Coraz więcej organizacji przenosi swoje zasoby do chmury. Tej przeprowadzce towarzyszy jednak obawa: jak poradzić sobie z procesem migracji i konfiguracją nowego środowiska. Odpowiedzią jest landing zone, która ułatwia przeniesienie w bezpieczny sposób zasobów do chmury i upraszcza ich powoływanie w przyszłości.
Co to jest landing zone?
Landing zone jest to początkowa konfiguracja środowiska chmurowego, która umożliwia skuteczne przenoszenie oraz uruchamianie aplikacji w chmurze obliczeniowej wszystkim w sposób ciągły i skalowalny. Landing zone zapewnia przeniesienie istniejących aplikacji do nowego środowiska bez przerywania działalności operacyjnej organizacji.
Po co budować landing zone i dlaczego warto to robić?
Budując swoje miejsce w chmurze obliczeniowej warto rozpocząć od stworzenia stabilnego fundamentu pod obecne i przyszłe systemy, które będą w pełni wykorzystywać zalety chmury obliczeniowej.
Dzięki dobrze wdrożonej landing zone uruchomienie czy migracja kolejnych systemów przebiega szybciej i nie wymaga zastanawiania się za każdym razem jak zarządzać tożsamością, czy też w jakiś sposób powinna być skonfigurowana sieć. Wszystkie tego typu elementy powinny być zdefiniowane właśnie podczas budowy landing zone.
Praca włożona w tej fazie pozwala znacząco przyspieszyć kolejne etapy transformacji cyfrowej organizacji. Dzięki zbudowanej landing zone uchmurowienie kolejnych aplikacji będzie przebiegać dużo sprawniej. Praktyczne znaczenie budowy landing zone obserwujemy podczas wdrożeń u naszych klientów.
Landing zone w sektorze regulowanym
W przypadku firm i instytucji działających w sektorach regulowanych (np. finanse, ochrona zdrowia) lub administracji publicznej istnieje wiele wytycznych, regulacji czy rekomendacji w jaki sposób muszą one dbać o architekturę i konfigurację swoich usług IT. Priorytetem jest zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa przetwarzanych danych. Budowa landing zone to dobry moment do technicznego przygotowania środowiska IT do zapewnienia zgodności prawnej (compliance) z wszelkiego typu regulacjami, których dana organizacja musi przestrzegać. Dobrze skonfigurowana landing zone pozwala na uruchamianie kolejnych usług z poszanowaniem tych wymogów, co pozwala skupić się na rozwoju biznesu bez generowania dodatkowego ryzyka prawnego.
Jakie są kluczowe aspekty i zagadnienia dotyczące budowy landing zone?
Organizacje mają różne potrzeby co do wymaganych zasobów, co więcej potrzeby te mogą się różnić również w ramach jednej organizacji - na przykład systemy krytyczne mogą mieć wyższe wymogi odnośnie bezpieczeństwa lub backupu. Dlatego do budowy każdej landing zone należy podejść indywidualnie. Istnieją jednak pewne obszary, które każda dobrze przygotowana landing zone powinna uwzględniać:
1. Zarządzanie tożsamością i uprawnieniami
Fundamentem bezpieczeństwa w środowisku chmurowym jest zarządzanie tożsamością i uprawnieniami. Z jednej strony - chmury publiczne posiadają wbudowane zabezpieczenia, które pozwalają na zarządzanie tym obszarem. Odpowiednio skonfigurowane mogą dobrze zabezpieczyć środowisko chmurowe. Z drugiej strony - poświadczenie tożsamości w środowisku chmurowym umożliwia dostęp do różnych usług. Dlatego błędy popełnione w tym zakresie są bardzo niebezpieczne dla całej organizacji. Zarządzanie tożsamością i uprawnieniami w środowisku chmurowym jest pierwszym zagadnieniem, które należy wziąć pod uwagę budując landing zone.
Landing zone określa w jaki sposób będą tworzone nowe konta, mogące uwierzytelniać się do środowiska chmurowego. Aby zapewnić jak najwyższy poziom bezpieczeństwa danych w organizacji należy poprawnie zaprojektować i wdrożyć usługi zarządzające tożsamością i uprawnieniami.
2. Szyfrowanie i zarządzanie kluczami
Tworząc fundamenty chmurowe nie można pominąć zagadnień związanych z kryptografią, która odpowiada za bezpieczeństwo środowiska. Landing zone pozwala uwzględnić wymagania (strategia, procedury) zarówno wewnętrznego działu compliance, jak i zewnętrznego regulatora.
Chmura standardowo zapewnia szyfrowanie kluczem zarządzanym przez platformę. Możliwe jest również dostarczenie własnego klucza i szyfrowania danych zgodnie z wewnętrznymi regulacjami bezpieczeństwa. W przypadku niektórych organizacji szyfrowanie własnym kluczem jest wymagane przez regulatora. Zdefiniowanie procesów przechowywania i zarządzania kluczami, certyfikatami oraz hasłami na etapie projektowania landing zone gwarantuje efektywne i bezpieczne wdrażanie nowych aplikacji i systemów.
3. Struktura organizacyjna
To zagadnienie dotyczy podziału środowiska chmurowego pozwalające na separację środowisk produkcyjnych od testowych czy deweloperskich, podział projektów i grup zasobów na poszczególne warstwy czy zadania biznesowe. Stworzenie struktury organizacyjnej pozwala odzwierciedlić specyfikę przedsiębiorstwa lub instytucji w chmurze i upraszcza zarządzanie.
Odpowiednio przygotowana struktura zasobów, konwencja nazewnicza powoływanych zasobów i sposób przydzielania uprawnień znacznie ułatwią pracę w przyszłości wraz z rozwojem organizacji. Im więcej pracowników i prowadzonych projektów oraz bogatsze archiwum, tym bardziej skomplikowany jest proces nadawania i odbierania uprawnień, zakładania nowych zasobów, itp.
Temat odwzorowania struktury organizacyjnej na przykładzie środowiska Google Cloud poruszaliśmy już w artykule, w którym opisaliśmy to zagadnienie bardziej szczegółowo.
4. Zarządzanie kosztami
Chmura publiczna posiada gotowe narzędzia do kontroli budżetu, które można również skonfigurować w ramach landing zone. Pozwalają one nadzorować wysokość opłat, umożliwiają podział kosztów na poszczególne projekty i inicjatywy biznesowe.
Im wcześniej metody zarządzania kosztami chmurowymi zostaną wypracowane i wdrożone w organizacji, tym mniejsze ryzyko utraty kontroli nad tym ważnym aspektem działalności. Konfiguracja budżetów oraz alertów zapewnia przejrzystość kosztów powołanych usług. W efekcie kontrolowanie zmian kosztów środowisk chmurowych jest bardziej efektywne i przewidywalne. Zrozumienie i ustrukturyzowanie kwestii budżetowych ułatwi również przygotowywanie business case’ów do migracji kolejnych rozwiązań.
5. Mechanizmy powoływania i zarządzania usługami
Uruchomienie pojedynczej wirtualnej maszyny czy zestawienia połączenia VPN z własną infrastrukturą to stosunkowo proste zadanie. Ale skala wyzwań rośnie wraz z wielkością organizacji. Migracja setek aplikacji lub uruchomienie takiej liczby maszyn wirtualnych to czasochłonne zajęcie, obarczone ryzykiem popełnienia błędów w konfiguracji, co może spowodować np. obniżenie poziomu bezpieczeństwa całego środowiska.
Rozwiązaniem jest IaC (Infrastructure as Code), czyli automatyzacja procesu powoływania i modyfikowania środowisk. W ten sposób do zarządzania infrastrukturą można wykorzystać najlepsze praktyki znane z rozwoju oprogramowania: m.in. pełna kontrola i możliwość cofnięcia zmian, w razie błędnej konfiguracji.
6. Sieć i dostęp do internetu
Dobrze zaplanowana landing zone uwzględnia zarówno aktualne potrzeby organizacji, ale też przyszłą, docelową architekturę sieci i połączeń.
Jakiej adresacji użyć w środowisku cloud, jak optymalnie i przede wszystkim bezpiecznie zapewnić dostęp do internetu usługom oraz w jaki sposób kontrolować ruch sieciowy? Landing zone odpowiada na te pytania. Decyzje podjęte na tym etapie pozwolą rozwijać środowisko chmurowe bez martwienia się o przyszłe skalowanie czy możliwość komunikacji z lokalną infrastrukturą.
7. Monitoring i logowanie zdarzeń
Jednym z największych zagrożeń w infrastrukturze jest brak świadomości zdarzeń i incydentów, które się w niej pojawiają. Również w chmurze niezwykle ważne jest odpowiednie zbieranie zdarzeń i metryk dotyczących działających usług i wykorzystania przez nie zasobów.
Odpowiednio skonfigurowany monitoring i logowanie zdarzeń pozwala skalować zasoby oraz śledzić ich wydajność, ale również reagować na potencjalne przestoje czy próby nieautoryzowanego dostępu do infrastruktury.
Ten etap budowy landing zone jest również odpowiednim momentem żeby zdecydować jakie narzędzia będą wspierać ten proces? Czy lepsze będzie wykorzystanie natywnych usług chmurowych, czy może lokalny SIEM będzie radził sobie z tym dużo lepiej?
Czy można budować landing zone samodzielnie?
Oczywiście, że tak, ale nie zawsze jest to opłacalne. Im mniej dana organizacja ma doświadczenia w pracy w środowiskach chmurowych i im bardziej rozbudowane zasoby IT (liczba aplikacji, ilość danych, działalność na rynku regulowanym), tym bardziej opłacalna jest współpraca z zewnętrznym partnerem.
W OChK pracują osoby z doświadczeniem w środowiskach chmurowych, a także wdrożeniach na rynkach regulowanych, co przekłada się zarówno na czas przygotowania landing zone, ale też na mniejsze ryzyko popełnienia błędu. Budowa landing zone przez zewnętrznego partnera oznacza też odciążenie wewnętrznego działu IT w procesie migracji. Dzięki wsparciu w konfiguracji środowiska, administratorzy mogą skoncentrować się na przenoszeniu aplikacji i bieżącej obsłudze użytkowników. Zapraszamy do współpracy!