entrante por la pila de seguridad antes de enviarlo a las aplicaciones. La pila de seguridad debe estar en su propio entorno e inspeccionar y filtrar el tráfico antes de dirigirlo a las aplicaciones en la nube.
Aislar las herramientas de administración de seguridad: cree un entorno independiente para las herramientas de administración de seguridad. Como mínimo, el entorno de administración de seguridad debe incluir el examen de vulnerabilidades, el examen de hosts, la protección de puntos de conexión y el registro centralizado.
Designar un propietario de la arquitectura: los propietarios de la misión deben designar un único miembro de su personal como propietarios de la seguridad de la zona de aterrizaje. Esta persona será responsable de coordinarse con el agente de servicios en la nube, administrar la identidad y el acceso, y restringir los privilegios elevados.
Para obtener más información, consulte:
- Principios de la zona de aterrizaje
- Diseño de la zona de aterrizaje:
- Seguridad de la zona de aterrizaje
Definición de las expectativas de las operaciones y la administración
Los propietarios de la misión y los agentes de servicios en la nube deben definir las expectativas de las operaciones y la administración durante el período de creación de la zona de aterrizaje. Las cargas de trabajo dependerán en gran medida de la plataforma a lo largo de su ciclo de vida. Los cambios en las configuraciones de identidad, administración o conectividad de la plataforma afectarán a las cargas de trabajo hospedadas. Es importante alinear las expectativas y prioridades durante la creación de la plataforma para que los propietarios de la misión y los agentes de servicios en la nube tengan entiendan del mismo modo qué se pretende conseguir. Conseguir una colaboración eficaz antes de que los entornos de producción pasen a funcionar ayudará a mitigar los riesgos.
Estas son algunas recomendaciones para las operaciones y la administración:
Establecer canales de comunicación: los propietarios de la misión deben ofrecer canales de comunicación al agente de servicios en la nube. Las comunicaciones deben ser frecuentes, coherentes y claras. Los propietarios de la misión también deben tener disponibilidad para las comunicaciones de campo en el caso de que surja algún asunto urgente fuera de las reuniones periódicas. La comunicación minimizará el riesgo y el desfase técnico de los objetivos de la misión. Las expectativas deben dejarse por escrito, explicarse y estar disponibles para los agentes de servicios en la nube. Las reuniones de puesta al día periódicas entre el agente de servicios en la nube y el propietario de la misión ayudarán a garantizar que el primero comprendan los requisitos de seguridad, rendimiento y finanzas del segundo, además de sus cargas de trabajo.
Elegir medidas operativas: establezca cómo se revisarán las medidas operativas. El propietario de la misión y el agente de servicios en la nube deben determinar cómo se recibirán los comentarios y cómo se harán las mejoras.
Compartir los servicios principales: en la mayoría de los casos, el agente de servicios en la nube debe ofrecer servicios compartidos a los propietarios de la misión. Estos servicios incluyen Azure Virtual Desktop para la seguridad informática del cliente y un conjunto de herramientas de DevOps compartido como Azure DevOps. Los agentes de servicios en la nube también pueden tener una plataforma de datos común con gobernanza o una plataforma de contenedores compartida. Compartir servicios comunes permite ahorrar dinero y mejorar el cumplimiento.
Describir la automatización de la infraestructura: un agente de servicios en la nube eficiente creará plantillas de infraestructura como código (IaC) para crear entornos de carga de trabajo seguros con coherencia y rapidez. Estas plantillas de IaC pueden crear máquinas virtuales protegidas, funciones, almacenamiento y más. El agente podría incluso crear toda la zona de aterrizaje del propietario de la misión mediante código para garantizar la coherencia y el cumplimiento.
Establecer el proceso de administración de cambios: los cambios son necesarios en la nube. De hecho, una ventaja importante de la nube es la capacidad de hacer cambios rápidamente. Agilizar los cambios positivos es el objetivo de la transformación digital. Es fundamental que los propietarios de la misión y los agentes de servicios en la nube establezcan un proceso de administración de cambios. La administración de cambios debe tener en cuenta las solicitudes de cambios estándares, normales y urgentes. Es necesario que cada tipo de solicitud tenga un proceso propio que esté optimizado y simplificado en términos de coherencia, velocidad y seguridad.
Para obtener más información, consulte:
Paso siguiente
La metodología de preparación se centra en la creación de una plataforma en la nube. La metodología de gobernanza se centra en la regulación de la plataforma pensando en la seguridad, el costo y la administración.