Ciclo di vita governance del carico di lavoro

La governance del carico di lavoro implica l'ambito del carico di lavoro e varie caratteristiche associate al carico di lavoro per progettare la governance utilizzando il modello di governance. La governance dei carichi di lavoro procede nelle seguenti quattro fasi:

• Ambito e valutazione del carico di lavoro: identifica l'ambito delle risorse, dei processi, dei budget e dei requisiti di sicurezza specifici per il carico di lavoro in questione.
• Progettazione e distribuzione della governance del carico di lavoro: identifica le custodie specifiche per il carico di lavoro in diverse discipline specifiche per sicurezza, gestione del controllo e definizione del budget.
• Inserimento del carico di lavoro: i carichi di lavoro vengono inseriti nell'ambiente con le guardie di governance appropriate
• Workload Governance Monitoring and Offboarding: scollegamento degli asset in base al ciclo di vita definito del carico di lavoro

Ambito e valutazione del carico di lavoro

Come primo passo, devi definire l'ambito del carico di lavoro nel processo di valutazione e revisione per i team che distribuiscono nuovi carichi di lavoro in OCI.

La definizione dell'ambito garantisce che i driver di business e la sponsorizzazione sufficienti e che siano in atto le guardie appropriate per accogliere in modo sicuro il nuovo carico di lavoro. Valuta il carico di lavoro per determinare se richiede gestione del controllo e la quantità di gestione del controllo necessaria in base alla sensibilità e alla criticità aziendale del carico di lavoro.

Progetta la gestione del carico di lavoro

Utilizzare i dati ottenuti nella valutazione iniziale per progettare la tenancy per la gestione del controllo del carico di lavoro.

Valuta il tuo carico di lavoro e prendi decisioni in base alle risposte a determinate domande e determina i risultati organizzativi richiesti. Si inizia con la struttura del compartimento impostata durante la governance di base.

Il processo di progettazione della governance del carico di lavoro segue il modello di governance simile alla governance di base. Di seguito sono riportati alcuni esempi del processo di pensiero coinvolto nella progettazione della governance del carico di lavoro.

Descrizione dell'immagine oci-resource-organization-workflow.png

Organizza risorse carico di lavoro

Inizialmente, puoi organizzare i carichi di lavoro delle risorse in base ai requisiti relativi a struttura del compartimento, posizione geografica e isolamento della rete.

Considera le risposte a queste domande per progettare la struttura del compartimento.

1. Il carico di lavoro richiede una separazione amministrativa?
   • Sì: crea un nuovo compartimento per le risorse del carico di lavoro
   • No: condividi il compartimento del carico di lavoro con un compartimento esistente
2. Il tuo carico di lavoro prevede requisiti di conformità speciali quali HIPAA o FedRamp?
   • Sì: crea un compartimento della zona di sicurezza
3. Il carico di lavoro dispone di ambienti del ciclo di vita?
   • Sì: crea compartimenti prodotti e non di produzione separati

Considera le risposte a queste domande per selezionare la posizione geografica del tuo carico di lavoro.

1. Dove si trova il tuo pubblico di destinazione?
   • Scegli un'area vicina al tuo pubblico di destinazione
2. Come separare il carico di lavoro per la produzione e il recupero da errori irreversibili?
   • Suddividere i carichi di lavoro di produzione e recupero da errori irreversibili nelle aree di produzione e recupero da errori irreversibili designate
3. Il carico di lavoro richiede connettività ad altri carichi di lavoro?
   • Sì: crea i carichi di lavoro nella stessa area

Considera le risposte a queste domande per decidere l'isolamento della rete di carichi di lavoro.

1. Il carico di lavoro dispone di servizi o carichi di lavoro dipendenti?
   • Sì: condividi la rete VCN in un'altra subnet
2. Il carico di lavoro contiene dati estremamente sensibili?
   • Sì: crea una VCN separata e abbina i VCN dei servizi dipendenti
3. Il carico di lavoro richiede connettività con i carichi di lavoro on premise?
   • Sì: crea impostazioni di Fastconnect o condividi il gateway di instradamento dinamico (DRG) con la rete VCN impostata da FastConnect
4. Il carico di lavoro utilizza servizi OCI nativi?
   • Sì: crea un gateway di servizi nella VCN del carico di lavoro

Gestisci costo carico di lavoro

La gestione dei costi del carico di lavoro include il monitoraggio e il controllo dei costi per evitare spese eccessive a causa dell'uso non ottimale delle risorse. Puoi prendere decisioni per risparmiare sui costi quando imposti i carichi di lavoro e tenere traccia dell'uso rispetto ai budget e controllare i costi in base alla modalità di organizzazione dei carichi di lavoro nei compartimenti.

Descrizione dell'immagine oci-cost-management-workflow.png

Il tracciamento dei costi include l'impostazione dei budget e l'analisi dei costi in base all'uso delle risorse. Creare un budget e impostare regole di avviso per notificare alla gestione o agli amministratori quando la spesa si avvicina al budget impostando limiti, quote e uso nella sezione Governance della console OCI.

Quando si ricevono avvisi sulle spese vicine al budget, è possibile impostare misure di controllo dei costi in base alle risposte alle domande riportate di seguito.

1. Il carico di lavoro condivide un compartimento esistente?
   • Sì: aggiorna la quota del compartimento per accogliere eventuali risorse aggiuntive
2. Il carico di lavoro viene creato in un nuovo compartimento?
   • Sì: crea quote risorse nel nuovo compartimento
3. I limiti attuali del servizio soddisfano le esigenze organizzative?
   • Sì: rivaluta i limiti del servizio esistenti e aggiornali per accogliere risorse aggiuntive

Accesso governativo

L'accesso diretto richiede i seguenti passaggi:

• Provisioning delle identità
• Federazione di identità
• Gruppi amministrativi e criteri IAM
• Gestione conti con privilegi (PAM, Privileged Account Management)

Descrizione dell'illustrazione oci-access-governance-workflow.png

Puoi implementare la gestione del controllo dell'accesso creando gruppi di amministratori specifici per il carico di lavoro, quindi creando criteri IAM per gli amministratori del carico di lavoro. Inoltre, puoi implementare l'autenticazione PAM per gli utenti con privilegi di carico di lavoro.

Se si dispone di requisiti di identità specifici per il carico di lavoro, effettuare le operazioni riportate di seguito.

• Esegui il provisioning di qualsiasi utente specifico del carico di lavoro
• Implementa una federazione delle identità specifica del carico di lavoro
• Implementa requisiti MFA specifici per il carico di lavoro

Proteggi i carichi di lavoro

La protezione dei carichi di lavoro è essenziale per impedire attività dannose e eventi sospetti derivanti da dati critici sui clienti. È possibile implementare la sicurezza dei carichi di lavoro effettuando le operazioni riportate di seguito.

• Abilita Cloud Guard
• Abilita il servizio di analisi delle vulnerabilità
• Impostare le notifiche per monitorare gli eventi sospetti e creare regole di notifica

Protezione dei dati

Descrizione dell'immagine oci-data-security-workflow.png

La protezione dei dati critici dei clienti richiede procedure sicure durante l'implementazione per garantire che i dati dei clienti siano sicuri e recuperabili in caso di perdita di dati. È possibile proteggere i dati dei clienti effettuando le operazioni riportate di seguito.

• Classificare diversi tipi di dati
  • Crea tag definite per classificare i dati in base al livello di riservatezza
  • Monitorare le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) sui dati riservati
• Identifica i requisiti di cifratura dei dati sia per i dati in archivio che in transito
  • Per i dati in archivio, creare e utilizzare chiavi gestite dal cliente per cifrare i dati del carico di lavoro
  • Per i dati in transito, effettuare le operazioni riportate di seguito.
    1. Configura criteri WAF per carichi di lavoro esterni
    2. Crea e configura certificati con firma CA per ogni interfaccia del carico di lavoro
  • Impostare i criteri del ciclo di vita di backup e archiviazione dei dati
• Pianificare l'impostazione dei criteri per il backup e l'archiviazione dei dati

Distribuisci il tuo carico di lavoro

Dopo aver deciso i controlli di governance specifici per il nuovo carico di lavoro, è possibile effettuare una delle operazioni riportate di seguito.

• Modificarlo utilizzando Terraform
• Utilizzare l'interfaccia della riga di comando OCI
• Implementare le modifiche mediante la console OCI

Carichi di lavoro monitor, supporto e fuori bordo

L'impostazione dei carichi di lavoro per il monitoraggio e la registrazione a scopo di audit è la chiave per implementare l'osservabilità dell'implementazione cloud. Attenersi alla procedura riportata di seguito per implementare l'osservabilità nell'implementazione cloud.

• Abilita monitoraggio e avvisi del carico di lavoro
• Integra i log di audit con la soluzione SIEM
• Abilitare il servizio e i log personalizzati per impostare l'analitica di log o il sistema SIEM

Puoi continuare a utilizzare Cloud Guard e altri controlli di sicurezza per monitorare le configurazioni a rischio del piano di controllo OCI correlate al carico di lavoro.

Sfrutta il rilevamento deviazioni per assicurarti che ciò che hai distribuito nel compartimento del carico di lavoro rimanga coerente con ciò che hai definito nella pipeline DevSecOps. Offboarding delle risorse quando si disattivano i carichi di lavoro utilizzando la pipeline DevSecOps.

È possibile installare e utilizzare l'applicazione OCI Cost Governance and Performance Insights Solution da Oracle Cloud Marketplace collegata nella sezione Esplora altri.