OU-Design: Phase 2

Das Pharmaunternehmen in unserem Beispiel beschleunigte den Übergang in eine neue Phase der Cloud-Reife, indem es qualifizierte Produktions-Workloads in den bestehenden Betriebseinheiten bereitstellte. Dadurch wurde eine Überprüfung des ursprünglichen Entwurfs eingeleitet, und die Struktur der Phase 1 wurde in Frage gestellt, da immer mehr Arbeitslasten in die regulierteAWS landing zone verlagert wurden.

Die folgenden neuen Anforderungen und Erkenntnisse wurden wichtig:

• Das Unternehmen implementierte Workloads für die gemeinsame Nutzung von Daten, sodass die Anwendungen einen vielseitigen Charakter erhielten und nicht mehr separaten Organisationseinheiten wie Clinical oder Manufacturing zugewiesen werden konnten.

• Die Qualifizierung (insbesondere die kontinuierliche Qualifizierung) wurde zu einem wichtigen Aspekt vieler Arbeitsbelastungen. Diese Workloads mussten in die betrieblichen Prozesse integriert werden, damit sie sich leichter an bewährte Sicherheitsverfahren halten konnten. Qualifizierte Workloads erforderten strengereAWS Kontrollen, die in Phase 1 auf Ebene der Organisationseinheiten festgelegt wurden.

• Die Funktionalität verschachtelter Organisationseinheiten wurde in verfügbarAWS Control Tower.

• Weiterbildung und Erfahrung führten zu einem besseren Verständnis dafür, welche spezifischen Richtlinien für Workloads relevant waren.

• Das Unternehmen definierte und vereinbarte ein Betriebsmodell, das auf der Abstimmung der Verantwortlichkeiten beruhte.

• Die Blueprints zur Workload-Segmentierung und -strukturierung reiften und wurden für Workload-Migrationen übernommen.

Infolgedessen wurde in Phase 2 ein neues Design implementiert und auf diese neue StrukturAWS-Konten migriert. Diese neue Struktur umfasst die OUs

Architektur-Design

Im folgenden Diagramm wird die OU-U-U-Architektur für Phase 2 dargestellt.

Sicherheit OU-U

Die Sicherheits-Organisationseinheit enthält weitgehendAWS-Konten sicherheitsrelevante Funktionen und verwendet zwei Konten (Audit und Log Archive), um Sicherheitsbetriebsdaten für die zentrale Protokollierung und die Überwachung des Zugriffs auf die Umgebung zu speichern. AWSKernsicherheitsdienste wie Amazon GuardDuty undAWS Security Hub befinden sich im Auditkonto. Diese OU bleibt gegenüber dem ursprünglichen Design unverändert.

Infrastrukturplattform OU

Die Organisationseinheit der Infrastrukturplattform enthält grundlegende Infrastrukturkonten wie Netzwerke und gemeinsame Automatisierung in der gesamtenAWS landing zone. Diese OU bleibt gegenüber dem ursprünglichen Design unverändert.

Qualifiziertes OU-U

Die qualifizierte Organisationseinheit enthält Workloads, für die eine qualifizierte Infrastruktur erforderlich ist, z. B. strenges Änderungsmanagement, Qualifizierung und Validierung.

Nicht qualifiziertes OU

Die nicht qualifizierte Organisationseinheit enthält Workloads, für die keine GxP-Anforderungen gelten oder die nicht geschäftskritisch sind.

Automatisierungen OU

Die Organisationseinheit Automations enthält gemeinsam genutzte Ressourcen für die Workload-Automatisierung, wie z. B. CI/CD-Pipelines (Continuous Integration and Continuous Delivery) für das Infrastrukturmanagement. Je nach Anforderung kann die Automatisierung entweder auf mehrere Umgebungen aufgeteilt oder in einer einzigen Umgebung gehostet werdenAWS-Konto.

Ausnahmen OU

Die Organisationseinheit „Ausnahmen“ enthält Workloads, für die eine besondere Behandlung erforderlich ist, die andernfalls durch Richtlinien verhindert würde. Beispielsweise würden allgemein zugängliche und lesbare Amazon S3-Buckets in die OU

Graveyard OU

Die Graveyard-Organisationseinheit enthältAWS-Konten vier Workloads, die gelöscht werden. Die Richtlinien in diesen Konten sollten entfernt werden, um einen effektiven und einfachen administrativen Zugriff zu gewährleisten, bis das Konto abläuft oder gelöscht wird.