Trong thời kỳ của chuyển đổi số hiện nay, nhiều doanh nghiệp đã và đang chuyển hướng sang mô hình điện toán đám mây AWS để tận dụng các ưu điểm của nó như độ linh hoạt cao, tính sẵn sàng và giá thành thấp. AWS Landing Zone đã được thiết kế nhằm tối ưu hóa các vấn đề an toàn bảo mật và giúp tiết kiệm chi phí cho doanh nghiệp sau quá trình chuyển đổi đó. Trong bài viết này, OSAM sẽ đề xuất một số giải pháp giúp doanh nghiệp của bạn có thể xây dựng được một AWS Landing Zone chất lượng và hiệu quả nhất.
1. AWS Landing Zone là gì?
2. Những lựa chọn để xây dựng một Landing Zone hiệu quả
AWS Control Tower là một dịch vụ do AWS cung cấp, thay mặt bạn điều phối các dịch vụ AWS, đồng thời duy trì nhu cầu bảo mật và tuân thủ của tổ chức, trong khi Custom-built Landing Zone lại yêu cầu khách hàng và đối tác của của AWS tự xây dựng và điều chỉnh.
3. So sánh hai giải pháp AWS Control Tower và Custom-built Landing Zone
AWS Control Tower
AWS Control Tower tự động thiết lập Landing Zone mới bằng cách sử dụng các phương pháp hay nhất, bản thiết kế để nhận dạng, quyền truy cập được liên kết và cấu trúc tài khoản. Một số bản thiết kế được triển khai trên AWS Control Tower bao gồm:
Môi trường nhiều tài khoản sử dụng AWS Organizations.
Kiểm tra bảo mật nhiều tài khoản bằng cách sử dụng AWS Identity and Access Management (IAM) và AWS IAM Identity Center (kế thừa từ AWS Single Sign-On)
Quản lý danh tính bằng thư mục mặc định của Trung tâm nhận dạng
Ghi nhật ký tập trung từ AWS CloudTrail và AWS Config được lưu trữ trong Amazon Simple Storage Service (Amazon S3)
Khi đó, lan can bảo vệ là các quy tắc cấp cao cung cấp khả năng quản trị liên tục cho môi trường AWS tổng thể của bạn. Các biện pháp bảo vệ phòng ngừa được triển khai bằng cách sử dụng các chính sách kiểm soát dịch vụ (SCP), là một phần của tổ chức AWS. Ví dụ về lan can bảo vệ AWS Control Tower bao gồm:
Không cho phép tạo khóa truy cập cho người dùng root
Không cho phép kết nối internet thông qua RDP
Không cho phép truy cập ghi công khai vào bộ chứa S3
Không cho phép các ổ đĩa Amazon Elastic Block Store (Amazon EBS) không được liên kết với phiên bản Amazon Elastic Compute Cloud (Amazon EC2)
Custom-built Landing Zone
Bạn có thể chọn xây dựng giải pháp Custom-built Landing Zone tùy chỉnh của riêng mình. Trong trường hợp này, doanh nghiệp phải triển khai môi trường cơ sở để bắt đầu với quản lý danh tính và quyền truy cập, quản trị, bảo mật dữ liệu, thiết kế mạng và ghi nhật ký. Chúng tôi khuyến nghị phương pháp này nếu bạn muốn xây dựng tất cả các thành phần môi trường của mình từ đầu hoặc nếu bạn có các yêu cầu mà chỉ một giải pháp tùy chỉnh mới có thể hỗ trợ. Doanh nghiệp, tổ chức phải có đủ kiến thức chuyên môn về AWS để quản lý, nâng cấp, bảo trì và vận hành giải pháp sau khi triển khai.
Tuy nhiên, trước khi tiếp tục với thiết kế Custom – built Landing Zone , chúng tôi khuyên bạn nên cân nhắc dịch vụ AWS Control Tower trước. Giải pháp này đã được nhiều khách hàng trong các ngành sử dụng để triển khai thành công với khối lượng công việc lớn trên AWS.
Hãy liên hệ với OSAM để được tư vấn và triển khai dịch vụ Landing Zone trên AWS ngay hôm nay. LIÊN HỆ NGAY