IBM Cloud Docs
Principios

Principios

Esta recomendación utiliza los siguientes principios clave para obtener la escala y, al mismo tiempo, optimizar la conformidad, el coste y la eficiencia operativa.

  • Gestione el cloud como código (conformidad y optimización de operaciones)
  • Entornos de desarrollo y producción independientes (conformidad general)
  • Concentrador y radio (optimización de redes)
  • Evitar la duplicación de herramientas compartidas (optimización de costes y operaciones)
  • Utilizar infraestructura compartida para cargas de trabajo de aplicaciones (optimización de costes y operaciones)
  • Gestión y carga de trabajo independientes (conformidad)
  • Trabajar dentro de límites y restricciones operativas de IBM Cloud

Cloud como código

Una parte clave de esta recomendación es realizar toda la configuración de nube y la configuración como código, es decir, automatizar todo, desde la infraestructura de aplicaciones hasta la creación de cuentas, pasando por la supervisión de conformidad. La automatización de todo permite a la empresa garantizar la escala, la conformidad, la seguridad, etc., de una forma repetible y fácilmente evolutiva. IBM Cloud proporciona una serie de arquitecturas desplegables en el catálogo de IBM Cloud que se pueden utilizar para automatizar estas recomendaciones con el mínimo esfuerzo. Estas soluciones prefabricadas también se pueden personalizar o ampliar para que se ajusten a las necesidades de la empresa.

La gestión de la infraestructura como código a escala requiere algo más que Terraform en un repositorio Git . La infraestructura como código es el ADN de una solución cloud de toda la empresa porque debe estar sujeta tanto al gobierno como a la gestión. La infraestructura como código garantiza que solo se despliegue el código validado, conforme y aprobado. También puede realizar un seguimiento de cómo se corresponden los despliegues con proyectos internos, equipos, centros de costes, etc.

IBM Cloud proporciona una serie de herramientas para ayudarle con este proceso. El catálogo de IBM Cloud permite a una empresa anunciar soluciones IaC aprobadas a los usuarios en la nube. Los proyectos deIBM Cloud permiten a una empresa asegurarse de que solo se despliega IaC aprobado y realizar un seguimiento de cómo se corresponden los recursos resultantes con los proyectos, equipos y centros de costes.

Controles relacionados en IBM Cloud Framework for Financial Services

Los siguientes controles deIBM Cloud Framework for Financial Services están más relacionados con esta guía. Sin embargo, además de seguir la guía aquí, haga su propia diligencia debida para asegurarse de que cumple con los requisitos.

Tabla 1. IBM Cloud Framework for Financial Services
Familia Control
Gestión de configuración (CM) CM-2 Configuración de línea base
CM-2 (2) Soporte de automatización para precisión/moneda
CM-3 Control de cambios de configuración
Control de acceso (AC) AC-5 Separación de funciones

Desarrollo y producción separados

Los entornos de desarrollo deben estar separados de los entornos de producción, ya que tienen distintos requisitos de contabilidad, utilización de recursos, acceso, disponibilidad, redes y conformidad. Sin embargo, al mismo tiempo, los entornos de desarrollo deben mantenerse sincronizados con los entornos de producción para que los usuarios que prueban en desarrollo puedan estar seguros de que la aplicación se comportará de forma similar en producción.

Esta recomendación crea una separación limpia entre entornos de desarrollo y producción, pero utiliza la infraestructura como código para asegurarse de que el desarrollo y la producción están alineados.

Controles relacionados en IBM Cloud Framework for Financial Services

Los siguientes controles deIBM Cloud Framework for Financial Services están más relacionados con esta guía. Sin embargo, además de seguir la guía aquí, haga su propia diligencia debida para asegurarse de que cumple con los requisitos.

Tabla 2. IBM Cloud Framework for Financial Services
Familia Control
Gestión de configuración (CM) CM-3 (2) Control de cambios de configuración | Prueba, validación y Documentation de cambios
CM-4 (1) Análisis de impacto | entornos de prueba separados
Adquisición de sistemas y servicios (SA) SA-10 Gestión de configuración del desarrollador
SA-15 (9) Development Process, Standards y Tools | Uso de datos activos
Protección de sistemas y comunicaciones (SC) SC-2 Particionamiento de aplicaciones
Aislamiento de función de seguridadSC-3

Modelo de concentrador y radio

En la nube, es común hablar sobre el uso de un modelo de hub y spoke para la red. En este modelo, un concentrador de red centralizado enlaza muchas redes de radio (VPC). Normalmente se utiliza un concentrador centralizado para reducir los costes y aumentar la escala, permitiendo al mismo tiempo la conectividad de red privada dentro de la nube.

En esta recomendación, también generalizamos este patrón de concentrador y radio, aplicándolo a varias áreas diferentes de interés incluyendo redes, gestión de infraestructura como código, secretos, servicios compartidos, y más.

Infraestructura de aplicaciones compartidas

La creación de una infraestructura de aplicaciones segura, compatible, robusta y escalable puede ser difícil de configurar y costosa de mantener. Las máquinas virtuales o los clústeres deben estar desplegados, el registro y la supervisión configurados, los cortafuegos y las comprobaciones de vulnerabilidad habilitados, y todo esto debe estar supervisado y actualizado. Además, esta infraestructura debe escalarse para dar cabida a las cargas de ráfaga de aplicaciones y, como resultado, algunos aspectos de la infraestructura están infrautilizados la mayor parte del tiempo.

La estandarización de la infraestructura de aplicaciones siempre que sea posible y, a continuación, el alojamiento de muchas aplicaciones en la misma infraestructura, es esencial para reducir los costes operativos. Esta configuración permite que la infraestructura se utilice mejor y comparta el coste de las operaciones entre muchas aplicaciones. Esto también hace que sea práctico utilizar la infraestructura como código para desplegar muchas copias de la infraestructura, amortizando el coste de desarrollo y mantenimiento de dicha infraestructura como código entre potencialmente miles de aplicaciones.

Como se muestra en el análisis volumétrico, de 1 a 100 aplicaciones deben alojarse por cuenta en esta infraestructura compartida con un promedio de quizás 10 a 20 aplicaciones por cuenta. Con cientos de cuentas (algunas designadas para el desarrollo y la prueba y otras designadas para cargas de trabajo de producción), este modelo puede dar soporte a miles de aplicaciones y su desarrollo.

Un buen punto de partida para desarrollar la infraestructura de alojamiento de aplicaciones estandarizada es la arquitectura desplegable de la VPC landing zone de IBM Cloud. Esta solución compatible con IBM Cloud for Financial Services configura todo lo necesario para alojar aplicaciones basadas en VM o contenedores de una forma totalmente segura y compatible. Además, la arquitectura desplegable está soportada y mantenida por IBM. A medida que llegan los nuevos requisitos de conformidad o se descubren vulnerabilidades, la solución se actualiza para mantener la seguridad y la conformidad.

Gestión separada de la carga de trabajo

En la IBM Cloud Framework for Financial Services , las cargas de trabajo de gestión se separan de las cargas de trabajo de aplicación para dar soporte a los distintos modelos de acceso, requisitos de privacidad de datos, requisitos de acceso a la red, etc. Debido a que estos principios se aplican más ampliamente que sólo en el sector de los servicios financieros, se han aplicado en esta recomendación general.

Controles relacionados en IBM Cloud Framework for Financial Services

Los siguientes controles deIBM Cloud Framework for Financial Services están más relacionados con esta guía. Sin embargo, además de seguir la guía aquí, haga su propia diligencia debida para asegurarse de que cumple con los requisitos.

Tabla 3. IBM Cloud Framework for Financial Services
Familia Control
Protección de sistemas y comunicaciones (SC) SC-2 Particionamiento de aplicaciones
Aislamiento de función de seguridadSC-3

Trabajar dentro de límites y restricciones operativas de IBM Cloud

IBM Cloud, al igual que todas las nubes públicas, tienen determinadas cuotas, límites y restricciones en los patrones de despliegue, escala, etc. Esta recomendación debe alinearse y mantenerse dentro de todos los límites y restricciones.

Ejemplos de tales cuotas y límites incluyen: