Cloud Adoption Framework
Se você ainda não está utilizando nenhum serviço de nuvem (algo difícil atualmente), ainda não conhece o CAF (Cloud Adoption Framework), um documento com as melhores práticas e guia para apoiar nas decisões de adoção dos serviços em nuvem.
Para os 3 principais provedores, AWS, Azure e GCP, você consegue encontrar facilmente o link para acessar estes documentos, permitindo o desenvolvimento mais fluído da estratégia e operacionalização da nuvem.
Inicialmente o CAF nos permite realizar um assessment para entendimento do estado atual da organização e as necessidades do negócio, as capacidades técnicas e sua maturidade, além do quanto estamos aderentes aos requisitos de governança.
Com este panorama em mãos, fica mais fácil desenvolver a estratégia de adoção de nuvem e seus serviços, adotando somente os recursos e provedor mais adequado às necessidades da organização.
Com a estratégia e planos de adoção definidos, podemos iniciar a implementação efetiva dos nossos serviços no provedor escolhido, preparando a infra necessária para a comunicação com a Infra atual, além dos controles de segurança (preferencialmente desde o início) e compliance, além do monitoramento e ferramentas de gestão (acredito que nascer dessa forma é um sonho de sec =]).
Com as primeiras implementações, vem os aprendizados, nos permitindo otimizar o uso dos recursos e realizar as transformações necessárias, evitando ao máximo levar para nuvem sistemas as-is, o que poderá gerar um custo maior do que refatorar as aplicações, além de melhorar o gerenciamento através de automações.
Por fim, mas não menos importante, o CAF nos trará inclusive uma visão de melhoria do monitoramento, governança e resposta à incidentes; nos permitindo ter uma visão mais clara sobre o uso mais adequado dos recursos, atendendo à todos os requisitos legais e tecnológicos que o negócio demanda.
Agora você deve estar se perguntando, será que o CAF é realmente um passo-a-passo de tudo que devemos fazer para utilizar da melhor maneira serviços em nuvem e, é somente para este fim que devemos olhar para este framework?
E a minha resposta (para esta minha pergunta) é que podemos utilizá-los para outros fins inclusive, como exemplo, eu já utilizei o CAF da Azure, para me auxiliar na evolução de controles de DevSecOps, além de, reforçar que este não é um manual de instruções para uma organização e sim um guia de boas práticas e considerações que devemos fazer, tendo em vista as necessidades e especificidades do negócio em que estamos inseridos.
Afim de que, tiremos o melhor proveito dos provedores de nuvem, é importante conhecermos o que elas nos oferecem, qual a melhor abordagem para as nossas necessidades e as melhorias que trarão para o nosso negócio.
Portanto, nosso trabalho ficará menos difícil com o uso do CAF, evitando alguns erros desde o começo, e consequentemente diminuindo a exposição ao risco do nosso ambiente, além de evitar a criação de vulnerabilidades.
