Cosa significa essere un amministratore dell'account AWS in una startup?

Post di Faisal Farooq, Startup Solutions Architect e Abhi Singh, Sr. Security Solutions Architect

La maggior parte delle startup lavora a ritmi elevati, il che può significare che le tempistiche di rilascio spesso mettono in secondo piano le basi della sicurezza. Una conseguenza frequente di questa cultura frenetica può essere che le responsabilità di un amministratore di account non siano definite o che il ruolo sia distribuito tra diversi membri del team. Quando le dimensioni del team crescono e l'azienda acquista slancio, i clienti di una startup spesso richiedono che l'azienda applichi il principio del privilegio minimo e definisca chiaramente chi e cosa deve fare un amministratore, lasciando i fondatori a ripercorrere le decisioni a livello di architettura prese all'inizio, creando attriti e danneggiando l'azienda. In questo blog post definiremo quali dovrebbero essere le responsabilità di un amministratore di account, la formazione che questa persona, di seguito indicata semplicemente come amministratore, dovrebbe avere per essere efficace nel suo ruolo e l'impatto continuo di questo ruolo sull'azienda.

Panoramica

Un amministratore dell'account è il secondo utente più potente dell'azienda dopo l'account root. Di conseguenza, è importante definire cosa può fare quella persona o entità per assegnare i privilegi appropriati. Alcune delle responsabilità principali includono:

• Garantire un utilizzo efficace delle risorse e dei servizi AWS.
• Installare e mantenere l'ambiente AWS seguendo le best practice.
• Configurare e mantenere parametri di sicurezza adeguati.
• Implementare policy, procedure e reportistica per la sicurezza delle informazioni.

Responsabilità dell'amministratore

Come accennato in precedenza, l'amministratore è un consulente di fiducia per i team di sviluppo e i fondatori. Alcuni dei principi chiave per un amministratore di account affidabile sono:

Garantire un utilizzo efficace delle risorse e dei servizi AWS

L'amministratore dell'account deve essere il consulente interno di fiducia e un esperto di AWS. Deve essere sempre aggiornato sui più recenti annunci sui servizi e aiutare il management a sfruttare nel modo più efficiente ed efficace l'investimento su AWS. Le attività quotidiane di un amministratore comprendono:

• Fornire consulenza e consigli ai team di sviluppo e di prodotto sui modelli di progettazione architettonica e scegliere servizi appropriati con caratteristiche che possano soddisfare gli obiettivi aziendali, come cache, buffering e repliche.
• Creare metriche e allarmi corrispondenti utilizzando i servizi AWS come Amazon CloudWatch per monitorare i modelli e l'utilizzo delle risorse.
• Sfruttare i dati dei report sull'utilizzo dei costi per consigliare strategie di ottimizzazione dei costi, come i livelli di storage Amazon S3, le istanze Amazon EC2 e le risorse  AWS Lambda.
• Identificare le opportunità di utilizzo dei servizi e delle soluzioni gestite da AWS.
• Sviluppare strategie di implementazione per soddisfare gli obiettivi aziendali, tra cui il provisioning delle risorse, la migrazione o l'implementazione delle applicazioni e la gestione delle patch.

Installare e mantenere l'ambiente AWS seguendo il Framework AWS Well-Architected

Un amministratore di AWS si impegna a mantenere l'ambiente della startup perfettamente in linea con le best practice di AWS relative ai servizi utilizzati e al Framework Well-Architected, prestando particolare attenzione ai seguenti aspetti:

• Progettare una soluzione di back-up automatizzata e conveniente che supporti la continuità aziendale su più regioni AWS.
• Definire un'architettura che garantisca la disponibilità e la possibilità di ripristino delle applicazioni e dell'infrastruttura in caso di interruzione o guasto del servizio.

Configurare e mantenere parametri di sicurezza adeguati

La sicurezza è una priorità assoluta per l'amministratore dell'account. Di conseguenza, è responsabile dell'esecuzione delle seguenti attività chiave per mantenere l'ambiente della startup conforme agli standard di sicurezza richiesti:

• Stabilire le baseline degli utenti e delle risorse.
• Stabilire i confini di sicurezza tra le risorse dell'organizzazione e i partner, i clienti e Internet.
• Valutare l'ambiente AWS dell'organizzazione per individuare le vulnerabilità di sicurezza e di configurazione.
• In base ai requisiti di sicurezza e conformità dell'organizzazione, implementare i controlli di sicurezza appropriati per le applicazioni web rivolte al pubblico, applicando i privilegi minimi agli account, agli utenti e alle applicazioni AWS e gestendo le credenziali in modo sicuro. Maggiori informazioni sono disponibili nel Principio della sicurezza.
• Implementare soluzioni automatizzate per notificare e correggere le deviazioni della baseline, compresi gli accessi anomali alle risorse e la definizione dei modelli di flusso dei dati.

Il Principio della sicurezza di AWS fornisce indicazioni dettagliate su come configurare un account. Per una formazione più pratica, si consiglia di testare la configurazione utilizzando i Well-Architected labs in un ambiente di sperimentazione (sandbox).

Implementa policy, procedure e reportistica per la sicurezza delle informazioni

Alla startup possono essere applicati regolamenti e standard esterni, oltre a quelli interni. L'amministratore è responsabile dell'identificazione dei meccanismi appropriati, come Gestione Audit AWS, AWS Config o Centrale di sicurezza AWS, per applicare i requisiti di sicurezza e di reportistica sulla conformità, come NIST 800-83, HIPAA, FedRamp, PCI, ecc. Può anche automatizzare la creazione di report sulla conformità per le parti interessate. AWS fornisce diversi servizi e soluzioni che possono consentire all'amministratore di raggiungere gli obiettivi di conformità e garanzia. In base alle esigenze della startup, l'amministratore può sfruttare queste soluzioni e guide chiavi in mano in linea con le indicazioni di AWS.

Migliora continuamente l'ambiente AWS in termini di efficienza, efficacia, sicurezza e costi

A seconda del livello di conoscenza di AWS e dell'attività della startup, l'amministratore esamina continuamente l'ambiente esistente e identifica le opportunità di miglioramento. Deve esaminare le metriche di performance rispetto all'obiettivo e suggerire miglioramenti, identificare i colli di bottiglia e consigliare strategie alternative. Può anche testare le strategie di implementazione automatica e di rollback, nonché sfruttare e promuovere l'infrastruttura come codice e l'implementazione basata su pipeline CI/CD. L'amministratore esaminerà regolarmente i problemi legati alla sicurezza e svilupperà meccanismi di mitigazione automatizzati, come architetture alternative per gli elementi ripetitivi e, infine, manterrà Runbook e Playbook per le attività comuni evidenziate in precedenza. Il Framework AWS Well-Architected prevede un principio di eccellenza operativa che può aiutare gli amministratori a migliorare continuamente.

Come si può innovare nel ruolo di amministratore di AWS?

AWS fornisce regolarmente indicazioni e modelli di architettura basati sulle tendenze del settore. Questa guida, insieme agli elementi elencati di seguito, aiuterà gli amministratori a inventare e semplificare per conto dei clienti:

• Consulta le linee guida più recenti di AWS tramite re:Invent, whitepapers, e Tech Talks per identificare nuovi modelli.
• Automatizza le attività quotidiane utilizzando gli SDK AWS, servizi come SSM Documents e SSM Automation.
• Informa i team delle applicazioni riguardo i servizi e i modelli di progettazione e architettura appena rilasciati.
• Riduci i costi collaborando con i team dei tuoi account AWS per sfruttare diversi meccanismi come  le istanze riservate, i piani di risparmio, gli sconti per volumi elevati specifici dei servizi come il  Bundle CloudFront Security Savings e i  Programmi di sconto per le imprese.
• Automatizza una strategia di continuità aziendale e ripristino di emergenza.
• Sviluppare l'automazione per l'affidabilità del sito rispetto agli obiettivi definiti.
• Esegui periodicamente valutazioni Well-Architected sui tuoi carichi di lavoro.

Conclusioni

I dirigenti delle startup si trovano spesso a dover definire e delineare le responsabilità di un amministratore di AWS. Con queste risorse, i fondatori e gli stakeholder possono assumere e far crescere le figure migliori, mantenendo un adeguato livello di separazione dei compiti, che spesso si rivela invece un grosso problema per la crescita e la scalabilità di una startup. Seguendo le pratiche definite sopra, gli amministratori di AWS possono bilanciare lo svolgimento delle attività quotidiane in modo efficace, aiutare le proprie startup ad adottare buone pratiche di sicurezza, che spesso sono richieste come parte della garanzia di terze parti, e ottimizzare i costi di infrastruttura.