在 AWS 上建立云基础

随着数字化转型的不断推进，云计算已成为企业构建灵活、可扩展 IT 基础设施的核心支柱。亚马逊云计算服务（AWS）作为全球领先的云服务提供商，提供了丰富的工具和资源，帮助用户轻松建立强大的云基础。从计算资源到存储服务，再到网络和安全功能，AWS 为企业在云端构建可靠的基础设施提供了全面支持。

介绍

1. 云服务的广度和深度不断增加，使云成为提高效率、敏捷性和快速创新的强大推动力。然而，构建基础 AWS 云环境需要跨多个 AWS 和合作伙伴产品、服务和解决方案做出决策。
2. 客户正在寻求指导，以帮助他们建立和运营与其 IT 实践兼容的环境，并在遵守治理要求的同时为其建设者和运营商提供支持。
3. 本白皮书介绍了一种指导路径方法，可帮助客户根据一组整合的定义、用例、指导和自动化来构建和发展其 AWS 云环境。该方法包括建立 AWS 云环境的人员、流程和技术考虑因素。
4. 迁移到云的主要业务驱动因素包括更高的敏捷性、创新性和规模。在规划云采用策略时，您需要做出大量决策来建立可用于生产的云环境。
5. 早期做出的决策可能会影响您未来增强和/或扩展环境的能力。这种复杂性促使客户寻求可用于创建基础环境的一系列 AWS 服务的规范性指导。
6. 在 AWS 上建立云基础需要根据您的业务需求量身定制的指导。使用基于能力的方法，您可以创建一个环境来部署、操作和管理您的工作负载。
7. 随着需求的发展以及将额外的工作负载部署到云中，您还可以增强扩展环境的功能。
8. 可以使用跨不同功能领域的标准、规范功能集在 AWS 上构建基础环境。这些功能可用作快速构建或扩展 AWS 云环境的结构化方法，并包括用例场景和相应的指导。
9. 您可以根据自己的运营和治理需求采用和实施功能。随着业务需求的成熟，基于功能的方法可以用作一种机制，以验证您的云环境是否已准备好支持您的工作负载并根据需要进行扩展。这种方法使您能够自信地为您的构建者和您的业务建立云环境。

 

功能

1. 为了支持云采用，AWS 建议您拥有一组基础功能，使您能够部署、操作和管理您的工作负载。
2. 功能包括定义、用例场景、主观指导和支持自动化，以建立和操作云环境的特定部分。
3. 功能是可以帮助您规划、实施和运营云环境的组件，包括人员、流程和技术考虑因素。功能旨在集成到您的整体技术环境中。
4. 除了技术实施指导之外，功能还包括建立和操作每项功能所需的操作指导（例如，通知、事件处理和补救，以及团队资源技能和流程）。
5. AWS 定义了一组 30 项功能来帮助您建立云基础。对这些功能进行分类的一种方法是按功能领域进行，这可以帮助您确定功能开发、运营和治理中的责任所有者和利益相关者。
6. 每项功能都包含不同的成熟度阶段，让您能够根据云旅程的进展情况（包括治理和运营要求）实施。随着云环境的发展和成熟，这些功能可以得到增强以满足您的新要求。

 

能力定义

• 本节包括按主要功能领域组织的每个基础能力的高级定义。

 

安全

• 安全功能区域能力包括：
  • 身份管理和访问控制使您的团队能够高效地构建和集中管理对云平台环境的访问。该功能使您能够根据最小权限模型​​构建组织、组织帐户并设置对环境的访问权限。
  • 日志存储使您能够安全地在防篡改存储中集中收集和存储环境日志。此功能使您能够稍后评估、监控、警报和审计对 AWS 资源和事件执行的访问和操作。
  • 数据隔离使您能够限制对静态和传输中数据的访问，以便只有适当的授权实体才能访问数据。此功能还包括检测数据滥用和/或未经授权的访问、泄露和盗窃的能力。
  • 加密和密钥管理是指集中管理不同工作负载的加密密钥的能力，以及加密静态和传输中数据的能力。密钥访问权限基于最低权限，并且会监控使用情况以报告任何异常情况。此功能还包括根据需求采用不同的轮换模式。
  • 机密管理适用于管理机密（访问凭证），例如密码、访问密钥、其他 API 密钥、X.509 或 SSH 私钥。此功能包括管理机密的存储、访问控制、访问日志记录、撤销和轮换方面。
  • 安全事件响应使您能够对安全事件做出响应。根据政策中指定的决策，响应涉及描述事件的性质并做出更改（可能涉及的活动包括恢复运行状态、识别和补救根本原因以及根据民事或刑事起诉收集证据）。
  • 取证涉及对日志数据和可能受到损害的资源的证据捕获图像进行分析，以确定是否发生了损害（如果是，如何发生）。取证调查得出的根本原因分析结果通常用于制定和推动预防措施的应用。
  • 修补是指部署一系列更改来更新、修复和/或增强工作负载的运行和安全属性的能力。这包括解决安全漏洞、修复错误和其他相关工作。修补的范围包括操作系统、应用程序和任何相关软件系统。
  • 漏洞和威胁管理是识别可能影响环境（可用性、性能或安全性）的漏洞的能力。此功能使您能够评估漏洞和威胁的影响和范围（例如，爆炸半径），并解决/补救它们。
  • 工作负载隔离边界可让您创建和管理隔离环境，以包含新创建或迁移的工作负载。此方法可减少漏洞和威胁的影响范围，并通过提供隔离资源访问的机制来降低合规性的复杂性。

 

中央 IT

• 中央 IT 功能区域功能包括：
  • 模板管理是指在中央存储库中创建和分组可重复使用的模板，以便在整个环境中快速部署、管理和更新基础设施、架构、黄金映像和资源。此功能包括在需要时创建、测试、更新和验证模板的必要流程。这些模板是使用已获批准和已加入的 AWS 服务的预先批准的实施模式，可供不同团队根据需求使用。
  • 标记功能可让您通过将元数据分配给云资源来对资源集进行分组，以用于各种目的。这些目的包括访问控制（例如 ABAC）、成本报告和自动化（例如，为选定的标记实例打补丁）。标记还可用于创建新的资源构造以实现可见性或控制（例如，将组成微服务、应用程序或工作负载的资源分组在一起）。标记对于提供企业级可见性和控制至关重要。
  • 元数据排序/搜索是根据应用于环境中标记资源的元数据进行搜索和过滤的功能。这些资源可以是帐户，也可以是这些帐户内的资源。
  • 服务入职是指根据内部、合规性和监管要求审查和批准使用 AWS 服务的能力。此功能包括风险评估、文档、实施模式以及服务使用的变更沟通方面。
  • 记录管理使您能够根据内部政策和监管要求设置数据保留，包括如何在删除数据之前将其转换为存档。这些数据可以包括财务记录、交易数据、审计日志、业务记录、个人身份信息 (PII) 或其他受保留政策约束的数据。
  • 数据去标识化是指在存储和处理数据和信息子集时对其进行匿名化以降低其敏感度（例如，国家身份证号码、贸易数据、医疗保健信息），并在必要时保留底层数据格式的能力。此功能还包括对数据进行标记（例如信用卡号、实际地址、医疗保健记录）的能力，以减少访问底层敏感数据的需要。
  • 日志记录和监控是收集和汇总有关系统和应用程序活动的安全和操作数据的能力，包括近乎实时的数据分析以识别异常、妥协指标、性能问题和配置更改。
  • 治理是指实施 AWS 云环境必须遵守的执行委员会政策的能力。此政策包括环境规则、定义风险并通知内部政策的协调。随着云基础的成熟，此功能的一部分将嵌入到所有其他功能中，以确保遵守治理要求。
  • 审计与评估是指收集和整理书面证据，以便根据标准对您的云环境及其内部活动进行内部或独立评估（包括有关谁在何时、从何处访问了什么以及发生了哪些更改的信息）。此功能允许您验证所有更改均按照策略并通过适当的工作流机制执行的断言。
  • 变更管理可让您将计划变更部署到定义范围内的环境中所有可配置项，例如生产和测试。已批准的变更是一种改变资源配置的操作，该操作的实施对现有 IT 基础架构的风险最小且可接受。

 

运营

运营职能领域能力包括：

• 支持是指排除环境故障、提出问题、提交工单、集成到现有工单系统以及根据严重程度和支持级别将问题上报给适当实体以便及时响应的能力。支持可能还需要授予访问相关资源以执行故障排除和补救活动的能力。
• 推出/回滚是将应用程序或配置更改推广到环境中或在发生故障时回滚这些更改的定义策略。应用程序和配置更改可以包括更新的权限、新策略、新的或更新的网络配置、新版本的应用程序或更新的软件开发工具包。这些配置更改还可以包括对部署这些更改的编排框架的修改。
• 备份是指以可靠的方式对数据进行可靠的复制，以便根据需要进行检索，以满足业务和安全目标、恢复点目标 (RPO) 和恢复时间目标 (RTO)。需要备份的内容包括：业务流程框架数据和配置、应用程序数据、日志和客户数据。
• 灾难恢复涉及使用自动化机制，在最初处理交易的物理环境意外不可用的情况下，在另一个物理环境中恢复一个物理环境中托管的交易的处理。

 

软件工程

• 软件工程功能领域能力包括：
  • 开发者体验和工具包括开发者轻松构建工作负载并将其部署到云所需的工具和流程。此功能涵盖从存储代码到构建工作流，再到将工作负载从测试环境迁移到生产环境。
  • 应用程序安全包括保护应用程序软件，以及在应用程序与客户端交互的背景下检测异常行为。需要解决的威胁包括未经授权的访问、权限提升以及威胁框架中通常描述的其他应用程序级威胁。

 

 

网络

• 网络功能区能力包括：
  • 网络安全使您能够跨网络堆栈的不同级别设计和实施安全策略和控制，以保护您的资源免受外部或内部威胁，从而确保机密性、可用性、完整性和易用性。此功能包括基于对入口/出口和横向数据移动的监控来预防、检测和阻止异常网络流量。
  • 网络连接使您能够设计、构建和管理安全且高度可用的网络云基础架构。此功能提供最佳实践和资源，以自动化网络基础架构的构建、配置和扩展。

 

金融

• 财务职能领域的能力包括：
  • 云财务管理可帮助您管理和优化云服务的可变费用。此功能包括近乎实时的可视性以及成本和使用情况分析，以支持决策制定（例如支出仪表板、优化、支出限制、退款、异常检测和响应）。此功能还包括预算和预测，使您能够为工作负载定义成本优化的架构，选择正确的定价模型，将资源成本归因于相关团队。这使您能够在整个环境和资源中跟踪、通知和应用成本优化技术。费用信息集中管理和使用，并且可以提供对关键利益相关者的访问权限，以实现有针对性的可视性和决策制定。
  • 资源库存管理可实现构成 IT 级服务或工作负载的云资源的可见性和配置。通过记录系统（例如 ITSM 管理环境的 CMDB）跟踪环境中的资源及其相关配置，从而实现更大的 IT 级记录系统，以实现云环境中所有软件、硬件和固件资源的可见性和配置管理。

 

利用功能

1. 每个组织的云采用历程都是独一无二的。要成功构建云环境，您需要了解组织的当前状态、目标状态以及实现目标状态所需的过渡。在制定环境建立计划时，功能可以帮助您推动相关利益相关者之间的对话和决策（由每个功能的职能领域确定）。
2. 下图显示了规划环境时可以遵循的路径。它基于功能之间的依赖关系，可用于创建在环境中实施功能的项目计划。除了显示的依赖关系（通过箭头），某些功能适用于整体环境（例如，治理和审计与评估）。

 

 

后续步骤Next steps

• 如果您仍在探索云，AWS 建议您部署一些概念验证 (POC) 来向您的利益相关者展示商业价值。
• 如果您准备开始构建云环境以在云上托管您的工作负载，则这组定义的功能可以帮助您构建基础云环境。
• 在开始采用云之前，AWS 建议您完成以下活动，并联系您的客户团队获取更多信息：
  • 查看功能列表并创建实现功能的时间表，考虑任何依赖关系。
  • 确定组织中负责每项能力的利益相关者。
  • 创建实施计划和时间表来构建您的云环境。
• 随着您的需求发生变化，为了帮助您扩大在 AWS 云中的影响力，您可以使用定义的功能使用自己的工具构建自己的方法。

 

结论

在 AWS 上建立云基础为企业提供了前所未有的灵活性和效率。通过利用 AWS 的广泛服务，企业可以快速响应市场变化、优化资源使用并提高运营效率。从初创公司到大型企业，AWS 的云解决方案帮助各种规模的组织实现业务增长和创新，为未来的成功奠定坚实基础。