Ciclo de vida de control de cargas de trabajo

La gobernanza de la carga de trabajo implica el ámbito de la carga de trabajo y varias características asociadas a la carga de trabajo para diseñar la gobernanza mediante el modelo de gobernanza. La gobernanza de la carga de trabajo avanza en las cuatro fases siguientes:

• Ámbito y evaluación de la carga de trabajo: identifica el ámbito de los recursos, procesos, presupuestos y requisitos de seguridad específicos de la carga de trabajo en cuestión.
• Despliegue y diseño de gobernanza de la carga de trabajo: identifica los controles específicos de la carga de trabajo en todas las disciplinas específicas de la seguridad, la gobernanza y la presupuestación.
• Vinculación de cargas de trabajo: las cargas de trabajo se incorporan al entorno con las guías de gobernanza adecuadas.
• Control y desvinculación de la gobernanza de la carga de trabajo: desvinculación de activos según el ciclo de vida definido de la carga de trabajo

Alcance y evaluación de la carga de trabajo

Como primer paso, debe determinar el ámbito de la carga de trabajo en el proceso de control y revisión para los equipos que despliegan nuevas cargas de trabajo en OCI.

El ámbito garantiza que los impulsores de negocio y el patrocinio sean suficientes y que se disponga de los controles adecuados para acomodar de forma segura la nueva carga de trabajo. Evalúe la carga de trabajo para determinar si requiere gobernanza y la cantidad de gobernanza que requiere en función de la sensibilidad y la importancia crítica para el negocio de la carga de trabajo.

Diseñe su gobernanza de la carga de trabajo

Utilice los datos obtenidos en la evaluación inicial para diseñar su arrendamiento para la gobernanza de la carga de trabajo.

Evalúa la carga de trabajo y toma decisiones en función de las respuestas a determinadas preguntas y determina los resultados organizativos necesarios. Comienza por la estructura de compartimento que ha configurado durante la gobernanza de la línea base.

El proceso de diseño de la gobernanza de la carga de trabajo sigue el modelo de gobernanza similar al de gobernanza base. A continuación se muestran algunos ejemplos del proceso de pensamiento implicado en el diseño de la gobernanza de la carga de trabajo.

Descripción de la ilustración oci-resource-organization-workflow.png

Organizar recursos de carga de trabajo

En principio, organiza las cargas de trabajo de recursos en función de los requisitos para la estructura de compartimentos, la ubicación geográfica y el aislamiento de red.

Tenga en cuenta las respuestas a estas preguntas para diseñar la estructura de compartimento.

1. ¿Necesita la carga de trabajo una separación administrativa?
   • Sí: cree un nuevo compartimento para sus recursos de carga de trabajo
   • No: comparta su compartimento de carga de trabajo con un compartimento existente
2. ¿Su carga de trabajo tiene requisitos de conformidad especiales, como HIPAA o FedRamp?
   • Sí: crear un compartimento de zona de seguridad
3. ¿La carga de trabajo tiene entornos de ciclo de vida?
   • Sí: cree compartimentos Prod y Non-Prod independientes

Tenga en cuenta las respuestas a estas preguntas para seleccionar la ubicación geográfica de la carga de trabajo.

1. ¿Dónde está el público objetivo?
   • Elija una región cercana a su público objetivo
2. ¿Cómo separar la carga de trabajo para la producción y la recuperación ante desastres?
   • División de las cargas de trabajo de producción y recuperación ante desastres en las regiones de producción y recuperación ante desastres designadas
3. ¿La carga de trabajo necesita conectividad con otras cargas de trabajo?
   • Sí: crear las cargas de trabajo en la misma región

Tenga en cuenta las respuestas a estas preguntas para decidir el aislamiento de la red de carga de trabajo.

1. ¿La carga de trabajo tiene servicios o cargas de trabajo dependientes?
   • Sí: compartir la VCN en una subred diferente
2. ¿La carga de trabajo tiene datos muy confidenciales?
   • Sí: cree una VCN independiente y una VCN de servicios dependientes de par
3. ¿La carga de trabajo necesita conectividad con las cargas de trabajo locales?
   • Sí: cree una configuración de Fastconnect o comparta el gateway de direccionamiento dinámico (DRG) con la VCN que tiene FastConnect configurado
4. ¿La carga de trabajo consume servicios de OCI nativos?
   • Sí: creación de un gateway de servicios en la VCN de carga de trabajo

Gestionar costo de carga de trabajo

La gestión de costos de carga de trabajo incluye el seguimiento y el control de costos para evitar gastos excesivos debido al uso subóptimo de recursos. Puede tomar decisiones para ahorrar costos al configurar las cargas de trabajo y realizar un seguimiento del uso en función de los presupuestos y controlar los costos en función de cómo organiza las cargas de trabajo en compartimentos.

Descripción de la ilustración oci-cost-management-workflow.png

El seguimiento de costos incluye la configuración de presupuestos y el análisis de costos en función del uso de recursos. Cree un presupuesto y configure reglas de alerta para notificar a la gestión o a los administradores cuando el gasto esté cerca del presupuesto mediante la configuración de límites, cuotas y uso en la sección Gobernanza de la consola de OCI.

Cuando recibe una alerta sobre el gasto que se aproxima al presupuesto, puede configurar medidas de control de costos en función de las respuestas a estas preguntas:

1. ¿La carga de trabajo comparte un compartimento existente?
   • Sí: actualice la cuota de compartimento para incluir cualquier recurso adicional
2. ¿Se crea la carga de trabajo en un nuevo compartimento?
   • Sí: crear cuotas de recursos en el nuevo compartimento
3. ¿Sus límites de servicio actuales satisfacen las necesidades de su organización?
   • Sí: vuelva a evaluar los límites de servicio existentes y actualícelos para alojar recursos adicionales

Acceso de control

El acceso de gobierno requiere los siguientes pasos:

• Aprovisionamiento de identidades
• Federación de identidad
• Grupos administrativos y políticas de IAM
• Gestión de cuentas con privilegios (PAM)

Descripción de la ilustración oci-access-governance-workflow.png

Puede implantar la gobernanza de acceso mediante la creación de grupos de administradores específicos de la carga de trabajo y, a continuación, la creación de políticas de IAM para administradores de carga de trabajo. También puede implantar la autenticación PAM para usuarios con privilegios de carga de trabajo.

Si tiene requisitos de identidad específicos de carga de trabajo, realice lo siguiente:

• Aprovisionamiento de cualquier usuario específico de la carga de trabajo
• Implantar la federación de identidad específica de la carga de trabajo
• Implantar requisitos de MFA específicos de la carga de trabajo

Cargas de trabajo seguras

Proteger las cargas de trabajo es esencial para evitar las actividades maliciosas y los eventos sospechosos de los datos críticos de los clientes. Puede implementar la seguridad de la carga de trabajo siguiendo estos pasos:

• Activar Cloud Guard
• Activar el servicio de escaneo de vulnerabilidades
• Configurar notificaciones para supervisar eventos sospechosos y crear reglas de notificación

Datos seguros

Descripción de la ilustración oci-data-security-workflow.png

La protección de los datos críticos del cliente requiere prácticas seguras durante la implantación para garantizar que los datos del cliente sean seguros y recuperables en caso de pérdida de datos. Puede proteger los datos del cliente siguiendo estos pasos:

• Clasificar diferentes tipos de datos
  • Crear etiquetas definidas para clasificar los datos según la sensibilidad
  • Supervisión de operaciones de creación, lectura, actualización y supresión (CRUD) en datos confidenciales
• Identificar los requisitos de cifrado de datos para datos estáticos y en tránsito
  • Para los datos estáticos, cree y utilice claves gestionadas por el cliente para cifrar los datos de carga de trabajo
  • Para los datos en tránsito, realice lo siguiente:
    1. Configurar políticas de WAF para cargas de trabajo orientadas al exterior
    2. Crear y configurar certificados firmados por CA para cada interfaz de carga de trabajo
  • Configurar políticas de ciclo de vida de archivo y copia de seguridad de datos
• Planificar la configuración de políticas para la copia de seguridad y el archivado de datos

Despliegue de la carga de trabajo

Una vez que decida los controles de gobernanza específicos de la nueva carga de trabajo, puede realizar una de las siguientes acciones:

• Codificarlo mediante Terraform
• Utilizar la interfaz de línea de comandos de OCI
• Implantación de los cambios mediante la consola de OCI

Control, soporte y desvinculación de cargas de trabajo

La configuración de las cargas de trabajo para el control y el registro con fines de auditoría es clave para implantar la observabilidad de su implantación en la nube. Siga estos pasos para implantar la capacidad de observación en la implantación de la nube.

• Active la supervisión y las alertas de la carga de trabajo
• Integre los logs de auditoría con la solución SIEM
• Active los logs de servicio y personalizados para configurar el análisis de registro o SIEM.

Puede seguir utilizando Cloud Guard y otros controles de seguridad para controlar configuraciones de riesgo del plano de control de OCI relacionadas con la carga de trabajo.

Utilice la detección de cambios para asegurarse de que lo que ha desplegado en el compartimento de la carga de trabajo es coherente con lo que ha definido en el pipeline DevSecOps. Desvincule los recursos al desmantelar las cargas de trabajo mediante el pipeline DevSecOps.

Puede instalar y utilizar la aplicación OCI Cost Governance and Performance Insights Solution de Oracle Cloud Marketplace, enlazada en la sección Explorar más.