Pronto para a adoção da cloud de defesa
A metodologia pronta é o primeiro passo no domínio da plataforma da adoção da cloud.
Figura 1: Controlador de domínio - domínio da plataforma
A metodologia pronta foca-se na criação da plataforma cloud. Chamamos a esta plataforma de cloud uma zona de destino. As zonas de destino são o lar dos principais serviços, cargas de trabalho e aplicação. Fornecem uma base para a segurança e a gestão de recursos. Permitem a migração, modernização e inovação de aplicações à escala empresarial. A zona de destino é onde são implementados serviços, aplicações e cargas de trabalho. Seguem-se as principais considerações sobre a compilação da zona de destino que o mediador da cloud deve seguir.
Criar uma zona de destino segura
Na zona de destino, o mediador da cloud cria os ambientes da plataforma e o proprietário da missão gere os ambientes de carga de trabalho. Estes ambientes de carga de trabalho herdam os controlos de segurança da plataforma. As zonas de destino são a base da segurança da carga de trabalho e têm de ser seguras. Muitas vezes, as organizações de defesa têm normas de conformidade para a arquitetura que se aplicam às zonas de destino. O mediador da cloud será responsável pela criação de uma zona de destino para cumprir estas normas. Para obter informações sobre zonas de destino, consulte:
Seguem-se algumas recomendações gerais de arquitetura para implementações de zonas de destino:
Colocar uma firewall entre a cloud e a rede de defesa – a arquitetura deve utilizar uma firewall, sistema de deteção de intrusões (IDS) e/ou sistema de prevenção de intrusões (IPS) para proteger a rede de defesa contra ataques com origem na cloud. Deverá estar na rede de defesa e inspecionar e filtrar todo o tráfego que se dirige para a rede de defesa a partir da cloud. Esta colocação proporcionará uma barreira entre os dois ambientes.
Inspecionar todo o tráfego de entrada – encaminhe todo o tráfego de entrada através da pilha de segurança antes de enviar para aplicações. A pilha de segurança deve estar no seu próprio ambiente e deve inspecionar e filtrar o tráfego antes do encaminhamento para aplicações na cloud.
Isolar ferramentas de gestão de segurança – crie um ambiente separado para as suas ferramentas de gestão de segurança. No mínimo, o ambiente de gestão de segurança deve incluir a análise de vulnerabilidades, a análise de anfitriões, a proteção de pontos finais e o registo centralizado.
Designar um proprietário de arquitetura - Os proprietários da missão devem designar um único membro do seu pessoal para possuir a segurança da zona de destino. Esta pessoa deve ser responsável por coordenar com o mediador da cloud, gerir a identidade e o acesso e restringir privilégios elevados.
Para obter mais informações, consulte:
Definir as expectativas de operações e gestão
Os proprietários da missão e os mediadores da cloud devem definir as expectativas de operações e gestão durante o período de compilação da zona de destino. As cargas de trabalho dependerão fortemente da plataforma ao longo do ciclo de vida. As alterações nas configurações de identidade, gestão ou conectividade da plataforma afetarão as cargas de trabalho alojadas. É importante sincronizar expectativas e prioridades durante a compilação da plataforma para que os proprietários da missão e os mediadores da cloud tenham uma compreensão comum do sucesso. Ter uma relação de trabalho sólida antes de os ambientes de produção irem em direto ajudará a mitigar os riscos.
Temos as seguintes recomendações para operações e gestão:
Estabelecer canais de comunicação – os proprietários da missão devem estabelecer canais de comunicação para o mediador da cloud utilizar. As comunicações devem ser frequentes, consistentes e claras. Os proprietários da missão também devem ter disponibilidade para comunicações de campo para quaisquer questões urgentes fora das reuniões regulares. A comunicação minimizará o risco e a deriva técnica dos objetivos da missão. As expectativas devem ser anotadas, explicadas e acessíveis aos mediadores da cloud. As sincronizações regulares entre o mediador da cloud e o proprietário da missão ajudarão a garantir que o mediador da cloud compreende os requisitos de segurança, desempenho e finanças dos proprietários da missão e das respetivas cargas de trabalho.
Escolher medidas operacionais – estabeleça a forma como as medidas operacionais serão revistas. O proprietário da missão e o mediador da cloud devem determinar como os comentários serão recebidos e as melhorias efetuadas.
Partilhar serviços principais – o mediador da cloud na maioria das instâncias deve oferecer serviços partilhados para os proprietários da missão utilizarem. Os serviços partilhados incluem o Azure Virtual Desktops para computação de cliente segura e um conjunto de ferramentas partilhado do DevOps, como o Azure DevOps. Os mediadores de cloud também podem partilhar uma plataforma de dados comum com governação ou uma plataforma de contentores partilhados. A partilha de serviços comuns poupa dinheiro e melhora a conformidade.
Debater a automatização da infraestrutura – um mediador de cloud de alto funcionamento criará modelos de infraestrutura como código (IaC) para criar ambientes de carga de trabalho seguros de forma consistente e rápida. Estes modelos IaC podem criar VMs, funções, armazenamento e muito mais protegidos. O mediador pode até criar toda a zona de destino do proprietário da missão através de código para garantir a consistência e a conformidade.
Estabelecer o processo de gestão de alterações – a alteração é necessária na cloud. Na verdade, um dos principais benefícios da cloud é a capacidade de acelerar a mudança. Acelerar as alterações positivas é o objetivo da transformação digital. É vital que os proprietários da missão e os mediadores da cloud estabeleçam um processo de gestão de alterações. A gestão de alterações deve ter em conta os pedidos de alteração padrão, normais e de emergência. Cada tipo de pedido deve ter o seu próprio processo otimizado e simplificado para consistência, velocidade e segurança.
Para obter mais informações, consulte:
Passo seguinte
A metodologia pronta foca-se na criação de uma plataforma na cloud. A metodologia de governação centra-se na regulação da plataforma para segurança, custos e gestão.