隨著數位轉型的不斷推進,雲端運算已成為企業建構靈活、可擴展IT 基礎架構的核心支柱。亞馬遜雲端運算服務(AWS)作為全球領先的雲端服務供應商,提供了豐富的工具和資源,幫助用戶輕鬆建立強大的雲端基礎。從運算資源到儲存服務,再到網路和安全功能,AWS 為企業在雲端建立可靠的基礎架構提供了全面支援。
介紹
- 雲端服務的廣度和深度不斷增加,使雲端成為提高效率、敏捷性和快速創新的強大推動力。然而,建構基礎AWS 雲端環境需要跨多個AWS 和合作夥伴產品、服務和解決方案做出決策。
- 客戶正在尋求指導,以幫助他們建立和運作與其IT 實踐相容的環境,並在遵守治理要求的同時為其建造者和營運商提供支援。
- 本白皮書介紹了一種指導路徑方法,可協助客戶根據一組整合的定義、使用案例、指導和自動化來建立和發展其AWS 雲端環境。此方法包括建立AWS 雲端環境的人員、流程和技術考量。
- 遷移到雲端的主要業務驅動因素包括更高的敏捷性、創新性和規模。在規劃雲端採用策略時,您需要做出大量決策來建立可用於生產的雲端環境。
- 早期做出的決策可能會影響您未來增強和/或擴展環境的能力。這種複雜性促使客戶尋求可用於創建基礎環境的一系列AWS 服務的規範性指導。
- 在AWS 上建立雲端基礎需要根據您的業務需求量身定制的指導。使用基於能力的方法,您可以建立一個環境來部署、操作和管理您的工作負載。
- 隨著需求的發展以及將額外的工作負載部署到雲端中,您還可以增強擴展環境的功能。
- 可以使用跨不同功能領域的標準、規範功能集在AWS 上建立基礎環境。這些功能可用作快速建置或擴展AWS 雲端環境的結構化方法,並包括用例場景和相應的指導。
- 您可以根據自己的營運和治理需求採用和實施功能。隨著業務需求的成熟,基於功能的方法可以用作一種機制,以驗證您的雲端環境是否已準備好支援您的工作負載並根據需要進行擴展。這種方法使您能夠自信地為您的建置者和您的業務建立雲端環境。
功能
- 為了支援雲端採用,AWS 建議您擁有一組基礎功能,使您能夠部署、操作和管理您的工作負載。
- 功能包括定義、使用案例場景、主觀指導和支援自動化,以建立和操作雲端環境的特定部分。
- 功能是可以幫助您規劃、實施和營運雲端環境的元件,包括人員、流程和技術考量。功能旨在整合到您的整體技術環境中。
- 除了技術實施指導之外,功能還包括建立和操作每項功能所需的操作指導(例如,通知、事件處理和補救,以及團隊資源技能和流程)。
- AWS 定義了一組30 項功能來幫助您建立雲端基礎。對這些功能進行分類的一種方法是按功能領域進行,這可以幫助您確定功能開發、營運和治理中的責任所有者和利害關係人。
- 每項功能都包含不同的成熟度階段,讓您能夠根據雲端旅程的進展(包括治理和營運要求)實施。隨著雲端環境的發展和成熟,這些功能可以增強以滿足您的新要求。
能力定義
- 本節包括按主要功能領域組織的每個基礎能力的高階定義。
安全
- 安全功能區域能力包括:
- 身分管理和存取控制使您的團隊能夠有效率地建置和集中管理對雲端平台環境的存取。此功能可讓您根據最小權限模型建立組織、組織帳戶並設定對環境的存取權限。
- 日誌儲存使您能夠安全地在防篡改儲存中集中收集和儲存環境日誌。此功能可讓您稍後評估、監控、警報和稽核對AWS 資源和事件執行的存取和操作。
- 資料隔離使您能夠限制對靜態和傳輸中資料的訪問,以便只有適當的授權實體才能存取資料。此功能還包括檢測資料濫用和/或未經授權的存取、洩漏和盜竊的能力。
- 加密和金鑰管理是指集中管理不同工作負載的加密金鑰的能力,以及加密靜態和傳輸中資料的能力。金鑰存取權限基於最低權限,並且會監控使用情況以報告任何異常情況。此功能還包括根據需求採用不同的輪換模式。
- 機密管理適用於管理機密(存取憑證),例如密碼、存取金鑰、其他API 金鑰、X.509 或SSH 私鑰。此功能包括管理機密的儲存、存取控制、存取日誌記錄、撤銷和輪替方面。
- 安全事件回應使您能夠對安全事件做出回應。根據政策中指定的決策,回應涉及描述事件的性質並做出更改(可能涉及的活動包括恢復運作狀態、識別和補救根本原因以及根據民事或刑事起訴收集證據)。
- 取證涉及對日誌資料和可能受到損害的資源的證據捕獲影像進行分析,以確定是否發生了損害(如果是,如何發生)。取證調查得出的根本原因分析結果通常用於制定和推動預防措施的應用。
- 修補是指部署一系列變更來更新、修復和/或增強工作負載的運作和安全屬性的能力。這包括解決安全漏洞、修復錯誤和其他相關工作。修補的範圍包括作業系統、應用程式和任何相關軟體系統。
- 漏洞和威脅管理是識別可能影響環境(可用性、效能或安全性)的漏洞的能力。此功能使您能夠評估漏洞和威脅的影響和範圍(例如,爆炸半徑),並解決/補救它們。
- 工作負載隔離邊界可讓您建立和管理隔離環境,以包含新建立或遷移的工作負載。此方法可減少漏洞和威脅的影響範圍,並透過提供隔離資源存取的機制來降低合規性的複雜性。
中央IT
- 中央IT 功能區功能包括:
- 範本管理是指在中央儲存庫中建立和分組可重複使用的模板,以便在整個環境中快速部署、管理和更新基礎架構、架構、黃金映像和資源。此功能包括在需要時建立、測試、更新和驗證範本的必要流程。這些範本是使用已核准和已加入的AWS 服務的預先核准的實施模式,可供不同團隊根據需求使用。
- 標記功能可讓您透過將元資料指派給雲端資源來將資源集分組,以用於各種目的。這些目的包括存取控制(例如ABAC)、成本報告和自動化(例如,為選定的標記實例打補丁)。標記也可用於建立新的資源構造以實現可見性或控制(例如,將組成微服務、應用程式或工作負載的資源分組在一起)。標記對於提供企業級可見性和控制至關重要。
- 元資料排序/搜尋是根據應用於環境中標記資源的元資料進行搜尋和過濾的功能。這些資源可以是帳戶,也可以是這些帳戶內的資源。
- 服務入職是指根據內部、合規性和監管要求審查和批准使用AWS 服務的能力。此功能包括風險評估、文件、實施模式以及服務使用的變更溝通方面。
- 記錄管理使您能夠根據內部政策和監管要求設定資料保留,包括如何在刪除資料之前將其轉換為存檔。這些資料可以包括財務記錄、交易資料、稽核日誌、業務記錄、個人識別資訊(PII) 或其他受保留政策約束的資料。
- 資料去識別化是指在儲存和處理資料和資訊子集時進行匿名化以降低其敏感度(例如,國家身分證號碼、貿易資料、醫療保健資訊),並在必要時保留底層資料格式的能力。此功能還包括對資料進行標記(例如信用卡號、實際地址、醫療保健記錄)的能力,以減少存取底層敏感資料的需求。
- 日誌記錄和監控是收集和匯總有關係統和應用程式活動的安全和操作數據的能力,包括近乎即時的數據分析以識別異常、妥協指標、效能問題和配置更改。
- 治理是指實施AWS 雲環境必須遵守的執行委員會政策的能力。此政策包括環境規則、定義風險並通知內部政策的協調。隨著雲端基礎的成熟,此功能的一部分將嵌入到所有其他功能中,以確保遵守治理要求。
- 審計與評估是指收集和整理書面證據,以便根據標準對您的雲端環境及其內部活動進行內部或獨立評估(包括有關誰在何時、從何處訪問了什麼以及發生了哪些更改的資訊)。此功能可讓您驗證所有變更均按照策略並透過適當的工作流程機制執行的斷言。
- 變更管理可讓您將計劃變更部署到定義範圍內的環境中所有可設定項,例如生產和測試。已批准的變更是一種改變資源配置的操作,該操作的實施對現有IT 基礎架構的風險最小且可接受。
營運
營運職能領域能力包括:
- 支援是指排除環境故障、提出問題、提交工單、整合到現有工單系統以及根據嚴重程度和支援等級將問題上報給適當實體以便及時回應的能力。支援可能還需要授予存取相關資源以執行故障排除和補救活動的能力。
- 推出/回滾是將應用程式或組態變更推廣到環境中或在發生故障時回滾這些變更的定義策略。應用程式和設定變更可以包括更新的權限、新策略、新的或更新的網路配置、新版本的應用程式或更新的軟體開發工具包。這些配置變更還可以包括部署這些變更的編排框架的修改。
- 備份是指以可靠的方式對資料進行可靠的複製,以便根據需要進行檢索,以滿足業務和安全目標、恢復點目標(RPO) 和恢復時間目標(RTO)。需要備份的內容包括:業務流程框架資料和配置、應用程式資料、日誌和客戶資料。
- 災難復原涉及使用自動化機制,在最初處理交易的物理環境意外不可用的情況下,在另一個物理環境中恢復一個物理環境中託管的交易的處理。
軟體工程
- 軟體工程功能領域能力包括:
- 開發者體驗與工具包括開發者輕鬆建置工作負載並將其部署到雲端所需的工具和流程。此功能涵蓋從儲存程式碼到建置工作流程,再到將工作負載從測試環境遷移到生產環境。
- 應用程式安全包括保護應用程式軟體,以及在應用程式與客戶端互動的背景下檢測異常行為。需要解決的威脅包括未經授權的存取、權限提升以及威脅框架中通常描述的其他應用程式層級威脅。
網路
- 網路功能區能力包括:
- 網路安全使您能夠跨網路堆疊的不同層級設計和實施安全性原則和控制,以保護您的資源免受外部或內部威脅,從而確保機密性、可用性、完整性和易用性。此功能包括基於對入口/出口和橫向資料移動的監控來預防、偵測和阻止異常網路流量。
- 網路連線使您能夠設計、建置和管理安全且高度可用的網路雲端基礎架構。此功能提供最佳實踐和資源,以自動化網路基礎架構的建置、配置和擴展。
金融
- 財務職能領域的能力包括:
- 雲端財務管理可協助您管理和優化雲端服務的可變費用。此功能包括近乎即時的視覺性以及成本和使用情況分析,以支援決策制定(例如支出儀表板、最佳化、支出限制、退款、異常檢測和回應)。此功能還包括預算和預測,使您能夠為工作負載定義成本最佳化的架構,選擇正確的定價模型,將資源成本歸因於相關團隊。這使您能夠在整個環境和資源中追蹤、通知和應用成本優化技術。費用資訊集中管理和使用,並且可以提供對關鍵利益相關者的存取權限,以實現有針對性的可視性和決策。
- 資源庫存管理可實現構成IT 級服務或工作負載的雲端資源的可見度和配置。透過記錄系統(例如ITSM 管理環境的CMDB)追蹤環境中的資源及其相關配置,從而實現更大的IT 級記錄系統,以實現雲端環境中所有軟體、硬體和韌體資源的可見度和配置管理。
利用功能
- 每個組織的雲端採用歷程都是獨一無二的。要成功建構雲端環境,您需要了解組織的當前狀態、目標狀態以及實現目標狀態所需的過渡。在製定環境建立計劃時,功能可以幫助您推動相關利害關係人之間的對話和決策(由每個功能的職能領域確定)。
- 下圖顯示了規劃環境時可以遵循的路徑。它基於功能之間的依賴關係,可用於建立在環境中實施功能的專案計劃。除了顯示的依賴關係(透過箭頭),某些功能適用於整體環境(例如,治理和稽核與評估)。
後續步驟Next steps
- 如果您仍在探索雲,AWS 建議您部署一些概念驗證(POC) 來向您的利害關係人展示商業價值。
- 如果您準備開始建立雲端環境以在雲端上託管您的工作負載,則這組定義的功能可以幫助您建立基礎雲端環境。
- 在開始採用雲端之前,AWS 建議您完成以下活動,並聯絡您的客戶團隊以獲取更多資訊:
- 查看功能清單並建立實作功能的時間表,考慮任何依賴關係。
- 確定組織中負責每項能力的利害關係人。
- 建立實施計劃和時間表來建立您的雲端環境。
- 隨著您的需求發生變化,為了幫助您擴大在AWS 雲端的影響力,您可以使用定義的功能使用自己的工具建立自己的方法。
結論
在AWS 上建立雲端基礎為企業提供了前所未有的靈活性和效率。透過利用AWS 的廣泛服務,企業可以快速回應市場變化、優化資源使用並提高營運效率。從新創公司到大型企業,AWS 的雲端解決方案可協助各種規模的組織實現業務成長和創新,為未來的成功奠定堅實基礎。
