Compartilhar via


Pronto para a adoção da nuvem de defesa

A metodologia pronta é a primeira etapa no domínio de plataforma da adoção da nuvem.

Figura que mostra um rastreador de domínio. Ele mostra a missão, a plataforma e a carga de trabalho. A plataforma é realçada para mostrar que estamos no domínio de plataforma da adoção da nuvem. Figura 1: Rastreador de domínio – domínio de plataforma

A metodologia pronta se concentra na criação da plataforma de nuvem. Chamamos essa plataforma de nuvem de zona de destino. As zonas de destino são o lar dos principais serviços, cargas de trabalho e aplicativos. Eles fornecem uma base para o gerenciamento de recursos e segurança. Eles permitem a migração, a modernização e a inovação de aplicativos em escala empresarial. A zona de destino é onde serviços, aplicativos e cargas de trabalho são implantados. Aqui estão as principais considerações para o build da zona de destino que o agente de nuvem deve seguir.

Criar uma zona de destino segura

Na zona de destino, o agente de nuvem cria os ambientes de plataforma e o proprietário da missão gerencia os ambientes de carga de trabalho. Esses ambientes de carga de trabalho herdam os controles de segurança da plataforma. As zonas de destino são a base da segurança da carga de trabalho e devem ser seguras. As organizações de defesa geralmente têm padrões de conformidade para arquitetura que se aplicam a zonas de destino. O agente de nuvem será responsável por criar uma zona de destino para atender a esses padrões. Para obter informações sobre zonas de destino, consulte:

Aqui estão algumas recomendações gerais de arquitetura para implantações de zona de destino:

Colocar um firewall entre a nuvem e a rede de defesa – a arquitetura deve usar um firewall, um IDS (sistema de detecção de intrusão) e/ou um IPS (sistema de prevenção contra intrusões) para proteger a rede de defesa contra ataques originados na nuvem. Ele deve estar na rede de defesa e inspecionar e filtrar todo o tráfego indo para a rede de defesa da nuvem. Esse posicionamento fornecerá uma barreira entre os dois ambientes.

Inspecionar todo o tráfego de entrada – roteie todo o tráfego de entrada por meio da pilha de segurança antes de enviar para aplicativos. A pilha de segurança deve estar em seu próprio ambiente e deve inspecionar e filtrar o tráfego antes de rotear para aplicativos de nuvem.

Isolar ferramentas de gerenciamento de segurança – crie um ambiente separado para suas ferramentas de gerenciamento de segurança. No mínimo, o ambiente de gerenciamento de segurança deve incluir verificação de vulnerabilidade, verificação de host, proteção de ponto de extremidade e registro em log centralizado.

Designar um proprietário de arquitetura – os proprietários da missão devem designar um único membro de seu pessoal para possuir a segurança da zona de destino. Essa pessoa deve ser responsável por coordenar com o agente de nuvem, gerenciar identidade e acesso e restringir privilégios elevados.

Para obter mais informações, consulte:

Definir as expectativas de operações e gerenciamento

Os proprietários da missão e os agentes de nuvem devem definir as expectativas para operações e gerenciamento durante o período de build da zona de destino. As cargas de trabalho dependerão muito da plataforma durante todo o ciclo de vida. As alterações nas configurações de identidade, gerenciamento ou conectividade da plataforma afetarão as cargas de trabalho hospedadas. É importante sincronizar expectativas e prioridades durante o build da plataforma para que os proprietários da missão e os agentes de nuvem tenham uma compreensão comum do sucesso. Ter uma relação de trabalho sólida antes que os ambientes de produção entrem em operação ajudará a atenuar os riscos.

Temos as seguintes recomendações para operações e gerenciamento:

Estabelecer canais de comunicação – os proprietários da missão devem estabelecer canais de comunicação para o agente de nuvem usar. As comunicações devem ser frequentes, consistentes e claras. Os proprietários da missão também devem ter disponibilidade para comunicações de campo para quaisquer assuntos urgentes fora das reuniões regulares. A comunicação minimizará o risco e o descompasso técnico dos objetivos da missão. As expectativas devem ser escritas, explicadas e acessíveis aos agentes de nuvem. As sincronizações regulares entre o agente de nuvem e o proprietário da missão ajudarão a garantir que o agente de nuvem entenda a segurança, o desempenho e os requisitos financeiros dos proprietários da missão e suas cargas de trabalho.

Escolher medidas operacionais – estabeleça como as medidas operacionais serão revisadas. O proprietário da missão e o agente de nuvem devem determinar como os comentários serão recebidos e as melhorias feitas.

Compartilhar serviços principais – o agente de nuvem na maioria das instâncias deve oferecer serviços compartilhados para os proprietários da missão usarem. Os serviços compartilhados incluem Áreas de Trabalho Virtuais do Azure para computação segura de cliente e um conjunto de ferramentas de DevOps compartilhado, como o Azure DevOps. Os agentes de nuvem também podem compartilhar uma plataforma de dados comum com governança ou uma plataforma de contêiner compartilhado. O compartilhamento de serviços comuns economiza dinheiro e melhora a conformidade.

Discutir a automação de infraestrutura – um agente de nuvem de alto funcionamento criará modelos de IaC (infraestrutura como código) para criar ambientes de carga de trabalho seguros de forma consistente e rápida. Esses modelos de IaC podem criar VMs protegidas, funções, armazenamento e muito mais. O agente pode até mesmo criar toda a zona de destino do proprietário da missão por meio do código para garantir a consistência e a conformidade.

Estabelecer o processo de gerenciamento de alterações – a alteração é necessária na nuvem. Na verdade, um grande benefício da nuvem é a capacidade de acelerar as mudanças. Acelerar alterações positivas é o objetivo da transformação digital. É vital que os proprietários da missão e os agentes de nuvem estabeleçam um processo de gerenciamento de alterações. O gerenciamento de alterações deve levar em conta as solicitações de alteração padrão, normais e de emergência. Cada tipo de solicitação deve ter seu próprio processo otimizado e simplificado para consistência, velocidade e segurança.

Para obter mais informações, consulte:

Próxima etapa

A metodologia pronta se concentra na criação de uma plataforma de nuvem. A metodologia de controle se concentra em regulamentar a plataforma para segurança, custo e gerenciamento.