© 2020, Amazon Web Services, Inc. o sue affiliate Selezione delle regioni Come si selezionano le Regioni per il carico di lavoro? SUS 1 La scelta della Regione per il carico di lavoro influisce in modo significativo sui suoi KPI tra cui prestazioni costi e impatto ambientale Per migliorare in modo efficace questi KPI devi scegliere le regioni per i carichi di lavoro in base alle esigenze aziendali e agli obiettivi di sostenibilità … Selezione delle regioni Allineamento alla domanda Come si allineano le risorse cloud alla domanda? SUS 2 Il modo in cui gli utenti e le applicazioni utilizzano i tuoi carichi di lavoro e altre risorse può aiutarti a identificare i miglioramenti da implementare per raggiungere gli obiettivi di sostenibilità Dimensiona l infrastruttura in modo che sia costantemente adatta alla domanda e verifica di usare solo le risorse minime necessarie per supportare gli utenti Allinea i livelli di servizio alle esigenze dei clienti Colloca le risorse in modo da limitare la rete necessaria per il loro consumo da parte di utenti e applicazioni Rimuovi gli asset inutilizzati Offri ai membri del tuo team dispositivi in grado di soddisfare le loro esigenze con un impatto ridotto in termini di sostenibilità … Allineamento alla domanda Software e architettura In che modo sfrutti i modelli di software e architetture per sostenere i tuoi obiettivi di sostenibilità? SUS 3 Implementa modelli per eseguire lo smoothing del carico e garantire un utilizzo elevato e coerente delle risorse implementate per ridurre al minimo il loro consumo In seguito alle modifiche nei comportamenti degli utenti nel tempo alcuni componenti potrebbero diventare inattivi per mancanza di utilizzo Rivedi modelli e architetture per consolidare i componenti sottoutilizzati e aumentare l uso complessivo Ritira i componenti che non sono più necessari Analizza le prestazioni dei componenti dei tuoi carichi di lavoro e ottimizza quelli che usano la maggior quantità di risorse Identifica i dispositivi che i clienti utilizzano per accedere ai servizi e implementa modelli in grado di ridurre al minimo la necessità di aggiornamenti dei dispositivi … Software e architettura Dati In che modo utilizzi i modelli e le policy di gestione dei dati per sostenere i tuoi obiettivi di sostenibilità? SUS 4 Implementa procedure di gestione dei dati per ridurre l archiviazione assegnata richiesta per supportare il carico di lavoro e le risorse necessarie per l uso correlato Analizza i tuoi dati e usa tecnologie e configurazioni di archiviazione che meglio supportano il valore aziendale dei dati e il modo in cui vengono utilizzati Esegui il ciclo di vita dei dati su un archiviazione più efficiente e meno performante al diminuire dei requisiti ed elimina i dati che non sono più necessari … Dati Hardware e servizi In che modo si selezionano e utilizzano hardware e servizi cloud nell'architettura per supportare gli obiettivi di sostenibilità? SUS 5 Cerca opportunità per ridurre l impatto dei carichi di lavoro in termini di sostenibilità apportando modifiche alle tue prassi di gestione hardware Riduci la quantità di hardware necessaria per il provisioning e l implementazione e seleziona l hardware e i servizi più efficienti per il singolo carico di lavoro … Hardware e servizi Processo e cultura In che modo i processi organizzativi adottati supportano gli obiettivi di sostenibilità? SUS 6 Cerca opportunità per ridurre l impatto di sostenibilità apportando modifiche alle tue prassi di sviluppo test e implementazione … Processo e cultura L'impatto ambientale, economico e sociale a lungo termine delle tue attività aziendali. La Commissione mondiale per l'ambiente e lo sviluppo delle Nazioni Unite definisce lo sviluppo sostenibile come "uno sviluppo che soddisfa le esigenze del presente senza compromettere la capacità delle generazioni future di soddisfare le proprie esigenze". La tua organizzazione o azienda potrebbe avere un impatto negativo sull'ambiente con emissioni di anidride carbonica dirette o indirette, rifiuti non riciclabili e danni alle risorse condivise come l'acqua pulita. Sostenibilità Gestione finanziaria del cloud Come implementi la gestione finanziaria nel cloud? COST 1  Con l adozione del cloud i team tecnologici innovano più rapidamente grazie a cicli di approvazione approvvigionamento e distribuzione dell infrastruttura più brevi Per ottenere valore aggiunto e migliorare gli affari è necessario un nuovo approccio alla gestione finanziaria nel cloud Questo approccio è la gestione finanziaria del cloud e crea capacità in tutta l organizzazione implementando competenze programmi risorse e processi a livello organizzativo Molte organizzazioni sono composte da tante unità con priorità diverse La capacità di allineare un organizzazione a un insieme concordato di obiettivi finanziari e di fornire all organizzazione i meccanismi per raggiungerli permette di creare un organizzazione più efficiente Un organizzazione capace innova e crea più rapidamente è più agile e si adatta a qualsiasi fattore interno o esterno … Implementazione della gestione finanziaria del cloud Gestione dell'utilizzo In che modo gestisci l'utilizzo? COST 2 Monitoraggio dell'utilizzo e del costo In che modo monitori i costi e l'utilizzo? COST 3 Disattivazione delle risorse In che modo disattivi le risorse? COST 4 La maggiore flessibilità e agilità consentite dal cloud incoraggiano l innovazione lo sviluppo e la distribuzione rapidi Elimina i processi manuali e il tempo associati al provisioning dell infrastruttura locale tra cui l identificazione delle specifiche hardware la negoziazione delle quotazioni dei prezzi la gestione degli ordini di acquisto la pianificazione delle spedizioni e la distribuzione delle risorse Tuttavia la facilità d uso e la capacità on demand virtualmente illimitata richiedono un nuovo tipo di mentalità in merito alle spese Molte aziende sono caratterizzate da più sistemi gestiti da vari team La capacità di attribuire i costi delle risorse ai singoli proprietari dell organizzazione o del prodotto incoraggia un comportamento di utilizzo efficiente e contribuisce a ridurre gli sprechi L attribuzione precisa dei costi consente di capire quali prodotti sono effettivamente redditizi e permette anche di prendere decisioni più consapevoli in merito alle destinazioni del budget … Consapevolezza delle spese e dell'utilizzo Selezione servizio In che modo valuti i costi quando selezioni i servizi? COST 5 Selezione di tipo, dimensioni e numero di risorse In che modo raggiungi gli obiettivi di costo quando selezioni il tipo, le dimensioni e il numero delle risorse? COST 6 Selezione del modello di prezzo In che modo impieghi i modelli di prezzo per ridurre i costi? COST 7 Pianificazione del trasferimento dati In che modo pianifichi i costi per il trasferimento dei dati? COST 8 Utilizzare risorse e istanze adeguate al tuo carico di lavoro è fondamentale per ridurre i costi Ad esempio un processo di reporting potrebbe impiegare cinque ore su un server più piccolo ma un ora su un server più grande che costa il doppio Entrambi i server ti offrono lo stesso risultato ma quello più piccolo comporta un costo più elevato nel tempo Un carico di lavoro basato sul Canone di architettura AWS si basa sulle risorse più convenienti il che può avere un impatto economico positivo e notevole Hai anche la possibilità di usare i servizi gestiti per ridurre i costi Ad esempio invece di mantenere dei server per recapitare le e mail puoi usare un servizio che ti invia gli addebiti in base ai messaggi inviati … Risorse convenienti Gestione delle risorse di domanda e offerta Come gestisci la domanda e fornisci le risorse? COST 9 Quando passi al cloud paghi solo ciò che ti occorre Puoi fornire risorse in base alla domanda del carico di lavoro nel momento in cui sono necessarie eliminando così la necessità di un provisioning superfluo costoso e dispendioso Puoi gestire la domanda anche utilizzando la limitazione della larghezza di banda della rete il buffer o la coda in modo da semplificare e soddisfare la richiesta usando meno risorse e costi oppure puoi posticiparne l elaborazione con un servizio batch … Gestione delle risorse di domanda e offerta Valutazione di un nuovo servizio In che modo valuti i nuovi servizi? COST 10 Valuta il costo dell'impegno Come puoi valutare il costo dell'impegno? COST 11 Poiché AWS rilascia nuovi servizi e caratteristiche è buona prassi rivedere le decisioni correnti sull architettura per garantire che continuino a essere le più convenienti Man mano che le tue esigenze cambiano disattiva tempestivamente risorse interi servizi e sistemi non appena smettono di essere necessari … Ottimizzazione nel tempo La capacità di eseguire sistemi per fornire valore aziendale al minor prezzo possibile. Ottimizzazione dei costi Scelta dell'architettura Come si selezionano le risorse cloud e gli schemi di architettura appropriati per il carico di lavoro? PERF 1 La soluzione ottimale per un determinato carico di lavoro può variare e le soluzioni spesso combinano molteplici approcci I carichi di lavoro Well Architected utilizzano soluzioni multiple e consentono funzionalità diverse per migliorare le prestazioni … Scelta dell'architettura Calcolo e hardware In che modo selezioni e utilizzi le risorse di elaborazione nel tuo carico di lavoro? PERF 2 La soluzione ottimale di elaborazione per un determinato sistema potrebbe variare in base alla progettazione dell applicazione ai modelli di utilizzo e alle impostazioni di configurazione Le architetture possono utilizzare diverse soluzioni di calcolo per vari componenti e impiegare funzionalità diverse per migliorare le prestazioni Selezionare la soluzione di elaborazione sbagliata per un architettura può ridurre l efficienza delle prestazioni … Calcolo e hardware Gestione dati In che modo archivi, gestisci e accedi ai dati nel tuo carico di lavoro? PERF 3 La soluzione ottimale per la gestione dei dati in un sistema specifico varia in base al tipo di dati blocco file o oggetto agli schemi di accesso casuali o sequenziali alla velocità di trasmissione effettiva necessaria alla frequenza di accesso online offline archivio alla frequenza di aggiornamento WORM dinamico e ai vincoli di disponibilità e durata I carichi di lavoro Well Architected utilizzano archivi dati appositamente progettati che impiegano diverse funzionalità per migliorare le prestazioni … Gestione dati Reti e distribuzione di contenuti In che modo selezioni e configuri le risorse di rete nel carico di lavoro? PERF 4 La soluzione di rete ottimale per un carico di lavoro varia in base a latenza requisiti di velocità di trasmissione effettiva jitter e larghezza di banda I vincoli fisici ad esempio le risorse utente o in locale determinano le opzioni di posizione Questi vincoli possono essere compensati con le edge location o la collocazione delle risorse … Reti e distribuzione di contenuti Processo e cultura Quale processo utilizzi per supportare una maggiore efficienza delle prestazioni per il carico di lavoro? PERF 5 Durante la fase di progettazione dei carichi di lavoro esistono principi e pratiche che è possibile adottare per gestire al meglio carichi di lavoro cloud efficienti e ad alte prestazioni … Processo e cultura L'abilità di utilizzare in modo efficiente le risorse di calcolo per soddisfare i requisiti del sistema e conservare tale efficienza a seconda dei cambiamenti della domanda e dell'evoluzione delle tecnologie. Efficienza delle prestazioni Quote e vincoli di servizio Come si gestiscono quote e vincoli di servizio? REL 1 Topologia di rete Come si pianifica la topologia di rete? REL 2 I requisiti di base sono quelli il cui ambito si estende oltre un singolo carico di lavoro o progetto Prima di progettare qualsiasi sistema devono essere stabiliti i requisiti fondamentali che influenzano l affidabilità Ad esempio è necessario disporre di una larghezza di banda di rete sufficiente verso il data center … Fondamenti Architettura del servizio Come si progetta l'architettura del servizio di carico di lavoro? REL 3 Progettazione delle interazioni per evitare gli errori Come si progettano le interazioni in un sistema distribuito per evitare errori? REL 4 Progettazione delle interazioni per mitigare gli errori Come si progettano le interazioni in un sistema distribuito per mitigare o affrontare gli errori? REL 5 Un carico di lavoro affidabile comincia con decisioni iniziali di progettazione sia per il software che per l infrastruttura Le tue scelte di architettura avranno un impatto sul comportamento del carico di lavoro su tutti e cinque i pilastri di Well Architected Per l affidabilità è necessario seguire modelli specifici … Architettura del carico di lavoro Monitoraggio delle risorse Come monitorare le risorse del carico di lavoro? REL 6 Gestione della domanda Come si progetta il carico di lavoro per adattarsi ai cambiamenti della domanda? REL 7 Gestione delle modifiche In che modo implementare le modifiche? REL 8 Le modifiche apportate al carico di lavoro o al relativo ambiente devono essere previste e gestite affinché il carico di lavoro funzioni in modo affidabile Certe modifiche al carico di lavoro sono imposte da fattori esterni quali i picchi di domanda altre modifiche dipendono da fattori interni quali le distribuzioni delle funzionalità e le patch di sicurezza … Gestione delle modifiche Backup dei dati In che modo eseguire il backup dei dati? REL 9 Isolamento dei guasti Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? REL 10 Implementazione della resilienza Come si progetta il carico di lavoro affinché resista ai guasti dei componenti? REL 11 Test di affidabilità Come si testa l'affidabilità? REL 12 Disaster recovery Come si pianifica il disaster recovery? REL 13 In qualsiasi sistema di ragionevole complessità è previsto che si verifichino errori L affidabilità richiede che il carico di lavoro venga a conoscenza degli errori nel momento in cui si verificano e intervenga per evitare conseguenze sulla disponibilità I carichi di lavoro devono essere in grado di affrontare errori e risolvere automaticamente i problemi … Gestione degli errori Include la capacità di un carico di lavoro di eseguire al momento opportuno la funzione prevista in modo corretto e coerente. Include la possibilità di utilizzare e testare il carico di lavoro per tutto il ciclo di vita. Questo documento fornisce linee guida dettagliate sulle best practice per l'implementazione di carichi di lavoro affidabili in AWS. Affidabilità Priorità delle operazioni In che modo stabilisci quali sono le tue priorità? OPS 1 Modello operativo Come strutturare la tua organizzazione per supportare i risultati aziendali? OPS 2 Cultura organizzativa In che modo la cultura aziendale supporta i risultati aziendali? OPS 3  È necessario che i team abbiano una comprensione condivisa dell intero carico di lavoro del ruolo che vi svolgono nonché degli obiettivi aziendali condivisi In questo modo potranno stabilire le priorità che possono favorire il successo aziendale Un adeguata definizione delle priorità massimizzerà i risultati dei tuoi sforzi Valuta le esigenze dei clienti interni ed esterni coinvolgendo i principali stakeholder compresi i team aziendali di sviluppo e operativi per stabilire dove concentrare le attività operative Valutando le esigenze dei clienti otterrai una conoscenza approfondita del supporto necessario per raggiungere i risultati aziendali Assicurati di essere a conoscenza delle linee guida o degli obblighi definiti dalla governance organizzativa e di fattori esterni come i requisiti di conformità normativa e gli standard di settore che possono imporre o sottolineare un attenzione specifica Accertati di disporre di meccanismi per identificare le modifiche ai requisiti di governance interna e di conformità esterni Se non vengono identificati requisiti assicurati che sia stata applicata la dovuta diligenza per giungere a questa conclusione Rivedi regolarmente le tue priorità in modo che possano essere aggiornate al mutare delle esigenze Valuta le minacce per il business ad esempio rischi e responsabilità aziendali e minacce alla sicurezza delle informazioni e conserva queste informazioni in un registro dei rischi Valuta l impatto dei rischi e dei compromessi tra interessi concorrenti o approcci alternativi Ad esempio accelerare l introduzione sul mercato di nuove funzionalità può essere preferibile all ottimizzazione dei costi Oppure è possibile scegliere un database relazionale per i dati non relazionali per semplificare l iniziativa di migrazione di un sistema senza refactoring Gestisci i vantaggi e i rischi per prendere decisioni informate nel determinare dove concentrare gli sforzi Alcuni rischi o scelte possono essere accettabili per un certo periodo di tempo potrebbe essere possibile ridurre i rischi associati o la presenza di un rischio potrebbe diventare inaccettabile nel qual caso si intraprenderà un azione per risolverlo I tuoi team devono comprendere quale contributo offrono nel raggiungimento dei risultati aziendali I team devono avere obiettivi condivisi e devono comprendere il proprio ruolo nel successo degli altri team Comprendere la responsabilità la proprietà il modo in cui vengono prese le decisioni e chi ha l autorità decisionale aiuterà a concentrare gli sforzi e a ottimizzare i contributi dei team Le esigenze di un team sono influenzate dal cliente supportato dall organizzazione dalla composizione del team e dalle caratteristiche del carico di lavoro Non è ragionevole aspettarsi che un singolo modello operativo sia in grado di supportare tutti i team e i relativi carichi di lavoro dell organizzazione Assicurati che siano identificati i proprietari di ogni applicazione carico di lavoro piattaforma e componente dell infrastruttura e che per ogni processo e procedura sia identificato un proprietario responsabile della sua definizione e dei proprietari responsabili delle loro prestazioni La comprensione del valore aziendale di ogni componente processo e procedura del motivo per cui tali risorse sono presenti o le attività vengono eseguite e del perché tale proprietà esiste indirizzerà le azioni dei membri del team Definisci chiaramente le responsabilità dei membri del team in modo che possano agire in modo appropriato e disporre di meccanismi per identificare responsabilità e proprietà Implementa meccanismi per richiedere aggiunte modifiche ed eccezioni in modo da non porre limiti all innovazione Definisci gli accordi tra i team che descrivono il modo in cui collaborano per supportarsi reciprocamente e contribuire ai risultati aziendali Fornisci supporto ai membri del team in modo che possano essere più efficaci nell azione e nel supporto dei risultati aziendali La leadership aziendale di alto livello deve stabilire le aspettative e misurare il successo Gli alti dirigenti sono promotori sostenitori e motori per l adozione delle best practice e l evoluzione dell organizzazione Consenti ai membri del team di intervenire quando i risultati sono a rischio per ridurre al minimo l impatto e incoraggiali a rivolgersi ai responsabili decisionali e alle parti interessate quando ritengono che esista un rischio in modo da poterlo risolvere e prevenire gli incidenti Fornisci comunicazioni tempestive chiare e concrete dei rischi noti e degli eventi pianificati in modo che i membri del team possano agire in modo tempestivo e appropriato Incoraggia la sperimentazione per accelerare l apprendimento e mantenere i membri del team interessati e coinvolti I team devono aumentare le proprie competenze per adottare nuove tecnologie e supportare i cambiamenti della domanda e delle responsabilità Fornisci supporto e incoraggiamento offrendo tempo strutturato dedicato all apprendimento Assicurati che i membri del team dispongano delle risorse in termini sia di strumenti sia di membri del team per avere successo e adattarsi sostenendo i risultati aziendali Sfrutta la diversità tra organizzazioni per cercare più prospettive uniche Usa questa prospettiva per incrementare l innovazione mettere in discussione le tue ipotesi e ridurre il rischio di conferme parziali Aumenta l inclusione la diversità e l accessibilità all interno dei team per ottenere prospettive vantaggiose … Organizzazione Implementa l'osservabilità Come si implementa l'osservabilità nel carico di lavoro? OPS 4 Sviluppo e integrazione In che modo riduci i difetti, favorisci la correzione e migliori il flusso nella produzione? OPS 5 Mitigazione dei rischi della distribuzione In che modo mitighi i rischi della distribuzione? OPS 6 Prontezza operativa Come fai a sapere che sei pronto a supportare un carico di lavoro? OPS 7  Per prepararti all eccellenza operativa devi comprendere i carichi di lavoro e i loro comportamenti previsti Sarai dunque in grado di progettare i carichi di lavoro in modo tale che forniscano informazioni sul loro stato e di creare le procedure per supportarli adeguatamente Progetta il tuo carico di lavoro affinché ti fornisca le informazioni necessarie a comprenderne lo stato interno ad esempio parametri log eventi e tracce in tutti i componenti a supporto dell osservabilità e dell analisi dei problemi Ripeti le operazioni per sviluppare la telemetria necessaria per monitorare lo stato del carico di lavoro identificare quando i risultati sono a rischio e abilitare risposte efficaci Mentre attivi il carico di lavoro acquisisci un ampio spettro di informazioni per consentire la consapevolezza situazionale ad esempio cambiamenti di stato attività utente accesso con privilegi contatori di utilizzo sapendo che hai la possibilità di applicare filtri per selezionare le informazioni più utili nel corso del tempo Adotta strategie che migliorino il flusso delle modifiche in produzione e che consentano il refactoring il feedback veloce sulla qualità e la correzione di errori Tali prassi accelerano l ingresso in produzione delle modifiche vantaggiose limitano i problemi distribuiti e consentono una rapida identificazione e risoluzione dei problemi introdotti attraverso le attività di distribuzione o scoperti negli ambienti Adotta prassi che consentano di fornire un feedback rapido sulla qualità e permettano un ripristino veloce dalle modifiche che non hanno i risultati previsti L uso di queste prassi consente di mitigare l impatto dei problemi introdotti attraverso la distribuzione delle modifiche Prepara un piano in caso di esito negativo delle modifiche in modo da poter rispondere più rapidamente se necessario testando e convalidando le modifiche apportate Sii consapevole delle attività pianificate nei tuoi ambienti in modo da poter gestire il rischio di modifiche che influiscono sulle attività pianificate Privilegia le modifiche frequenti piccole e reversibili per limitarne l ambito Semplificherai così la risoluzione dei problemi accelerando la correzione e mantenendo la possibilità di rollback delle modifiche In tal modo è anche possibile ottenere più frequentemente i vantaggi offerti dalle modifiche importanti Valuta la prontezza operativa del carico di lavoro dei processi e delle procedure nonché del personale per comprendere i rischi operativi correlati al carico di lavoro È consigliabile utilizzare un processo omogeneo inclusi elenchi di controllo manuali o automatici per sapere quando puoi rilasciare un carico di lavoro o una modifica Questo inoltre ti consentirà di trovare eventuali aree che per essere affrontate necessitano di pianificazioni Predisponi istruzioni che documentano le tue attività di routine e manuali che guidano i processi per la risoluzione dei problemi Analizza i vantaggi e i rischi per prendere decisioni informate e consentire l adozione delle modifiche nella produzione … Preparazione Osservabilità del carico di lavoro Come utilizzi l'osservabilità del carico di lavoro nella tua organizzazione? OPS 8 Stato delle operazioni Come fai a comprendere lo stato delle operazioni? OPS 9 Risposta agli eventi In che modo gestisci gli eventi del carico di lavoro e delle operazioni? OPS 10  La corretta operatività di un carico di lavoro è misurata dal raggiungimento di risultati per l azienda e per i clienti Definisci i risultati desiderati determina in che modo verrà misurato il successo e individua i parametri che saranno usati nei calcoli per determinare se il carico di lavoro e le operazioni sono efficaci L integrità delle operazioni include sia lo stato del carico di lavoro sia lo stato e il successo delle operazioni a supporto del carico di lavoro ad esempio la distribuzione e la risposta agli incidenti Stabilisci le basi dei parametri per migliorare eseguire indagini e intervenire raccogliere e analizzare i parametri quindi conferma la tua comprensione del successo operativo e della sua evoluzione nel corso del tempo Usa i parametri raccolti per determinare il grado di soddisfazione dei clienti capire se stai rispondendo alle esigenze aziendali e individuare gli aspetti da migliorare La gestione efficiente ed efficace degli eventi operativi è fondamentale per raggiungere l eccellenza operativa Ciò si applica agli eventi operativi sia pianificati che non Usa istruzioni precise per gli eventi chiari e ricorri ai manuali per favorire l analisi e la risoluzione degli altri eventi Attribuisci la priorità alle risposte agli eventi in base al loro impatto sull azienda e sui clienti Assicurati che in caso di avvisi in risposta a un evento vi sia una procedura associata da seguire con un proprietario ben preciso Definisci in anticipo il personale richiesto per risolvere un evento e includi dei trigger di escalation per coinvolgere altro personale ove necessario in base all urgenza e all impatto Individua e coinvolgi le persone che hanno l autorità per prendere decisioni in merito alle linee d azione laddove vi sia un impatto aziendale dovuto a una risposta a un evento non gestito precedentemente Comunica lo stato operativo dei carichi di lavoro tramite pannelli di controllo e notifiche personalizzati in base al pubblico di destinazione ad esempio cliente azienda sviluppatori addetti alle operazioni in modo che gli interessati possano agire in maniera adeguata che le loro aspettative vengano soddisfatte e che siano informati sulla ripresa delle normali operazioni … Operatività Evoluzione delle operazioni In che modo fai evolvere le operazioni? OPS 11  Devi imparare condividere e migliorare continuamente per sostenere l eccellenza operativa Dedica dei cicli di lavoro al raggiungimento di miglioramenti incrementali continui Esegui l analisi post incidente di tutti gli eventi che influiscono sul cliente Identifica i fattori che contribuiscono e le azioni preventive per limitare o prevenire la ricorrenza Comunica i fattori che contribuiscono alle comunità interessate nel modo più adeguato Valuta regolarmente e assegna le priorità alle opportunità di miglioramento ad esempio richieste di funzionalità risoluzione dei problemi e requisiti di conformità includendo sia il carico di lavoro sia le procedure operative Includi i loop di feedback nelle tue procedure per individuare rapidamente gli aspetti che devono essere migliorati e per acquisire conoscenze dall esecuzione delle operazioni Condividi le lezioni apprese con i vari team per condividerne anche i vantaggi Analizza le tendenze all interno delle lezioni apprese ed esegui analisi trasversali retrospettive dei parametri operativi per individuare le opportunità e i metodi di miglioramento Implementa le modifiche previste per garantire il miglioramento e valuta i risultati per favorire il successo … Evoluzione Comprende la capacità di supportare lo sviluppo ed eseguire carichi di lavoro in modo efficace, ottenere informazioni approfondite sulle loro operazioni e migliorare continuamente i processi e le procedure di supporto per offrire valore aggiunto. Eccellenza operativa Operazioni sicure Come gestire un carico di lavoro in sicurezza? SEC 1 Per gestire il carico di lavoro in modo sicuro è necessario applicare le best practice globali a ogni area di sicurezza Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree … Sicurezza Autenticazione Come si gestisce l'autenticazione per persone e macchine? SEC 2 Autorizzazione e controllo degli accessi Come si gestisce l'autenticazione per persone e macchine? SEC 3 La gestione delle identità e degli accessi è una parte principale di un programma di sicurezza delle informazioni e garantisce che solo gli utenti e i componenti autorizzati e autenticati possano accedere alle tue risorse e solo nella modalità che hai stabilito Ad esempio è necessario definire i principali ovvero account utenti ruoli e servizi che possono eseguire operazioni nel tuo account creare policy allineate a tali principali e implementare una forte gestione delle credenziali Questi elementi a gestione privilegiata formano i concetti chiave dell autenticazione e dell autorizzazione … Gestione di identità e accessi (Identity & access management) Eventi di sicurezza In che modo individui ed esamini gli eventi di sicurezza? SEC 4 Puoi utilizzare i controlli di rilevamento per identificare una potenziale minaccia o un potenziale incidente di sicurezza Questi controlli sono una parte essenziale dei framework di governance e possono essere utilizzati per supportare il processo di qualità o un obbligo legale o di conformità e per l identificazione delle minacce e gli sforzi nelle risposte Ci sono diversi tipi di controlli di rilevamento Ad esempio la realizzazione di un inventario di risorse e dei loro attributi dettagliati promuove le decisioni più efficienti e i controlli del ciclo di vita per stabilire delle baseline operative Puoi anche utilizzare audit interni una verifica dei controlli relativi ai sistemi di informazioni per assicurarti che le practice rispettino le policy e i requisiti e che tu abbia un set corretto di notifiche di avviso automatiche basate sulle condizioni definite Questi controlli sono fattori di reazione importanti che possono aiutare la tua organizzazione a identificare e capire la portata dell attività anomala … Rilevamento Protezione della rete Come proteggere le risorse di rete? SEC 5 Protezione delle risorse di calcolo In che modo proteggi le risorse di calcolo? SEC 6 La protezione dell infrastruttura comprende delle metodologie di controllo come la difesa approfondita necessarie per rispettare le best practice e gli obblighi organizzativi e normativi L utilizzo di queste metodologie è fondamentale per ottenere operazioni continuative e di successo sia nel cloud che in locale … Protezione dell'infrastruttura Classificazione dei dati In che modo classificare i dati? SEC 7 Protezione dei dati inattivi In che modo proteggere i dati inattivi? SEC 8 Protezione dei dati in transito Come proteggere i dati in transito? SEC 9 Prima di progettare qualsiasi sistema devono essere stabiliti i requisiti fondamentali che influenzano la sicurezza Ad esempio la classificazione dei dati fornisce un modo per categorizzare i dati organizzativi basati sui livelli di sensibilità mentre la crittografia protegge i dati evitandone l intelligibilità per gli accessi non autorizzati Questi strumenti e tecniche sono importanti perché supportano obiettivi come la prevenzione delle perdite finanziarie o la conformità agli obblighi normativi … Protezione dei dati Risposta agli incidenti In che modo è possibile prevedere gli eventi, rispondere ad essi e risolverli? SEC 10 Anche se dispone di controlli preventivi e di rilevamento maturi l organizzazione deve ancora implementare meccanismi per rispondere e mitigare il potenziale impatto degli incidenti di sicurezza La tua preparazione influisce fortemente sulla capacità dei team di operare in modo efficace durante un incidente isolare contenere ed eseguire indagini sui problemi e ripristinare le operazioni a uno stato valido noto La messa in atto degli strumenti e l accesso prima di un incidente di sicurezza quindi la pratica sistematica della risposta agli incidenti durante le giornate di gioco aiuterà a garantire il ripristino riducendo al minimo le interruzioni dell attività … Risposta agli imprevisti Sicurezza delle applicazioni Come si incorporano e convalidano le proprietà di sicurezza delle applicazioni nell'intero ciclo di vita di progettazione, sviluppo e implementazione? SEC 11 Il termine sicurezza delle applicazioni AppSec descrive il processo complessivo di progettazione creazione e test delle proprietà di sicurezza dei carichi di lavoro sviluppati Devi individuare persone sufficientemente qualificate nell organizzazione comprendere le proprietà di sicurezza dell infrastruttura di sviluppo e rilascio e usare l automazione per identificare i problemi correlati alla sicurezza L adozione di test della sicurezza delle applicazioni come componente regolare del ciclo di vita di sviluppo del software e dei processi successivi al rilascio ti fornisce un meccanismo strutturato per identificare correggere e prevenire problemi di sicurezza delle applicazioni nell ambiente di produzione La metodologia di sviluppo delle applicazioni deve includere controlli di sicurezza durante la progettazione l implementazione e il funzionamento dei carichi di lavoro Nel frattempo allinea il processo per una continua riduzione degli errori e l azzeramento del debito tecnico Ad esempio usando la modellazione delle minacce durante la fase di progettazione puoi individuare i difetti di progettazione e correggerli più facilmente e in modo meno costoso anziché attendere e mitigarli in un secondo momento I costi e la complessità associati alla correzione dei difetti sono in genere inferiori se ti trovi nelle fasi iniziali del ciclo di vita di sviluppo del software Il modo più semplice per risolvere i problemi è non averne affatto ed è per questo che un modello di rischio iniziale ti permette di concentrarti sui risultati corretti sin dalla fase di progettazione Con l evolvere del programma per la sicurezza delle applicazioni puoi aumentare la quantità di test eseguiti tramite l automazione migliorare l attendibilità del feedback degli sviluppatori e ridurre il tempo necessario per le revisioni della sicurezza Tutte queste iniziative migliorano la qualità del software sviluppato e accelerano la distribuzione di funzionalità nell ambiente di produzione Queste linee guida di implementazione sono incentrate su quattro aree organizzazione e cultura sicurezza della pipeline sicurezza nella pipeline e gestione delle dipendenze Ogni area fornisce un set di principi che puoi applicare e una visione completa di come progettare sviluppare compilare implementare ed eseguire carichi di lavoro … Sicurezza delle applicazioni La capacità di proteggere dati, sistemi e asset per sfruttare le tecnologie cloud in modo da migliorare la sicurezza. Sicurezza