Miten AWS Well-Architected edistää pilven turvallisuutta ja hallintaa?

Well-Architected Framework ja Well-Architected Review pähkinänkuoressa

Well-Architected Framework

Well Architected Framework (WAFR) on AWS:n koostama kokoelma tärkeimpiä konsepteja, suunnitteluperiaatteita ja hyviä käytänteitä työkuormien ajamiseksi pilvessä. WAFR ei ole pelkästään tekninen viitekehys, vaan eräänlainen versio kokonaisarkkitehtuurista, joka ottaa huomioon myös liiketoiminnan, sääntelyn, riskienhallinnan jne.

Well-Architected Review

Well-Architected Review on AWS:n kehittämä, johdonmukainen tapa tehdä arkkitehtuurikatselmointi AWS:n Well-Architected Frameworkia vasten. On hyvä pitää mielessä, että Well-Architected Review ei ole auditointi vaan katselmointi tai arviointi. Toisin sanoen, WARin käyttö ei edellytä auditointikokemusta tai -koulutusta. Tästä syystä sen tekeminen on opittavissa nopeasti ja se sopii hyvin jokapäiväiseksi työkaluksi AWS:n palveluita hyödyntävien yritysten eri henkilöille.

Well Architected Tool

Well-Architected Tool on AWS:n tarjoama ilmainen työkalu, jota voi käyttää katselmointien suorittamiseen ja dokumentoimiseen sekä toimenpiteiden seuraamiseen.

Hyödyt suunnittelu- ja kehitysvaiheissa

Organisaatioiden pilvi-infrastruktuurille asetettavat vaatimukset koostetaan alkuvaiheessa järjestelmien, sovellusten ja oletettujen käyttäjien näkökulmasta. Tämä onkin luonnollisesti tärkeää. Usein on kuitenkin niin, että yritysten sisäinen (esim. ohjeet, politiikat, säännöt) ja ulkoinen sääntely (esim. lait, asetukset, alan standardit), asiakasvaatimukset tai jotkut muut syyt voivat vaatia, että arkkitehtuurisuunnittelussa otetaan jo alkuvaiheessa huomioon muitakin asioita. Well-Architected Review on näiden vaatimusten kartoittamiseen oiva työkalu.

Tiivistetysti ilmaistuna suunnittelu- ja kehitysvaiheissa WAR tarjoaa kaksi keskeistä hyötyä:

se auttaa muistuttamaan keskeisten operointiin, turvallisuuteen, luotettavuuteen, tehokkuuteen, kustannusten hallintaan ja kestävään kehitykseen liittyvistä vaatimuksista ja ohjaa niiden kartoittamisessa
se sisältää jo valmiiksi osittain muissa viitekehyksissä, standardeissa ja vaatimusasiakirjoissa olevia vaatimuksia ja mahdollistaa näiden huomioon ottamisen suunnittelu- ja kehitystyössä

Well-Architected Framework ja Well-Architected Review sisältävät viittauksia suorasti ja epäsuorasti mm. seuraaviin yritysten hyvää hallintotapaan, riskienhallintaan ja vaatimustenmukaisuuteen liittyviin dokumentteihin (lista ei ole kattava):

ISO/IEC 27001 tietoturvallisuuden hallintajärjestelmästandardi
NIST Cyber Security Framework
EU:n MiFID II -direktiivi ja MiFIR-asetus rahoitusvälineiden markkinoista
EU:n yleinen tietosuoja-asetus (GDPR)
Taloudellista informaatiota sisältävien tietojärjestelmien tarkastuksessa käytetyt yleiset IT-kontrollit (GITC)
Organisaatioiden sisäiset ohjeet, politiikat ja standardit
Greenhouse Gas Protocol
UN Sustainable Development Goals
ISO/IEC 25000 Systems and software engineering — Systems and software Quality Requirements and Evaluation

Hyödyt operointivaiheessa

Maailma arkkitehtuurien, järjestelmien ja sovellusten ympärillä muuttuu nopeasti eikä suunnittelu-, kehitys- ja toteutusvaiheissa olevia arkkitehtuuriratkaisuja voida välttämättä ylläpitää ilman muutoksia käyttöönoton jälkeen. Tästä syystä eri työkuormien arkkitehtuurikatselmointi olisi hyvä liittää osaksi yritysten vuosikelloa joko omana tehtävänään tai integroituna muihin toistuviin tehtäviin. Katselmointien tekeminen voi olla esimerkiksi osa yritysten normaalia johtamistoimintaa, projektinhallintaa, riskienhallintaa tai sisäistä valvontaa.

WAFR:n ja WARin hyödyntäminen operointivaiheessa auttaa esimerkiksi:

katselmoimaan suunnittelu-, kehitys- ja toteutusvaiheessa koostetut vaatimukset ja todentamaan niiden paikkansapitävyyden
tunnistamaan uusia vaatimuksia tai riskejä
löytämään uusia, tehokkaampia tapoja vastata aiempiin vaatimuksiin.

AWS päivittää ja kehittää jatkuvasti Well-Architected -viitekehystä (kts. linkit) ja siihen liittyviä arviointityökaluja ja tämän tuomat hyödyt ovat heti asiakkaiden käytettävissä.