Freigeben über

Entwurfsbereich: Azure Governance

  • Artikel

Verwenden Sie Azure-Governance-Tools, um die Werkzeuge einzurichten, die Sie benötigen, um Cloud-Governance, Compliance-Überwachung und automatisierte Schutzmaßnahmen zu unterstützen.

Überprüfung des Entwurfsbereichs

Rollen oder Funktionen: Azure Governance stammt aus Cloudgovernance. Möglicherweise müssen Sie die Cloudplattform oder ein Cloud Center of Excellence implementieren, um bestimmte technische Anforderungen zu definieren und anzuwenden. Governance konzentriert sich auf die Durchsetzung von Prozess- und Sicherheitsanforderungen, die möglicherweise Cloudsicherheitsvorgänge, zentrale IT-Vorgänge oder Cloudvorgänge erfordern.

Bereich: Berücksichtigen Sie Ihre Entscheidungen aus, die bei der Überprüfung der Entwurfsbereiche Identität, Netzwerk, Sicherheit und Verwaltung getroffen wurden. Ihr Team kann Überprüfungsentscheidungen der automatisierten Governance vergleichen, die Teil des Azure-Zielzonenbeschleunigers ist. Anhand von Überprüfungsentscheidungen können Sie ermitteln, was geprüft oder durchgesetzt werden soll und welche Richtlinien automatisch bereitgestellt werden sollen.

Außerhalb des Umfangs: Azure Governance bildet die Grundlage für Netzwerke. Es betrifft jedoch keine Compliance-bezogenen Komponenten, wie erweiterte Netzwerksicherheit oder automatisierte Leitplanken, die Netzwerkentscheidungen durchsetzen. Sie können diese Netzwerkentscheidungen behandeln, wenn Sie Compliance-Entwurfsbereiche überprüfen, die mit Sicherheit und Governance zusammenhängen. Das Cloudplattformteam sollte die anfänglichen Netzwerkanforderungen ansprechen, bevor es komplexere Komponenten behandelt.

Neue Cloudumgebung (Greenfield): Um Ihre Cloud-Journey zu starten, erstellen Sie eine kleine Gruppe an Abonnements. Sie können Bicep-Bereitstellungsvorlagen verwenden, um Ihre neuen Azure-Zielzonen zu erstellen. Weitere Informationen finden Sie unter Azure-Zielzonen-Bicep – Bereitstellungsflow.

Vorhandene Cloudumgebung (Brownfield): Wenn Sie bewährte Azure-Governanceprinzipien auf vorhandene Azure-Umgebungen anwenden möchten, beachten Sie die folgenden Anleitungen:

  • Richten Sie eine Verwaltungsbaseline für Ihre Hybrid- oder Multicloud-Umgebung ein.

  • Implementieren Sie Microsoft Cost Management Features wie Abrechnungsbereiche, Budgets und Warnungen, um sicherzustellen, dass Sie Ihr Spesenlimit nicht überschreiten.

  • Verwenden Sie Azure Policy, um Governanceleitlinien für Azure-Bereitstellungen durchzusetzen und Wartungsaufgaben auszulösen, damit vorhandene Azure-Ressourcen in einen kompatiblen Zustand gebracht werden.

  • Erwägen Sie die Verwendung des Microsoft Entra-Berechtigungsverwaltungsfeatures, um Azure-Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und den Ablauf zu automatisieren.

  • Nutzen Sie Empfehlungen von Azure Advisor, um Kostenoptimierung und operative Exzellenz in Azure sicherzustellen, die beide Kernprinzipien des Microsoft Azure Well-Architected Framework sind.

Das Repository Azure-Zielzonen-Bicep – Bereitstellungsflow enthält Bicep-Bereitstellungsvorlagen, die Ihre Greenfield- und Brownfield-Bereitstellungen für Azure-Zielzonen beschleunigen können. Diese Vorlagen enthalten integrierte Leitfäden für bewährte Governance-Praktiken von Microsoft.

Erwägen Sie die Verwendung des Bicep-Moduls Standardrichtlinienzuweisungen für Azure-Zielzone, um einen Vorsprung bei der Sicherstellung der Compliance für Ihre Azure-Umgebungen zu erhalten.

Weitere Informationen finden Sie unter Überlegungen zu Brownfield-Umgebungen.

Übersicht über den Entwurfsbereich

Die Cloud-Einführungsreise Ihrer Organisation beginnt mit starken Kontrollen für Regierungsumgebungen.

Governance bietet Mechanismen und Prozesse zur Aufrechterhaltung der Kontrolle über Plattformen, Anwendungen und Ressourcen in Azure.

Diagramm: Entwurf der Zielzonengovernance.

Betrachten Sie die folgenden Überlegungen und Empfehlungen, um fundierte Entscheidungen zu treffen, während Sie Ihre Landungszone planen.

Der Governance-Entwurfsbereich konzentriert sich auf Entwurfsentscheidungen für die Zielzone. Informationen zu Governance-Prozessen und -Tools finden Sie unter Governance im Cloud Adoption Framework für Azure.

Überlegungen zur Azure-Governance

Azure Policy trägt dazu bei, die Sicherheit und Compliance von Technologieumgebungen in Unternehmen zu gewährleisten. Azure Policy kann wichtige Verwaltungs- und Sicherheitskonventionen über Azure-Plattformdienste hinweg erzwingen. Azure Policy ergänzt die rollenbasierte Zugriffssteuerung (RBAC), die Aktionen für autorisierte Benutzer steuert. Die Kostenverwaltung kann auch dazu beitragen, Ihre laufenden Governance-Kosten und -Ausgaben in Azure oder anderen Multicloud-Umgebungen zu unterstützen.

Überlegungen zur Bereitstellung

Change Advisory Review Boards können die Innovation und die geschäftliche Flexibilität Ihres Unternehmens behindern. Azure Policy ersetzt solche Bewertungen durch automatisierte Schutzvorkehrungen und Einhaltungsprüfungen, um die Effizienz der Workloads zu verbessern.

  • Bestimmen Sie, welche Azure-Richtlinien Sie basierend auf Ihren Geschäftskontrollen oder Compliance-Vorgaben benötigen. Verwenden Sie die Richtlinien, die im Azure Landing Zone Accelerator enthalten sind, als Ausgangspunkt.

  • Verwenden Sie die in der Azure-Landezonen-Referenzimplementierung enthaltenen Richtlinien, um andere Richtlinien zu evaluieren, die Ihren Geschäftsanforderungen entsprechen könnten.

  • Erzwingen Sie automatisierte Netzwerk-, Identitäts-, Verwaltungs- und Sicherheitskonventionen.

  • Verwalten und erstellen Sie Richtlinienzuweisungen mithilfe von Richtliniendefinitionen, die Sie in mehreren geerbten Zuordnungsbereichen wiederverwenden können. Sie können zentrale Zuordnungen von Baselinerichtlinien auf Verwaltungs-, Abonnement- und Ressourcengruppenebene haben.

  • Gewährleisten Sie die kontinuierliche Compliance mit Berichterstellung und Überwachung zu Compliance.

  • Machen Sie sich mit den Grenzen von Azure Policy vertraut, wie z. B. die Beschränkung von Definitionen auf einen bestimmten Geltungsbereich. Weitere Informationen finden Sie unter Richtlinienbeschränkungen.

  • Informieren Sie sich über gesetzliche Compliancerichtlinien. Die Richtlinien können HIPAA-, PCI-DSS- oder SOC 2 Trust Services-Kriterien enthalten.

Überlegungen zum Kostenmanagement

  • Berücksichtigen Sie die Struktur des Kosten- und Abrechnungsmodells Ihres Unternehmens. Ermitteln Sie die wichtigsten Datenpunkte, die Ihre Ausgaben für Clouddienste genau vermitteln.

  • Wählen Sie die Struktur der Tags, die Ihrem Kosten- und Abrechnungsmodell entspricht, um Ihre Cloudausgaben nachzuverfolgen.

  • Verwenden Sie den Azure-Preisrechner, um die erwarteten monatlichen Kosten für die Verwendung von Azure-Produkten zu schätzen.

  • Holen Sie sich den Azure-Hybridvorteil, um die Kosten für die Ausführung Ihrer Workloads in der Cloud zu reduzieren. Sie können Ihre lokalen Software Assurance-fähigen Windows Server- und SQL Server-Lizenzen in Azure verwenden. Sie können auch Red Hat- und SUSE Linux-Abonnements verwenden.

  • Erwerben Sie Azure-Reservierungen und verpflichten Sie sich für ein- oder dreijährige Pläne für verschiedene Produkte. Reservierungspläne bieten Ressourcenrabatte, die Ihre Ressourcenkosten im Vergleich zu nutzungsbasierter Zahlung erheblich um bis zu 72 % reduzieren können.

  • Erhalten Sie den Azure-Sparplan für Compute, um im Vergleich zu nutzungsbasierter Zahlung um bis zu 65 % zu sparen. Wählen Sie eine einjährige oder dreijährige Verpflichtung aus, die für Computedienste gilt, unabhängig von Ihrer Region, Instanzgröße oder Ihrem Betriebssystem. Wählen Sie einen Plan für Computekomponenten wie virtuelle Computer, dedizierte Hosts, Containerinstanzen, Azure Premium-Funktionen und Azure-App-Dienste aus. Kombinieren Sie einen Azure-Sparplan mit Azure Reservations, um Rechenkosten und Flexibilität zu optimieren.

  • Verwenden Sie Azure-Richtlinien, um bestimmte Regionen, Ressourcentypen und Ressourcen-SKUs zuzulassen.

  • Verwenden Sie die regelbasierte Richtlinie der Azure Storage-Lebenszyklusverwaltung, um Blob-Daten in die entsprechenden Zugriffsebenen zu verschieben oder Daten am Ende des Datenlebenszyklus zu löschen.

  • Verwenden Sie Azure Dev-/Testabonnements, um einen Rabatt auf die Auswahl von Azure-Diensten für Arbeitslasten ohne Produktion zu erhalten.

  • Verwenden Sie die automatische Skalierung, um Ressourcen dynamisch zuzuweisen und freizugeben, sodass sie Ihren Leistungsanforderungen gerecht werden und dadurch Geld sparen.

  • Verwenden Sie virtuelle Azure Spot-Computer, um die nicht genutzte Computekapazität zu geringen Kosten nutzen zu können. Spot Virtual Machines eignet sich hervorragend für Workloads, die Unterbrechungen verarbeiten können, z. B. Batchprozesse, Entwicklungs-/Testumgebungen und rechenintensive Arbeitslasten.

  • Wählen Sie die richtigen Azure-Dienste aus, um Kosten zu senken. Einige Azure-Dienste sind für 12 Monate kostenlos und einige sind immer kostenlos.

  • Wählen Sie den richtigen Computedienst für Ihre Anwendung aus, um die Kosteneffizienz zu verbessern. Azure bietet viele Möglichkeiten, Ihren Code zu hosten.

Überlegungen zur Ressourcenverwaltung

  • Ermitteln Sie, ob die Gruppen von Ressourcen in Ihrer Umgebung erforderliche Konfigurationen, einen gemeinsamen Lebenszyklus oder allgemeine Zugriffsbeschränkungen (z. B. RBAC) gemeinsam nutzen können, um Konsistenz zu gewährleisten.

  • Wählen Sie ein Anwendungs- oder Workload-Abonnementdesign aus, das für Ihre Betriebsanforderungen geeignet ist.

  • Verwenden Sie Standardressourcenkonfigurationen in Ihrer Organisation, um eine konsistente Basisplankonfiguration sicherzustellen.

Sicherheitsüberlegungen

  • Setzen Sie Tools und Schutzvorkehrungen über die gesamte Umgebung hinweg als Teil einer Sicherheitsbaseline durch.
  • Benachrichtigen Sie die entsprechenden Personen, wenn Sie Abweichungen finden.
  • Erwägen Sie die Verwendung von Azure-Richtlinien, um Tools wie Microsoft Defender für Cloud durchzusetzen oder Schutzmaßnahmen wie die Sicherheitsmaßstäbe der Microsoft-Cloud zu implementieren.

Überlegungen zur Identitätsverwaltung

  • Bestimmen Sie, wer Zugriff auf Überwachungsprotokolle für die Identitäts- und Zugriffsverwaltung hat.

  • Benachrichtigen Sie die entsprechenden Personen, wenn verdächtige Anmeldeereignisse auftreten.

  • Erwägen Sie die Verwendung von Microsoft Entra-Berichten, um Aktivitäten zu steuern.

  • Erwägen Sie, Protokolle von Microsoft Entra ID an den zentralen Azure Monitor Logs-Arbeitsbereich für die Plattform zu senden.

  • Erkunden Sie Funktionen von Microsoft Entra ID Governance, wie zum Beispiel Zugriffsbewertungen und Berechtigungsverwaltung.

Nicht von Microsoft stammende Tools

  • Verwenden Sie AzAdvertizer, um Azure-Governance-Updates zu erhalten. So finden Sie beispielsweise Einblicke in Richtliniendefinitionen, Initiativen, Aliase, Sicherheit und Compliance-Kontrollen in Azure-Richtlinien- oder Azure RBAC-Rollendefinitionen. Sie können auch Einblicke in Ressourcenanbietervorgänge, Microsoft Entra-Rollendefinitionen und Rollenaktionen sowie API-Berechtigungen von Erstanbietern erhalten.

  • Verwenden Sie Azure Governance Visualizer, um Ihre technische Governance-Landschaft zu überwachen. Sie können die Richtlinienversionsprüfungsfunktion für Azure-Zielzonen verwenden, um Ihre Umgebung mit dem neuesten Versionsstatus der Azure-Zielzone auf dem neuesten Stand zu halten.

Empfehlungen für Azure-Governance

Empfehlungen zur Beschleunigung der Bereitstellung

  • Bestimmen Sie erforderliche Azure-Kategorien, und nutzen Sie den Modus zum Anfügen von Richtlinien, um die Nutzung durchzusetzen. Weitere Informationen finden Sie unter „Definieren Sie Ihre Tagging-Strategie“.

  • Ordnen Sie gesetzliche Vorschriften und Complianceanforderungen Azure Policy-Definitionen und Azure-Rollenzuweisungen zu.

  • Richten Sie die Azure Policy-Definitionen in der obersten Stammverwaltungsgruppe ein, da sie möglicherweise bei geerbten Bereichen zugewiesen werden könnten.

  • Verwalten Sie die Zuweisungen von Richtlinien auf der höchsten geeigneten Ebene mit Ausschlüssen auf den unteren Ebenen, sofern erforderlich.

  • Verwenden Sie Azure Policy, um die Registrierungen von Ressourcenanbietern auf Abonnement- oder Verwaltungsebene zu steuern.

  • Verwenden Sie integrierte Richtlinien, um den Betriebsaufwand zu minimieren.

  • Weisen Sie die integrierte Rolle „Ressourcenrichtlinien-Mitwirkender“ einem bestimmten Bereich zu, um die Governance auf Anwendungsebene zu ermöglichen.

  • Beschränken Sie die Anzahl der Azure Policy-Zuweisungen im Bereich der Stammverwaltungsgruppe, um die Verwaltung von Ausschlüssen in geerbten Bereichen zu vermeiden.

Empfehlungen für das Kostenmanagement

  • Um Cost Management zu verwenden, können Sie die finanzielle Überwachung von Ressourcen in Ihrer Umgebung einführen.
  • Verwenden Sie Kategorien, wie z. B. die Kostenstelle oder den Projektnamen, um die Ressourcen-Metadaten anzufügen. Dieser Ansatz hilft bei der granularen Analyse der Ausgaben.

Azure Governance im Azure-Zielzonenbeschleuniger

Der Azure Landing Zone Accelerator bietet Organisationen ausgereifte Governance-Kontrollen.

Sie können beispielsweise Folgendes implementieren:

  • Eine Verwaltungsgruppenhierarchie, die Ressourcen nach Funktions- oder Workloadtyp gruppiert. Dieser Ansatz fördert die Ressourcenkonsistenz.
  • Eine umfangreiche Reihe von Azure-Richtlinien, die Steuerungselemente zur Governance auf der Verwaltungsgruppenebene ermöglichen. Mit diesem Ansatz können Sie überprüfen, ob sich alle Ressourcen im Gültigkeitsbereich befinden.