1. Etablir un modèle de gouvernance Oracle Cloud Infrastructure de base
  2. Cycle de vie de la gouvernance des charges de travail

Cycle de vie de la gouvernance des charges de travail

La gouvernance de la charge de travail consiste à étendre la charge de travail et les différentes caractéristiques associées à la charge de travail afin de concevoir la gouvernance à l'aide du modèle de gouvernance. La gouvernance de la charge globale progresse dans les quatre phases suivantes :

  • Portée et évaluation de la charge globale : identifie la portée des ressources, des processus, des budgets et des exigences de sécurité propres à la charge globale en question.
  • Conception et déploiement de la gouvernance de la charge de travail : identifie les garde-fous propres à la charge de travail dans les disciplines spécifiques à la sécurité, à la gouvernance et à la budgétisation.
  • Intégration de la charge de travail : les charges de travail sont intégrées à l'environnement avec les garde-corps de gouvernance appropriés en place
  • Surveillance et désintégration de la gouvernance de la charge de travail : désintégration des ressources en fonction du cycle de vie défini de la charge de travail

Evaluer la portée et la charge globale

Dans un premier temps, vous devez étendre la charge de travail lors du processus de création et de révision pour les équipes qui déploient de nouvelles charges de travail dans OCI.

La définition de la portée garantit que les moteurs d'activité et le parrainage sont suffisants et que les garde-fous appropriés sont en place pour s'adapter de manière sécurisée à la nouvelle charge de travail. Evaluez la charge de travail pour déterminer si elle nécessite une gouvernance et la quantité de gouvernance requise en fonction de la sensibilité et de l'importance de l'activité de la charge de travail.

Concevoir la gouvernance des charges de travail

Utilisez les données obtenues dans l'évaluation initiale pour concevoir votre location pour la gouvernance de la charge globale.

Vous évaluez votre charge de travail et prenez des décisions en fonction des réponses à certaines questions et déterminez les résultats de votre organisation. Vous commencez par la structure de compartiment que vous configurez lors de la gouvernance de référence.

Le processus de conception de la gouvernance de la charge globale suit le modèle de gouvernance semblable à celui de la gouvernance de référence. Voici quelques exemples du processus de réflexion impliqué dans la conception de la gouvernance de votre charge globale.

Description de l'image oci-resource-organization-workflow.png
Description de l'illustration oci-resource-organization-workflow.png

Organiser les ressources de charge de travail

Vous organisez initialement les charges globales de vos ressources en fonction des exigences relatives à la structure des compartiments, à l'emplacement géographique et à l'isolement du réseau.

Tenez compte des réponses à ces questions pour concevoir la structure de votre compartiment.

  1. La charge de travail nécessite-t-elle une séparation administrative ?
    • Oui : créer un compartiment pour vos ressources de charge globale
    • Non : partagez votre compartiment de charge globale avec un compartiment existant
  2. Votre charge de travail présente-t-elle des exigences particulières de conformité telles que HIPAA ou FedRamp ?
    • Oui : créer un compartiment de zone de sécurité
  3. La charge globale comporte-t-elle des environnements de cycle de vie ?
    • Oui : créer des compartiments Prod et Non-Prod distincts

Tenez compte des réponses à ces questions pour sélectionner l'emplacement géographique de votre charge globale.

  1. Où se trouve votre public cible ?
    • Choisir une région proche du public cible
  2. Comment séparer votre charge de travail pour la production et la récupération après sinistre ?
    • Répartir les charges de travail de production et de récupération après sinistre dans les régions de production et de récupération après sinistre désignées
  3. La charge globale a-t-elle besoin d'une connectivité à d'autres charges de travail ?
    • Oui : créer les charges globales dans la même région

Tenez compte des réponses à ces questions pour déterminer l'isolement de votre réseau de charge globale.

  1. La charge globale comporte-t-elle des services ou des charges de travail dépendantes ?
    • Oui : partage du VCN dans un autre sous-réseau
  2. La charge de travail comporte-t-elle des données hautement sensibles ?
    • Oui : créer un VCN distinct et associer des réseaux cloud virtuels de services dépendants
  3. La charge globale a-t-elle besoin d'une connectivité avec les charges de travail sur site ?
    • Oui : créez une configuration Fastconnect ou partagez la passerelle de routage dynamique (DRG) avec le VCN sur lequel FastConnect est configuré
  4. La charge de travail consomme-t-elle des services OCI natifs ?
    • Oui : créer une passerelle de service dans le VCN de charge globale

Gérer les coûts des charges de travail

La gestion des coûts de charge de travail inclut le suivi et le contrôle des coûts pour éviter les dépenses excessives dues à une utilisation non optimale des ressources. Vous pouvez prendre des décisions pour réduire les coûts lorsque vous configurez vos charges de travail et suivre leur utilisation par rapport aux budgets, et contrôler les coûts en fonction de l'organisation de vos charges de travail dans des compartiments.

Description de l'image oci-cost-management-workflow.png
Description de l'illustration oci-cost-management-workflow.png

Le suivi des coûts inclut la configuration des budgets et l'analyse des coûts en fonction de l'utilisation des ressources. Créez un budget et configurez des règles d'alerte pour informer la direction ou les administrateurs lorsque les dépenses approchent du budget en définissant des limites, des quotas et une utilisation dans la section Gouvernance de la console OCI.

Lorsque vous êtes averti des dépenses proches du budget, vous pouvez configurer des mesures de contrôle des coûts en fonction des réponses aux questions suivantes :

  1. La charge globale partage-t-elle un compartiment existant ?
    • Oui : mettez à jour le quota de compartiment pour qu'il contienne des ressources supplémentaires
  2. La charge globale est-elle créée dans un compartiment ?
    • Oui : créer des quotas de ressources dans le nouveau compartiment
  3. Vos limites de service actuelles répondent-elles aux besoins de votre organisation ?
    • Oui : réévaluez les limites de service existantes et mettez-les à jour pour prendre en charge des ressources supplémentaires

Accès à la gouvernance

L'accès administrateur requiert les étapes suivantes :

  • Provisionnement d'identités
  • Fédération d'identités
  • Groupes d'administration et stratégies IAM
  • Gestion des comptes privilégiés (PAM)
Description de l'image oci-access-governance-workflow.png
Description de l'illustration oci-access-governance-workflow.png

Vous pouvez implémenter la gouvernance des accès en créant des groupes d'administrateurs propres à une charge de travail, puis en créant des stratégies IAM pour les administrateurs de charge de travail. Vous pouvez également implémenter l'authentification PAM pour les utilisateurs dotés de privilèges de charge globale.

Si vous avez des exigences d'identité propres à la charge globale, procédez comme suit :

  • Provisionner tous les utilisateurs propres à la charge de travail
  • Implémenter une fédération d'identités propre à la charge de travail
  • Implémenter des exigences d'authentification à plusieurs facteurs propres à la charge de travail

Charges de travail sécurisées

La sécurisation de vos charges de travail est essentielle pour empêcher les activités malveillantes et les événements suspects des données client critiques. Pour implémenter la sécurité de la charge globale, procédez comme suit :

  • Utiliser Cloud Guard
  • Activer le service Vulnerability Scanning
  • Configurer des notifications pour surveiller les événements suspects et créer des règles de notification

Données sécurisées

Description de l'image oci-data-security-workflow.png
Description de l'illustration oci-data-security-workflow.png ci-après

La sécurisation des données client critiques nécessite des pratiques sécurisées lors de l'implémentation afin de garantir la sécurité et la récupération des données client en cas de perte de données. Vous pouvez sécuriser les données client en procédant comme suit :

  • Classez différents types de données
    • Créer des balises définies pour classer les données en fonction de la sensibilité
    • Surveiller les opérations de création, de lecture, de mise à jour et de suppression (CRUD) sur les données sensibles
  • Identifier les exigences de cryptage des données à la fois pour les données inactives et en transit
    • Pour les données inactives, créez et utilisez des clés gérées par le client pour crypter les données de charge globale
    • Pour les données en transit, procédez comme suit :
      1. Configurer des stratégies WAF pour les charges globales externes
      2. Créer et configurer des certificats signés CA pour chaque interface de charge globale
    • Configurer des stratégies de sauvegarde et de cycle de vie d'archivage des données
  • Planifier la configuration de stratégies de sauvegarde et d'archivage des données

Déployer votre charge globale

Une fois que vous avez choisi les contrôles de gouvernance propres à votre nouvelle charge globale, vous pouvez effectuer l'une des opérations suivantes :

  • Codifier le produit avec Terraform
  • Utiliser l'interface de ligne de commande OCI
  • Implémenter vos modifications à l'aide de la console OCI

Surveillance, prise en charge et déplacement des charges de travail

La configuration de vos charges de travail pour la surveillance et la journalisation à des fins d'audit est essentielle à l'implémentation de l'observabilité de votre implémentation cloud. Suivez ces étapes pour implémenter l'observabilité dans votre implémentation cloud.

  • Surveillance et alerte de la charge de travail
  • Intégrer les journaux d'audit avec la solution SIEM
  • Activer les journaux de service et personnalisés pour configurer l'analyse de la journalisation ou SIEM

Vous pouvez continuer à utiliser Cloud Guard et d'autres contrôles de sécurité pour surveiller les configurations risquées du plan de contrôle OCI liées à la charge de travail.

Utilisez la détection de dérive pour vous assurer que les éléments déployés dans le compartiment de la charge globale restent cohérents avec ceux que vous avez définis dans le pipeline DevSecOps. Déplacez les ressources lors de la mise hors service des charges globales à l'aide du pipeline DevSecOps.

Vous pouvez installer et utiliser l'application OCI Cost Governance and Performance Insights Solution d'Oracle Cloud Marketplace liée dans la section Découvrir plus.