Partager via

Zone de conception : gouvernance Azure

  • Article

Utilisez la gouvernance Azure pour établir les outils dont vous avez besoin pour prendre en charge la gouvernance cloud, l’audit de conformité et les garde-fous automatisés.

Révision de la zone de conception

Rôles ou fonctions : la gouvernance Azure provient de la gouvernance cloud. Vous devrez peut-être implémenter la plateforme cloud ou un centre d’excellence cloud pour définir et appliquer certaines exigences techniques. La gouvernance se concentre sur l’application des exigences en matière d’opérations et de sécurité, qui peuvent nécessiter de sécurité cloud, informatique centrale ou opérations cloud.

Étendue : Passez en revue les décisions prises lors de la révision des zones de conception d’identité, de réseau, de sécurité et de gestion. Votre équipe peut comparer les décisions de révision de la gouvernance automatisée, qui fait partie de l’accélérateur de zone d’atterrissage Azure. Les décisions de révision peuvent vous aider à déterminer ce qu’il faut auditer ou appliquer et quelles stratégies déployer automatiquement.

Hors du champ d'application : La gouvernance Azure établit la base de la mise en réseau. Mais elle ne traite pas des composants liés à la conformité, tels que la sécurité réseau avancée ou les garde-fous automatisés pour appliquer les décisions de mise en réseau. Vous pouvez prendre ces décisions de mise en réseau lorsque vous passez en revue les domaines de conception de conformité liés à la sécurité et à la gouvernance . L’équipe de la plateforme cloud doit répondre aux exigences de mise en réseau initiales avant de traiter des composants plus complexes.

nouveau environnement cloud (« greenfield »): pour démarrer votre parcours cloud, créez un petit ensemble d’abonnements. Vous pouvez utiliser des modèles de déploiement Bicep pour créer vos nouvelles zones d’atterrissage Azure. Pour plus d’informations, consultez le référentiel Bicep des zones d’atterrissage Azure — Flux de déploiement.

environnement cloud existant (brownfield) : Si vous souhaitez appliquer des principes de gouvernance Azure éprouvés aux environnements Azure existants, tenez compte des conseils suivants :

  • Établissez une base de référence de gestion pour votre environnement hybride ou multicloud.

  • Mettez en œuvre les fonctions de gestion des coûts de Microsoft, telles que les champs de facturation, les budgets et les alertes, afin de vous assurer que vous ne dépassez pas votre limite de dépenses.

  • Utilisez azure Policy pour appliquer des garde-fous de gouvernance sur les déploiements Azure et déclencher des tâches de correction pour mettre les ressources Azure existantes dans un état conforme.

  • Envisagez d’utiliser la fonctionnalité de gestion des droits d’utilisation Microsoft Entra pour automatiser les flux de travail de demande d’accès Azure, les affectations d’accès, les révisions et l’expiration.

  • Utilisez les recommandations d’Azure Advisor pour garantir l’optimisation des coûts et l’excellence opérationnelle dans Azure, qui sont tous deux des principes fondamentaux de Microsoft Azure Well-Architected Framework.

Le référentiel Bicep des zones d’atterrissage Azure — Flux de déploiement contient des modèles de déploiement Bicep qui peuvent accélérer vos déploiements de zones d’atterrissage Azure greenfield et brownfield. Ces modèles ont intégré les conseils de gouvernance selon les pratiques éprouvées de Microsoft.

Envisagez d'utiliser le module Bicep d'affectation des politiques par défaut de la zone d'atterrissage Azure pour commencer à assurer la conformité de vos environnements Azure.

Pour plus d’informations, consultez Considérations sur l’environnement Brownfield.

Vue d’ensemble de la zone de conception

Le parcours d’adoption du cloud de votre organisation commence par des contrôles forts pour les environnements gouvernementaux.

La gouvernance fournit des mécanismes et des processus permettant de contrôler les plateformes, les applications et les ressources dans Azure.

Diagramme montrant la conception de gouvernance des zones d’atterrissage.

Explorez les considérations et recommandations suivantes pour prendre des décisions éclairées lorsque vous planifiez votre zone d’atterrissage.

La zone de conception de gouvernance se concentre sur les décisions de conception de votre zone d’atterrissage. Pour plus d’informations sur les processus et outils de gouvernance, consultez Govern in the Cloud Adoption Framework for Azure.

Considérations relatives à la gouvernance Azure

Azure Policy permet de garantir la sécurité et la conformité pour les patrimoines techniques d’entreprise. Azure Policy peut appliquer des conventions de gestion et de sécurité vitales sur les services de plateforme Azure. Azure Policy complète le contrôle d’accès en fonction du rôle Azure (RBAC), qui contrôle les actions pour les utilisateurs autorisés. Cost Management peut également vous aider à prendre en charge vos coûts et dépenses de gouvernance continus dans Azure ou dans d’autres environnements multiclouds.

Considérations relatives au déploiement

Les comités consultatifs de revue des changements peuvent entraver l'innovation et l'agilité de votre organisation. Azure Policy remplace ces révisions par des garde-fous automatisés et des audits d’adhésion afin d’améliorer l’efficacité de la charge de travail.

  • Déterminez les stratégies Azure dont vous avez besoin en fonction des contrôles métier ou des réglementations de conformité. Utilisez les stratégies incluses dans l’accélérateur de zone d’atterrissage Azure comme point de départ.

  • Utilisez les stratégies de incluses dans l’implémentation de référence des zones d’atterrissage Azure pour prendre en compte d’autres stratégies susceptibles d’être alignées sur vos besoins métier.

  • Appliquer des conventions de mise en réseau, d’identité, de gestion et de sécurité automatisées.

  • Gérez et créez des affectations de stratégie à l’aide de définitions de stratégie que vous pouvez réutiliser dans plusieurs étendues d’affectation héritées. Vous pouvez avoir des attributions centralisées de stratégies de référence aux niveaux de la gestion, de l’abonnement et du groupe de ressources.

  • Vérifiez la conformité continue avec les rapports de conformité et l’audit.

  • Comprenez qu’Azure Policy a des limites, telles que la restriction des définitions à une étendue particulière. Pour plus d'informations, consultez Limites de stratégie.

  • Comprendre les stratégies de conformité réglementaire. Les stratégies peuvent inclure des critères HIPAA, PCI-DSS ou SOC 2 Trust Services.

Considérations relatives à la gestion des coûts

  • Tenez compte de la structure du modèle de coût et de recharge de votre organisation. Déterminez les points de données clés qui transmettent avec précision vos dépenses de services cloud.

  • Choisissez la structure des étiquettes qui correspondent à votre modèle de coût et de recharge pour vous aider à suivre vos dépenses cloud.

  • Utilisez la calculatrice de prix Azure pour estimer les coûts mensuels attendus pour l’utilisation de produits Azure.

  • Obtenez Azure Hybrid Benefit pour réduire le coût d’exécution de vos charges de travail dans le cloud. Vous pouvez utiliser vos licences Windows Server et SQL Server avec Software Assurance locales sur Azure. Vous pouvez également utiliser des abonnements Red Hat et SUSE Linux.

  • Obtenez des réservations Azure et vous engagez sur des plans d’un an ou de trois ans pour plusieurs produits. Les plans de réservation permettent de bénéficier de remises sur les ressources, ce qui peut réduire de manière significative les coûts de vos ressources, jusqu’à 72 % par rapport aux tarifs du paiement à l’utilisation.

  • Profitez du plan d'économies Azure pour le calcul et économisez jusqu'à 65 % par rapport aux prix de paiement à l'utilisation. Choisissez un engagement d’un an ou de trois ans qui s’applique aux services de calcul, quelle que soit votre région, votre taille d’instance ou votre système d’exploitation. Choisissez un plan pour les composants de calcul, tels que les machines virtuelles, les hôtes dédiés, les instances de conteneur, les fonctions Azure Premium et les services d’application Azure. Combinez un plan d’économies Azure avec des réservations Azure pour optimiser le coût de calcul et la flexibilité.

  • Utilisez des stratégies Azure pour autoriser des régions, des types de ressources et des références SKU de ressources spécifiques.

  • Utilisez la stratégie basée sur des règles de gestion du cycle de vie du stockage Azure pour déplacer les données blob vers les niveaux d’accès appropriés ou pour expirer les données à la fin du cycle de vie des données.

  • Utilisez des abonnements de développement/test Azure pour bénéficier d’une remise sur l’accès pour sélectionner des services Azure pour les charges de travail hors production.

  • Utilisez la mise à l’échelle automatique pour allouer et libérer dynamiquement des ressources pour répondre à vos besoins de performances, ce qui permet d’économiser de l’argent.

  • Utilisez des machines virtuelles Azure Spot pour tirer parti de la capacité de calcul inutilisée à moindre coût. Les machines virtuelles Spot sont idéales pour les charges de travail qui peuvent gérer des interruptions, par exemple des travaux de traitement par lots, des environnements de développement/test et des charges de travail de calcul volumineuses.

  • Sélectionnez les services Azure appropriés pour réduire les coûts. Certains services Azure sont gratuits pendant 12 mois et certains sont toujours gratuits.

  • Sélectionnez le service de calcul approprié pour votre application afin d’améliorer l’efficacité des coûts. Azure offre de nombreuses façons d’héberger votre code.

Considérations relatives à la gestion des ressources

  • Déterminez si les groupes de ressources de votre environnement peuvent partager des configurations requises, un cycle de vie commun ou des contraintes d’accès courantes (telles que RBAC) pour vous aider à assurer la cohérence.

  • Choisissez une conception d’abonnement d’application ou de charge de travail adaptée aux besoins de votre opération.

  • Utilisez des configurations de ressources standard au sein de votre organisation pour garantir une configuration de base cohérente.

Considérations relatives à la sécurité

  • Appliquer des outils et des garde-fous dans l’environnement dans le cadre d’une base de référence de sécurité.
  • Informez les personnes appropriées lorsque vous trouvez des écarts.
  • Envisagez d’utiliser Azure Policy pour appliquer des outils, tels que Microsoft Defender pour cloud ou des garde-fous, tels que le benchmark de sécurité cloud Microsoft.

Considérations relatives à la gestion des identités

  • Déterminez qui a accès aux journaux d’audit pour la gestion des identités et des accès.

  • Informez les personnes appropriées lorsque des événements de connexion suspects se produisent.

  • Envisagez d’utiliser les rapports Microsoft Entra pour régir l’activité.

  • Envisagez d'envoyer les journaux Microsoft Entra ID à l'espace de travail central de journaux Azure Monitor pour la plateforme.

  • Découvrez les fonctionnalités de gouvernance de Microsoft Entra ID, telles que les révisions d'accès et la gestion des droits.

Outils non-Microsoft

  • Utilisez AzAdvertizer pour obtenir des mises à jour de gouvernance Azure. Par exemple, vous trouverez des insights sur les définitions de stratégie, les initiatives, les alias, la sécurité et les contrôles de conformité réglementaire dans les définitions de rôle Azure Policy ou RBAC Azure. Vous pouvez également obtenir des informations sur les opérations du fournisseur de ressources, les définitions de rôles Microsoft Entra et les actions de rôle, ainsi que les autorisations d’API internes.

  • Utilisez le Visualiseur de gouvernance Azure pour suivre l'évolution de votre domaine de gouvernance technique. Vous pouvez utiliser la fonctionnalité de vérificateur de version de stratégie pour les zones d’atterrissage Azure pour maintenir votre environnement à jour avec la dernière version de la stratégie de zone d’atterrissage Azure.

Recommandations de gouvernance Azure

Recommandations d’accélération du déploiement

  • Identifiez les balises Azure requises et utilisez le mode de stratégie d’ajout pour appliquer l’utilisation. Pour plus d’informations, consultez Définissez votre stratégie de balisage.

  • Mappez les exigences réglementaires et de conformité aux définitions Azure Policy et aux attributions de rôles Azure.

  • Établissez des définitions Azure Policy au niveau supérieur du groupe d’administration racine, car elles peuvent être affectées aux étendues héritées.

  • Gérez les affectations de stratégie au niveau le plus approprié avec des exclusions au niveau inférieur, si nécessaire.

  • Utilisez Azure Policy pour contrôler les inscriptions des fournisseurs de ressources aux niveaux de l’abonnement ou du groupe d’administration.

  • Utilisez des stratégies intégrées pour réduire la surcharge opérationnelle.

  • Attribuez le rôle intégré de Contributeur de stratégie de ressource à une étendue spécifique pour activer la gouvernance au niveau de l'application.

  • Limitez le nombre d'assignations de stratégie Azure au niveau de l'étendue du groupe de gestion racine afin d'éviter la gestion des exclusions dans les étendues héritées.

Recommandations relatives à la gestion des coûts

  • Utilisez Cost Management pour implémenter la supervision financière sur les ressources de votre environnement.
  • Utilisez des balises, telles que le centre de coûts ou le nom du projet, pour ajouter les métadonnées de ressource. Cette approche permet une analyse granulaire des dépenses.

Gouvernance Azure dans l’accélérateur de zone d’atterrissage Azure

L’accélérateur de zone d’atterrissage Azure fournit aux organisations des contrôles de gouvernance matures.

Par exemple, vous pouvez implémenter :

  • Hiérarchie de groupe d’administration qui regroupe les ressources par fonction ou type de charge de travail. Cette approche encourage la cohérence des ressources.
  • Ensemble complet de stratégies Azure qui active les contrôles de gouvernance au niveau du groupe d’administration. Cette approche permet de vérifier que toutes les ressources sont dans le périmètre.