Redo för molnimplementering för försvar
Den färdiga metoden är det första steget i plattformsdomänen för molnimplementering.
Bild 1: Domänspårare – plattformsdomän
Den färdiga metoden fokuserar på att skapa molnplattformen. Vi kallar den här molnplattformen för en landningszon. Landningszoner är hem för kärntjänster, arbetsbelastningar och program. De utgör en grund för säkerhet och resurshantering. De möjliggör programmigrering, modernisering och innovation i företagsskala. I landningszonen distribueras tjänster, program och arbetsbelastningar. Här följer viktiga överväganden för den landningszonversion som molnkoordinatorn bör följa.
Skapa en säker landningszon
I landningszonen skapar molnkoordinatorn plattformsmiljöerna och uppdragsägaren hanterar arbetsbelastningsmiljöerna. Dessa arbetsbelastningsmiljöer ärver plattformens säkerhetskontroller. Landningszoner utgör grunden för arbetsbelastningssäkerheten och måste vara säkra. Försvarsorganisationer har ofta efterlevnadsstandarder för arkitektur som gäller för landningszoner. Molnkoordinatorn ansvarar för att skapa en landningszon som uppfyller dessa standarder. Information om landningszoner finns i:
Här följer några allmänna arkitekturrekommendationer för distributioner av landningszoner:
Placera en brandvägg mellan moln- och försvarsnätverk – Arkitekturen bör använda en brandvägg, intrångsidentifieringssystem (IDS) och/eller intrångsskyddssystem (IPS) för att skydda försvarsnätverket mot attacker från molnet. Den bör finnas i försvarsnätverket och inspektera och filtrera all trafik på väg in i försvarsnätverket från molnet. Den här placeringen utgör en barriär mellan de två miljöerna.
Inspektera all inkommande trafik – Dirigera all inkommande trafik genom säkerhetsstacken innan du skickar till program. Säkerhetsstacken bör finnas i en egen miljö och bör inspektera och filtrera trafik innan den dirigeras till molnprogram.
Isolera säkerhetshanteringsverktyg – Skapa en separat miljö för dina säkerhetshanteringsverktyg. Säkerhetshanteringsmiljön bör minst innehålla sårbarhetsgenomsökning, värdgenomsökning, slutpunktsskydd och centraliserad loggning.
Utse en arkitekturägare – Uppdragsägare bör utse en enskild medlem av sin personal till en egen säkerhet i landningszonen. Den här personen bör ansvara för att samordna med molnkoordinatorn, hantera identitet och åtkomst och begränsa utökade privilegier.
Mer information finns i:
Definiera drifts- och hanteringsförväntningar
Uppdragsägare och molnkoordinatorer bör definiera förväntningarna för drift och hantering under genereringsperioden för landningszoner. Arbetsbelastningar är starkt beroende av plattformen under hela livscykeln. Ändringar i plattformsidentitet, hantering eller anslutningskonfigurationer påverkar värdbaserade arbetsbelastningar. Det är viktigt att synkronisera förväntningar och prioriteringar under plattformsbygget så att uppdragsägare och molnmäklare har en gemensam förståelse för framgång. Genom att ha en gedigen arbetsrelation innan produktionsmiljöerna börjar fungera kan du minska riskerna.
Vi har följande rekommendationer för åtgärder och hantering:
Upprätta kommunikationskanaler – Uppdragsägare bör upprätta kommunikationskanaler som molnkoordinatorn kan använda. Kommunikationen bör vara frekvent, konsekvent och tydlig. Uppdragsägare bör också ha tillgång till fältkommunikation för brådskande frågor utanför de regelbundna mötena. Kommunikation minimerar risker och tekniska avvikelser från uppdragsmål. Förväntningarna bör skrivas ned, förklaras och vara tillgängliga för molnmäklarna. Regelbundna synkroniseringar mellan molnkoordinatorn och uppdragsägaren hjälper till att säkerställa att molnmäklaren förstår säkerheten, prestandan och de ekonomiska kraven för uppdragsägare och deras arbetsbelastningar.
Välj driftmått – Fastställa hur operativa åtgärder ska granskas. Uppdragsägaren och molnkoordinatorn bör bestämma hur feedback ska tas emot och förbättringar göras.
Dela kärntjänster – Molnkoordinatorn i de flesta fall bör erbjuda delade tjänster som uppdragsägare kan använda. Delade tjänster omfattar Azure Virtual Desktops för säker klientberäkning och en delad DevOps-verktygsuppsättning som Azure DevOps. Molnkoordinatorer kan också dela en gemensam dataplattform med styrning eller en delad containerplattform. Delning av vanliga tjänster sparar pengar och förbättrar efterlevnaden.
Diskutera infrastrukturautomatisering – En högpresterande molnkoordinator skapar IaC-mallar (infrastruktur som kod) för att skapa säkra arbetsbelastningsmiljöer konsekvent och snabbt. Dessa IaC-mallar kan skapa förstärkta virtuella datorer, funktioner, lagring med mera. Den asynkrona meddelandekön kan till och med bygga ut hela landningszonen för uppdragsägaren med hjälp av kod för att säkerställa konsekvens och efterlevnad.
Upprätta ändringshanteringsprocess – Det krävs ändringar i molnet. I själva verket är en stor fördel med molnet möjligheten att påskynda förändringar. Målet med digital omvandling är att påskynda positiva förändringar. Det är viktigt att uppdragsägare och molnmäklare upprättar en ändringshanteringsprocess. Ändringshantering bör ta hänsyn till standard-, normal- och nödändringsbegäranden. Varje typ av begäran ska ha en egen process som är optimerad och strömlinjeformad för konsekvens, hastighet och säkerhet.
Mer information finns i:
Nästa steg
Den färdiga metoden fokuserar på att skapa en molnplattform. Styrningsmetoden fokuserar på att reglera plattformen för säkerhet, kostnad och hantering.