Поделиться через

Планирование внедрения облака обороны

  • Статья

Методология плана входит в область командной области внедрения облака.

Рисунок, показывающий трекинг домена. На нем показаны управление, платформа и миссия. Управление выделено, чтобы показать, что мы находимся в домене управления облачным внедрением. Рис. 1. Трекер домена - домен управления

Методология плана заключается в том, что владельцы миссий готовятся к внедрению облака. Они должны определять требования, принимать решения, которые помогают достичь целей миссии, и привлекать правильных заинтересованных лиц. Эти планы определяют потребности в управлении персоналом и платформой. Надлежащее планирование помогает гарантировать, что проект получает поддержку от заинтересованных лиц.

Мы рекомендуем использовать облачного брокера, а планирование — это процесс, в рамках которого владельцы миссий выбирают подход к использованию услуг облачного брокера. Мы предполагаем, что владельцы миссий определили технические требования для удовлетворения своих целей. Если нет, это обязательное условие, которое должно быть обеспечено перед принятием решения о стратегии облачного брокера. Использование облачного брокера является лучшей практикой в оборонных организациях из-за многих преимуществ, предоставляемых отношениями. Некоторые организации обороны должны использовать конкретный облачный брокер в цепочке команд. Учитывая важность и преимущества облачных брокеров, стоит изучить преимущества и подходы к облачным брокерам.

Преимущества облачного брокера

Облачные брокеры — это централизованные группы, которые создают облачные платформы и управляют ими. Облачные брокеры выполняют многие задачи, необходимые для управления облачной средой и упрощают внедрение облака для владельцев миссий. Организации обороны иногда имеют требования к облачным брокерам, и владельцы миссий должны учитывать эти требования в их плане. Если владельцы миссий могут выбрать из нескольких облачных брокеров, они должны определить, какой облачный брокер предлагает лучшие услуги и цену для этого проекта.

Облачные брокеры предоставляют следующие преимущества:

управляема зона приземления платформы - Для служб, решений и приложений, размещенных в среде обороны, требуются управляемые среды. Облачные брокеры создают и поддерживают управляемые среды платформы (целевые зоны платформы), соответствующие требованиям соответствия.

Посадочная зона Azure представляет собой целевую архитектуру, которая включает все компоненты, необходимые для безопасных, надежных и экономичных облачных операций (см. рисунок 2). Зона высадки Azure следует ключевым принципам в восьми областях дизайна. Среда зоны размещения Azure состоит из зон размещения платформ и зон размещения приложений.

  • целевая зона платформы: целевая зона платформы — это подписка, которая предоставляет основные службы, используемые несколькими приложениями. В примере архитектуры (см. рисунок 2), компоненты и подписки, обведенные красным цветом, являются зонами высадки платформы. Они предоставляют общие службы, такие как идентификация, управление и подключение, для приложений в этой среде.

  • целевая зона приложения: целевая зона приложения — это подписка на размещение приложений. В примере архитектуры (см. рисунок 2), синие поля описывают целевые зоны приложения. В архитектуре есть две целевые зоны приложений: "Подписка на целевую зону приложения A1" и "Подписка целевой зоны приложения A2". В архитектуре подробно показана только подписка "Целевая зона приложения A2".

схема архитектуры зоны посадки Azure. Пример архитектуры, показывающий зону посадки платформы и зоны посадки приложений. Он показывает арендатора Microsoft Entra с группами управления ниже. Группы управления делятся на платформу, зоны посадки, списанные и песочницы. Под этими группами управления и дочерними группами находятся подписки. Архитектура показывает содержимое этих подписок. Группа управления зоной посадки платформы содержит подписки на удостоверение, управление и подключение. Вокруг подписок зоны посадки платформы есть черные рамки. Группа управления зоной посадки приложения содержит две подписки зоны посадки приложения. Подробно показано содержимое одной подписки. Вокруг подписок зоны посадки приложения есть красные рамки. рис. 2. Концептуальная архитектура зоны посадки Azure

Без облачного брокера ответственные за миссии несут ответственность за зоны размещения приложений и зон размещения платформ. Но с облачным брокером владельцы миссий должны управлять только целевыми зонами приложений и могут сосредоточиться на модернизации приложений для удовлетворения целей миссии. Облачные брокеры несут техническую ответственность за основные службы в целевых зонах платформы.

Решения по проектированию зон высадки платформы, включающие следующие дисциплины:

  • Управление затратами
  • Управление базовыми показателями безопасности
  • Управление базовыми параметрами идентификаторов
  • Согласованность ресурсов
  • Ускорение развертывания

См. дополнительные сведения в разделе о платформах и разделео целевых зонах приложений.

основные службы — облачные брокеры реализуют основные службы, такие как идентификация, сеть и управление ими. В большинстве случаев облачный брокер безопасно подключает новую облачную среду к локальным сетям, создает операционные среды и устанавливает решение управления доступом к удостоверениям (IAM) с применением политик на основе требований миссии.

авторизация платформы для работы (ATO). Опытные облачные брокеры могут помочь быстрее получить авторизацию на работу для платформы, чем это могли бы сделать владельцы миссий без их помощи. ATO уровня платформы напрямую влияет на скорость, с которой владельцы миссий могут развертывать критически важные приложения. Дополнительные сведения см. в статье об ускорении ATO.

повышение эффективности. Облачный брокер может автоматизировать поток информации, устраняя необходимость вручную создавать данные и управлять требованиями к соответствию платформы. Эта автоматизация обеспечивает своевременную и точную маршрутизацию в центры утверждения для развертывания приложений, обеспечивая возможность трассировки и подотчетности. Без брокера облачных услуг владельцы миссий должны справляться со следующими препятствиями:

  • Получение и выделение средств
  • Управление требованиями к надзору и соответствию
  • Получение утверждения от команд безопасности
  • Передача проекта техническим командам для сборки приложений

Эти действия могут длиться недели или месяцы, а в некоторых случаях — годы. Облачный брокер упрощает и ускоряет процесс для владельцев миссий.

Подходы к облачным брокерам

Существуют различные подходы для владельцев миссий, которые следует учитывать при использовании облачного брокера. Владельцы миссий могут использовать один облачный брокер или несколько облачных брокеров, и правильный подход зависит от потребностей миссии.

подход единственного облачного брокера - В подходе единственного облачного брокера владельцы миссий заключают контракты на облачные услуги через одну сущность. Может быть несколько моделей поддержки, но облачный брокер — это единая точка контакта. Один облачный брокер предоставляет одно облачное решение для идентификации, которое называется клиентом. Существуют некоторые уникальные преимущества одиночного размещения. Один клиент предлагает следующие преимущества:

  • Снижает сложность управления удостоверениями и доступом, повышая видимость и прозрачность во всех облачных средах
  • Повышение безопасности при обеспечении общего доступа к соответствующей информации
  • Упрощение создания архитектуры нулевого доверия
  • Повышение эффективности передачи данных между военными боевиками в условиях жесткой экономии

Если эти преимущества соответствуют потребностям владельцев миссий, то один брокер, скорее всего, лучше подходит.

подход к нескольким облачным брокерам. Подход с несколькими облачными брокерами использует два или более облачных брокеров для предоставления управляемых облачных служб. Несколько облачных брокеров лучше работают в сложных организациях, а среды обороны часто имеют достаточно сложности, чтобы гарантировать стратегию нескольких облачных брокеров. Но есть предостережение. Несколько облачных брокеров могут добавить дополнительный риск в план внедрения облака и добавить дополнительные линии связи для организации для управления.

Следующие факторы помогут определить, является ли подход нескольких облачных брокеров правильным.

  • владения: владельцам миссий может потребоваться собственный облачный брокер. Группам принятия решений часто требуется собственный арендатор, чтобы выполнять задачи миссии и предотвращать задержки из-за зависимостей.

  • изоляции: владельцы миссий могут нуждаться в изолированных средах для комплаенса, управления или идентификации. Каждый клиент (экземпляр идентификатора Microsoft Entra) представляет изолированную среду идентификации и при необходимости может создать твердый барьер изоляции.

  • управления. Разделение сложных сред может быть идеальным решением для управления и модернизации облачных приложений. Но это разделение управления повышает сложность в цепочке команд. Становится сложнее иметь единое представление обо всех облачных ресурсах.

  • безопасности. Для обеспечения соответствия данных требованиям для различных уровней влияния могут потребоваться несколько арендаторов и несколько облачных брокеров, авторизованных и с опытом управления этими уровнями влияния.

Стратегия многооблачного брокера может использоваться на разных уровнях в организации обороны. Брокер может быть назначен отдельным военным филиалам (военно-морским, воздушным, наземным) или группам приложений. Выбор зависит от потребностей вашей организации обороны вокруг владения, изоляции, управления и безопасности.

Дополнительные сведения см. в разделе Обзор планирования и контрольный список оценки миграции .

Следующий шаг

Планирование подготавливает оборонные организации к выполнению операций. Методология организации использует этот план и начинает выполнять нетехнические предварительные требования.

Упорядочить