© 2020, Amazon Web Services, Inc. ou suas afiliadas Seleção de região Como selecionar regiões para sua workload? SUS 1 A escolha da região para sua workload afeta significativamente seus KPIs incluindo desempenho custo e pegada de carbono Para melhorar efetivamente esses KPIs você deve escolher regiões para suas workloads com base em requisitos empresariais e metas de sustentabilidade … Seleção de região Alinhamento com a demanda Como alinhar recursos de nuvem à demanda? SUS 2 A maneira como os usuários e as aplicações consomem suas workloads e outros recursos pode ajudar você a identificar melhorias para atingir as metas de sustentabilidade Escale a infraestrutura de forma que ela corresponda à demanda e use apenas os recursos mínimos necessários para oferecer suporte aos usuários Alinhe os níveis de serviço às necessidades do cliente Posicione os recursos a fim de limitar a rede necessária para que usuários e aplicações os consumam Elimine ativos não utilizados Forneça aos membros da sua equipe dispositivos compatíveis com suas necessidades e minimize o impacto na sustentabilidade … Alinhamento com a demanda Software e arquitetura Como você aproveita os padrões de software e arquitetura para apoiar suas metas de sustentabilidade? SUS 3 Implemente padrões que suavizem os picos de carga e mantenham a alta utilização consistente de recursos implantados para minimizar os recursos consumidos Os componentes podem ficar ociosos devido à falta de uso por conta das mudanças no comportamento do usuário ao longo do tempo Revise os padrões e a arquitetura para consolidar os componentes subutilizados a fim de aumentar a utilização geral Retire os componentes que não são mais necessários Saiba qual é a performance dos componentes de sua workload e otimize os componentes que consomem a maioria dos recursos Esteja ciente dos dispositivos que seus clientes usam para acessar seus serviços e implemente padrões a fim de minimizar a necessidade de upgrades de dispositivos … Software e arquitetura Dados Como aproveitar as políticas e os padrões de gerenciamento de dados para apoiar as metas de sustentabilidade? SUS 4 Implemente práticas de gerenciamento de dados para reduzir o armazenamento provisionado necessário para comportar a workload e os recursos exigidos para usá la Entenda seus dados e use as tecnologias e as configurações de armazenamento que melhor promovam o valor empresarial dos dados e a forma como eles são usados Gerencie o ciclo de vida dos dados e opte por um armazenamento mais eficiente e com menor performance quando os requisitos diminuírem excluindo os dados que não são mais necessários … Dados Hardware e serviços Como selecionar e usar hardware e serviços em nuvem na arquitetura para apoiar as metas de sustentabilidade? SUS 5 Procure oportunidades para reduzir os impactos na sustentabilidade da workload fazendo mudanças nas suas práticas de gerenciamento de hardware Minimize a quantidade de hardware necessária para provisionar e implantar e escolha o hardware e os serviços mais eficientes para sua workload individual … Hardware e serviços Processo e cultura Como os seus processos organizacionais oferecem suporte às suas metas de sustentabilidade? SUS 6 Procure oportunidades para reduzir seu impacto na sustentabilidade fazendo mudanças nas suas práticas de desenvolvimento teste e implantação … Processo e cultura O impacto ambiental, econômico e social de suas atividades comerciais a longo prazo. A Comissão Mundial sobre Meio Ambiente e Desenvolvimento das Nações Unidas define desenvolvimento sustentável como o “desenvolvimento que atende às necessidades do presente sem comprometer a possibilidade de as gerações futuras atenderem às suas próprias necessidades”. Sua empresa ou organização pode ter impactos ambientais negativos, como emissões de carbono diretas ou indiretas, lixo não reciclável e danos a recursos compartilhados, como água potável. Sustentabilidade Gerenciamento financeiro na nuvem Como implementar o gerenciamento financeiro na nuvem? COST 1  Com a adoção da nuvem as equipes de tecnologia inovam mais rapidamente devido à redução dos ciclos de implantação de aprovação aquisição e infraestrutura Uma nova abordagem para o gerenciamento financeiro na nuvem é necessária para obter valor empresarial e sucesso financeiro Essa abordagem é o gerenciamento financeiro na nuvem e ela cria recursos em toda a organização por meio da implementação de criação programas recursos e processos de conhecimento em toda a organização Muitas organizações são compostas por várias unidades diferentes com prioridades diferentes A capacidade de alinhar sua organização a um conjunto combinado de objetivos financeiros e fornecer a ela os mecanismos para alcançá los criará uma organização mais eficiente Uma organização capaz inovará e criará mais rapidamente será mais ágil e se ajustará a todos os fatores internos ou externos … Praticar o gerenciamento financeiro na nuvem Governança de uso Como você governa o uso? COST 2 Uso e monitoramento de custos Como monitorar custos e uso? COST 3 Desativação de recursos Como você desativa os recursos? COST 4 A maior flexibilidade e agilidade que a nuvem permite incentiva a inovação desenvolvimento e implantação em ritmo acelerado Elimina os processos manuais e o tempo associado ao provisionamento da infraestrutura no local incluindo a identificação de especificações de hardware negociação de cotações de preços gerenciamento de pedidos de compra programação de remessas e implantação dos recursos No entanto a facilidade de uso e a capacidade sob demanda praticamente ilimitada exigem uma nova forma de pensar sobre as despesas Muitas empresas são compostas por vários sistemas executados por várias equipes A capacidade de atribuir custos de recursos à organização individual ou aos proprietários do produto gera um comportamento eficiente do uso e ajuda a reduzir o desperdício A atribuição precisa de custos permite saber quais produtos são realmente rentáveis e permite tomar decisões mais informadas sobre alocação de orçamento … Reconhecimento de despesas e usos Seleção de serviço Como você avalia o custo ao selecionar serviços? COST 5 Seleção de tamanho, número e tipo de recurso Como você atinge as metas de custo ao selecionar tamanho, número e tipo de recurso? COST 6 Seção de modelo de definição de preço Como você usa os modelos de definição de preço para reduzir custos? COST 7 Planejamento da transferência de dados Como você planeja as cobranças de transferência de dados? COST 8 Usar as instâncias e os recursos adequados para sua carga de trabalho é fundamental para economizar gastos Por exemplo um processo de criação de relatórios pode levar cinco horas para ser executado em um servidor pequeno mas uma hora em um servidor grande que custa o dobro Ambos os servidores fornecem o mesmo resultado mas o servidor menor acarreta mais custos ao longo do tempo Uma carga de trabalho bem projetada usa os recursos com o melhor custo benefício o que pode ter um impacto econômico positivo e considerável Você também pode usar serviços gerenciados para reduzir gastos Por exemplo em vez de manter servidores para entrega de e mails você pode usar um serviço que é pago individualmente por mensagem … Recursos econômicos Gerenciar recursos de demanda e fornecimento Como você gerencia a demanda e fornece recursos? COST 9 Quando você passa para a nuvem paga apenas pelo que precisa Você pode fornecer recursos para atender à demanda da carga de trabalho no momento em que eles são necessários o que elimina a necessidade de um provisionamento em excesso que é caro e desperdiça recursos Você também pode modificar a demanda usando um controle de utilização buffer ou fila para suavizar a demanda e atendê la com menos recursos o que resulta em um custo menor ou processá la posteriormente com um serviço em lote … Gerenciar recursos de demanda e fornecimento Novo serviço de avaliação Como você avalia os novos serviços? COST 10 Avaliar o custo do esforço Como avaliar o custo do esforço? COST 11 À medida que a AWS lança novos serviços e recursos faz parte das melhores práticas analisar as decisões de arquitetura existentes para garantir que elas continuem sendo as mais econômicas Conforme seus requisitos mudam seja incisivo na desativação de recursos serviços completos e sistemas que não são mais necessários … Otimizar ao longo do tempo A capacidade de executar sistemas para entregar o valor empresarial ao menor preço. Otimização de custo Seleção de arquitetura Como você seleciona os recursos de nuvem e os padrões de arquitetura apropriados para sua workload? PERF 1 A solução ideal para uma workload específica varia e muitas vezes as soluções combinam várias abordagens Workloads do Well Architected usam várias soluções e permitem diferentes atributos para aprimorar a performance … Seleção de arquitetura Computação e hardware Como selecionar e usar recursos computacionais em sua workload? PERF 2 A opção ideal de computação para uma workload específica pode variar de acordo com o design os padrões de uso e as definições de configuração da aplicação As arquiteturas podem usar diferentes opções de computação para vários componentes e permitir diferentes recursos para aprimorar a performance A seleção da opção de computação incorreta para uma arquitetura pode levar a uma menor eficiência de performance … Computação e hardware Gerenciamento de dados Como armazenar, gerenciar e acessar dados em sua workload? PERF 3 A solução de gerenciamento de dados ideal para um sistema específico varia conforme o tipo de dados bloco arquivo ou objeto os padrões de acesso aleatório ou sequencial o throughput necessário a frequência de acesso online offline arquivamento a frequência de atualização WORM dinâmica e as restrições de disponibilidade e durabilidade As workloads do Well Architected usam datastores específicos que permitem que recursos diferentes melhorem a performance … Gerenciamento de dados Rede e entrega de conteúdo Como selecionar e configurar os recursos de rede em sua workload? PERF 4 A solução de rede ideal para uma workload varia com base nos requisitos de latência throughput instabilidade e largura de banda Restrições físicas como recursos de usuário ou on premises determinam as opções de localização Essas restrições podem ser compensadas com locais de borda ou posicionamento de recursos … Rede e entrega de conteúdo Processo e cultura Qual processo você usa para oferecer uma performance mais eficiente para sua workload? PERF 5 Ao arquitetar workloads há princípios e práticas que você pode adotar para ajudar na melhor execução de workloads de nuvem eficientes e de alto desempenho … Processo e cultura A capacidade de usar recursos de computação com eficiência para atender aos requisitos do sistema e manter essa eficiência à medida que a demanda muda e as tecnologias evoluem. Eficiência de performance Cotas e restrições de serviço Como você gerencia as cotas e restrições de serviço? REL 1 Topologia de rede Como você planeja sua topologia de rede? REL 2 Os requisitos fundamentais são aqueles que têm um escopo que vai além de uma única carga de trabalho ou projeto Antes de criar a arquitetura de um sistema é necessário instaurar os requisitos fundamentais que influenciam a confiabilidade Por exemplo você deve ter largura de banda de rede suficiente no datacenter … Fundamentos Arquitetura de serviços Como você projeta sua arquitetura de serviços de carga de trabalho? REL 3 Projete interações para evitar falhas Como você projeta interações em um sistema distribuído para evitar falhas? REL 4 Projete interações para mitigar falhas Como você projeta interações em um sistema distribuído para mitigar ou resistir a falhas? REL 5 Uma carga de trabalho confiável começa com decisões iniciais de projeto que envolvem tanto o software quanto a infraestrutura Suas decisões de arquitetura afetarão o comportamento da carga de trabalho em todos os cinco pilares do Well Architected Para atingir a confiabilidade há padrões específicos que você deve seguir … Arquitetura da carga de trabalho Monitoramento de recursos Como você monitora recursos de carga de trabalho? REL 6 Atendimento da demanda Como você projeta sua carga de trabalho para se adaptar às mudanças na demanda? REL 7 Gerenciamento de mudanças Como você implementa uma alteração? REL 8 As alterações na carga de trabalho ou no respectivo ambiente devem ser previstas e acomodadas para alcançar uma operação confiável da carga de trabalho As alterações incluem aquelas impostas à sua carga de trabalho como picos na demanda bem como as internas como implantações de recursos e patches de segurança … Gerenciamento de alterações Backup de dados Como você faz backup dos dados? REL 9 Isolamento de falhas Como usar o isolamento de falhas para proteger sua carga de trabalho? REL 10 Implementação de resiliência Como você projeta sua carga de trabalho para resistir a falhas de componentes? REL 11 Teste de confiabilidade Como testar a confiabilidade? REL 12 Recuperação de desastres Como você planeja a recuperação de desastres (DR)? REL 13 Em qualquer sistema de complexidade razoável espera se que ocorram falhas A confiabilidade exige que sua carga de trabalho reconheça as falhas no momento em que elas ocorrem e tome medidas para evitar que elas prejudiquem a disponibilidade As cargas de trabalho devem ser capazes de resistir a falhas e reparar problemas automaticamente … Gerenciamento de falhas Inclui a capacidade de uma workload executar a função pretendida de forma correta e consistente quando esperado. Isso inclui a capacidade de operar e testar a carga de trabalho durante todo o ciclo de vida dela. Este documento fornece orientações detalhadas sobre as melhores práticas para a implementação de cargas de trabalho confiáveis na AWS. Confiabilidade Prioridades das operações Como você determina quais são suas prioridades? OPS 1 Modelo operacional Como você estrutura sua organização para dar suporte aos seus resultados comerciais? OPS 2 Cultura organizacional Como sua cultura organizacional oferece suporte aos resultados comerciais? OPS 3  Suas equipes precisam ter um entendimento compartilhado de toda a sua carga de trabalho da função que desempenham em tudo isso e dos objetivos de negócios compartilhados a fim de definir as prioridades que permitirão o êxito dos negócios Prioridades bem definidas maximizarão os benefícios dos seus esforços Avalie as necessidades de clientes internos e externos envolvendo as principais partes interessadas incluindo equipes corporativas de desenvolvimento e operacionais a fim de determinar onde concentrar os esforços A avaliação das necessidades do cliente garantirá que você tenha um entendimento completo do suporte necessário para obter resultados nos negócios Esteja ciente das diretrizes ou obrigações definidas pela governança organizacional e de fatores externos como requisitos de conformidade regulamentar e normas do setor que podem exigir ou enfatizar um foco específico Confirme se você tem os mecanismos para identificar alterações na governança interna e nos requisitos de conformidade externos Se nenhum requisito for identificado aplique a auditoria devida para essa determinação Analise suas prioridades regularmente para que elas possam ser atualizadas conforme as necessidades mudam Avalie ameaças à empresa por exemplo riscos e passivos empresariais e ameaças à segurança da informação e mantenha essas informações em um registro de risco Avalie o impacto dos riscos e as compensações entre interesses concorrentes ou abordagens alternativas Por exemplo a aceleração da velocidade de entrada no mercado de novos recursos pode ser enfatizada em relação à otimização de custos ou você pode escolher um banco de dados relacional para dados não relacionais para simplificar o esforço de migração de um sistema Gerencie benefícios e riscos para tomar decisões informadas ao determinar onde concentrar os esforços Alguns riscos ou opções podem ser aceitáveis por um tempo Talvez seja possível mitigar os riscos associados ou talvez seja inaceitável permitir que um risco permaneça nesse caso você tomará as devidas medidas para resolver o risco Suas equipes devem compreender o papel delas na obtenção de resultados empresariais As equipes precisam entender o papel delas no êxito de outras equipes e a função das outras equipes no êxito delas e ter objetivos compartilhados Entender a responsabilidade a propriedade como as decisões são tomadas e quem tem autoridade para tomar decisões ajudará a concentrar os esforços e maximizar os benefícios das suas equipes As necessidades de uma equipe são modeladas pelo cliente que ela auxilia pela organização pela formação da equipe e pelas características da carga de trabalho Não é sensato esperar que um modelo operacional único seja capaz de dar suporte a todas as equipes e suas respectivas cargas de trabalho na sua organização Certifique se de que haja proprietários identificados para cada componente de aplicativo carga de trabalho plataforma e infraestrutura e que cada processo e procedimento tenha um proprietário identificado responsável pela definição e proprietários responsáveis pela performance Entender o valor empresarial de cada componente processo e procedimento da razão pela qual esses recursos estão em vigor ou de por que as atividades são executadas e por que essa propriedade existe informará as ações dos membros da equipe Defina claramente as responsabilidades dos membros da equipe para que eles possam agir adequadamente e ter mecanismos para identificar responsabilidade e propriedade Tenha mecanismos para solicitar adições alterações e exceções para que você não restrinja a inovação Defina contratos entre equipes que descrevem como elas trabalham juntas para apoiar umas às outras e seus resultados de negócios Forneça suporte aos membros da equipe para que eles possam ser mais eficazes na tomada de ações e no suporte aos resultados empresariais A liderança sênior engajada deve definir expectativas e medir o sucesso Ela deve ser patrocinadora defensora e motivadora da adoção das melhores práticas e da evolução da organização Capacite os membros da equipe a tomar medidas quando os resultados estiverem em risco para minimizar o impacto e os incentive a encaminhar para os tomadores de decisão e as partes interessadas quando acharem que há um risco para que isso possa ser resolvido e evitar incidentes Forneça comunicações oportunas claras e acionáveis de riscos conhecidos e eventos planejados para que os membros da equipe possam tomar as medidas apropriadas e oportunas Incentive a experimentação para acelerar o aprendizado e manter os membros da equipe interessados e envolvidos As equipes devem aumentar os conjuntos de habilidades para adotar novas tecnologias e apoiar mudanças na demanda e nas responsabilidades Dê apoio e incentivo a isso fornecendo um tempo de estrutura dedicado para o aprendizado Garanta que os membros da equipe tenham os recursos tanto ferramentas quanto pessoas para serem bem sucedidos e escalar para auxiliar os resultados empresariais Aproveite a diversidade entre organizações para buscar várias perspectivas únicas Use essa abordagem para aumentar a inovação desafiar suas suposições e reduzir o risco de viés de confirmação Aumente a inclusão a diversidade e a acessibilidade em suas equipes para obter perspectivas benéficas … Organização implemente Como implementar a observabilidade em sua workload? OPS 4 Desenvolvimento e integração Como você reduz defeitos, facilita a correção e melhora o fluxo na produção? OPS 5 Mitigação dos riscos de implantação Como você reduz os riscos de implantação? OPS 6 Prontidão operacional Como você sabe que está pronto para oferecer suporte a uma carga de trabalho? OPS 7  Para se preparar para a excelência operacional você precisa entender suas cargas de trabalho e os comportamentos esperados Você poderá projetá los para fornecer insights sobre seu status e criar os procedimentos para apoiá los Projete sua carga de trabalho para que as informações necessárias sejam fornecidas a fim de que você entenda seu estado interno tais como métricas logs eventos e rastreamento em todos os componentes em apoio à capacidade de observação e à investigação de problemas Itere para desenvolver a telemetria necessária para monitorar a integridade da carga de trabalho identificar quando os resultados estão em risco e permitir respostas eficazes Ao instrumentar sua carga de trabalho colete um amplo conjunto de informações para permitir a percepção situacional por exemplo alterações de estado atividade do usuário acesso a privilégios contadores de utilização sabendo que é possível usar filtros para selecionar as informações mais úteis ao longo do tempo Adote abordagens que melhoram o fluxo de alterações na produção e permitem refatoração comentários rápidos sobre a qualidade e correção de erros Isso acelera as alterações benéficas que entram na produção limita os problemas implantados e permite a rápida identificação e correção dos problemas introduzidos pelas atividades de implantação ou descobertos em seus ambientes Adote abordagens que forneçam feedback rápido sobre a qualidade e permitam recuperação rápida de alterações que não têm os resultados desejados O uso dessas práticas reduz o impacto dos problemas introduzidos pela implantação de mudanças Planeje alterações malsucedidas para que você possa responder mais rapidamente se necessário e testar e validar as alterações feitas Esteja ciente das atividades planejadas em seus ambientes para que você possa gerenciar o risco de alterações que afetem as atividades planejadas Enfatize alterações frequentes pequenas e reversíveis para limitar o escopo das alterações Isso resulta em solução de problemas mais fácil e correção mais rápida com a opção de reverter uma alteração Isso também significa que você pode conseguir o benefício de alterações valiosas com mais frequência Avalie a prontidão operacional de carga de trabalho processos procedimentos e pessoal para compreender os riscos operacionais relacionados à carga de trabalho Você deve usar um processo consistente incluindo listas de verificação manuais ou automatizadas para saber quando está pronto para trabalhar com sua carga de trabalho ou para fazer uma mudança Isso também permitirá que você encontre as áreas que precisa abordar Tenha runbooks que documentem suas atividades de rotina e playbooks que orientem seus processos para a resolução de problemas Entenda os benefícios e os riscos para tomar decisões informadas para permitir que as alterações entrem na produção … Preparar Observabilidade da workload Como utilizar a observabilidade da workload em sua organização? OPS 8 Integridade das operações Como você compreende a integridade de suas operações? OPS 9 Resposta a eventos Como você gerencia os eventos de carga de trabalho e operações? OPS 10  A operação bem sucedida de uma carga de trabalho é medida pela obtenção de resultados de negócios e de clientes Defina os resultados esperados determine como o sucesso será medido e identifique as métricas que serão usadas nesses cálculos para determinar se a carga de trabalho e as operações foram bem sucedidas A integridade operacional inclui a integridade da carga de trabalho e a integridade e o sucesso de operações realizadas em apoio à carga de trabalho por exemplo implantação e resposta a incidentes Estabeleça linhas de base de métricas para melhoria investigação e intervenção colete e analise as métricas e valide seu entendimento sobre o sucesso das operações e como elas mudam ao longo do tempo Use as métricas coletadas para determinar se você está satisfazendo as necessidades do cliente e da empresa e identifique áreas para melhoria É necessário um gerenciamento eficiente e eficaz dos eventos operacionais para alcançar a excelência operacional Isso se aplica a eventos operacionais planejados e não planejados Use runbooks estabelecidos para eventos bem compreendidos e use manuais para ajudar na investigação e na resolução de problemas Priorize respostas a eventos com base no impacto nos negócios e no cliente Assegure que caso um alerta seja gerado em resposta a um evento exista um processo associado a ser executado com um proprietário especificamente identificado Defina com antecedência o pessoal necessário para resolver um evento e inclua acionadores de encaminhamento para envolver pessoal adicional conforme necessário com base na urgência e no impacto Identifique e envolva indivíduos com autoridade para tomar uma decisão sobre cursos de ação em que haverá um impacto nos negócios resultante de uma resposta de evento não abordada anteriormente Comunique o status operacional das cargas de trabalho por meio de painéis e notificações adaptadas ao público alvo por exemplo cliente empresa desenvolvedores operações para que eles possam tomar as ações adequadas para que suas expectativas sejam gerenciadas e para que sejam informados quando as operações normais forem retomadas … Operar Evolução das operações Como você evolui as operações? OPS 11  Você deve aprender compartilhar e melhorar continuamente para manter a excelência operacional Dedique ciclos de trabalho para fazer melhorias incrementais contínuas Execute uma análise pós incidente de todos os eventos que afetam o cliente Identifique os fatores que contribuem e a ação preventiva para limitar ou evitar a recorrência Comunique fatores contribuintes às comunidades afetadas conforme adequado Avalie e priorize regularmente oportunidades de melhoria por exemplo solicitações de recursos correção de problemas e requisitos de conformidade incluindo a carga de trabalho e os procedimentos operacionais Inclua ciclos de comentários nos procedimentos para identificar rapidamente áreas que podem ser melhoradas e aprender com a execução das operações Compartilhe as lições aprendidas entre as equipes para compartilhar os benefícios dessas lições Analise as tendências nas lições aprendidas e execute análises retrospectivas entre as equipes de métricas de operações para identificar oportunidades e métodos de melhoria Implemente alterações destinadas a trazer melhorias e avaliar os resultados para determinar o sucesso … Evoluir A capacidade de apoiar o desenvolvimento e executar cargas de trabalho com eficácia, obter insights sobre as operações e melhorar continuamente processos e procedimentos de suporte para oferecer valor empresarial. Excelência operacional Proteger as operações Como você opera com segurança sua carga de trabalho? SEC 1 Para operar sua carga de trabalho com segurança você deve aplicar as melhores práticas gerais a todas as áreas de segurança Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique os a todas as áreas … Segurança Autenticação Como você gerencia identidades para pessoas e máquinas? SEC 2 Autorização e controle de acesso Como você gerencia permissões para pessoas e máquinas? SEC 3 O Identity and Access Management é parte essencial de um programa de segurança da informação que garante que apenas usuários autorizados e autenticados possam acessar seus recursos e somente da forma que você pretender Por exemplo você deve definir entidades principais ou seja contas usuários funções e serviços que podem executar ações em sua conta criar políticas alinhadas com essas entidades principais e implementar um gerenciamento forte de credenciais Esses elementos de gerenciamento de privilégios formam o núcleo da autenticação e autorização … Identity & Access Management Eventos de segurança Como você detecta e investiga eventos de segurança? SEC 4 Você pode usar controles de detecção para identificar uma potencial ameaça ou incidente de segurança Eles são uma parte essencial das estruturas de governança e podem ser usados para apoiar um processo de qualidade uma obrigação legal ou de conformidade e para os esforços de identificação e resposta a ameaças Existem diferentes tipos de controles de detecção Por exemplo a realização de um inventário de ativos e seus atributos detalhados promove tomadas de decisão mais eficazes e controles de ciclo de vida para ajudar a estabelecer linhas de base operacionais Você também pode usar a auditoria interna um exame dos controles relacionados aos sistemas de informação para garantir que as práticas atendam às políticas e aos requisitos e que você tenha definido as notificações de alerta automatizadas corretas com base nas condições definidas Esses controles são fatores reativos importantes que podem ajudar sua organização a identificar e entender o escopo da atividade anômala … Detecção Proteção de rede Como você protege seus recursos de rede? SEC 5 Proteção de computação Como você protege seus recursos de computação? SEC 6 A proteção de infraestrutura abrange metodologias de controle como defesa em profundidade necessárias para atender às melhores práticas e obrigações organizacionais ou regulatórias O uso dessas metodologias é fundamental para operações contínuas bem sucedidas na nuvem ou no local … Proteção de infraestrutura Classificação de dados Como classificar meus dados? SEC 7 Proteção de dados ociosos Como você protege seus dados em repouso? SEC 8 Proteção de dados em trânsito Como você protege seus dados em trânsito? SEC 9 Antes de criar a arquitetura de qualquer sistema devem ser adotadas práticas fundamentais que influenciam a segurança Por exemplo a classificação de dados fornece uma maneira de categorizar os dados organizacionais com base nos níveis de sensibilidade e a criptografia protege os dados ao torná los ininteligíveis ao acesso não autorizado Essas ferramentas e técnicas são importantes porque apoiam objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias … Proteção de dados Resposta a incidentes Como prever, responder e se recuperar de incidentes? SEC 10 Mesmo com controles preventivos e de detecção consolidados sua organização deve implementar processos para responder e reduzir o impacto potencial de incidentes de segurança Sua preparação afeta muito a capacidade das equipes operarem efetivamente durante um incidente isolarem conterem e analisarem problemas e restaurarem as operações para um estado adequado conhecido Implementar as ferramentas e o acesso antes de um incidente de segurança e praticar rotineiramente dias de jogos para validar a resposta a incidentes ajuda a garantir que você possa se recuperar enquanto minimiza interrupções empresariais … Resposta a incidentes Segurança de aplicações Como incorporar e validar as propriedades de segurança de aplicações durante o ciclo de vida de design, desenvolvimento e implantação? SEC 11 A segurança de aplicações AppSec retrata o processo geral de como projetar criar e testar as propriedades de segurança das workloads desenvolvidas Você precisa treinar a equipe adequadamente em sua organização entender as propriedades de segurança de sua infraestrutura de compilação e lançamento e utilizar a automação para identificar problemas de segurança Adotar testes de segurança de aplicações como parte regular do ciclo de vida de desenvolvimento de software SDLC e processos de pós lançamento ajuda a garantir que você tenha um mecanismo estruturado para identificar corrigir e impedir que problemas de segurança de aplicações entrem no ambiente de produção Sua metodologia de desenvolvimento de aplicações deve incluir controles de segurança à medida que você projeta cria implanta e opera suas workloads Ao fazer isso alinhe o processo para redução contínua de defeitos e redução da dívida técnica Por exemplo o uso de modelagem de ameaças na fase de design ajuda a detectar falhas de design precocemente o que torna mais fácil e menos caro corrigi las em contraposição a aguardar e mitigá las posteriormente O custo e a complexidade para resolver defeitos geralmente serão menores quanto mais no princípio você estiver no SDLC A forma mais fácil de resolver problemas é não os ter Por isso começar com um modelo de ameaças ajuda você a se concentrar nos resultados corretos da fase de design À medida que seu programa de AppSec amadurece é possível aumentar a quantidade de testes realizados usando automação aumentar a fidelidade do feedback para os criadores e reduzir o tempo necessário para as avaliações de segurança Todas essas ações melhoram a qualidade do software desenvolvido e aumentam a velocidade de entrega de recursos à produção Essas diretrizes de implementação concentram se em quatro áreas organização e cultura segurança do pipeline segurança no pipeline e gerenciamento de dependências Cada área oferece um conjunto de princípios que você pode implementar bem como uma visão completa de como projetar desenvolver criar implantar e operar workloads … Segurança de aplicações A capacidade de proteger dados, sistemas e ativos a fim de utilizar as tecnologias de nuvem para melhorar sua segurança. Segurança