Zásady správného řízení pro úlohy SaaS v Azure
Zásady správného řízení jsou sada ovládacích prvků, postupů a nástrojů, které můžete použít k uspořádání, řízení a regulaci používání cloudových služeb. Zásady správného řízení si můžete představit jako řadu mantinely, které nastavují standardy pro přijatelné použití, brání neoprávněnému přístupu a úpravám a odpovídají cloudovým aktivitám s vaší celkovou cloudovou strategií. Efektivní zásady správného řízení snižují rizika, pomáhají zajistit dodržování předpisů a podporují obchodní cíle vaší organizace. Když vytváříte řešení SaaS (software jako služba), je zásadní určit prioritu zásad správného řízení od začátku. Tento přístup představuje základ bezpečného, nákladově efektivního a efektivního řešení.
Zásady správného řízení nákladů
Aby bylo možné zajistit úspěch vaší firmy, je důležité porozumět nákladům na provoz vašeho řešení. Tyto náklady potřebujete efektivně analyzovat, spravovat a optimalizovat a současně zachovat kontrolu nad nimi. Když začnete vytvářet řešení v Azure, můžete k odhadu nákladů použít nástroje, jako jsou cenové kalkulačky a analyzátory nákladů.
Další informace o tom, jak sledovat a řídit náklady na SaaS a jak fakturovat zákazníky, najdete v tématu Fakturace a správa nákladů pro úlohy SaaS v Azure.
Aspekty návrhu
Vytvořte strategii vytváření názvů a označování. Názvy a značky poskytují metadata, která můžete použít k řízení prostředků a rychlému určení vlastnictví. Konzistentní pojmenování prostředků vám může pomoct spravovat a řídit vaše prostředky Azure. Značky prostředků Azure jsou páry klíč-hodnota metadat, které použijete u prostředků, a slouží k jejich identifikaci.
Zvažte použití metadat, která vám pomůžou sledovat informace, jako jsou:
- Typ zdroje.
- Přidružená úloha.
- Prostředí, ve kterém se používá, například produkční, přípravný nebo vývoj.
- Umístění prostředku.
- Zákazník nebo skupina zákazníků, kteří prostředek používají pro nasazení specifická pro zákazníky.
Strategie pojmenování prostředků najdete v tématu Architektura přechodu na cloud: Pojmenování prostředků.
Implementujte automatizované zásady správného řízení prostřednictvím zásad. Zásady jsou užitečné pro definování standardů organizace a vyhodnocení dodržování předpisů vašich úloh a prostředků. Jedná se o nástroj zásad správného řízení, který můžete použít k dosažení konzistence prostředků, dodržování právních předpisů, zabezpečení, správy a efektivity nákladů.
Pomocí Služby Azure Policy můžete vytvořit katalog povolených služeb a typů služeb, které jsou přizpůsobené vašim požadavkům na úlohy. Tento katalog může zabránit náhodnému nadměrnému překročení, protože pomáhá zajistit, aby se používaly pouze schválené služby. Například po určení typu, řady a velikosti virtuálních počítačů, které potřebujete, můžete implementovat zásadu, která umožňuje pouze nasazení těchto virtuálních počítačů. Zásady vynucujte jednotně pro všechny uživatele a objekty zabezpečení bez ohledu na jejich úroveň oprávnění.
Kompromis: Bezpečnost a provozní efektivita. Implementace příliš velkého počtu zásad může snížit produktivitu vašeho týmu. Snažte se implementovat automatizované ovládací prvky na nejzásadnějších prvcích.Používejte nástroje pro správu nákladů. Microsoft Cost Management poskytuje několik nástrojů pro podporu zásad správného řízení nákladů, například:
Analýza nákladů je nástroj, který můžete použít pro přístup k analýzám a přehledům o útratě v cloudu. Tyto náklady si můžete prohlédnout prostřednictvím různých inteligentních a přizpůsobitelných zobrazení. Tato zobrazení obsahují podrobné přehledy, jako jsou náklady podle skupin prostředků, služeb a předplatných. Pomocí analýzy nákladů můžete analyzovat kumulované a denní náklady a zkontrolovat podrobnosti faktur.
Rozpočty ve službě Cost Management je nástroj, který můžete použít k vytvoření mantinely útraty a upozornění v různých oborech v rámci Azure. Upozornění rozpočtu můžete nakonfigurovat na základě skutečné útraty nebo předpokládané útraty. Rozpočty můžete přiřadit také na různých úrovních, včetně skupin pro správu, předplatných nebo skupin prostředků.
Upozornění na náklady pomáhají monitorovat útratu v cloudu prostřednictvím tří samostatných typů upozornění.
Upozornění rozpočtu upozorní příjemce, když dosáhnete prahových hodnot rozpočtu nebo brzy dosáhnete předpokládaných prahových hodnot.
Upozornění na anomálie upozorní příjemce, když dojde k neočekávaným změnám útraty v cloudu.
Naplánovaná upozornění odesílají příjemcům denní, týdenní nebo měsíční sestavy o celkové útratě v cloudu.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Povolte službu Cost Management. Nástroje jsou dostupné na webu Azure Portal a všem uživatelům, kteří mají přístup k fakturačnímu účtu, předplatnému, skupině prostředků nebo skupině pro správu. |
Získáte přístup k nástrojům, které analyzují, monitorují a optimalizují vaše výdaje v Microsoft Cloudu. |
| Vytvořte Službu Azure Policy , která pomáhá vynucovat řízení nákladů, jako jsou povolené typy prostředků a umístění. | Tato strategie pomáhá vynucovat konzistentní standardy, řídit prostředky, které je možné nasadit, a sledovat dodržování předpisů vašich prostředků a útraty v cloudu. |
| Povolte příslušná upozornění na náklady. | Upozornění na náklady vás upozorní na neočekávané útraty v cloudu nebo při přístupu k předdefinovaným limitům. |
| Používejte konzistentní zásady vytváření názvů a značky prostředků. Pomocí značek prostředků Azure označíte, které prostředky jsou vyhrazené konkrétnímu zákazníkovi. | Konzistentní metadata pomáhají sledovat, které prostředky patří zákazníkovi. Tento postup je zvlášť důležitý při nasazování prostředků vyhrazených pro zákazníky. |
Zabezpečení a dodržování předpisů
Zabezpečení a dodržování předpisů jsou základní principy návrhu pro cloudové úlohy a klíčovou komponentu správného řízení cloudu. Kontrolní mechanismy zabezpečení, jako jsou řízení přístupu na základě role, pomáhají určit akce, které můžou uživatelé ve vašem prostředí provádět. Kontroly prostřednictvím zásad vám můžou pomoct dosáhnout konkrétních standardů dodržování právních předpisů pro nasazené úlohy.
Další informace najdete v tématu Řízení přístupu na základě role (RBAC) Azure a Azure Policy.
Při vývoji řešení SaaS závisejí vaši zákazníci na vás, abyste ochránili svá data a podporovali jejich obchodní operace. Pokud chcete provozovat řešení SaaS jménem zákazníků, musíte splnit nebo překročit jejich bezpečnostní očekávání. Možná budete také muset splnit konkrétní požadavky na dodržování předpisů, které vaši zákazníci uložili. Tento požadavek je společný se zákazníky v regulovaných odvětvích, jako jsou zdravotnické a finanční služby a pro mnoho podnikových zákazníků.
Aspekty návrhu
Definujte tenanty Microsoft Entra. Tenant Microsoft Entra definuje hranici identit, které můžou spravovat vaše prostředky Azure. Pro většinu organizací je vhodné použít jednoho tenanta Microsoft Entra ve všech vašich prostředcích. Při sestavování SaaS existují různé přístupy, které můžete použít ke kombinování nebo oddělení tenantů Microsoft Entra v závislosti na vašich potřebách.
Při rozhodování, jestli se má SaaS používat, je důležité zvážit tři různé typy případů použití:
Interní SaaS, někdy označované jako podnikové nebo podnikové, je, když hostujete prostředky vaší organizace, včetně Microsoftu 365 a dalších nástrojů, které používáte sami.
Produkční SaaS je, když hostujete prostředky Azure pro řešení SaaS, ke kterému se zákazníci připojují a používají.
Neprodukční SaaS je, když hostujete prostředky Azure pro neprodukční prostředí vašeho řešení SaaS, jako je vývoj, testování a přípravné prostředí.
Většina nezávislých dodavatelů softwaru (ISV) používá pro všechny účely v předchozím seznamu jednoho tenanta Microsoft Entra.
V některých případech můžete mít konkrétní obchodní odůvodnění oddělení některých účelů napříč několika tenanty Microsoft Entra. Pokud například pracujete se zákazníky s vysokou úrovní zabezpečení, můžou vyžadovat, abyste pro interní aplikace a pro produkční a neprodukční úlohy SaaS používali odlišné adresáře. Tyto požadavky jsou neobvyklé.
Důležité
Může být obtížné spravovat více tenantů Microsoft Entra. Správa více tenantů zvyšuje režii a náklady na správu. Pokud nejste opatrní, může více tenantů zvýšit rizika zabezpečení. V případě potřeby používejte pouze několik tenantů Microsoft Entra.
Další informace o tom, jak nakonfigurovat tenanty Microsoft Entra při nasazování SaaS, najdete v tématu Důležité informace o isV pro cílové zóny Azure.
Spravujte své identity. Identita je základním kamenem zabezpečení cloudu, který tvoří základ správy přístupu. Při vývoji SaaS máte různé typy identit, které je potřeba zvážit. Další informace o identitě v řešeních SaaS najdete v tématu Správa identit a přístupu pro úlohy SaaS v Azure.
Řízení přístupu k prostředkům Azure Vaše prostředky Azure jsou důležitými komponentami vašeho řešení. Azure nabízí několik způsobů ochrany vašich prostředků.
Azure RBAC je autorizační systém, který řídí přístup k řídicí rovině Azure a prostředkům ve vašem prostředí. Azure RBAC je kolekce předdefinovaných a vlastních rolí, které určují, jaké akce můžete s prostředky Azure provádět. Role jsou kategorizovány jako privilegované role správce a role funkcí úloh. Tyto role omezují, co můžete dělat se sadou prostředků v oboru, který definujete. Azure RBAC může udělit nejnižší privilegovaný přístup komukoli, kdo tuto úlohu spravuje.
Zámky Azure můžou pomoct zabránit náhodnému odstranění a úpravám vašich prostředků Azure. Když u prostředku použijete zámek, nebudou moct prostředek odstranit ani uživatelé s privilegovanými rolemi správce, pokud zámek explicitně neodstraní.
Kompromis: Bezpečnost a provozní efektivita. Řízení přístupu na základě role a zámky jsou důležitými prvky strategie zabezpečení cloudu a zásad správného řízení. Zvažte ale provozní složitosti, ke kterým může dojít, když vážně omezíte, kdo může provádět běžné operace. Pokuste se vyvážit potřeby zabezpečení a funkčnosti. Máte jasný plán eskalovat povinnosti, pokud dojde k nouzovému stavu nebo pokud jsou klíčové osoby nedostupné.Dodržování regulačních norem. Mnoho zákazníků musí na své prostředky umístit přísné kontroly, aby splnili konkrétní předpisy týkající se dodržování předpisů. Azure poskytuje několik nástrojů, které vaší organizaci pomůžou vytvořit řešení v Azure, které vyhovuje vašim potřebám dodržování předpisů.
Azure Policy vám může pomoct definovat standardy organizace a vyhodnotit a vynutit dodržování předpisů vašich úloh a prostředků. Můžete implementovat předdefinované standardy nebo vlastní standardy dodržování předpisů. Azure Policy zahrnuje řadu předdefinovaných iniciativ zásad nebo skupin zásad pro běžné regulační standardy. Mezi tyto zásady patří FedRAMP High, HIPAA, HITRUST, PCI DSS a ISO 27001. Když zásady použijete pro vaše prostředí, řídicí panel dodržování předpisů poskytuje podrobné skóre celkového dodržování předpisů. Tento řídicí panel můžete použít při vytváření plánu nápravy, aby se vaše prostředí přenesly do standardů. Azure Policy můžete použít k:
Odepřít nasazení prostředků na základě kritérií definovaných v zásadách. Můžete například zabránit tomu, aby se datové prostředky nasazovaly v oblastech Azure, kde by došlo k porušení požadavků na rezidenci dat.
Auditujte nasazení nebo konfiguraci prostředků a zjistěte, jestli jsou nasazené s konfiguracemi, které splňují vaše standardy dodržování předpisů. Můžete například auditovat virtuální počítače, abyste ověřili, že mají nakonfigurované zálohování, a zobrazit seznam virtuálních počítačů, které nemají.
Opravte nasazení prostředku. Zásady pro nápravu nekompatibilních prostředků můžete nakonfigurovat nasazením rozšíření nebo změnou konfigurace nových nebo existujících prostředků. Můžete například použít úlohu nápravy k automatickému nasazení programu Microsoft Defender for Endpoint do virtuálních počítačů.
Microsoft Defender for Cloud poskytuje nepřetržité hodnocení konfigurace vašich prostředků proti kontrolním mechanismům dodržování předpisů a osvědčeným postupům v standardech a srovnávacích testech, které používáte ve svých předplatných. Defender for Cloud vypočítá celkové skóre dodržování předpisů, což vám pomůže určit změny, které potřebujete udělat.
Program Defender for Cloud ve výchozím nastavení používá srovnávací test zabezpečení cloudu Microsoftu (MCSB) jako standardní standard pro postupy založené na zabezpečení a dodržování předpisů. MCSB je sada kontrolních mechanismů dodržování předpisů poskytovaných Microsoftem, které doporučujeme pro většinu úloh v Azure. Pokud potřebujete splnit jiný standard, můžete použít další dostupné nabídky dodržování předpisů.
Tip
I když nepotřebujete okamžitě dodržovat regulační normu, měli byste přesto. Dodržování standardu, jako je MCSB, je mnohem jednodušší, než když začnete nasazovat řešení, než když ho později použijete zpětně.
Standardy dodržování předpisů můžete použít pro různé obory. Můžete například definovat konkrétní předplatné Azure jako v oboru pro konkrétní standard. Pomocí programu Defender for Cloud můžete také vyhodnotit konfiguraci prostředků hostovaných v jiných poskytovatelích cloudu.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Udělte uživatelům a skupinám nejmenší možný přístup k dokončení jejich funkcí úloh. Omezte počet přiřazení privilegovaných rolí. Určete, jestli místo role privilegovaného správce můžete použít roli specifickou pro úlohu úlohy. |
Ohrožení můžete snížit, pokud dojde k ohrožení přihlašovacích údajů. |
| Omezte počet vlastníků předplatného Azure. | Příliš mnoho vlastníků předplatného zvyšuje riziko ohrožení přihlašovacích údajů. |
| Přiřaďte role skupinám místo uživatelů. | Tento přístup snižuje požadovaný počet přiřazení rolí, což snižuje administrativní režii. |
| Osvojte si standardní hodnoty zabezpečení v rané fázi procesu návrhu. Zvažte MCSB jako výchozí bod. MCSB poskytuje jasné a užitečné rady ke zlepšení zabezpečení vašich aplikací v Azure a napříč prostředími v jiných cloudech a v místním prostředí. | Když se zaměříte na kontroly specifické pro cloud, MCSB vám pomůže posílit celkový stav zabezpečení. |
| Pomocí zámků Azure můžete zabránit náhodným změnám vašeho prostředí. | Zámky můžou pomoct zabránit náhodným úpravám a odstranění prostředků, skupin prostředků a předplatných. |
| K posouzení dodržování předpisů použijte Azure Policy nebo Defender for Cloud. | Zásady můžou pomoct vynucovat standardy organizace a splňovat dodržování právních předpisů. |
Další materiály
Víceklientská architektura je základní obchodní metodologie pro navrhování úloh SaaS. V těchto článcích najdete další informace o aspektech zásad správného řízení:
Další krok
Naučte se strategie pro výběr správných oblastí Azure pro vaše prostředky a vývoj strategie organizace prostředků, která podporuje růst a vývoj řešení SaaS.