1. Etablieren eines grundlegenden Oracle Cloud Infrastructure Governance-Modells
  2. Workload-Governance-Lebenszyklus

Workload-Governance-Lebenszyklus

Workload-Governance umfasst das Scoping der Workload und verschiedener Eigenschaften, die mit der Workload verknüpft sind, um Governance mit dem Governance-Modell zu entwerfen. Workload Governance wird in den folgenden vier Phasen ausgeführt:

  • Workload-Scoping und -Bewertung: Gibt den Geltungsbereich der für die betreffende Workload spezifischen Ressourcen, Prozesse, Budgets und Sicherheitsanforderungen an.
  • Workload-Governance - Design und Deployment: Identifiziert Workload-spezifische Guardrails in verschiedenen Disziplinen für Sicherheit, Governance und Budgetierung.
  • Workload-Onboarding: Workloads werden mit den entsprechenden Governance-Schutzschienen in die Umgebung aufgenommen.
  • Workload Governance-Überwachung und Offboarding: Offboarding von Assets entsprechend dem definierten Lebenszyklus der Workload

Umfang und Bewertung von Workloads

Als ersten Schritt müssen Sie die Workload im Gating- und Prüfprozess für Teams begrenzen, die neue Workloads in OCI bereitstellen.

Scoping stellt sicher, dass genügend Geschäftsfaktoren und Sponsoring vorhanden sind und dass die entsprechenden Schutzschienen vorhanden sind, um die neue Workload sicher unterzubringen. Bewerten Sie die Workload, um zu bestimmen, ob Governance erforderlich ist und wie viel Governance erforderlich ist, je nachdem, wie empfindlich und geschäftskritisch die Workload ist.

Workload Governance entwerfen

Verwenden Sie die in der anfänglichen Bewertung erhaltenen Daten, um Ihren Mandanten für Workload Governance zu entwerfen.

Sie bewerten Ihre Workload und treffen Entscheidungen basierend auf den Antworten auf bestimmte Fragen und bestimmen die erforderlichen organisatorischen Ergebnisse. Sie beginnen mit der Compartment-Struktur, die Sie während der Baseline-Governance eingerichtet haben.

Der Designprozess von Workload Governance folgt dem Governance-Modell, das der Baseline-Governance ähnlich ist. Im Folgenden finden Sie einige Beispiele für den Gedankenprozess bei der Gestaltung Ihrer Workload-Governance.

Beschreibung von oci-resource-organization-workflow.png folgt
Beschreibung der Abbildung oci-resource-organization-workflow.png

Workload-Ressourcen organisieren

Zunächst organisieren Sie Ihre Ressourcen-Workloads basierend auf den Anforderungen für Compartment-Struktur, geografischer Standort und Netzwerkisolation.

Beachten Sie die Antworten auf diese Fragen beim Entwerfen der Compartment-Struktur.

  1. Benötigt die Workload administrative Trennung?
    • Ja: Neues Compartment für Ihre Workload-Ressourcen erstellen
    • Nein: Geben Sie Ihr Workload Compartment für ein vorhandenes Compartment frei
  2. Verfügt Ihre Workload über spezielle Complianceanforderungen wie HIPAA oder FedRamp?
    • Ja: Compartment der Sicherheitszone erstellen
  3. Verfügt die Workload über Lebenszyklusumgebungen?
    • Ja: Separate Produkt- und Nicht-Produkt-Compartments erstellen

Beachten Sie die Antworten auf diese Fragen, um den geografischen Standort Ihrer Workload auszuwählen.

  1. Wo befindet sich Ihre Zielgruppe?
    • Wählen Sie eine Region in der Nähe Ihrer Zielgruppe aus
  2. Wie trennen Sie Ihre Workload für Produktions- und Disaster Recovery?
    • Teilen Sie die Produktions- und Disaster-Recovery-Workloads in die angegebenen Produktions- und Disaster-Recovery-Regionen auf
  3. Benötigt die Workload Konnektivität zu anderen Workloads?
    • Ja: Workloads in derselben Region erstellen

Überlegen Sie sich die Antworten auf diese Fragen, um Ihre Workload-Netzwerkisolation zu bestimmen.

  1. Verfügt die Workload über abhängige Services oder Workloads?
    • Ja: VCN in einem anderen Subnetz freigeben
  2. Verfügt die Workload über hochsensible Daten?
    • Ja: Erstellen Sie ein separates VCN und koppeln Sie abhängige Service-VCNs.
  3. Benötigt die Workload Konnektivität mit On-Premise-Workloads?
    • Ja: Fastconnect-Setup erstellen oder dynamisches Routinggateway (DRG) gemeinsam mit dem VCN verwenden, für das FastConnect eingerichtet ist
  4. Konsumiert die Workload native OCI-Services?
    • Ja: Servicegateway im Workload-VCN erstellen

Arbeitsauslastungskosten verwalten

Die Verwaltung der Workload-Kosten umfasst die Nachverfolgung und Kontrolle der Kosten, um zu hohe Ausgaben aufgrund suboptimaler Ressourcennutzung zu vermeiden. Sie können bei der Einrichtung Ihrer Workloads Kosten einsparen und die Nutzung anhand von Budgets verfolgen und Kosten je nach Organisation Ihrer Workloads in Compartments kontrollieren.

Beschreibung von oci-cost-management-workflow.png folgt
Beschreibung der Abbildung oci-cost-management-workflow.png

Die Kostenverfolgung umfasst die Einrichtung von Budgets und die Analyse von Kosten auf Basis der Ressourcennutzung. Erstellen Sie ein Budget, und richten Sie Alertregeln ein, um Management oder Administratoren zu benachrichtigen, wenn sich die Ausgaben in der Nähe des Budgets befinden, indem Sie im Abschnitt "Governance" in der OCI-Konsole Limits, Quoten und Nutzung einrichten.

Wenn Sie über die Ausgaben in der Nähe des Budgets benachrichtigt werden, können Sie Kostenkontrollmaßnahmen basierend auf den folgenden Fragen einrichten:

  1. Nutzt die Workload ein vorhandenes Compartment gemeinsam?
    • Ja: Compartment-Quota aktualisieren, um zusätzliche Ressourcen aufzunehmen
  2. Wird die Workload in einem neuen Compartment erstellt?
    • Ja: Ressourcenquoten im neuen Compartment erstellen
  3. Erfüllen Ihre aktuellen Servicelimits Ihre organisatorischen Anforderungen?
    • Ja: Vorhandene Servicelimits neu bewerten und aktualisieren, um zusätzliche Ressourcen zu erhalten

Zugriff verwalten

Für die Verwaltung des Zugriffs sind folgende Schritte erforderlich:

  • Identitäts-Provisioning
  • Federation
  • Administrative Gruppen und IAM-Policys
  • Privilegierte Accountverwaltung (PAM)
Beschreibung von oci-access-Governance-workflow.png folgt
Beschreibung der Abbildung oci-access-Governance-workflow.png

Sie können Access Governance implementieren, indem Sie Workload-spezifische Admin-Gruppen erstellen und dann IAM-Policys für Workload-Administratoren erstellen. Sie können die PAM-Authentifizierung auch für Workload-berechtigte Benutzer implementieren.

Gehen Sie bei Workload-spezifischen Identitätsanforderungen wie folgt vor:

  • Provisioning von Workload-spezifischen Benutzern
  • Workload-spezifische Identity Federation implementieren
  • Workload-spezifische MFA-Anforderungen implementieren

Sichere Workloads

Die Sicherung Ihrer Workloads ist unerlässlich, um böswillige Aktivitäten und verdächtige Ereignisse vor kritischen Kundendaten zu bewahren. Sie können Workload-Sicherheit implementieren, indem Sie die folgenden Schritte ausführen:

  • Cloud Guard aktivieren
  • Vulnerability Scanning-Service aktivieren
  • Benachrichtigungen einrichten, um verdächtige Ereignisse zu überwachen und Benachrichtigungsregeln zu erstellen

Daten sichern

Beschreibung von oci-data-security-workflow.png folgt
Beschreibung der Abbildung oci-data-security-workflow.png

Die Sicherung kritischer Kundendaten erfordert während der Implementierung sichere Vorgehensweisen, um sicherzustellen, dass Kundendaten sicher sind und bei Datenverlust wiederherstellbar sind. Sie können Kundendaten wie folgt sichern:

  • Verschiedene Datentypen klassifizieren
    • Erstellen Sie definierte Tags, um Daten basierend auf der Vertraulichkeit zu klassifizieren
    • Erstellen, Lesen, Aktualisieren und Löschen von CRUD-Vorgängen für sensible Daten überwachen
  • Erkennen Sie Verschlüsselungsanforderungen für Daten im Ruhezustand und während der Übertragung
    • Für Data-at-Rest-Daten erstellen und verwenden Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung von Workload-Daten
    • Gehen Sie bei der Übertragung von Daten wie folgt vor:
      1. WAF-Policys für externe Workloads konfigurieren
      2. CA-signierte Zertifikate für jede Workload-Schnittstelle erstellen und konfigurieren
    • Policys für Datensicherung und Archivierung des Lebenszyklus einrichten
  • Einrichten von Policys für Datensicherung und Archivierung

Workload bereitstellen

Nachdem Sie sich für die spezifischen Governance-Kontrollen für Ihre neue Workload entschieden haben, können Sie einen der folgenden Schritte ausführen:

  • Codieren Sie es mit Terraform
  • OCI-Befehlszeilenschnittstelle verwenden
  • Änderungen mit der OCI-Konsole implementieren

Workloads überwachen, unterstützen und Offboarding starten

Die Einrichtung Ihrer Workloads für Monitoring und Logging zu Auditzwecken ist entscheidend für die Implementierung der Beobachtbarkeit Ihrer Cloud-Implementierung. Führen Sie die folgenden Schritte aus, um die Beobachtbarkeit in Ihrer Cloud-Implementierung zu implementieren.

  • Workload-Überwachung und -Alerts aktivieren
  • Auditlogs in SIEM-Lösung integrieren
  • Service- und benutzerdefinierte Logs zur Einrichtung von Logginganalysen oder SIEM aktivieren

Sie können Cloud Guard und andere Sicherheitskontrollen weiterhin nutzen, um riskante Konfigurationen der OCI-Control Plane für die Workload zu überwachen.

Mit der Abweichungserkennung können Sie sicherstellen, dass das Deployment im Compartment der Workload mit dem übereinstimmt, was Sie in der Pipeline DevSecOps definiert haben. Setzen Sie Offboarding von Ressourcen durch, wenn Sie Workloads mit der Pipeline DevSecOps außer Betrieb setzen.

Sie können die OCI Cost Governance and Performance Insights Solution-App von Oracle Cloud Marketplace installieren und verwenden, die im Abschnitt Weitere Informationen verknüpft ist.