Este documento discute el concepto de gobierno de nube y la necesidad de establecer un modelo de gobierno de nube para empresas que usan múltiples cuentas de nube. Explica que un modelo de gobierno de nube proporciona una forma efectiva de configurar y gobernar la nube a escala mediante el establecimiento de controles centralizados para la seguridad, el cumplimiento, el acceso y el consumo de recursos entre cuentas. También describe los beneficios de establecer un "landing zone" que actúa como un
2. 12 AGOSTO 2023
Ricardo González
¿QUÉ DIABLOS ES
GOBIERNO DE
NUBE?
Chief Technology Officer
Clouxter
@rgonv
3. 12 AGOSTO 2023
¿Quién les habla?
• Ricardo Gonzalez
• Estratega de Tecnología y Negocios, Trusted Advisor
para múltiples compañías en diferentes industrias
• 25+ años en arquitectura de soluciones, procesos de
desarrollo de software y adopción de nube, 750+
companias
• Reconocido por múltiples fabricantes como experto
en diferentes tecnologías.
• Ingeniero de Diseño y Automatización electrónica –
MSc Ing Sistemas y Computación
• Diferentes verticales: Financiera, Salud, Seguridad,
Educación, Telecomunicaciones, Digital Marketing,
Gobierno, Cloud Services, Industria
@rgonv
4. 12 AGOSTO 2023
• Tradicionales – TI On-Premise
Retos de las empresas de cara TI
y su camino a la nube
Regulación (y el
entendimiento de
la misma)
Capacidad de
computo locales
– limitante para
crecer
Limitaciones para
provisionamiento
de recursos
locales
Procesos de
adquisición de TI
lentos y costosos
Difícil trazabilidad
y categorización
del uso y
consumo
Gestión de
seguridad y
aislamiento de
ambientes
Acceso limitado a
tecnología de
punta
Conocimiento
5. 12 AGOSTO 2023
• Startups
• Velocidad y agilidad
• Crecimiento acelerado (potencialmente desordenado)
• Múltiples ambientes
• En algunos casos, ambientes por cliente
Frecuentemente:
• Pocas cuentas consolidando muchas cargas de trabajo haciéndolo una operación muy
compleja
O
• Múltiples cuentas sin gestión centralizada
• Dificultad de administración de identidad y acceso
• Dificultad para segmentar y optimizar costo
• Dificultar para escalar
• Gestión de seguridad potencialmente complicada para los usuarios
• Dificultad para provisionar nuevas cargas de trabajo de forma aislada y controlada
• Provisionamiento de ambientes de prueba (sandbox)
• Trazabilidad de consumo, acceso y operación.
Retos de las empresas de cara a
la nube
6. 12 AGOSTO 2023
Solucion para un
crecimiento organizado
Establecer un modelo de
gobierno que permita
control (segregación
/agregación) en términos
de consumo, seguridad y
operación.
Mantener el
cumplimiento de las
regulaciones de la
industria específica (PCI,
HIPAA, NIST, ISO)
Aprovisionar
rápidamente nuevas
cargas de trabajo o
ambientes de
laboratorio.
Explotar mejor los
beneficios de la nube,
orientados a la gestión
de la capacidad y
seguridad
Establecer la postura de
seguridad clara y
consistente
Revisar los mecanismos
que garanticen la
continuidad del servicio
(BCP, DR)
Necesidades Comunes:
7. 12 AGOSTO 2023
Que esperan lograr las empresas
al adoptar la nube?
Construir
Enfocándose
en la
diferenciación
Moverse Rápido
Desde la idea
hasta
la implementación
Mantenerse Seguro
Ambientes seguros y
con cumplimiento
8. 12 AGOSTO 2023
Necesitan un ambiente que sea
Seguros y en Conformidad
Que cumpla con los
requerimientos de
seguridad y auditoria de la
organización
Escalable y resiliente
Listo para soportar
cargas
de trabajo altamente
disponibles
y escalables
Adaptable y Flexible
Configurable para
soportar requerimientos
de negocio cambiantes
9. 12 AGOSTO 2023
En el proceso se enfrentan con
retos
Necesita configurar
Múltiples cuentas
y servicios
Muchas Decisiones Mantenerse Seguro
Ambientes seguros y
con cumplimiento
10. 12 AGOSTO 2023
Como balancear las necesidades de los
equipos?
Construir
Manteniéndose ágiles
Innovación con la velocidad
y agilidad de Clouxter - AWS
IT en la nube
Establecer Gobierno
Gobierno a escala con
controles centralizados
11. 12 AGOSTO 2023
Se requiere una manera efectiva de
configurar y gobernar la nube a escala
Agilidad de Negocios + Control de Gobierno
—
Aprovisionamiento
—
Operación
—
Habilitación
17. 12 AGOSTO 2023
Ambiente de Gobierno de Nube
Listo para Migrar * Listo para Escalar * Optimizado y Eficiente
Pilares de Well Architected
Excelencia
Operativa
Seguridad Confiabilidad Rendimiento Optimización de Costos
Retirar/R
etener
Recomprar
Re-platforma
(Lift, Tinker & Shift)
Re-hospedar
(Lift & Shift)
Re-factorizar/Re-
arquiitectar
(Transformar &
Modernizar)
Funciones Interoperables de Gobierno y Gestión
Network
Connectivity
Identity
Management
Controls &
Guardrails
Observability
Security Operations Service
Mgmt
(ITSM)
Sourcing &
Distribution
Cloud Financial
Mgmt
Sostenibilidad
18. 12 AGOSTO 2023
Como gestiono la
identidad ( autenticación
y autorización ) de forma
centralizada?
Como mantengo la
trazabilidad de los
recursos y las cargas de
trabajo?
Como establezco
controles se seguridad y
cumplimiento
transversales de manera
centralizada?
Como gestiono la
segregación adecuada
de costos
Y muchas otras
En el escenario multi cuenta
surgen preguntas y decisiones:
19. 12 AGOSTO 2023
Que es un Landing Zone?
• Un entorno AWS multicuenta
seguro, escalable y configurado
basado en las mejores prácticas
• Un punto de partida para nuevos
desarrollos y experimentación
• Un punto de partida para la
migración de aplicaciones
• Un ambiente que permite la
iteración y extensión en el
tiempo
Master account
AWS SSO
Stack sets AWS Service
Catalog
Log archive account
Aggregate
AWS CloudTrail
AWS Config logs
Account
baseline
Audit account
Security cross-
account roles
Account
baseline
Provisioned accounts
Network
baseline
Account
baseline
Amazon
CloudWatch
aggregator
Security
notifications
Core OU Custom OU AWS SSO
directory
AWS Organizations
20. 12 AGOSTO 2023
Environment
Review &
Continuously
Improve
Network
Connectivity
Identity
Management
Security
Management
Service Management
(ITSM)
Monitoring &
Observability
Cloud
Financial
Management
Controls and Guardrails
Sourcing and
Distribution
21. 12 AGOSTO 2023
Marco inicial de multicuenta AWS
AWS Cloud
AWS Organizations
Foundational Organizational Units (OUs)
Infrastructure Security
Δ Shared Services
Δ Network
Δ Log Archive
Δ Sec Read Only
Δ Sec Read / Write
Δ Security Tooling
Additional OUs
Dev 1
Dev 2 Dev 3
- Fixed spending
limit
- Disconnected
from network
Sandbox Workloads
- For software
development
22. 12 AGOSTO 2023
Marco de trabajo multi cuenta AWS
AWS Cloud
AWS Organizations
Foundational Organizational Units (OUs)
Infrastructure Security
Δ Shared Services
Δ Network
Δ Log Archive
Δ Sec Read Only
Δ Sec Read /
Write
Δ Security Tooling
Additional OUs
Developers
-Fixed
spending limit
-Disconnected
from network
Sandbox Workloads
- For software
development
PROD
SDLC PROD
SDLC PROD
SDLC
Policy Staging
- Verify & test
SCP changes
Suspended
- Account
closures
- Tag account
prior to moving
Individual BIZ Users
- For individual
business users
Exceptions
- Customized
security stance
due to specific
case
- SCPs pplied at
account level
- Account under
greater scrutiny
23. 12 AGOSTO 2023
• Consolidación de gestión de
servicios
• Trazabilidad
• Seguridad
• Operaciones
• Networking
• Disposición de un ambiente listo
para crecer acorde a las
necesidades actuales y futuras
• Definición centralizada de políticas:
• Consumo
• Seguridad
• Acceso
• Utilización de servicios y
recursos
• Visibilidad centralizada:
• Consumo
• Cumplimiento
¿Cuáles son los resultados de
establecer un modelo de CG?
24. 12 AGOSTO 2023
30+ proyectos
satisfactorios
Gestión centralizada de
10 a 90 cuentas AWS en
cada despliegue
Desarrollo interno de
extensiones para
monitoreo operativo, de
costos y seguridad
Mejora en la gestión sin
incremento de equipos
requeridos
Maduración de los
equipos de los clientes
en el entendimiento y
gestión de áreas criticas
como seguridad, acceso,
consumo, operaciones
Resultados de la experiencia en CG