Sdílet prostřednictvím

Oblast návrhu: Zásady správného řízení Azure

  • Článek

Využijte zásady správného řízení Azure k vytvoření nástrojů, které potřebujete k podpoře zásad správného řízení v cloudu, auditování dodržování předpisů a automatizovaných mantinely.

Kontrola oblasti návrhu

role nebo funkce: zásady správného řízení Azure pocházejí z zásad správného řízení v cloudu. Možná budete muset implementovat cloudovou platformu nebo cloudové centrum excelence, abyste definovali a uplatňovali určité technické požadavky. Správa se zaměřuje na prosazování provozních a bezpečnostních požadavků, které můžou vyžadovat cloudového zabezpečení, centrální IT, nebo cloudové operace.

Rozsah : zvažte rozhodnutíidentit, síťových, zabezpečení a kontrol návrhu oblastí návrhu. Váš tým může porovnat rozhodnutí z revize automatizovaného řízení, která jsou součástí akceleratoru přistávacích zón Azure. Kontrola rozhodnutí vám může pomoct určit, co auditovat nebo vynucovat a které zásady automaticky nasadit.

Mimo rozsah: zásady správného řízení Azure vytvářejí základ pro sítě. Nezabývá se ale komponentami souvisejícími s dodržováním předpisů, jako je pokročilé zabezpečení sítě nebo automatizované mantinely pro vynucení síťových rozhodnutí. Tato rozhodnutí o sítích můžete řešit při kontrole oblastí návrhu dodržování předpisů, které se týkají zabezpečení a zásad správného řízení. Tým cloudové platformy by měl před řešením složitějších komponent řešit počáteční síťové požadavky.

Nové (greenfield) cloudové prostředí: Chcete-li zahájit cestu do cloudu, vytvořte malou sadu předplatných. K vytvoření nových cílových zón Azure můžete použít šablony nasazení Bicep. Další informace najdete v tématu přistávacích zón Azure Bicep – průběh nasazení.

existující cloudové prostředí (brownfield): Pokud chcete použít osvědčené principy zásad správného řízení Azure pro existující prostředí Azure, zvažte následující doprovodné materiály:

  • Vytvořte základní správy pro hybridní nebo multicloudové prostředí.

  • Implementujte funkce služby Microsoft Cost Management, jako jsou rozsahy fakturace, rozpočty a upozornění, abyste zajistili, že nepřekročíte limit výdajů.

  • Pomocí Azure Policy vynucujte v nasazeních Azure ochranné mantinely zásad správného řízení a aktivujte úlohy nápravy, které přenesou existující prostředky Azure do kompatibilního stavu.

  • Zvažte použití funkce správy nároků Microsoft Entra k automatizaci pracovních postupů žádostí o přístup k Azure, přiřazení přístupu, kontrol a vypršení platnosti.

  • Pomocí doporučení Azure Advisor zajistěte optimalizaci nákladů a provozní dokonalost v Azure, což jsou oba základní principy pro Microsoft Azure Well-Architected Framework.

Úložiště Azure landing zones Bicep – nasazovací tok obsahuje Bicep šablony nasazení, které mohou urychlit nasazení v novém prostředí a ve stávajícím prostředí pro cílové zóny Azure. Tyto šablony integrovaly osvědčené pokyny k zásadám správného řízení microsoftu.

Zvažte použití výchozích přiřazení zásad cílové zóny Azure s modulem Bicep, abyste mohli získat náskok v zajištění souladu vašich prostředí Azure s předpisy.

Další informace najdete v tématu aspekty brownfieldového prostředí.

Přehled oblasti návrhu

Cesta přechodu na cloud ve vaší organizaci začíná silnými ovládacími prvky pro státní správu.

Zásady správného řízení poskytují mechanismy a procesy pro zachování kontroly nad platformami, aplikacemi a prostředky v Azure.

diagram znázorňující návrh zásad správného řízení cílové zóny

Prozkoumejte následující aspekty a doporučení, abyste při plánování cílové zóny mohli provádět informovaná rozhodnutí.

Oblast návrhu správy se zaměřuje na rozhodovací procesy týkající se návrhu cílové zóny. Informace o procesech a nástrojích zásad správného řízení najdete v tématu Řízení v rámci architektury přechodu na cloud pro Azure.

Aspekty zásad správného řízení Azure

Azure Policy pomáhá zajistit zabezpečení a dodržování předpisů pro podniková technická aktiva. Azure Policy může vynucovat důležité konvence správy a zabezpečení napříč službami platformy Azure. Azure Policy doplňuje řízení přístupu na základě role v Azure (RBAC), které řídí akce pro oprávněné uživatele. Cost Management může také pomoct podporovat průběžné náklady na zásady správného řízení a výdaje v Azure nebo v jiných multicloudových prostředích.

Důležité informace o nasazení

Rady pro kontrolu změn můžou bránit inovacím a obchodní flexibilitě vaší organizace. Azure Policy nahrazuje takové kontroly automatizovanými mantinely a audity dodržování, aby se zlepšila efektivita úloh.

  • Určete, které zásady Azure potřebujete, na základě obchodních kontrol nebo souladu s předpisy. Jako výchozí bod použijte zásady zahrnuté v akcelerátoru cílových zón Azure.

  • Pomocí zásad zahrnutých v referenční implementaci cílových zón Azure zvažte další zásady, které můžou odpovídat vašim obchodním požadavkům.

  • Vynucujte automatizované síťové zásady, identity, správy a zabezpečení.

  • Správa a vytváření přiřazení zásad pomocí definic zásad, které můžete opakovaně použít v několika zděděných oborech přiřazení. V rámci správy, účtu předplatného a skupiny prostředků můžete mít centralizovaná přiřazení zásad základní linie.

  • Zajištění nepřetržitého dodržování předpisů prostřednictvím sestavování a auditování souladu s předpisy.

  • Seznamte se s omezeními služby Azure Policy, jako je omezení definic v jakémkoli konkrétním rozsahu. Další informace najdete v tématu Omezení politiky.

  • Seznamte se se zásadami dodržování právních předpisů. Tyto zásady můžou zahrnovat kritéria důvěryhodných služeb HIPAA, PCI-DSS nebo SOC 2.

Důležité informace o službě Cost Management

  • Představte si strukturu modelu nákladů a dobíjení vaší organizace. Určete klíčové datové body, které přesně vyjadřují útratu za cloudové služby.

  • Zvolte strukturu značek, které odpovídají vašemu modelu nákladů a dobíjení, abyste mohli sledovat útratu v cloudu.

  • Pomocí cenové kalkulačky Azure můžete odhadnout očekávané měsíční náklady na používání produktů Azure.

  • Získejte zvýhodněné hybridní využití Azure, abyste snížili náklady na provoz úloh v cloudu. V Azure můžete použít místní licence Windows Serveru s podporou Software Assurance a SQL Serveru. Můžete také použít předplatná Red Hat a SUSE Linux.

  • Získejte rezervace Azure a zavážete se k plánům na jeden nebo tři roky pro více produktů. Plány rezervací poskytují slevy na prostředky, které můžou výrazně snížit náklady na prostředky až o 72% oproti průběžným platbám.

  • Získejte Azure plán úspor na výpočetní služby, abyste ušetřili až 65% procent oproti cenám průběžného účtování. Vyberte roční nebo tříletý závazek, který se vztahuje na výpočetní služby bez ohledu na vaši oblast, velikost instance nebo operační systém. Vyberte plán pro výpočetní komponenty, jako jsou virtuální počítače, vyhrazené hostitele, instance kontejnerů, prémiové funkce Azure a aplikační služby Azure. Zkombinujte plán úspory Azure s rezervacemi Azure, abyste optimalizovali náklady na výpočetní prostředky a flexibilitu.

  • Pomocí zásad Azure povolte konkrétní oblasti, typy prostředků a skladové položky prostředků.

  • Pomocí zásad založených na pravidlech správy životního cyklu služby Azure Storage přesuňte objekty typu blob do odpovídajících úrovní přístupu nebo nechte data vypršet na konci jejich životního cyklu.

  • Využijte předplatná Azure pro vývoj/testování a získejte slevu na přístup k vybraným službám Azure pro neprodukční úlohy.

  • Pomocí automatického škálování můžete dynamicky přidělovat a uvolnit prostředky tak, aby odpovídaly vašim požadavkům na výkon, což šetří peníze.

  • Využijte spotové virtuální počítače Azure k využití nevyužité výpočetní kapacity s nízkými náklady. SpotOvé virtuální počítače jsou skvělé pro úlohy, které dokážou zvládnout přerušení, například úlohy dávkového zpracování, vývojová/testovací prostředí a rozsáhlé výpočetní úlohy.

  • Vyberte správné služby Azure, které vám pomůžou snížit náklady. Některé služby Azure jsou zdarma po dobu 12 měsíců a některé jsou vždy zdarma.

  • Vyberte správnou výpočetní službu pro vaši aplikaci, která vám pomůže zlepšit nákladovou efektivitu. Azure nabízí mnoho způsobů hostování kódu.

Důležité informace o správě prostředků

  • Určete, jestli skupiny prostředků ve vašem prostředí můžou sdílet požadované konfigurace, společný životní cyklus nebo běžná omezení přístupu (například RBAC), které vám pomůžou zajistit konzistenci.

  • Zvolte návrh aplikace nebo předplatného úloh, který je vhodný pro potřeby vaší operace.

  • Zajistěte konzistentní základní konfiguraci pomocí standardních konfigurací prostředků ve vaší organizaci.

Důležité informace o zabezpečení

  • Prosazujte nástroje a zábrany v celém prostředí jako součást bezpečnostní základní linie.
  • Upozorněte příslušné osoby, když zjistíte odchylky.
  • Zvažte použití služby Azure Policy k vynucení nástrojů, jako je Microsoft Defender for Cloud nebo mantinely, jako je srovnávací test zabezpečení cloudu Microsoftu.

Aspekty správy identit

  • Určete, kdo má přístup k protokolům auditu pro správu identit a přístupu.

  • Upozorněte příslušné osoby, když dojde k podezřelým událostem přihlášení.

  • Zvažte použití sestav Microsoft Entra k řízení aktivit.

  • Zvažte odeslání protokolů Microsoft Entra ID do centrálního pracovního prostoru protokolů služby Azure Monitor pro platformu.

  • Prozkoumejte funkce správy Microsoft Entra ID, jako jsou kontroly přístupu a správa nároků.

Nástroje od jiných společností než Microsoft

  • Získejte aktualizace správy Azure pomocí AzAdvertizer. Přehledy o definicích zásad, iniciativách, aliasech, zabezpečení a ovládacích prvcích dodržování právních předpisů najdete například v definicích rolí Azure Policy nebo Azure RBAC. Můžete také získat přehled o operacích poskytovatele prostředků, definicích rolí Microsoft Entra a akcích rolí a oprávněních rozhraní API první strany.

  • Využijte Azure Governance Visualizer, abyste měli přehled o vašich technických aktivech. Pomocí funkce kontroly verzí zásad pro cílové zóny Azure můžete udržovat vaše prostředí aktuální s nejnovějším stavem zásad cílové zóny Azure.

Doporučení k zásadám správného řízení Azure

Doporučení ke zrychlení nasazení

  • Identifikujte požadované značky Azure a použijte režim připojení zásad k vynucení jejich použití. Další informace najdete v tématu Definování strategie označování.

  • Mapování regulačních a souladových požadavků na definice zásad Azure Policy a k přiřazení rolí v Azure.

  • Vytvořte definice služby Azure Policy v kořenové skupině pro správu nejvyšší úrovně, protože se můžou přiřazovat v zděděných oborech.

  • V případě potřeby můžete spravovat přiřazení zásad na nejvyšší odpovídající úrovni s vyloučeními na nejnižších úrovních.

  • Azure Policy slouží k řízení registrací poskytovatelů prostředků na úrovni předplatného nebo skupiny pro správu.

  • Pomocí předdefinovaných zásad minimalizujte provozní režii.

  • Přiřaďte předdefinovanou roli Přispěvatel zásad prostředků na konkrétní rozsah, abyste umožnili správu na úrovni aplikace.

  • Omezte počet přiřazení Azure Policy v hlavním oboru skupiny pro správu, abyste se vyhnuli řešení výjimek ve zděděných oborech.

Doporučení pro správu nákladů

  • Pomocí služby Cost Management můžete implementovat finanční dohled nad prostředky ve vašem prostředí.
  • Pomocí značek, jako je nákladové středisko nebo název projektu, připojte metadata zdroje. Tento přístup pomáhá umožnit podrobnou analýzu výdajů.

Správa Azure v akcelerátoru přistávacích zón Azure

Akcelerátor přistávacích zón Azure poskytuje organizacím vyspělé kontroly správného řízení.

Můžete například implementovat:

  • Hierarchie skupin pro správu, která seskupuje prostředky podle funkce nebo typu úlohy. Tento přístup podporuje konzistenci prostředků.
  • Bohatá sada zásad Azure, která umožňuje řízení na úrovni skupiny pro správu. Tento přístup pomáhá ověřit, jestli jsou všechny prostředky v rozsahu.