Nelle parti 1 e 2 sono state esaminate la pianificazione dell'allocazione delle risorse, l'assegnazione di tag alle risorse, l'autenticazione, i criteri di autorizzazione e password, l'audit trail, il controllo del budget, l'accesso sicuro agli ambienti cloud, la gestione delle risorse di calcolo e l'archiviazione di informazioni riservate.
Nella terza e ultima parte della serie verranno esaminate le procedure consigliate aggiuntive per la creazione di nuovi ambienti nel cloud.
Archiviazione degli oggetti
Quando si usa l'object storage, si consiglia di seguire le linee guida seguenti:
· Evitare di consentire l'accesso pubblico a servizi come Amazon S3, Archiviazione BLOB di Azure, Google Cloud Storage, Oracle Cloud Object Storage e così via.
· Abilitare l'accesso di controllo nell'archivio oggetti e archiviare i log di accesso in un account centrale nell'ambiente cloud (che sarà accessibile solo per un numero limitato di account utente).
· È consigliabile crittografare i dati inattivi su tutti i dati all'interno dell'object storage e quando è presente un requisito aziendale o normativo e crittografare i dati utilizzando le chiavi gestite dai clienti.
· È consigliabile applicare HTTPS/TLS per l'accesso all'archiviazione degli oggetti (utenti, computer e applicazioni).
· Evitare di creare nomi di bucket di archiviazione oggetti con informazioni riservate, poiché i nomi dei bucket di archiviazione degli oggetti sono univoci e salvati all'interno dei server DNS in tutto il mondo.
Networking
· Assicurarsi che l'accesso a tutte le risorse siano protette da elenchi di accesso (. AWS Security Groups, Azure Network Security Groups, GCP Firewall Rules, Oracle Cloud Network Security Groups, etc.)
· Evitare di consentire l'accesso in ingresso agli ambienti cloud utilizzando protocolli come SSH o RDP (nel caso in cui sia necessario l'accesso remoto, utilizzare connessioni Bastion host o VPN).
· Per quanto possibile, si consiglia di evitare il traffico in uscita dall'ambiente cloud a Internet. Se necessario, usa un gateway NAT (such as Amazon NAT Gateway, Azure NAT Gateway, GCP Cloud NAT, Oracle Cloud NAT Gateway, etc.)
· Per quanto possibile, utilizzare i nomi DNS per accedere alle risorse anziché gli indirizzi IP statici.
· Quando si sviluppano ambienti cloud e subnet all'interno di nuovi ambienti, evitare la sovrapposizione IP tra subnet per consentire il peering tra ambienti cloud.
Advanced use of cloud environments
· Uso avanzato degli ambienti cloud
· Preferire usare i servizi gestiti anziché gestire manualmente le macchine virtuali (servizi come Amazon RDS, Azure SQL Database, Google Cloud SQL, etc.)
It allows consumption of services, rather than maintaining servers, operating systems, updates/patches, backup and availability, assuming managed services in cluster or replica mode is chosen.
· Use Infrastructure as a Code (IoC) in-order to ease environment deployments, lower human errors and standardize deployment on multiple environments (Prod, Dev, Test).
Common Infrastructure as a Code alternatives:
o Google Cloud Deployment Manager
o Oracle Cloud Resource Manager
Summary
To sum up:
Plan. Know what you need. Think scale.
If you use the best practices outlined here, taking off to the cloud for the first time will be an easier, safer and smoother ride then you might expect.
Additional references
· Microsoft Azure Well-Architected Framework
· Google Cloud's Architecture Framework
· Oracle Cloud Infrastructure Best Practices Framework
