Внедрение для внедрения облака для защиты
Методология внедрения ориентирована на рабочие нагрузки защиты и входит в область внедрения облачных технологий. Рабочие нагрузки — это коллекции ресурсов, которые поддерживают определенную возможность. Область миссии циклична. Домен выполняет итерацию по внедрению, защите и управлению методологиями на протяжении всего жизненного цикла рабочих нагрузок.
Рис. 1. Отслеживание домена — домен миссии
На этапе внедрения рабочие нагрузки защиты начинают свой путь в облаке и итеративно извлекают выгоду из облачных преимуществ с течением времени. Внедрение включает в себя миграцию, модернизацию и инновации:
- Миграция переносит рабочие нагрузки в облако.
- Модернизация снижает совокупную стоимость владения , обеспечивая безопасность, производительность и эффективность.
- Благодаря инновациям оборонные организации начинают создавать собственные облачные решения для удовлетворения потребностей в данных.
На этапе внедрения необходимо учитывать несколько важных аспектов.
Создание специализированного плана миграции
Миграция рабочей нагрузки защиты должна быть безопасной и часто требует минимального простоя. Команды защиты должны работать со своими облачными брокерами и представителями клиентов, чтобы создать план миграции, соответствующий потребностям каждой рабочей нагрузки. Правильный план миграции позволит сэкономить время, деньги и головные боли.
Рекомендации по миграции . Существуют различные подходы к миграции. Важной стратегией, учитываемой в контексте защиты, является поэтапный подход к миграции. Поэтапный подход к миграции — это общая стратегия для больших, устаревших рабочих нагрузок, которые имеют важное значение. Общая идея заключается в переносе частей рабочей нагрузки за раз, чтобы рабочая нагрузка оставалась доступной для конечных пользователей во время миграции. Во время миграции рабочая нагрузка работает в гибридном состоянии. Эта стратегия миграции повышает сложность и затраты, но иногда является необходимой.
Однако не для всех приложений требуется поэтапная миграция. Некоторые из них достаточно малы или не достаточно важны, чтобы оправдать этот уровень внимания. Владельцы миссии должны оценить важность каждой рабочей нагрузки в отношении политик защиты, чтобы создать стратегию миграции, которая будет работать для каждой рабочей нагрузки.
В Azure есть средство миграции, которое может переносить рабочие нагрузки защиты. Дополнительные сведения см. в разделе:
Безопасная передача данных . Во время миграции важно шифровать данные. Существует два main подхода к передаче зашифрованных данных в облако. Ему можно передать выделенное подключение между сетью защиты и облачной средой. Но для передачи данных, которая займет несколько дней, служба импорта и экспорта Azure является лучшим вариантом переноса данных. Зашифрованные данные загружаются на внешний жесткий диск, отправляются в Azure для государственных организаций центры обработки данных и отправляются в соответствующую облачную среду.
Дополнительные сведения см. в статье Использование службы импорта и экспорта Azure.
Стимулирование модернизации
Модернизация заключается в максимизации ценности и должна быть приоритетом для владельцев миссии. Без модернизации трудно испытать истинные преимущества облака, больше возможностей для меньшей работы и денег. Здесь применимы два рекомендаций, связанных с требованиями и технологиями.
Требования к модернизации . Способ приобретения облачных служб может повлиять на темпы модернизации. Оборонные организации часто используют целевую зону отдельно от рабочих нагрузок, которые находятся на ней. Лучший подход заключается в том, чтобы облачный брокер построил целевую зону и управлял ею, а команды владельцев миссии управляют рабочими нагрузками на платформе. Однако такое разделение обязанностей создает границы безопасности, но также может задушить модернизацию. Поэтому важно, чтобы владельцы миссий стимулизировали технические команды к внедрению новых технологий, чтобы рабочие нагрузки обороны могли соответствовать текущим и будущим требованиям. Эффективным подходом является построение модернизации в соответствии с требованиями и определение вех в соответствии с целями модернизации. Требовать предложения по техническим решениям, чтобы указать, как усилия по модернизации согласуются с улучшениями процессов, улучшениями приложений и конфигурациями базы данных. Предлагаемые решения должны соответствовать целям миссии.
Дополнительные сведения см. в разделе Выравнивание модернизации.
Рассмотрим платформу как услугу (PaaS). Решения Azure "инфраструктура как услуга" (IaaS) обеспечивают уровень технического контроля, необходимый многим организациям по защите. Недостатком управления IaaS является меньшая производительность. Производительность означает делать и получать больше с меньшим. Чем больше технических специалистов по управлению, тем меньше времени у них на инновации.
Решения PaaS обеспечивают баланс управления и производительности. Если они доступны в Azure Gov Cloud, они утверждены и достаточно безопасны для использования. Многие оборонные организации опасаются решений PaaS из-за блокировки поставщиков и потери контроля. Эта реакция хорошая, но неприменимая здесь.
Решения PaaS — это платформы. Владельцы миссии управляют кодом и данными, но разгружают управление базовой инфраструктурой. Azure обрабатывает усиление защиты инфраструктуры, установку исправлений, масштабирование и подготовку. Платформы создают минимальный риск блокировки поставщика и могут повысить безопасность. Организации, занимающиеся защитой, могут уделять больше внимания безопасности приложений и улучшению кода при оптимизации повседневных задач безопасности. Решения PaaS помогают организациям по защите быстрее выполнять задачи.
Дополнительные сведения см. в разделе Внедрение PaaS.
Используйте DevOps, где это возможно
DevOps — это гибкая методология, которая ориентирована на обеспечение ценности. DevOps синхронизирует разработку и операции в итеративный процесс, который направлен на быстрое создание ценности. Определение приоритетов задач является ключевым механизмом. Когда приоритет отработана, команды сначала выполняют задачи с наивысшим приоритетом. Работа также ограничена временем для создания цикла обратной связи, который ускоряет обучение и ускоряет доставку.
Стандарты защиты и процессы снижения рисков, как правило, ограничивают степень, в которой организации могут реализовать настоящий DevOps. Протоколы, нормативные акты и жизненные циклы контрактов вынуждают разработку и операции обороны в каскадной платформе. Однако принципы DevOps можно применять в рамках этих правил. Вот несколько рекомендаций DevOps:
Согласование с существующим процессом — DevOps не должен нарушать существующую структуру. Он должен соответствовать ему. Стоит подумать о том, как полное внедрение DevOps может улучшить рабочие нагрузки, но до этого времени DevOps должен работать в рамках существующих операций. Если текущие операции являются более каскадными, стратегии DevOps могут работать между этими последовательными вехами. Реализации DevOps должны учитывать обязательные передачи и последовательные контрольные точки, на которых основано множество процессов управления рисками защиты. Подход, который игнорирует текущую систему, обречен на сбой.
Быстрое улучшение . Возможность многократного выполнения задач с помощью проверок позволяет техническим командам быстро улучшать разработку и операции. Команды должны работать над разработкой минимально жизнеспособного продукта и подтверждения концепции и совершенствовать их до тех пор, пока они не достигнут целей миссии.
Используйте непрерывную интеграцию и непрерывное развертывание (CI/CD). CI/CD — это стандартная концепция DevOps. Это автоматизированный подход к постоянному совершенствованию и развертыванию кода в рабочей среде. Редко рекомендуется развертывать изменения кода в критически важных рабочих нагрузках непосредственно в рабочей среде, поэтому этот подход необходимо изменить для сценариев защиты. Для критически важных рабочих нагрузок рекомендуется использовать два конвейера CI/CD. Первый конвейер CI/CD должен создать поэтапное развертывание, которое можно тщательно протестировать. Код можно развернуть в рабочей среде только после прохождения всех необходимых тестов. Командам разработчиков потребуется точно настроить процесс, чтобы тесты могли быть завершены на промежуточных конечных результатах так же быстро, как они поступают. Дополнительные сведения о возможностях CI/CD см. в статье Azure Pipelines.
Средства DevOps . Для обеспечения работы DevOps необходимо внедрение средств DevOps. Создайте список необходимых средств DevOps с авторизациями уровня влияния, сопоставленными с процессом DevOps. Это сопоставление может быть хорошим требованием для предложений и поможет определить, насколько можно внедрить DevOps.
Дополнительные сведения о DevOps см. в разделе:
Следующий шаг
Далее следует использовать методику обеспечения безопасности, и облако предлагает профессиональные инструменты для защиты рабочих нагрузок.