Planowanie wdrożenia chmury w obronie
Metodologia planowania należy do domeny zarządzania przyjęciem chmury.
Rysunek 1: Śledzenie domeny — domena poleceń
Metodologia planowania polega na tym, że właściciele misji przygotowują się do wdrożenia chmury. Muszą zdefiniować wymagania, podejmować decyzje, które pomagają spełnić cele misji i angażować odpowiednich uczestników projektu. Te plany określają potrzeby personelu i zarządzania platformą. Odpowiednie planowanie pomaga zagwarantować, że projekt uzyska poparcie od interesariuszy.
Zalecamy korzystanie z brokera w chmurze i planowanie polega na tym, że właściciele misji wybierają podejście do korzystania z usług brokera w chmurze. Zakładamy, że właściciele misji zdefiniowali wymagania techniczne, aby spełnić swoje cele. Jeśli tak nie jest, przed podjęciem decyzji o strategii brokera w chmurze konieczne jest spełnienie wymagań wstępnych. Korzystanie z brokera w chmurze jest najlepszym rozwiązaniem w organizacjach obrony ze względu na wiele korzyści zapewnianych przez relacje. Niektóre organizacje obronne nakazują korzystanie z określonego brokera chmurowego w hierarchii dowodzenia. Biorąc pod uwagę znaczenie i zalety brokerów w chmurze, warto eksplorować korzyści i podejścia brokera w chmurze.
Korzyści z brokera chmury
Brokerzy w chmurze to scentralizowane grupy, które tworzą platformy w chmurze i zarządzają nimi. Brokerzy w chmurze wykonują wiele zadań wymaganych do zarządzania środowiskiem chmury i upraszczają wdrażanie chmury dla właścicieli misji. Organizacje obrony czasami mają wymagania dotyczące brokera w chmurze, a właściciele misji powinni uwzględnić te wymagania w planie. Jeśli właściciele misji mogą wybrać spośród wielu brokerów w chmurze, muszą określić, który broker w chmurze oferuje najlepsze usługi i cenę dla tego projektu.
Brokerzy w chmurze zapewniali następujące korzyści:
strefa lądowania platformy zarządzanej — usługi, rozwiązania i aplikacje w środowisku obronnym wymagają zarządzanych środowisk. Brokerzy w chmurze tworzą i utrzymują zarządzane środowiska platformy (strefy docelowe platformy), które spełniają wymagania dotyczące zgodności.
Strefa docelowa platformy Azure udostępnia architekturę docelową, która obejmuje wszystkie składniki ochrony aplikacji potrzebnych do bezpiecznej, niezawodnej i ekonomicznej operacji w chmurze (zobacz rysunek 2). Strefa docelowa platformy Azure jest zgodna z kluczowymi zasadami w ośmiu obszarach projektowania. Środowisko strefy docelowej platformy Azure składa się ze stref docelowych platformy i stref docelowych aplikacji.
Strefa docelowa platformy: strefa docelowa platformy to subskrypcja, która zapewnia podstawowe usługi używane przez wiele aplikacji. W przykładowej architekturze (zobacz rysunek 2), składniki i subskrypcje opisane na czerwono to strefy docelowe platformy. Zapewniają one usługi udostępnione, takie jak tożsamość, zarządzanie i łączność, aplikacjom w tym środowisku.
strefa docelowa aplikacji: strefa docelowa aplikacji to subskrypcja do hostowania aplikacji. W przykładowej architekturze (zobacz rysunek 2), niebieskie pola przedstawiają strefy docelowe aplikacji. W architekturze znajdują się dwie strefy docelowe aplikacji: "Strefa docelowa aplikacji A1" i "Subskrypcja strefy docelowej aplikacji A2". Architektura szczegółowo prezentuje tylko subskrypcję "A2 strefa lądowania aplikacji".
Rysunek 2. Koncepcyjna architektura strefy docelowej platformy Azure
Bez brokera w chmurze właściciele misji są odpowiedzialni za strefy docelowe aplikacji i strefy docelowe platformy. Jednak dzięki brokerowi w chmurze osoby odpowiedzialne za misję zarządzają strefami docelowymi aplikacji i mogą skupić się na modernizacji aplikacji w celu spełnienia celów misji. Brokerzy w chmurze ponoszą odpowiedzialność techniczną za podstawowe usługi w strefach docelowych platformy.
Strefy lądowania platformy uwzględniają decyzje projektowe, które obejmują następujące dyscypliny:
- Zarządzanie kosztami
- Zarządzanie punktami odniesienia zabezpieczeń
- Zarządzanie punktami odniesienia obsługi tożsamości
- Spójność zasobów
- Przyspieszanie wdrażania
Aby uzyskać więcej informacji, zobacz platformy a strefy docelowe aplikacji.
Podstawowe usługi — brokerzy w chmurze implementują i zarządzają podstawowymi usługami, takimi jak tożsamość, sieć i zarządzanie. W większości przypadków broker chmury bezpiecznie łączy nowe środowisko chmurowe z sieciami lokalnymi, tworzy środowiska operacyjne i ustanawia rozwiązanie zarządzania dostępem do tożsamości (IAM) z wymuszeniem zasad opartych na wymaganiach misji.
Autoryzacja platformy do działania (ATO) — doświadczeni brokerzy w chmurze mogą pomóc w szybszym osiągnięciu autoryzacji do działania na poziomie platformy niż właściciele misji. Ato na poziomie platformy bezpośrednio wpływa na szybkość, z jaką właściciele misji mogą wdrażać krytyczne aplikacje. Aby uzyskać więcej informacji, zobacz przyspieszanie ATO.
Ulepszona wydajność — broker w chmurze może zautomatyzować przepływ informacji, eliminując konieczność ręcznego generowania danych i zarządzania wymaganiami dotyczącymi zgodności platformy. Ta automatyzacja umożliwia terminowe i dokładne kierowanie do organów zatwierdzających na potrzeby wdrażania aplikacji, zapewniając śledzenie i odpowiedzialność. Bez brokera chmurowego właściciele misji muszą poruszać się po następujących przeszkodach:
- Uzyskiwanie i przydzielanie funduszy
- Zarządzanie wymaganiami dotyczącymi nadzoru i zgodności
- Uzyskiwanie zatwierdzenia przez zespoły ds. zabezpieczeń
- Przekazanie projektu zespołom technicznym na potrzeby kompilacji aplikacji
Te działania mogą trwać tygodnie lub miesiące, a w niektórych przypadkach lata. Broker chmury upraszcza i przyspiesza proces dla właścicieli misji.
Podejścia brokerów usług chmurowych
Istnieją różne podejścia, które właściciele misji powinni rozważyć przy korzystaniu z brokera w chmurze. Właściciele misji mogą korzystać z jednego brokera w chmurze lub wielu brokerów w chmurze, a właściwe podejście zależy od potrzeb misji.
podejście jednolity brokera chmurowego — w takim podejściu właściciele misji zawierają umowy na usługi chmurowe z jednym pośrednikiem. Mogą istnieć różne modele pomocy technicznej, ale broker chmury jest pojedynczym punktem kontaktu. Jeden dostawca chmury udostępnia jedno rozwiązanie tożsamości w chmurze określane jako klient. Istnieje kilka odrębnych zalet pojedynczej dzierżawy. Jedna dzierżawa oferuje następujące korzyści:
- Zmniejsza złożoność zarządzania tożsamościami i dostępem, zwiększając widoczność i przejrzystość we wszystkich środowiskach chmury
- Poprawia bezpieczeństwo, ułatwiając udostępnianie zgodnych informacji
- Upraszcza tworzenie architektury zerowej zaufania
- Zwiększa wydajność transferu danych między żołnierzami w trudnych warunkach.
Jeśli te korzyści spełniają potrzeby właścicieli misji, to jeden broker jest prawdopodobnie lepszym podejściem.
podejście wielu brokerów w chmurze — podejście oparte na wielu brokerach w chmurze używa co najmniej dwóch brokerów w chmurze w celu zapewnienia zarządzanych usług w chmurze. Liczne usługi brokerów chmury są lepsze w złożonych organizacjach, a środowiska militarne często mają wystarczającą złożoność, aby uzasadnić strategię zastosowania wielu brokerów chmury. Ale jest zastrzeżenie. Wielu brokerów chmury może zwiększyć ryzyko związane z planem przyjęcia chmury i dodaje więcej linii komunikacyjnych, którymi organizacja musi zarządzać.
Poniższe czynniki mogą pomóc w ustaleniu, czy podejście wielu brokerów w chmurze jest właściwe.
własność: właściciele misji mogą potrzebować własnych brokerów chmurowych. Grupy podejmujące decyzje często potrzebują własnego podsystemu, aby zrealizować cele strategiczne i uniknąć opóźnień wynikających z zależności operacyjnych.
Izolacja: właściciele misji mogą potrzebować izolowanych środowisk ze względu na zgodność, ład lub tożsamość. Każda dzierżawa (instancja Microsoft Entra ID) reprezentuje izolowane środowisko tożsamości i może w razie potrzeby utworzyć mocną barierę izolacyjną.
Management: oddzielenie złożonych środowisk może być idealne do zarządzania i modernizacji aplikacji w chmurze. Jednak ta separacja zarządzania zwiększa złożoność w łańcuchu poleceń. Coraz trudniej jest mieć pojedynczy widok wszystkich zasobów w chmurze.
Bezpieczeństwo: zgodność danych dla różnych poziomów wpływu może wymagać wielu najemców i wielu brokerów w chmurze autoryzowanych i mających doświadczenie w zarządzaniu na tych poziomach wpływu.
Strategia wielochmurowego brokera może być używana na różnych poziomach w organizacji obrony. Brokera można przypisać do poszczególnych oddziałów wojskowych (marynarki wojennej, powietrza, ziemi) lub grup aplikacji. Wybór zależy od potrzeb organizacji obrony w zakresie własności, izolacji, zarządzania i zabezpieczeń.
Aby uzyskać więcej informacji, zobacz omówienie planowania i listy kontrolnej oceny migracji .
Następny krok
Planowanie przygotowuje organizacje obronne do realizacji. Metodologia organizacyjna wykorzystuje ten plan i rozpoczyna przystępowanie do realizacji nietechnicznych wymagań wstępnych.