Guia Prático para Nuvem Computacional baseado em Padrões – CSCC

Conteúdo

Roteiro para Computação em Nuvem

Etapa 1: Monte sua equipe para adoção na nuvem

Fase de Planejamento Estratégico

Fase de planejamento dos workloads

Fase de Planejamento de Operações

Etapa 2: Desenvolva um caso de negócios e uma estratégia de nuvem corporativa

Etapa 3: Selecione o(s) modelo(s) de implantação de nuvem

Etapa 4: Selecione o(s) modelo(s) de serviço em nuvem

Etapa 5: Determinar quem desenvolverá, testará, implantará e manterá os serviços em nuvem

Etapa 6: Desenvolva políticas de governança e contratos de serviço

Etapa 7: Avalie e solucione problemas de segurança, privacidade e localização de dados

Entendendo as preocupações

Avaliando os riscos

Dez sub-etapas para segurança

Cinco sub-etapas para gerenciamento de dados residenciais

Segurança nos contratos de serviços em nuvem

Etapa 8: Integre-se aos sistemas corporativos existentes

Etapa 9: Desenvolva uma prova de conceito antes de mudar para a produção

Etapa 10: Gerencie o ambiente da nuvem

 

O CSCC – Cloud Standards Customer Council no documento “Practical Guide to Cloud Computing Version 3.0 – CSCC, 2017”, apresenta um guia prático para Nuvem Computacional baseado em Padrões. Tradução Livre a partir do documento original.

Para a Entidade, a computação em nuvem baseada em padrões garante que os serviços em nuvem de vários provedores possam interoperar, com base em interfaces padrão abertas. Padrões, quando apropriadamente aplicados, permitem cargas de trabalho para serem prontamente transferidas de um provedor de nuvem para outro diferente com o mínimo de esforço. Aplicativos criados para um ambiente de computação em nuvem podem ser empregados em outro, eliminando a necessidade de reescrever ou duplicar o código.

Muitos padrões diferentes foram propostos. Alguns permitem vários graus de interoperabilidade e portabilidade, enquanto outros são, de fato, ambientes proprietários. Uma vez que um ambiente proprietário é selecionada, uma organização provavelmente experimentará algum grau de aprisionamento de fornecedores. Isso significa que A integração de aplicativos ou serviços em diferentes plataformas de nuvem proprietárias provavelmente exigirá trabalho caro e demorado. As questões associadas à falta de interoperabilidade e portabilidade estão descritos em ISO/IEC 19941 Cloud computing – Interoperability and Portability.

Alguns dos padrões propostos são baseados em iniciativas de código aberto, por exemplo, a Iniciativa Container Aberto. Isso tem a vantagem de tornar todo o código transparente, disponível para inspeção e mais prontamente adequado para um ambiente interoperável. No entanto, sempre que uma nova tecnologia é atraindo muita atenção, nem os fornecedores nem os clientes devem esperar pela maturidade padrões ou ambientes ricos de código aberto. Eles tendem a aproveitar a vantagem da adoção antecipada de tecnologia emergente ao preço de ter que passar para um padrão (e talvez uma fonte aberta) ambiente numa data posterior.

 

Roteiro para Computação em Nuvem

 

Este Roteiro fornece uma série de etapas prescritivas que o cliente deve seguir para garantir o sucesso da implantação na nuvem, levando em consideração as diferenças nos tamanhos das organizações e seus níveis de maturidade em TI. As etapas a seguir são discutidas em detalhes:

  1. Monte sua equipe para adoção da nuvem
  2. Desenvolva um caso de negócios e uma estratégia de nuvem corporativa
  3. Selecione o(s) modelo(s) de implantação de nuvem
  4. Selecione o(s) modelo(s) de serviço de nuvem
  5. Determine quem irá desenvolver, testar, implantar e manter os serviços em nuvem
  6. Desenvolva políticas de governança e contratos de serviço
  7. Avalie e resolva problemas de segurança, conformidade, privacidade e residência de dados
  8. Integre com serviços corporativos existentes
  9. Desenvolva uma prova de conceito (POC) antes de passar para produção
  10. Gerencie o ambiente da nuvem. Dependendo da maturidade da organização e do nível de adoção da computação em nuvem, o ponto de entrada será alterado para cada novo serviço avaliado.

 

Etapa 1: Monte sua equipe para adoção na nuvem

É importante que o cliente em nuvem estabeleça uma equipe claramente definida para desenvolver e aprovar uma estratégia de negócios em nuvem e um plano de implementação para serviços em nuvem que farão parte do ambiente total de TI.

Juntamente com a computação em nuvem, uma evolução na parceria entre os líderes de TI e de negócios impulsionará uma tomada de decisão colaborativa mais robusta. No passado, os requisitos, o projeto, o desenvolvimento, a implantação e a manutenção do ambiente de TI eram impulsionados principalmente pelo departamento de TI. A computação em nuvem está criando uma evolução na qual os líderes de negócios estão cada vez mais envolvidos nas decisões de TI. Para apoiar essa digitalização dos negócios, o tomador de decisões de TI deve expandir seu raciocínio em termos de quem são os principais interessados. Cada vez mais, você vê funções como Diretor de Marketing (CMO), Diretor de Dados ou Digital (CDO) ou Diretor de Nuvem (CCO) influenciando os orçamentos de TI.

A adoção de serviços em nuvem é cada vez mais vista como uma decisão comercial estratégica que permite que os negócios não apenas melhorem a eficiência da TI, mas também ajudem na realização de metas de negócios globais.

Embora os requisitos em termos de custo, desempenho, longevidade e roteiro de funcionalidade / funcionalidade ainda sejam críticos, o CIO moderno também deve levar em consideração as contribuições de partes interessadas importantes como CEO, CDO, CFO, CISO, CMO e o Líder de Desenvolvimento ou de Produtos. A seguir estão alguns exemplos do que o C-Suite estará procurando:

  • CEO: Conduzir as capacidades de inovação e diferenciação dentro da organização, permitindo que o CEO se concentre no crescimento do negócio. Preocupa-se em encontrar novas maneiras de diferenciar através da tecnologia.
  • CDO: Mapeamento de recursos digitais para prioridades estratégicas, permitindo novas funcionalidades ou eficiências, medindo eficiências e ROI; a reengenharia/automação de processos de negócios pode melhorar os custos e promover a geração de receita. O monitoramento consolidado de iniciativas digitais é fundamental.
  • CFO: Conduzir a privacidade de dados, manutenção de registros financeiros e segurança de sistemas de relatórios financeiros. Preocupa-se com o aspecto de crescimento da agenda financeira, ao mesmo tempo em que distribui eficiências por meio da adoção de tecnologia.
  • CISO: Co-condução de gerenciamento de informações, gerenciamento de riscos, proteção de marcas, gerenciamento de relacionamento com terceiros e outras funções além de sua função historicamente técnica. Preocupa-se com padronização e segurança sendo integrados em toda a pilha de tecnologia; do físico ao lógico; IAM, DLP, IDP / IDS.
  • CMO: Co-condução da Transformação Digital. Preocupa-se com a experiência do cliente; pontos de contato de novos clientes, novas oportunidades de engajamento e experiências mais integradas.

Isso está acontecendo porque a empresa está cada vez mais vendo a computação em nuvem como uma ferramenta para:

  • Aproxime-se de seus clientes
  • Melhore a eficiência de TI e melhore o tempo de comercialização do produto
  • Equilibrar a carteira financeira (CapEx vs. OpEx)
  • Aumentar vendas / receita
  • Agilizar a cadeia de suprimentos
  • Estender processos de negócios, tornando-os mais acessíveis por terceiros
  • Alcançar novos segmentos de clientes
  • Compartilhamento de dados de parceiros / oportunidades de integração
  • Padronizar a pilha de tecnologia e a segurança relacionada
  • Aproveite os recursos de segurança nativos da nuvem

Em resumo, a adoção de vários modelos de consumo de nuvem para necessidades de infraestrutura está sendo cada vez mais vista como uma decisão estratégica de negócios. Portanto, é lógico que a adoção da computação em nuvem seja liderada pela gerência sênior, com uma seção mais ampla do C-Suite desempenhando o papel de consultores-chave.

Em essência, a equipe que você construir precisará abordar vários aspectos da adoção. Esses recursos participam em diferentes graus nas três fases de adoção da nuvem descritas na Figura 1. Diferentes habilidades são necessárias nas diferentes fases da adoção da nuvem – planejamento estratégico, tático e de operações.

 

Fase de Planejamento Estratégico

Durante a fase de planejamento estratégico da adoção de serviços em nuvem, os CEOs e a equipe de gerenciamento sênior lideram a organização para estabelecer a visão, os termos de referência e as diretrizes.

  • Visão. O CEO e a equipe de gerenciamento sênior devem definir a visão geral da adoção da nuvem. É fundamental que a liderança empresarial, particularmente os níveis executivos, colabore e adquira a visão. A visão deve abordar o futuro do negócio e a diferenciação adquirida, vantagem competitiva e/ou proposta de valor adquirida através de uma estratégia de nuvem.
  • Termos de referência. Os termos de referência devem ser definidos com antecedência para garantir que a adoção permaneça focada nos objetivos de negócios-alvo. Os termos de referência eficazes devem, no mínimo, abordar o objetivo, as metas, os princípios orientadores, as funções e responsabilidades e as regras de engajamento dos setores envolvidos na formação da visão e estratégia de computação em nuvem.
  • Diretrizes. Com base na cultura do negócio, a gerência sênior deve fornecer diretrizes gerais para a adoção da nuvem, incluindo postura de segurança e privacidade, políticas de manutenção e localização de dados etc. As diretrizes fornecerão uma estrutura de negócios para capturar os requisitos iniciais de alto nível e apoiar o alinhamento a equipe de liderança.

 

 

Fase de planejamento dos workloads

Durante a fase de planejamento tático, normalmente liderada pelo CIO ou CTO, a organização realiza uma análise comercial e técnica.

  • Análise de negócio. Essa fase exige a supervisão de partes interessadas de negócios seniores, como OCMO, proprietários de produtos ou aplicativos, TI (inclusive quando necessário, CIO, CTO, CISO, gerente de continuidade de negócios) e representantes legais que devem revisar e comunicar requisitos legais e de conformidade regulamentar. O objetivo geral é criar um caso de negócios e a estratégia empresarial de longo prazo de apoio para a transição para cloud computing que ofereça retorno de investimento ou retorno sobre o valor suficientes. É essencial que os impulsionadores de negócios para transformação continuem sendo o foco principal durante essa fase. Comparações de tecnologia e chamadas antecipadas à solução de tecnologia poderiam afetar negativamente um entendimento sólido dos requisitos de negócios se fossem introduzidos cedo demais no processo. Essa fase fornecerá a base para categorizar e identificar aplicativos ou cargas de trabalho adequados para serem considerados candidatos à implementação na nuvem.

 

  • Análise técnica. Essa fase requer a atenção das partes interessadas de TI (ou digitais), incluindo o CIO, CTO, CDO, CCO, CISO, além de arquitetos líderes, pessoal de operações, segurança de TI e gerentes de negócios de alto nível. O objetivo dessa fase é desenvolver um Roteiro de Transformação que, além do Roteiro Tecnológico, inclua componentes como Fatores Críticos de Sucesso, Roteiro de Maturidade da Capacidade de Gerenciamento de Serviços, Modelo Funcional Organizacional, Arquiteturas de TI e Modelos de Operações, Processos e Capacidades, para citar alguns.

 

No roteiro de tecnologia, o desenvolvimento dos modelos de consumo de destino utiliza os resultados da análise de requisitos de negócios dessa fase anterior e os compara aos vários serviços de nuvem e modelos de implantação disponíveis. É durante essa fase que o business case para migração de aplicativos ou cargas de trabalho (workloads), bem como a análise “build versus buy” é desenvolvido e apresentado à equipe estratégica para o feedback deles. Os processos e fluxos de negócios provavelmente também serão interrompidos e afetados. Os processos e fluxos de negócios provavelmente também serão interrompidos e afetados em áreas não técnicas, como compras e áreas técnicas, como o fornecimento de serviços.

 

Fase de Planejamento de Operações

Durante a fase de implementação operacional, os líderes de vários grupos de operações trabalham com os detalhes de aquisição e implementação e estabelecem planos e processos operacionais contínuos para a implantação da nuvem.

  • Licitação. Essa fase inclui negociações com possíveis provedores de serviços em nuvem e exige que a equipe de compras, finanças, jurídico, gerentes de negócios seniores e TI, incluindo o CIO, o CTO e os principais arquitetos, sejam contratados. Os modelos/instrumentos de avaliação devem ser discutidos para fornecer consistência durante as fases de avaliação e negociação do contrato. Por exemplo, uma matriz de pontuação de prova de conceito ou ponderada pode ser desenvolvida para alinhar os requisitos de negócios e tecnologia.
  • Implementação. Essa fase inclui o desenvolvimento, a personalização e a configuração de soluções que serão implantadas no ambiente de nuvem e exigem a atenção da equipe de TI, incluindo os principais arquitetos, desenvolvedores e testadores, bem como o pessoal de operações. Essa fase deve iniciar o processo de identificação de possíveis mudanças nos processos/procedimentos e fornecer uma análise de lacunas de alto nível para identificar oportunidades de mitigação/gerenciamento de riscos.
  • Operações. Esta fase aborda as operações e o gerenciamento contínuos dos serviços em nuvem e das soluções implantadas. Os proprietários de negócios, o pessoal de operações, o suporte ao cliente e a equipe de TI, incluindo desenvolvedores e testadores, são necessários nessa fase. Durante essa fase, a análise de lacunas passa de um nível alto para um exame mais detalhado para determinar quais (e como) as alterações nas operações existentes serão afetadas pela iniciativa de computação em nuvem.

 

Etapa 2: Desenvolva um caso de negócios e uma estratégia de nuvem corporativa

Para garantir uma transição suave para a computação em nuvem, uma organização deve desenvolver uma estratégia de nuvem abrangente que crie a base para a adoção específica do projeto. A computação em nuvem apresenta oportunidades interessantes de modelos de negócios para organizações de todos os tamanhos. Desenvolver um caso de negócios e uma estratégia que articule claramente como a computação em nuvem transformará os principais processos de negócios, como compras, marketing, aquisição e suporte a clientes, desenvolvimento de produtos, etc., é fundamental.

Dentro do contexto de uma estratégia corporativa para computação em nuvem, os problemas individuais de negócios que a computação em nuvem pode potencialmente resolver precisam ser identificados, e a justificativa comercial específica deve mostrar que a computação em nuvem é a alternativa estratégica correta. As propostas de valor de alto nível para computação em nuvem, incluindo a transferência de investimentos (CapEx) para despesas operacionais (OpEx), redução de custos, implantação rápida, elasticidade, acesso a recursos avançados, etc., são necessárias, mas insuficientes, a menos que quantificadas.

Obter suporte executivo para a iniciativa é fundamental. Executivos de TI, Linhas de Negócios (LOBs), compras e gerenciamento executivo devem revisar e aprovar o plano de negócios antes de prosseguir. Colocar executivos-chave a bordo no início do processo ajudará a aliviar possíveis problemas.

Ao desenvolver uma estratégia corporativa para computação em nuvem, as considerações destacadas na tabela a seguir devem ser levadas em consideração.

Elemento de Planejamento Estratégico Atividades de Planejamento Estratégico
Educar a equipe • Todos os membros da equipe (TI, negócios, operações, jurídico e executivos) deve ser educado sobre o que é cloud computing e o que não é.

• Estabelecer uma definição comum de computação em nuvem (incluindo terminologia) para toda a organização para que todos estejam falando a mesma língua.

• A utilização da computação em nuvem é um processo interativo no qual serviços baseados em serviços implementados anteriormente agregam valor ambientes de TI existentes.

Estabeleça planos de curto e longo prazo • Criar um plano mestre e roteiro para toda a organização para adoção.

• Mapeie os benefícios da computação em nuvem contra problemas de negócios existentes para identificar possíveis áreas de solução.

• Antecipar a variedade de interrupções que podem ocorrer tanto dentro e especialmente fora da TI (níveis de serviço, segurança, jurídico, fornecedor gestão, etc.).

• Aproveitar o planejamento a longo prazo para reduzir o risco de aprisionamento do fornecedor considerando interoperabilidade, portabilidade e facilidade de integração imediata.

Entenda os serviços necessários e funcionalidade • Determinar o business case e o potencial ROI e / ou potencial novo oportunidades de receita.

• Aproveite as arquiteturas, os padrões e a indústria da empresa estruturas para ajudar a acelerar a coleta de serviços informações e melhorar a consistência.

• Os serviços voltados para o cliente exigem categorização e análise de serviços internos.

Executar uma análise de custos completa O custo total da migração de aplicativos para a computação em nuvem inclua os seguintes elementos:

• Custos contínuos do serviço em nuvem

• Gerenciamento de serviços

• Gerenciamento de licenças

• Re-designs de aplicativos

• Implantação e teste de aplicativos

• Manutenção e administração de aplicativos

• Integração de aplicativos

• Custo de desenvolvimento de habilidades de computação em nuvem

• Recursos humanos e implicações no gerenciamento de talentos

• Ferramentas / serviços / processos adicionais

Avaliar o impacto nos níveis de serviço Para cada aplicativo sendo migrado para a computação em nuvem, considere o impacto nas seguintes características de aplicação:

• Disponibilidade de aplicativos

• Desempenho das aplicações

• Segurança de aplicativos

• Privacidade

• Conformidade regulatória

• Residência de dados

Identifique objetivos e métricas de sucesso claros para medir o progresso • A equipe que patrocina o projeto deve incluir fatores de sucesso em sua proposta.

• Métricas precisam ser acordadas por executivos que fazem a final

decisão de prosseguir com o projeto.

• Defina linhas de base para o serviço existente antes de lançar o novo serviço, a fim de determinar o seu impacto.

• Identifique claramente os pontos de acionamento a serem medidos.

• Desenvolver um roteiro de adoção da nuvem.

Considere o ambiente de TI existente

 

• Desenvolver uma estratégia complementar de adoção da nuvem com foco na integração e alavancagem de tecnologias existentes e padrões.

• Desenvolver uma estratégia para garantir que quaisquer serviços existentes sejam migrado para a computação em nuvem continuará a cumprir padrões.

• Aproveitar os serviços internos reutilizáveis para melhorar a eficiência da entrega de serviços voltados para o cliente

Avalie o suporte operacional atual

modelo

• Validar o impacto nos modelos de suporte operacional existentes fundido com o modelo de suporte operacional habilitado para nuvem.

• Desenvolver uma estratégia para integrar modelos de suporte.

• Desenvolver uma estratégia para coexistir com base na escala de nuvem adoção.

• Desenvolver uma estratégia para interoperar e as informações necessárias para fazer junto com ferramentas que serão necessárias.

Entenda os requisitos legais/regulatórios • Os clientes dos serviços em nuvem devem entender as responsabilidades associadas às suas respectivas obrigações nacionais e supranacionais para conformidade com os marcos regulatórios e assegurar que tais obrigações sejam devidamente cumpridas. Alguns exemplos de restrições legais/regulatórias sobre informações armazenadas eletronicamente são os seguintes:

● Localização física dos dados

● Violação de dados

● Privacidade de dados pessoais

● Destruição de dados quando a corporação não quer mais os dados relevantes disponíveis ou os transfere para um host diferente

● Propriedade intelectual, propriedade da informação

● Acesso de aplicação da lei

● Disponibilidade de serviço

• Com mais de 150 países que ratificaram a Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência e um enfoque cada vez maior nas regulamentações de acessibilidade, é importante estabelecer um plano para garantir o cumprimento da acessibilidade.

• Entender os padrões e os requisitos de implantação específicos do serviço de nuvem exigidos por vários setores, por exemplo, FISMA e FedRAMP para agências do governo federal dos EUA.

Identifique as habilidades necessárias • Mapear as habilidades necessárias em relação às habilidades disponíveis.

• Desenvolver um plano para melhorar as habilidades internas para abordar o potencial lacunas.

• Considere habilidades externas como uma opção para lidar com lacunas.

Acompanhe os resultados por um período prolongado • Reforçar que o objetivo de implementar o novo serviço de nuvem foi alcançado.

• Identifique quaisquer tendências que precisem ser abordadas para melhorar a serviço existente ou contrato para um novo serviço de modo a aproveitar a tendência.

Entenda o processo de saída • Uma cláusula de saída deve fazer parte de todos os contratos de serviços na nuvem.

• Entenda os detalhes do processo de saída, incluindo as responsabilidades do provedor de serviços em nuvem e do serviço em nuvem

cliente.

• O processo de saída deve incluir procedimentos detalhados para garantir a continuidade de negócios. Deve especificar métricas mensuráveis ​​para garantir que o provedor de nuvem esteja efetivamente implementando procedimentos.

• O aspecto mais importante de qualquer plano de saída é a recuperação e preservação dos dados do cliente do serviço de nuvem.

 

 

Etapa 3: Selecione o(s) modelo(s) de implantação de nuvem

Para determinar o(s) modelo(s) de implantação de nuvem que melhor atende aos requisitos de negócios de sua empresa, você deve levar em consideração os fatores na Tabela 2.

É importante observar que a “nuvem privada”, na qual os recursos da nuvem são dedicados a um cliente, pode assumir uma das duas formas:

1) nuvem privada no local, em que o ambiente de nuvem é implementado nas instalações do cliente; e

2) nuvem hospedada privada (às vezes chamada de nuvem dedicada) em que o ambiente de nuvem está nas instalações de um provedor de serviços de nuvem, mas onde os recursos envolvidos não são compartilhados com outros clientes.

 

A nuvem híbrida é atraente porque permite que os clientes de serviços em nuvem atendam às necessidades de negócios aproveitando os recursos abrangentes dos provedores de serviços de nuvem pública – em particular, a funcionalidade de baixo custo e de ponta disponível e, ao mesmo tempo, a implantação de nuvem privada. aplicativos e dados mais confidenciais. A interligação de aplicativos e dados implantados na nuvem com aplicativos e dados corporativos tradicionais que não sejam da nuvem também é uma parte importante das implantações de nuvem híbrida.

Atualmente, a implantação de nuvem híbrida é comum. Uma organização aproveita uma combinação de implantações de nuvem privada e pública, dependendo de suas necessidades de velocidade de execução, recursos disponíveis, necessidade de proteção e segurança de dados e uma série de outras razões.

Por exemplo, “cloud bursting” é um conceito em que um consumidor usa recursos de TI locais para cargas de trabalho de rotina, mas acessa opcionalmente uma ou mais nuvens privadas ou públicas externas durante períodos de alta demanda. Diferentes variantes de implantação de nuvem também podem ser apropriadas para determinadas funções ou funções organizacionais. Por exemplo, uma organização pode optar por processar dados confidenciais, como informações de folha de pagamento em uma nuvem hospedada privada, mas usar uma nuvem pública para novas atividades de desenvolvimento e teste de software.

A maturidade de TI de uma organização, juntamente com seu tamanho, terá um impacto significativo nas decisões de implantação de serviço feitas:

  • Organizações maiores com ambientes de TI maduros podem se inclinar inicialmente para implementações de nuvem privada e podem fazer a transição de algumas cargas de trabalho para implantações híbridas e públicas ao longo do tempo.
  • SMBs e novas empresas sem infraestrutura existente podem migrar mais rapidamente para implantações de nuvem pública. As pequenas e médias empresas têm muito a ganhar em termos de redução de custos, capacidade de TI, menores requisitos de habilidades e melhor funcionalidade de aplicativos que não estavam disponíveis para eles anteriormente. Problemas de segurança com implantação pública devem ser levados em consideração. Como resultado, as PMEs são aconselhadas a considerar inicialmente implantações híbridas, colocando aplicativos novos ou modificados na implantação pública nas fases de transição iniciais. Novas empresas sem infraestrutura existente têm a capacidade de aumentar rapidamente suas cargas de trabalho sem os custos iniciais de um data center.

 

Etapa 4: Selecione o(s) modelo(s) de serviço em nuvem

Embora o valor comercial da computação em nuvem seja atraente, muitas organizações enfrentam o desafio de preparar uma adoção gradual de recursos de serviços em nuvem, aprimorando de forma incremental seu ambiente de TI.

Há várias maneiras pelas quais as organizações hoje aproveitam os benefícios da computação em nuvem. Muitos padrões de implementação começam com uma virtualização de infraestrutura ou projeto de conteinerização de aplicativo para estabelecer uma base que permita a adoção futura de serviços em nuvem. Por outro lado, algumas empresas estão simplesmente consumindo soluções de negócios ou de TI de uma nuvem pública fora de sua organização.

Conforme ilustrado na figura da Arquitetura de referência de computação em nuvem da NIST, os três modelos de serviço de nuvem mais comuns são Software como serviço (SaaS), Plataforma como serviço (PaaS) e Infraestrutura como serviço (IaaS). Para determinar os modelos de serviço que melhor atendem aos requisitos de negócios da sua empresa, os possíveis benefícios e problemas de cada modelo devem ser cuidadosamente considerados. Além disso, a maturidade de TI de uma organização, juntamente com seu tamanho, afetará significativamente as decisões do modelo de serviço que são tomadas.

 

Etapa 5: Determinar quem desenvolverá, testará, implantará e manterá os serviços em nuvem

Determinar o método mais eficaz para projetar, desenvolver, implantar e manter novos aplicativos em nuvem pode ser uma luta. Em muitos casos, não há resposta certa. A direção será baseada nas necessidades e capacidades da organização. Existem essencialmente quatro opções para a organização considerar:

  • Desenvolvimento e implantação internos
  • Desenvolvimento e implantação de provedor de nuvem (se disponível)
  • Provedor de desenvolvimento de serviços em nuvem independente
  • Compra em prateleira de um serviço de aplicativo na nuvem

A Tabela 6 examina os prós e contras das várias opções para adquirir um novo serviço.

 

A seleção de uma metodologia para implementar um aplicativo em nuvem pode variar dependendo se o cliente é uma organização grande ou um SMB. Normalmente, as habilidades disponíveis em uma SMB são direcionadas para o suporte a aplicativos existentes e pode fazer mais sentido considerar a contratação de recursos de um provedor de serviços em nuvem ou de uma empresa de desenvolvimento independente habilitada. Grandes organizações podem ter a flexibilidade de reatribuir habilidades internas a um projeto de nuvem e acomodar a transição para a nuvem internamente.

Como é evidente da análise acima, existem compensações para cada uma das opções listadas. As organizações terão que evitar o risco de assumir que as habilidades de virtualização experimentadas serão transferidas automaticamente para as habilidades de computação em nuvem sem o desenvolvimento adicional de equipe. Um investimento em treinamento em nuvem e melhores práticas deve ser decidido durante as fases iniciais do esforço. Em última análise, a organização precisa levar em conta seus próprios requisitos exclusivos ao decidir o que melhor atende às suas necessidades de negócios. Esse esforço pode se traduzir em alavancar várias das opções em paralelo, com base nas necessidades de um determinado serviço de nuvem.

 

Etapa 6: Desenvolva políticas de governança e contratos de serviço

Os contratos de serviço em nuvem (CSAs) devem ser avaliados em conjunto com necessidades específicas, expectativas, processos de governança e outras considerações culturais. Os requisitos de residência em dados, como os requisitos globais de proteção de dados da UE (GDPR), também contribuem para a necessidade de clareza nas CSAs. Os contratos de serviço variam muito com base nos modelos de implantação envolvidos (público, privado, híbrido), nos modelos de serviço que eles suportam (SaaS, PaaS, IaaS) e no serviço de nuvem específico. O CSCC publicou dois guias que ajudam os clientes da nuvem a avaliar contratos de serviços na nuvem, aproveitando um roteiro prescritivo de dez etapas.

O padrão ISO / IEC 19086-1: 2016 publicado em 2016 “Busca estabelecer um conjunto de blocos de construção comuns de SLA na nuvem (conceitos, termos, definições, contextos) que podem ser usados ​​para criar acordos de nível de serviço (SLAs) na nuvem ” O 19086-1 também esclarece as diferenças entre um CSA e um SLA, “Um acordo de nível de serviço (SLA) em nuvem faz parte do contrato de serviços em nuvem e os detalhes podem variar para diferentes categorias de serviços em nuvem, serviços em nuvem e diferentes modelos de implantação em nuvem.” Geralmente, os contratos de serviços em nuvem destinam-se a proteger os provedores em nuvem do litígio, em vez de garantir um alto nível de serviço para os clientes. Os contratos de serviços de nuvem pública geralmente não são negociáveis, tornando ainda mais crítico lê-los e compreendê-los em detalhes. O white paper do CSCC, Contratos de serviços de nuvem pública: o que esperar e o que negociar com a versão 2.0, oferece orientação sobre opções e justificativa.

Além disso, os contratos de serviços em nuvem estão sempre em cascata, levando a mais desafios em relação à responsabilidade e à governança da solução de nuvem de ponta a ponta. O relacionamento entre vários CSAs é cada vez mais importante à medida que mais organizações adotam a computação em nuvem híbrida. A linha de responsabilidade pode variar entre os componentes de uma arquitetura híbrida complexa. O white paper do CSCC, Guia prático sobre computação em nuvem híbrida, oferece orientação sobre o conteúdo de governança e CSA. Um provedor de serviços de nuvem pode usar provedores de serviços de mesmo nível, nos quais os contratos de serviços oferecidos por esses provedores de mesmo nível podem ser de interesse significativo para um entendimento geral da responsabilidade pela escalação ou auditabilidade.

O cliente do serviço de nuvem tem a responsabilidade final de realizar a devida diligência, entendendo seus contratos de serviços em nuvem e o possível impacto em seus negócios. Também é essencial que o cliente do serviço de nuvem tenha a estratégia interna, a governança e os processos necessários para usar esses serviços com sabedoria e eficiência. Por exemplo, embarcar na adoção de serviços em nuvem sem uma estratégia para a adoção de padrões abertos ou uma política de residência em dados poderia colocar uma organização em risco. Uma atenção especial deve ser dada ao desenvolvimento organizacional e à cultura de operações, pois os serviços em nuvem fornecem flexibilidade e precisam ser gerenciados e gerenciados sem comprometer a agilidade esperada dos serviços em nuvem.

Em geral, os contratos de serviços em nuvem podem ser decompostos em três principais artefatos: “Acordo do Cliente”, “Política de Uso Aceitável” (ou Termos e Condições) e “Acordo de Nível de Serviço”, embora os limites entre esses artefatos sejam vagos e possam variar de provedor para provedor. Tenha em mente que esses três artefatos podem mudar em momentos diferentes, independentemente uns dos outros. A avaliação de contratos de serviços na nuvem deve incluir as seguintes considerações.

  • Políticas. Quais políticas e processos sua organização possui que restringem as operações de serviços na nuvem? Isso pode incluir quem assina assinaturas, como a área de pagamentos de assinatura é melhorada, orientação de arquitetura corporativa, segurança ou acesso a dados. Considere também as obrigações contratuais que os clientes de serviços em nuvem têm com seus clientes ou fornecedores que possam ser afetados.
  • Cultura. Existem considerações culturais, onde os contratos de serviços podem potencialmente mitigar as preocupações?
  • Governança. Uma boa governança requer transparência e responsabilidade que levam a decisões apropriadas que promovem confiança e segurança. O que você precisa governado é, naturalmente, uma consideração importante.
  • Objetivos. Ao desenvolver e / ou avaliar acordos de serviços em nuvem, os objetivos e expectativas gerais guiarão muitas das discussões e abordagens.
  • Métricas / Medidas. Os contratos de serviços em nuvem, especialmente os aspectos dos Acordos de Nível de Serviço, exigem uma medição consistente. Medidas e métricas serão usadas para validar os níveis de serviço e determinar quando a correção precisa ser aplicada ou os recursos alocados dinamicamente para garantir que os objetivos do nível de serviço sejam atendidos.
  • Termos e Condições / Políticas de Uso Aceitável. Os contratos de serviços em nuvem podem ter termos específicos, condições e políticas de uso que precisam ser considerados. Isso inclui, mas não está limitado a: exclusões, limitações, uso e isenções de responsabilidade.
  • Acordos de Nível de Serviço. Um documento que declara as promessas de desempenho técnico feitas pelo provedor de serviços, remédios para falhas de desempenho e como as disputas são descobertas e tratadas.
  • Remediação e compensação. Quando falhas e falhas ocorrem, elas definem quais compensações são oferecidas e quais são as responsabilidades das partes envolvidas. Eles também devem esclarecer quais serviços de recuperação de desastres / continuidade de negócios estão disponíveis no caso de interrupção do serviço.

Um contrato de serviço em nuvem não isenta o cliente de serviço em nuvem de todas as responsabilidades. A vigilância contínua é necessária para garantir que os usuários do serviço continuem a receber o nível esperado de serviço e compensação quando os níveis de serviço não forem mantidos. Os clientes devem manter um nível contínuo de responsabilidade, recebendo feedback direto sobre os objetivos de nível de serviço do serviço, e devem estar cientes de quaisquer recursos adicionais (como monitoramento de serviço e coleta de métricas) que possam ser necessários.

 

Etapa 7: Avalie e solucione problemas de segurança, privacidade e localização de dados

Segurança e privacidade são dois dos problemas que mais preocupam os que adotam a nuvem. Dependendo do domínio em que trabalham (várias indústrias, governo, educação, etc.), essas preocupações podem ficar um pouco acima ou abaixo daquelas sobre disponibilidade e desempenho. Mais recentemente, a residência de dados foi adicionada ao mix. A orientação prática nessa área deve ser usada para gerenciar os riscos, evitando reações exageradas e paralisações, que muitas vezes resultam das preocupações.

Entendendo as preocupações

Preocupações com segurança e privacidade foram levantadas assim que o modelo de computação em nuvem apareceu. No início dos anos 2000, as organizações já estavam lutando para manter a segurança adequada na presença de malware cada vez mais eficaz e outras ameaças à segurança. O modelo geral de segurança via a empresa como uma fortaleza, com muralhas de firewalls e scanners de vírus isolando o interior do lado de fora. O modelo de computação em nuvem significa que alguns recursos da empresa estão fora da “fortaleza”, levando muitos CISOs a acreditar que um serviço em nuvem não poderia ser seguro. Ao mesmo tempo, as regras de privacidade estavam sendo reforçadas em todo o mundo, e parecia improvável que as Informações de Identificação Pessoal (Personal Identification Information – PII) pudessem ser mantidas sob controle apropriado fora da empresa.

Em anos mais recentes, o risco de violar leis e regulamentos ao mover dados (incluindo, mas não se limitando a dados pessoais) através das fronteiras foi exposto através de casos bem divulgados, adicionando uma terceira preocupação relacionada, mas distinta. No informe oficial do CSCC, Desafios de Residências de Dados, definimos residência de dados como “o conjunto de questões e práticas relacionadas à localização de dados e metadados, o movimento de (meta) dados entre geografias e jurisdições e a proteção desses dados”. (meta) dados contra acesso não intencional e outros riscos relacionados à localização.”

 

Avaliando os riscos

Segurança, privacidade e residência de dados são questões de gerenciamento de risco e devem ser tratadas usando as mesmas abordagens formais: avaliar a probabilidade e o impacto das ameaças potenciais, priorizar os riscos adequadamente, projetar e implementar medidas de mitigação, testá-los e monitorar situação.

No documento “Security for Cloud Computing: 10 Steps to Ensure Success”, o CSCC tem uma visão muito ampla dos riscos envolvidos. A saber:

  1. Perda de governança
  2. Conformidade e risco legal
  3. Ambiguidade de responsabilidade
  4. Falha de isolamento
  5. Proteção de dados
  6. Exclusão de dados insegura ou incompleta
  7. Tratamento de incidentes de segurança
  8. Indisponibilidade de serviço
  9. Vulnerabilidade na interface de gerenciamento
  10. Bloqueio do fornecedor

A adoção de uma solução de nuvem não implica que o provedor seja o único responsável pelos problemas de segurança, privacidade e residência de dados. O cliente e o provedor compartilham responsabilidades em conjunto. Por exemplo, no caso de uma infraestrutura como serviço (IaaS), o provedor é responsável pela computação, armazenamento e rede, enquanto o cliente é responsável por proteger as camadas do sistema operacional e do middleware, implementando a identidade e o acesso apropriados. gerenciamento, gerenciando acesso privilegiado, criptografando dados em repouso e em movimento, configurando a rede eo firewall para reduzir a possibilidade de uma violação, e assim por diante.

As cinco considerações a seguir permitem que os riscos sejam discutidos racionalmente:

  • Muitas das preocupações de segurança, privacidade e residência de dados levantadas pela computação em nuvem existem desde que as primeiras formas de terceirização de TI foram introduzidas. Estes desafios devem ser vistos como variáveis ​​em questões previamente existentes, não totalmente novas.
  • Os níveis de segurança e privacidade alcançados internamente geralmente não são superiores aos alcançados pelos serviços em nuvem. Os provedores de serviços em nuvem normalmente têm muito mais recursos para designar e monitorar a segurança do que um único cliente, e os provedores têm um bom argumento de negócios para obter uma boa segurança, já que essa violação pode prejudicar todo o negócio. é exacerbado usando soluções em nuvem.
  • As ameaças internas são muito mais altas do que muitos imaginariam. Os insiders foram responsáveis ​​por 39% das violações de all data em 2015. Essas violações podem ser resultado de intenções maliciosas, acidentais ou ao mesmo tempo. As violações internas são frequentemente relatadas e muito mais difíceis de detectar. As empresas precisam modificar esses riscos com programas direcionados para lidar com deficiências em treinamento, comunicação, monitoramento, políticas, processos, etc.
  • Quando as informações de um cliente estão em um serviço de nuvem, um invasor pode ter mais dificuldades para encontrá-lo do que se for mantido no local. Portanto, uma solução de nuvem pode ser mais segura do que um sistema interno.
  • Os clientes da nuvem devem assumir a responsabilidade pelo uso de serviços em nuvem, não abandonando a responsabilidade aos provedores. Isso inclui entender quais dados residem no serviço de nuvens, onde ele pode estar residindo, qual é o nível de confidencialidade, o quanto é confidencial, se está criptografado, quem tem acesso a ele e assim por diante.

 

Dez sub-etapas para segurança

O white paper do CSCC “Security for Cloud Computing: 10 Steps to Ensure Success”, fornece 10 etapas específicas (neste guia, elas se tornam sub-etapas da Etapa 7) para gerenciar a segurança da computação em nuvem.

  • Etapa 1 – os clientes devem entender as leis e regulamentações específicas (retenção de dados, privacidade, requisitos de divulgação, residência, etc.) que se aplicam aos seus negócios.
  • Etapa 2 – fornece orientação para obter auditorias de segurança profissionais do serviço de nuvens e para monitorar o uso de atividades suspeitas. As auditorias devem ser consistentes com os padrões gerais de segurança, como o ISO27001 / 27002, e com os recursos específicos da nuvem, como ISO 27017 e 27018.
  • Etapa 3 – garante a identificação adequada do usuário, a autenticação forte e o controle de acesso baseado em função aos recursos, possivelmente usando o gerenciamento de identidades federadas e o logon único.
  • Etapa 4 – fornece orientação sobre como atribuição de classificação de segurança a todos os dados (sem esquecer o código de aplicativos proprietários e imagens de sistemas, que também devem ser protegidas contra roubo e adulteração).
  • Etapa 5 – refere-se especificamente à aquisição, armazenamento e uso de PII, incluindo limitação de acesso a ele, armazenamento seguro, especificação de quem (o provedor de serviços em nuvem ou o cliente) é responsável pelo que e pelo monitoramento da conformidade.
  • Etapa 6 – consiste em entender quais são as responsabilidades de segurança do cliente, o que difere de acordo com a escolha do modelo de implantação (IaaS, PaaS ou SaaS).
  • Etapa 7 – garante que a rede interna do provedor, bem como as conexões entre o cliente e os serviços em nuvem, sejam protegidas e monitoradas contra ameaças externas.
  • Etapa 8 – diz respeito à segurança física do centro de computação e construção, proteção contra acidentes e os ambientes (incêndios, terremotos, inundações, etc.), seleção de pessoal do provedor, disposição de mídia removível e assim por diante.
  • Etapa 9 – trata dos Acordos de Serviço em Nuvem e, na verdade, é tão crucial que, com base no trabalho que o CSCC fez sobre esse tópico específico, merece sua própria subseção abaixo.
  • Etapa 10 – trata do que acontece com os dados do cliente durante e após o término do uso do serviço de nuvem, incluindo a remoção completa dos dados do cliente de todos os níveis de armazenamento, incluindo qualquer cópia em cache ou backup, pelo provedor.

Qualquer uma dessas etapas pode levar à decisão de que o projeto não é viável. Assim como com qualquer boa política de segurança, as pessoas que avaliam a situação devem ter o direito de declarar que encontraram um impedimento e que o projeto deve ser interrompido até que o problema seja resolvido.

 

Cinco sub-etapas para gerenciamento de dados residenciais

No white paper CSCC, “Data Residency Challenges”, oferecemos cinco etapas para avaliar e gerenciar os riscos de residência de dados:

  1. Estabelecer uma estrutura de governança – normalmente uma equipe com representação de linhas de negócios, segurança de TI, legal ou conformidade e representantes das áreas geográficas da organização.
  2. Garantir o gerenciamento adequado de metadados, tendo um “panorama de dados” ou um modelo de informações completo em um único local.
  3. Definir todas as políticas e regras sobre elementos de dados sensíveis – o que pode ser localizado onde, o que precisa ser anonimizado ou criptografado, etc.
  4. Estabelecer relatórios para monitorar a aplicação de políticas; medir quantos dados residem em qual país ou jurisdição; e identificar desvios.
  5. Se possível, implemente ferramentas para rastrear a proveniência e o pedigree da informação – e como ela transpõe as fronteiras à medida que é processada e transformada.

 

Segurança nos contratos de serviços em nuvem

Como um cliente de serviço em nuvem sempre transfere alguma responsabilidade para o provedor, é importante entender o que os contratos de serviço dizem sobre as funções e responsabilidades relativas das partes.

O CSCC “Practical Guide to Cloud Service Agreements” chama vários problemas com o estado atual dos contratos de serviço:

  • Considerações sobre privacidade e segurança aparecem em documentos diferentes, com títulos e idiomas inconsistentes.
  • A maioria dos contratos impõe obrigações rigorosas de segurança ao cliente para proteger o provedor de nuvem – que decide unilateralmente que uma violação de segurança ocorreu – mas raramente quaisquer obrigações ou penalidades semelhantes com relação ao dano que o provedor pode causar ao cliente.
  • Os termos de privacidade geralmente protegem as informações de contato dos representantes do cliente, mas não os próprios usuários do cliente, que podem ser milhões de usuários finais.
  • Os mecanismos de escalonamento não são especificados ou não incluem compromissos de tempo de resposta.

No whitepaper do CSCC, “Cloud Service Agreements: What to Expect and What to Negotiate”, os clientes são aconselhados a examinar esses documentos, solicitar esclarecimentos e negociar o que pode ser negociado, aceitando pagar mais por um nível mais alto de serviço. termos mais aceitáveis.

A residência de dados pode estar completamente ausente dos CSAs. Em outros casos, o fornecedor pode garantir ao cliente que seus servidores estão no país, portanto, não há problema, mas não se compromete a manter essa situação. Além disso, muitas equipes de suporte e operações podem não estar no país e podem acessar / baixar registros que possam conter dados confidenciais ou privados. Portanto, certifique-se de olhar além da infraestrutura e do software para os requisitos de residência de dados. Por fim, os maiores fornecedores de nuvem podem oferecer a possibilidade de especificar onde os dados do cliente podem (ou não) ser armazenados, às vezes por um custo extra. Estes termos, ou a ausência deles, devem ser estudados para garantir a conformidade com as políticas de negócios, bem como as leis aplicáveis.

 

Etapa 8: Integre-se aos sistemas corporativos existentes

As arquiteturas de nuvem híbrida são um padrão de implementação comum hoje em dia, especialmente para grandes organizações em que há um investimento significativo em aplicativos e sistemas existentes. A necessidade de conformidade com a legislação do governo e / ou padrões do setor é outro cenário comum que suporta arquiteturas híbridas. O termo “TI de duas velocidades” é amplamente usado para descrever a diferença na política operacional e de governança entre os componentes herdados e nativos da nuvem da implementação da nuvem híbrida. Para a nuvem híbrida, a adoção de serviços em nuvem geralmente envolve a integração dos serviços em nuvem com aplicativos e sistemas existentes. A integração pode ser bidirecional e pode envolver alterações de configuração ou alterações técnicas nos aplicativos e sistemas existentes e / ou a criação de novos componentes de integração. Em alguns casos, a integração na nuvem é especificamente para implementação de ferramentas de DevOps para reduzir o custo e aumentar a velocidade de modificação ou aprimoramento de aplicativos locais.

A integração envolve vários componentes diferentes, tanto dentro da organização quanto no provedor de serviços em nuvem. Os componentes incluem:

  • Dados, em que aplicativos e serviços compartilham dados comuns, ou é necessário algum tipo de sincronização entre dados internos e dados em um serviço de nuvem.
  • Integração de processos entre aplicativos / serviços, em que um aplicativo ou serviço invoca operações fornecidas por outro como parte de algum fluxo de trabalho.
  • Recursos de gerenciamento, que incluem o monitoramento de serviços em nuvem e o controle de serviços em nuvem. Isso inclui recursos de segurança, como o Gerenciamento de identidade e acesso.
  • Recursos de negócios, incluindo relatórios de uso, faturamento e pagamentos.

Além disso, as organizações podem adotar serviços de nuvem para estender seus processos de negócios, de modo que eles se tornem mais acessíveis aos outros em seu ecossistema de negócios. Nesse caso, pode ser necessária alguma adaptação de aplicativos e serviços existentes. Ao estender os processos de negócios, as organizações precisam gastar tempo suficiente para revisar e adaptar suas políticas e processos internos para o gerenciamento de aplicativos, de modo que possam trabalhar na velocidade da nuvem.

Existem várias maneiras de estabelecer links entre serviços em nuvem e aplicativos e sistemas existentes. Se a organização já estabeleceu uma direção de adoção de padrões abertos para formatos de dados ou para protocolos de comunicação e APIs, a integração de serviços em nuvem deve se basear no que já foi implementado. Isso aumenta a oportunidade de obter interoperabilidade entre os serviços de nuvem e os aplicativos e sistemas corporativos.

Se a organização não implementou uma disciplina de adoção de padrões abertos, os novos serviços de nuvem podem ser usados ​​para definir a linha de base dos componentes de integração necessários. Um plano claro para adotar padrões abertos ajudará a permitir interoperabilidade e portabilidade para serviços de nuvem e simplificar o processo de integração de novos serviços de nuvem, independente de onde ou como o novo serviço de nuvem é adquirido.

O uso de padrões abertos para formatos de dados e APIs e protocolos pode auxiliar no processo de integração de serviços em nuvem. Idealmente, o próprio serviço em nuvem deve utilizar padrões abertos – mas os aplicativos e sistemas internos existentes podem precisar de alguma adaptação e atualização para se adequarem a esses padrões. Qualquer trabalho feito para atualizar e adaptar os aplicativos e sistemas existentes para usar padrões abertos deve se pagar a longo prazo, especialmente onde há um compromisso contínuo de migrar mais e mais funcionalidade para serviços em nuvem ao longo do tempo. Uma abordagem para adaptar aplicativos e sistemas existentes é criar um componente de adaptador que possa converter entre os aplicativos e sistemas existentes e os formatos de dados padrão, APIs e protocolos usados ​​para comunicação de e para serviços de nuvem.

O método mais caro de integrar novos serviços de nuvem à organização será iniciar um projeto para desenvolver código personalizado para cada novo serviço de nuvem à medida que ele é implementado. Se este processo for seguido, há muitas desvantagens:

  • Aumento dos custos de desenvolvimento e tempo necessário para integrar o uso do novo serviço de nuvem;
  • Aumento dos custos de manutenção para adicionar novos recursos;
  • Flexibilidade reduzida para integrar novos serviços usando o mesmo serviço legado;
  • Aumento de custos e tempo para migrar um serviço de nuvem para um novo provedor de nuvem;
  • Custos mais altos para estabelecer um plano de recuperação de desastre.

A integração de segurança geralmente é um elemento-chave do uso de serviços em nuvem. Um dos requisitos comuns é a integração do sistema de Gerenciamento de Identidades e Acesso (Idam) da organização com o serviço de nuvem – não é desejável que a organização tenha que administrar um sistema IDAM separado para cada serviço de nuvem – o melhor arranjo é para o serviço de nuvem para delegar recursos de autenticação ao sistema IdAM da organização. Isso exigirá que o serviço em nuvem e o sistema IdAM suportem um dos padrões comuns para esse recurso, como o OAuth 2.0 ou o SAML 2.0.

 

Etapa 9: Desenvolva uma prova de conceito antes de mudar para a produção

Assim que o business case para computação em nuvem estiver concluído e os drivers de negócios e o ROI projetado forem estabelecidos, é importante obter uma decisão final de “go” ou “no go” da alta administração. O buy-in da alta administração deve incluir, no mínimo, uma revisão da proposta, custos projetados, cronograma, riscos, benefícios resultantes e um plano de reversão. Se houver um acordo, o próximo passo é montar uma equipe de prova de conceito (POC), composta dos seguintes recursos:

  • Tecnologia da Informação. Essa equipe deve ser composta por arquitetos, administradores de sistemas, administradores de bancos de dados, desenvolvedores seniores e recursos de suporte ao cliente (help desk).
  • Representação Funcional. Essa equipe inclui, no mínimo, indivíduo(s) designado(s) dentro da organização que gerenciará o alinhamento contínuo da solução de computação em nuvem com as expectativas do usuário de negócios e das principais partes interessadas durante o POC.

Supondo que o POC seja bem-sucedido e atenda ou exceda as expectativas, as atividades de design, desenvolvimento e implementação para a instância de produção do serviço em nuvem podem ser totalmente ativadas. Certifique-se de que o novo serviço atenda aos seguintes critérios de sucesso:

  • Custos. Hospedagem, manutenção e custos de manutenção são menores que os custos atuais.
  • KPI (indicadores chave de desempenho). Tempo de atividade do sistema, processamento de dados e entrega de resultados, etc. são iguais ou melhores que o ambiente atual.
  • Satisfação do usuário. Este é um critério de sucesso muito importante – Se os usuários estiverem satisfeitos, as novas implementações serão bem-sucedidas.
  • Preparação e entrega de infraestrutura. Essa medida de KPI inclui o tempo para preparar a infraestrutura para desenvolvimento, controle de qualidade, preparação e produção.
  • Resolução de problemas. Tempo médio entre o relato de um bug e a resolução do problema.
  • Segurança. Os sistemas são seguros e exigem que as medidas de controle de acesso sejam implementadas e testadas. Os administradores exigiram acesso quando necessário para realizar seu trabalho.
  • Monitoramento e relatórios. Novos ambientes exigiram monitoramento e relatório no local.
  • DR (Recuperação de desastres). As provisões estão no local e verificadas para iniciar um ambiente de recuperação de desastre no evento em que o ambiente de hospedagem principal falha.

A implementação de um novo serviço de nuvem requer a mesma disciplina que a implementação de um serviço não em nuvem. A equipe de implementação precisa garantir que as seguintes atividades de critérios de sucesso sejam concluídas:

  • Verifique se o serviço em nuvem fornece a funcionalidade necessária em um ambiente de teste.
  • Verifique se todos os processos funcionam conforme o esperado.
  • Verificar as atividades de recuperação de dados, formatação, migração e função de recursos de ETL (extrair, transformar e carregar).
  • Verificar a integração com sistemas de gerenciamento e monitoramento.
  • Assegure-se de que o help desk possa solucionar dúvidas e problemas rapidamente.
  • Desenvolver um plano de devolução caso haja um problema inesperado nos estágios iniciais da produção, de modo a não impactar os usuários.
  • Verificar o gerenciamento de identidade e acesso no novo ambiente de nuvem.
  • Verifique se a equipe administrativa solicitou acesso para realizar atividades administrativas no serviço newcloud.
  • Compare o tempo que as atividades de recuperação de dados e sistema levam para concluir no novo serviço de nuvem versus seu estado atual.

O POC pode ser implementado internamente ou diretamente em um serviço de nuvem pública. Embora um serviço de nuvem pública forneça benefícios como provisionamento e escalabilidade rápidos, é importante que as organizações realizem testes usando um conjunto de dados representativo em vez de dados de produção para garantir a segurança dos dados. Também é importante reconhecer que pode haver diferenças entre os ambientes POC e de nuvem de destino que precisarão ser resolvidos na migração para o ambiente de produção.

Uma vez que todos os testes tenham sido concluídos e todas as partes interessadas tenham assinado que sua área está funcionando corretamente, o novo serviço em nuvem pode ser colocado em produção completa quando as seguintes atividades forem concluídas:

  • Contratos de negócios acordados e em vigor
  • SLAs acordados e em vigor
  • Suporte ao cliente (help desk) instruído/treinado e no local. O suporte técnico pode estar na organização ou com o provedor de serviços em nuvem
  • Gerenciamento pós-implementação ou plano de operações concluído

 

Etapa 10: Gerencie o ambiente da nuvem

A responsabilidade dentro da organização do cliente pela operação bem-sucedida dos serviços em nuvem é compartilhada pelo CIO, que tem responsabilidade geral, e pelo gerente de suporte ao cliente que gerencia os desafios operacionais do dia a dia. Quaisquer problemas que não possam ser resolvidos devem ser encaminhados ao CIO para garantir que todas as possibilidades de resolver os problemas tenham sido executadas. Se os problemas não puderem ser resolvidos, as opções gravadas no SLA poderão ser chamadas.

Os requisitos técnicos e de suporte ao cliente variam de acordo com o modelo de serviço, o modelo de implantação e a opção de hospedagem selecionada:

  • Para uma nuvem privada (no local), o gerenciamento da nuvem será consistente com o gerenciamento dos serviços existentes na organização.
  • Para nuvens Privadas (terceirizadas) e públicas, a responsabilidade pelo gerenciamento do(s) serviço(s) de nuvens será definida no Contrato de Serviço em Nuvem. O Contrato de Serviço em Nuvem estabelecerá processos para identificar um problema, indicará quem é responsável e, dependendo do impacto do problema, quais recursos serão utilizados para resolver o problema.

Um processo de recuperação de desastre deve ser definido e implementado para proteger a organização e seus ativos digitais. A responsabilidade por esse processo pode variar dependendo da natureza do serviço – por exemplo, para um serviço SaaS, ele geralmente será responsabilidade do provedor de serviços em nuvem, enquanto que para serviços IaaS, pode ser responsabilidade do cliente do serviço em nuvem. O processo de recuperação de desastre deve ser verificado antes de implantar e ativar o serviço de produção. Quando necessário, o gerente de suporte ao cliente dentro da organização é responsável por iniciar o processo de recuperação de desastre. Deve haver indivíduos treinados no provedor de serviços em nuvem e no cliente da nuvem que podem garantir que o processo de recuperação seja concluído corretamente e possam verificar se não houve perda de dados.

Deve haver um contrato de serviço documentado e um processo de entrega de serviços entre o cliente da nuvem e o provedor de serviços de nuvem, que deve cobrir o processo de comunicação de incidentes e as respostas ao indivíduo que relatou o incidente. Cada problema deve ter uma gravidade atribuída a ele para refletir o impacto e a urgência resultante da resolução. Se um indivíduo dentro da organização não puder obter um incidente resolvido por meio do provedor de serviços em nuvem, o problema deverá ser encaminhado ao gerente de suporte ao cliente. O gerente de suporte ao cliente avaliará a gravidade do incidente e executará a ação apropriada.

Além do suporte técnico e ao cliente, o gerenciamento do ambiente de nuvem envolve o tratamento de solicitações de mudança feitas pela empresa para atender aos requisitos de negócios em constante mudança. Um processo eficaz de gerenciamento de mudanças precisa ser implementado para garantir que os requisitos de negócios sejam reunidos, validados, desenvolvidos, testados e implementados. Além disso, no cenário provável de ter vários fornecedores de nuvem, o cliente deve garantir que os processos de gerenciamento do fornecedor estejam claramente definidos para obter os melhores resultados.

 

Comentários estão fechados.