Questions à se poser avant la mise en place d'une Landing Zone
Nous assistons à une utilisation du Cloud de plus en plus conséquente. Mais attention à ne pas confondre vitesse et précipitation, il est important de définir une stratégie claire afin de bien appréhender l’exploitabilité et la sécurité de ma plateforme Cloud.
En effet, l’utilisation repose souvent sur des orientations stratégiques d’architecture de la landing zone qui permet une utilisation plus simple et maîtrisée des services Cloud.
Mais alors, qu’est-ce-qu’une landing zone ? Quels sont les services Cloud minimum à maîtriser pour sa mise en place ? Comment fais-je discuter mes infrastructures On premise avec les services dans le Cloud ?
Tout d’abord, commençons par définir quelques concepts clés :
VPC/ VNET: Virtual Private Cloud (AWS) - Virtual Network (Azure) est une isolation logique du Cloud AWS/Azure dédiée à votre souscription. Il est situé dans une région géographique et est composé de sous-réseaux.
NACL/ NSG: Network Access List (AWS) - Network Security Group (Azure) permet de filtrer le trafic réseau entre les ressources du Cloud. Elles se composent de règles d’acceptation ou de rejet qui s’appliquent soit sur le trafic réseau entrant soit sortant - équivalent à un Firewall L4.
La mise en place d’une landing zone repose sur les mêmes principes que l’hébergement traditionnel dans des Datacenters, avec quelques spécificités à prendre en compte:
Définition d’un HLD (High Level Design) précis qui prend en compte la gestion multi-comptes, avec une définition claire des VPC/VNET (Bulles réseau) à mettre en place, des subnets qui leurs sont associés, des règles de filtrage au sein de mon VNET/VPC avec des NACL (Network Access List) ou NSG (Network Security Group). Il est également important de définir les Zones de disponibilité de mes services.
Cohabitation de ma landing zone avec mes infrastructures On premise:
a. Est-ce-que je définis un VNET/VPC Hub sur lequel je porte ma sécurité ?
b. Ou est-ce-que je sécurise l’ensemble de mes VNET/VPC ?
c. Avec des NSG/NACL?
d. Ou avec des Appliances Firewalls ?
e. Comment est-ce-que je fais communiquer mes deux environnements ?
f. En privé avec des liens dédiés type Direct Connect (AWS) ou Express Route (Azure) ?
g. Ou en public via Internet avec des tunnels IPSEC ou des API ?
h. Comment je gère la cohérence de l’adressage IP entre mes infrastructures On Premise et ma landing zone, ainsi que mon service DNS?
Gestion de l’IAM (Identity Access Management) avec une définition claire de rôles à attribuer à mes utilisateurs et des ressources auxquelles ils auront accès,
Intégration des services PaaS avec ma landing zone,
Implémentation des outils d’exploitation (monitoring, sauvegarde, patching),
Automatisation de déploiement d’une landing zone, avec des politiques claires prédéfinies permettant de faciliter l’exploitation et donnant plus d’autonomie aux utilisateurs.
Ces questions restent bien entendu à moduler en fonction du client et de ses besoins.
Nous accompagnons nos clients dans l’adoption de ce type de services en intervenant sur plusieurs phases :
En amont, lors d’études avec définition de stratégie,
Implémentation de la landing zone,
Expertise sur des sujets pointus.