Microsoft Cloud Adoption Framework para Azure: metodologías y actividades transversales.

¡Encantados de saludaros de nuevo! Hoy abordamos la última entrega de esta serie de post donde analizamos la propuesta de Cloud Adoption Framework (CAF) de Microsoft para Azure.

Antes de ponernos manos a la obra es un buen momento para recapitular qué hemos visto hasta ahora. En la primera parte introdujimos el CAF de Microsoft y estudiamos las dos primeras etapas: estrategia y plan. En la segunda parte continuamos con las fases de preparación y migración e innovación. Para finalizar con la serie, analizaremos las actividades y metodologías de soporte para las etapas anteriores, a saber: gobierno, seguridad, administración y organización.

Antes de continuar nos gustaría matizar un punto con respecto a las metodologías de soporte. Si consultamos la documentación del framework, vemos que las actividades transversales son gobierno y administración. Sin embargo, ni la seguridad ni la organización aparecen en la figura aunque sí aparecen en las secciones de la documentación del framework. Como os comentamos al inicio, el CAF está en continua evolución y todas las figuras pueden no estar actualizadas (de hecho, la sección secure no aparece aún en el idioma español).

¿Por qué las consideramos metodologías de soporte? El análisis y actividades que en ellas se realizan dan lugar a decisiones que se implementan en varias de las fases principales. Por ejemplo, el análisis de gobierno dará lugar a muchas políticas que se implementarán en la Landing Zone de la etapa de preparación o en los recursos específicos que se provisionan en la fase de migración e innovación. Por tanto, se deben acometer junto con cada una de las etapas principales para ir completando las decisiones y entregables de cada una de ellas.

Ahora sí, vamos a analizar cada uno de estos aspectos y qué nos proponen en cada una de ellos.

Gobierno (Govern)

Las soluciones en la nube no pueden ser gobernadas con aproximaciones tradicionales cuyos fundamentos están más orientadas a entornos on-premise. En la nube somos capaces de provisionar servicios en minutos y eliminarlos también con la misma rapidez (entornos efímeros). Muchas veces este aprovisionamiento se produce por parte de los propios equipos de desarrollo y las peticiones no pasan por el equipo de operaciones, como sí sucedía en entornos on-premise. Por ello, necesitamos nuevas aproximaciones y herramientas adaptadas a estas formas de trabajo e instantaneidad en la disposición de recursos.

El framework define tres actividades principales:

1. Análisis de riesgos: analizaremos las cargas de trabajo planteadas en la fase de planificación para identificar riesgos concretos y decidir qué mitigaciones pondremos en marcha.
2. Políticas y compliance: crearemos políticas para controlar aspectos de los despliegues de recursos. Estas políticas pueden ir desde la discretización de tipos de máquinas virtuales a limitación de endpoint expuestos a Internet.
3. Monitorización del cumplimiento: las políticas anteriores deben ser monitorizadas activamente. Dispondremos de la capacidad de denegar automáticamente el despliegue de servicios que no cumplan las políticas o una aproximación más laxa donde el recurso se despliega pero se notifica la violación de la política al equipo de operaciones y/o gobierno.

Para ayudarnos disponemos de ejemplos y experiencias comunes cuando se lleva a cabo este proceso de definición. Estas muestras van desde modelos de gobernanza muy sencillos con pocas suscripciones y servicios hasta guías para empresas con unidades de negocio independientes.

El marco propone el gobierno de cinco materias comunes:

• Costes: puesto que el coste será uno de los principales elementos a controlar, se desarrollarán directivas de control para presupuestar y/o limitar los servicios en la nube.
• Seguridad: una vez establecidos los requisitos de seguridad, las directivas de cumplimiento y gobernanza de la nube aplican estos requisitos en las configuraciones de red, datos y recursos.
• Identidad: la identidad se considera cada vez más como el perímetro de seguridad principal en la nube. El framework nos ayuda a la aplicación coherente de requisitos de autenticación y autorización así como mecanismos de respuesta activa ante amenazas comunes.
• Recursos: se establecerá y controlará la administración operativa de los entornos, cargas de trabajo y rendimiento de los recursos. Aquí se incluyen los mecanismos de monitorización, respuesta a picos de demanda o recuperación ante desastres.
• Aceleradores: se definen los mecanismos permitidos para el despliegue de servicios, configuraciones predefinidas y/o scripts. Este será uno de los puntos que luego serán implementados mediante actividades y tareas DevOps.

Seguridad (Secure)

La seguridad es un aspecto fundamental a tener en cuenta en la productivización de servicios y soluciones en la nube. Nuestro objetivo no es alcanzar un riesgo cero, algo imposible, pero sí lo es canalizar todas nuestras capacidades y conocimiento existente, tanto interno como externo, para reducir nuestra exposición al máximo.

La estrategia de seguridad está relacionada con el área de gobierno definida en el punto anterior. Muchas de las mitigaciones de riesgos, que definamos bajo el prisma de la seguridad, se implementarán bajo políticas transversales encuadradas como elementos de gobierno.

El framework define tres actividades principales:

1. Educación: debemos informar activamente a todos los equipos de la importancia de la seguridad y describir cuáles son los riesgos a los que estamos expuestos. Esto ayudará a que la organización incluya la seguridad como una dimensión más a la hora de definir los procesos y desarrollos.
2. Seguridad como parte del modelo operativo: la seguridad debe ser un área de conocimiento más dentro de las habilidades empresariales y disponer de monitorización propia dentro de las operaciones diarias de la compañía.
3. Resiliencia: Estableceremos protocolos y procesos explícitos que permitan a la organización seguir funcionando si se produce algún ataque externo. Si no es posible mantener el ritmo completo de funcionamiento, podemos asumir cierta degradación temporal en los servicios mientras aplicamos mitigaciones que nos permitan volver lo antes posible a la normalidad.

Dentro de las disciplinas de seguridad, el framework pone el foco en el control de accesos, detección y respuesta a ataques, protección de recursos, mejora continua e innovación.

Administración (Manage)

El objetivo de la administración será velar por el funcionamiento óptimo de los recursos en la nube ayudando a conseguir los resultados empresariales.

Ya sabemos la importancia que el CAF concede a la dirección mediante una estrategia íntimamente ligada a los resultados de negocio y a la cadena de valor esperados. Por tanto, no todas las cargas de trabajo serán igualmente importantes y no todas tendrán el mismo impacto en caso de presentar problemas o interrupciones.

El primer paso será definir de forma explícita la clasificación, impacto y compromisos para cada una de las cargas de trabajo desplegadas en la nube.

• Clasificación: se asignará cada una de las cargas de trabajo a procesos empresariales y su grado de importancia según su contribución a los resultados de la compañía.
• Impacto: se definirá qué impacto potencial pueden tener las posibles interrupciones de los servicios.
• Compromiso: según el resultado de los análisis de los dos puntos anteriores se definirá la necesidades de servicio de cada una de las cargas de trabajo. Aquí aparecerán el grado de SLA, RTO y RPO de cada una de ellas.

Una vez establecidos los planteamientos anteriores es más sencillo realizar un seguimiento e informar sobre las operaciones de las distintas cargas de trabajo. Para conseguirlo, el marco de trabajo nos propone realizar las siguientes actividades:

• Inventario y visibilidad: realizar un inventario activo de los recursos donde sea fácilmente revisable el estado de ejecución de los mismos.
• Cumplimiento operativo: revisión frecuente de la configuración, coste y rendimiento de las distintas cargas de trabajo.
• Protección y recuperación: minimizar las interrupciones operativas y agilizar la recuperación ante imprevistos. Es importante mencionar que este punto no es solo una cuestión operativa pues es habitual que para conseguir el compromiso de SLA, RTO y RPO se deban tomar decisiones de diseño previo de la arquitectura que soporte dichos requerimientos.
• Operaciones de la plataforma: intervenciones concretas sobre los servicios y soluciones que soportan las cargas de trabajo desplegadas en la nube. Estas intervenciones incluyen configuración y mantenimiento en base a las métricas de monitorización activa que se realizan sobre ellas.
• Operaciones con cargas de trabajo: este sería el nivel de intervención más alto donde los servicios no se ven de forma aislada sino como conjunto de la solución. De esta manera se pueden realizar correcciones y/o optimizaciones de forma coordinada tanto en los servicios cloud como en las aplicaciones para obtener un resultado conjunto.

En cuanto a los anti-patrones típicos de la administración, el framework menciona el error de poner el foco en las herramientas en lugar de las mejoras de negocio esperadas. Por ejemplo, centrarnos solo en implantar una nueva y moderna herramienta de monitorización que nos permite la recogida en tiempo real de multitud de métricas. En la práctica esto no supone la mejora de la respuesta o disponibilidad de los servicios si no se acompaña de un modelo de operaciones adecuado que explote toda la información proporcionada por la herramienta.

Organización (Organize)

El despliegue de cargas de trabajo no es solo una cuestión tecnológica sino también organizativa y de personal. Se debe contar con las habilidades adecuadas al tipo de trabajo y alineado con el modelo operativo definido.

Como se ha observado en las metodologías anteriores, el CAF se adapta a distintos tamaños de empresa ya que las necesidades de organización de una PYME no son las mismas que las de una gran compañía. Su grado de adopción y atribución de responsabilidades no responden a los mismos requisitos y por tanto habrá puestos, perfiles y conocimientos que no apliquen según el caso ante el que nos encontremos.

A la hora de de definir la matriz de atribución de responsabilidades de la gestión de cargas de trabajo en la nube, el framework propone distintas posibilidades:

• Alineación con el organigrama: las responsabilidades relativas al proyecto de adopción y trabajo sobre la nube se asignan a estructuras existentes en el organigrama actual o se provocan cambios explícitos sobre el mismo para crear o redefinir figuras.
• Equipos virtuales: el organigrama actual de la empresa u organización permanece sin cambios y en su lugar se constituyen equipos virtuales que desempeñan las funciones necesarias.
• Modelo mixto: es una aproximación habitual donde se realizan ciertas alineaciones del organigrama existente con la definición de equipos virtuales para conseguir los objetivos marcados.

El despliegue de servicios en la nube provoca la aparición de nuevas funciones y la redefinición de algunas de las existentes. Podemos consultar la clasificación de estas funciones elaborada por el framework para ayudarnos en la definición de las responsabilidades anteriores y conocer cuáles de ellas se ajustan al contexto de nuestra compañía. No todas las funciones mencionadas se desarrollan de la misma manera. Pueden recaer sobre los mismos equipos o personas y, por supuesto, evolucionar a lo largo del tiempo, desarrollándose o enfatizándose en el momento que sean necesarias.

Conclusión

Con esta última metodología hemos cubierto las distintas etapas propuestas por el framework. En su página oficial, existe multitud de documentación disponible y secciones sobre las que podéis profundizar según vuestras necesidades. Esperamos que esta visión introductoria os haya proporcionado el conocimiento suficiente para conocer el marco, guiaros en su aplicación y ampliado las herramientas a vuestro alcance a la hora de trabajar sobre la nube.

La propuesta de Azure nos introduce en muchas de sus secciones soluciones y servicios concretos de la plataforma. La mayoría de las veces hemos decidido no hacer mención explícita a los mismos para poner en valor la posibilidad de su aplicación agnóstica, independientemente del proveedor final. Por ejemplo, si decidís ampliar algunas secciones como la monitorización, identificaréis fácilmente que gran parte de la configuración descritas bajo Azure Monitor se puede realizar perfectamente en AWS CloudWatch.

Esperamos que esta serie os haya sido de utilidad y nos encantaría escuchar vuestra opinión de la metodología de Microsoft para Azure. ¿Habéis encontrado áreas de aplicación? ¿Os ha enriquecido la visión de vuestra estrategia de adopción cloud?