Udostępnij za pośrednictwem


Planowanie wdrożenia chmury w obronie

Metodologia planowania należy do domeny zarządzania przyjęciem chmury.

Rysunek przedstawiający śledzenie domeny. Przedstawia polecenia, platformę i misję. Polecenie zostało wyróżnione, aby pokazać, że znajdujemy się w domenie poleceń dotyczących wdrażania chmury. Rysunek 1: Śledzenie domeny — domena poleceń

Metodologia planowania polega na tym, że właściciele misji przygotowują się do wdrożenia chmury. Muszą zdefiniować wymagania, podejmować decyzje, które pomagają spełnić cele misji i angażować odpowiednich uczestników projektu. Te plany określają potrzeby personelu i zarządzania platformą. Odpowiednie planowanie pomaga zagwarantować, że projekt uzyska poparcie od interesariuszy.

Zalecamy korzystanie z brokera w chmurze i planowanie polega na tym, że właściciele misji wybierają podejście do korzystania z usług brokera w chmurze. Zakładamy, że właściciele misji zdefiniowali wymagania techniczne, aby spełnić swoje cele. Jeśli tak nie jest, przed podjęciem decyzji o strategii brokera w chmurze konieczne jest spełnienie wymagań wstępnych. Korzystanie z brokera w chmurze jest najlepszym rozwiązaniem w organizacjach obrony ze względu na wiele korzyści zapewnianych przez relacje. Niektóre organizacje obronne nakazują korzystanie z określonego brokera chmurowego w hierarchii dowodzenia. Biorąc pod uwagę znaczenie i zalety brokerów w chmurze, warto eksplorować korzyści i podejścia brokera w chmurze.

Korzyści z brokera chmury

Brokerzy w chmurze to scentralizowane grupy, które tworzą platformy w chmurze i zarządzają nimi. Brokerzy w chmurze wykonują wiele zadań wymaganych do zarządzania środowiskiem chmury i upraszczają wdrażanie chmury dla właścicieli misji. Organizacje obrony czasami mają wymagania dotyczące brokera w chmurze, a właściciele misji powinni uwzględnić te wymagania w planie. Jeśli właściciele misji mogą wybrać spośród wielu brokerów w chmurze, muszą określić, który broker w chmurze oferuje najlepsze usługi i cenę dla tego projektu.

Brokerzy w chmurze zapewniali następujące korzyści:

strefa lądowania platformy zarządzanej — usługi, rozwiązania i aplikacje w środowisku obronnym wymagają zarządzanych środowisk. Brokerzy w chmurze tworzą i utrzymują zarządzane środowiska platformy (strefy docelowe platformy), które spełniają wymagania dotyczące zgodności.

Strefa docelowa platformy Azure udostępnia architekturę docelową, która obejmuje wszystkie składniki ochrony aplikacji potrzebnych do bezpiecznej, niezawodnej i ekonomicznej operacji w chmurze (zobacz rysunek 2). Strefa docelowa platformy Azure jest zgodna z kluczowymi zasadami w ośmiu obszarach projektowania. Środowisko strefy docelowej platformy Azure składa się ze stref docelowych platformy i stref docelowych aplikacji.

  • Strefa docelowa platformy: strefa docelowa platformy to subskrypcja, która zapewnia podstawowe usługi używane przez wiele aplikacji. W przykładowej architekturze (zobacz rysunek 2), składniki i subskrypcje opisane na czerwono to strefy docelowe platformy. Zapewniają one usługi udostępnione, takie jak tożsamość, zarządzanie i łączność, aplikacjom w tym środowisku.

  • strefa docelowa aplikacji: strefa docelowa aplikacji to subskrypcja do hostowania aplikacji. W przykładowej architekturze (zobacz rysunek 2), niebieskie pola przedstawiają strefy docelowe aplikacji. W architekturze znajdują się dwie strefy docelowe aplikacji: "Strefa docelowa aplikacji A1" i "Subskrypcja strefy docelowej aplikacji A2". Architektura szczegółowo prezentuje tylko subskrypcję "A2 strefa lądowania aplikacji".

Diagram architektury strefy docelowej platformy Azure. Przykładowa architektura przedstawiająca strefę docelową platformy i strefy docelowe aplikacji. Przedstawiona jest dzierżawa Microsoft Entra z grupami zarządzania poniżej. Grupy zarządzania dzielą się na platformę, strefy docelowe, wyłączone z użytku i piaskownicę. Pod tymi grupami zarządzania oraz grupami podrzędnymi znajdują się subskrypcje. Architektura przedstawia zawartość tych subskrypcji. Grupa zarządzania strefą docelową platformy zawiera subskrypcje tożsamości, zarządzania i łączności. Czarne pola otaczają subskrypcje strefy docelowej platformy. Grupa zarządzania strefą docelową aplikacji zawiera dwie subskrypcje strefy docelowej aplikacji. Zawartość jednej subskrypcji jest wyświetlana szczegółowo. Czerwone pola otaczają subskrypcje strefy docelowej aplikacji. Rysunek 2. Koncepcyjna architektura strefy docelowej platformy Azure

Bez brokera w chmurze właściciele misji są odpowiedzialni za strefy docelowe aplikacji i strefy docelowe platformy. Jednak dzięki brokerowi w chmurze osoby odpowiedzialne za misję zarządzają strefami docelowymi aplikacji i mogą skupić się na modernizacji aplikacji w celu spełnienia celów misji. Brokerzy w chmurze ponoszą odpowiedzialność techniczną za podstawowe usługi w strefach docelowych platformy.

Strefy lądowania platformy uwzględniają decyzje projektowe, które obejmują następujące dyscypliny:

  • Zarządzanie kosztami
  • Zarządzanie punktami odniesienia zabezpieczeń
  • Zarządzanie punktami odniesienia obsługi tożsamości
  • Spójność zasobów
  • Przyspieszanie wdrażania

Aby uzyskać więcej informacji, zobacz platformy a strefy docelowe aplikacji.

Podstawowe usługi — brokerzy w chmurze implementują i zarządzają podstawowymi usługami, takimi jak tożsamość, sieć i zarządzanie. W większości przypadków broker chmury bezpiecznie łączy nowe środowisko chmurowe z sieciami lokalnymi, tworzy środowiska operacyjne i ustanawia rozwiązanie zarządzania dostępem do tożsamości (IAM) z wymuszeniem zasad opartych na wymaganiach misji.

Autoryzacja platformy do działania (ATO) — doświadczeni brokerzy w chmurze mogą pomóc w szybszym osiągnięciu autoryzacji do działania na poziomie platformy niż właściciele misji. Ato na poziomie platformy bezpośrednio wpływa na szybkość, z jaką właściciele misji mogą wdrażać krytyczne aplikacje. Aby uzyskać więcej informacji, zobacz przyspieszanie ATO.

Ulepszona wydajność — broker w chmurze może zautomatyzować przepływ informacji, eliminując konieczność ręcznego generowania danych i zarządzania wymaganiami dotyczącymi zgodności platformy. Ta automatyzacja umożliwia terminowe i dokładne kierowanie do organów zatwierdzających na potrzeby wdrażania aplikacji, zapewniając śledzenie i odpowiedzialność. Bez brokera chmurowego właściciele misji muszą poruszać się po następujących przeszkodach:

  • Uzyskiwanie i przydzielanie funduszy
  • Zarządzanie wymaganiami dotyczącymi nadzoru i zgodności
  • Uzyskiwanie zatwierdzenia przez zespoły ds. zabezpieczeń
  • Przekazanie projektu zespołom technicznym na potrzeby kompilacji aplikacji

Te działania mogą trwać tygodnie lub miesiące, a w niektórych przypadkach lata. Broker chmury upraszcza i przyspiesza proces dla właścicieli misji.

Podejścia brokerów usług chmurowych

Istnieją różne podejścia, które właściciele misji powinni rozważyć przy korzystaniu z brokera w chmurze. Właściciele misji mogą korzystać z jednego brokera w chmurze lub wielu brokerów w chmurze, a właściwe podejście zależy od potrzeb misji.

podejście jednolity brokera chmurowego — w takim podejściu właściciele misji zawierają umowy na usługi chmurowe z jednym pośrednikiem. Mogą istnieć różne modele pomocy technicznej, ale broker chmury jest pojedynczym punktem kontaktu. Jeden dostawca chmury udostępnia jedno rozwiązanie tożsamości w chmurze określane jako klient. Istnieje kilka odrębnych zalet pojedynczej dzierżawy. Jedna dzierżawa oferuje następujące korzyści:

  • Zmniejsza złożoność zarządzania tożsamościami i dostępem, zwiększając widoczność i przejrzystość we wszystkich środowiskach chmury
  • Poprawia bezpieczeństwo, ułatwiając udostępnianie zgodnych informacji
  • Upraszcza tworzenie architektury zerowej zaufania
  • Zwiększa wydajność transferu danych między żołnierzami w trudnych warunkach.

Jeśli te korzyści spełniają potrzeby właścicieli misji, to jeden broker jest prawdopodobnie lepszym podejściem.

podejście wielu brokerów w chmurze — podejście oparte na wielu brokerach w chmurze używa co najmniej dwóch brokerów w chmurze w celu zapewnienia zarządzanych usług w chmurze. Liczne usługi brokerów chmury są lepsze w złożonych organizacjach, a środowiska militarne często mają wystarczającą złożoność, aby uzasadnić strategię zastosowania wielu brokerów chmury. Ale jest zastrzeżenie. Wielu brokerów chmury może zwiększyć ryzyko związane z planem przyjęcia chmury i dodaje więcej linii komunikacyjnych, którymi organizacja musi zarządzać.

Poniższe czynniki mogą pomóc w ustaleniu, czy podejście wielu brokerów w chmurze jest właściwe.

  • własność: właściciele misji mogą potrzebować własnych brokerów chmurowych. Grupy podejmujące decyzje często potrzebują własnego podsystemu, aby zrealizować cele strategiczne i uniknąć opóźnień wynikających z zależności operacyjnych.

  • Izolacja: właściciele misji mogą potrzebować izolowanych środowisk ze względu na zgodność, ład lub tożsamość. Każda dzierżawa (instancja Microsoft Entra ID) reprezentuje izolowane środowisko tożsamości i może w razie potrzeby utworzyć mocną barierę izolacyjną.

  • Management: oddzielenie złożonych środowisk może być idealne do zarządzania i modernizacji aplikacji w chmurze. Jednak ta separacja zarządzania zwiększa złożoność w łańcuchu poleceń. Coraz trudniej jest mieć pojedynczy widok wszystkich zasobów w chmurze.

  • Bezpieczeństwo: zgodność danych dla różnych poziomów wpływu może wymagać wielu najemców i wielu brokerów w chmurze autoryzowanych i mających doświadczenie w zarządzaniu na tych poziomach wpływu.

Strategia wielochmurowego brokera może być używana na różnych poziomach w organizacji obrony. Brokera można przypisać do poszczególnych oddziałów wojskowych (marynarki wojennej, powietrza, ziemi) lub grup aplikacji. Wybór zależy od potrzeb organizacji obrony w zakresie własności, izolacji, zarządzania i zabezpieczeń.

Aby uzyskać więcej informacji, zobacz omówienie planowania i listy kontrolnej oceny migracji .

Następny krok

Planowanie przygotowuje organizacje obronne do realizacji. Metodologia organizacyjna wykorzystuje ten plan i rozpoczyna przystępowanie do realizacji nietechnicznych wymagań wstępnych.