Gouvernance pour les charges de travail SaaS sur Azure
La gouvernance est l’ensemble de contrôles, de pratiques et d’outils que vous pouvez utiliser pour organiser, contrôler et aider à réglementer votre utilisation des services cloud. Vous pouvez considérer la gouvernance comme une série de garde-fous qui définissent des normes pour une utilisation acceptable, empêchent l’accès et les modifications non autorisés et alignent les activités cloud avec votre stratégie cloud globale. Une gouvernance efficace réduit les risques, permet de garantir la conformité et de prendre en charge les objectifs métier de votre organisation. Lorsque vous créez une solution SaaS (Software as a Service), il est essentiel de hiérarchiser la gouvernance dès le départ. Cette approche établit la base d’une solution sécurisée, économique et efficace.
Gouvernance des coûts
Pour vous aider à garantir la réussite de votre entreprise, il est essentiel de comprendre les coûts d’exécution de votre solution. Vous devez analyser, gérer et optimiser ces coûts efficacement tout en maintenant le contrôle sur ces coûts. Lorsque vous commencez à créer votre solution sur Azure, vous pouvez utiliser des outils tels que les calculatrices de prix et les analyseurs de coûts pour estimer vos coûts.
Pour plus d’informations sur le suivi et le contrôle des coûts pour SaaS et sur la facturation de vos clients, consultez Facturation et gestion des coûts pour les charges de travail SaaS sur Azure.
Considérations sur la conception
Développez une convention de nommage et une stratégie d’étiquetage. Les noms et les balises fournissent des métadonnées que vous pouvez utiliser pour régir vos ressources et déterminer rapidement la propriété. Un nommage de ressources cohérent peut vous aider à gérer et à régir vos ressources Azure. Les balises de ressource Azure sont des paires clé-valeur de métadonnées que vous appliquez à vos ressources et que vous utilisez pour les identifier.
Envisagez d’utiliser des métadonnées pour vous aider à suivre les informations telles que :
- Type de ressource.
- Charge de travail associée.
- Environnement dans lequel il est utilisé, tel que la production, la préproduction ou le développement.
- Emplacement de la ressource.
- Client ou groupe de clients qui utilisent la ressource, pour les déploiements spécifiques au client.
Pour connaître les stratégies relatives au nommage des ressources, consultez Cloud Adoption Framework : Nommage des ressources.
Implémentez la gouvernance automatisée par le biais de stratégies. Les stratégies sont utiles pour définir des normes d’organisation et évaluer la conformité de vos charges de travail et ressources. Il s’agit d’un outil de gouvernance que vous pouvez utiliser pour assurer la cohérence des ressources, la conformité réglementaire, la sécurité, la gestion et l’efficacité des coûts.
Utilisez Azure Policy pour créer un catalogue de services autorisés et de types de services personnalisés pour vos besoins en charge de travail. Ce catalogue peut empêcher les dépassements de dépenses accidentelles en vous assurant que seuls les services approuvés sont utilisés. Par exemple, après avoir déterminé le type, la série et la taille des machines virtuelles dont vous avez besoin, vous pouvez implémenter une stratégie qui autorise uniquement le déploiement de ces machines virtuelles. Appliquez uniformément des stratégies sur tous les utilisateurs et principaux, quel que soit leur niveau d’autorisation.
Compromis : sécurité et efficacité opérationnelle. L’implémentation de trop de stratégies peut réduire la productivité de votre équipe. S’efforcez d’implémenter des contrôles automatisés sur les éléments les plus essentiels.Utilisez les outils de gestion des coûts. Microsoft Cost Management fournit plusieurs outils pour prendre en charge la gouvernance des coûts, tels que :
L’analyse des coûts est un outil que vous pouvez utiliser pour accéder à l’analytique et aux insights sur vos dépenses cloud. Vous pouvez passer en revue ces coûts via différentes vues intelligentes et personnalisables. Ces vues détaillent des insights tels que les coûts par les groupes de ressources, les services et les abonnements. En utilisant l’analyse des coûts, vous pouvez analyser les coûts cumulés et quotidiens et passer en revue les détails de vos factures.
Les budgets dans Cost Management sont un outil que vous pouvez utiliser pour établir des garde-fous de dépense et des alertes dans différentes étendues au sein d’Azure. Vous pouvez configurer des alertes budgétaires en fonction des dépenses réelles ou des dépenses prévues. Vous pouvez également affecter des budgets à différents niveaux, notamment des groupes d’administration, des abonnements ou des groupes de ressources.
Les alertes de coût vous aident à surveiller vos dépenses cloud via trois types d’alertes distincts.
Les alertes budgétaires avertissent les destinataires lorsque vous atteignez des seuils budgétaires ou lorsque vous atteindrez bientôt les seuils prévus.
Les alertes d’anomalie avertissent les destinataires lorsque des modifications inattendues dans vos dépenses cloud se produisent.
Les alertes planifiées envoient des destinataires quotidiens, hebdomadaires ou mensuels sur les dépenses globales du cloud.
Recommandations de conception
| Recommandation | Avantage |
|---|---|
| Activez Cost Management. Les outils sont disponibles dans le Portail Azure et à toute personne ayant accès à un compte de facturation, un abonnement, un groupe de ressources ou un groupe d’administration. |
Vous bénéficiez d’un accès aux outils qui analysent, surveillent et optimisent vos dépenses dans microsoft Cloud. |
| Créez Azure Policy pour vous aider à appliquer des contrôles de coûts, tels que les types de ressources autorisés et les emplacements. | Cette stratégie vous permet d’appliquer des normes cohérentes, de contrôler les ressources qui peuvent être déployées et de suivre la conformité de vos ressources et dépenses cloud. |
| Activez les alertes de coût appropriées. | Les alertes de coût vous informent des dépenses cloud inattendues ou lorsque vous approchez des limites prédéfinies. |
| Utilisez une convention d’affectation de noms et des balises de ressources cohérentes. Appliquez des étiquettes de ressources Azure pour indiquer quelles ressources sont dédiées à un client spécifique. | Les métadonnées cohérentes vous permettent de suivre les ressources qui appartiennent à quel client. Cette pratique est particulièrement importante lorsque vous déployez des ressources dédiées aux clients. |
Sécurité et conformité
La sécurité et la conformité sont des principes de conception fondamentaux pour une charge de travail cloud et un composant clé de la gouvernance cloud appropriée. Les contrôles de sécurité, tels que les contrôles d’accès en fonction du rôle, permettent de déterminer les actions que les utilisateurs peuvent effectuer dans votre environnement. Les contrôles par le biais de stratégies peuvent vous aider à atteindre des normes de conformité réglementaire spécifiques pour vos charges de travail déployées.
Pour plus d’informations, consultez le contrôle d’accès en fonction du rôle Azure (RBAC) et Azure Policy.
Lorsque vous développez une solution SaaS, vos clients dépendent de vous pour protéger leurs données et prendre en charge leurs opérations commerciales. Pour exploiter une solution SaaS pour le compte des clients, vous devez répondre ou dépasser leurs attentes en matière de sécurité. Vous devrez peut-être également répondre à des exigences de conformité spécifiques imposées par vos clients. Cette exigence est courante avec les clients des secteurs réglementés comme les soins de santé et les services financiers et pour de nombreux clients d’entreprise.
Considérations sur la conception
Définissez les locataires Microsoft Entra. Un locataire Microsoft Entra définit la limite des identités qui peuvent gérer vos ressources Azure. Pour la plupart des organisations, il est recommandé d’utiliser un seul locataire Microsoft Entra dans toutes vos ressources. Lorsque vous créez SaaS, vous pouvez utiliser différentes approches pour combiner ou séparer des locataires Microsoft Entra en fonction de vos besoins.
Lorsque vous décidez d’utiliser SaaS, il est important de prendre en compte trois types distincts de cas d’usage :
SaaS interne, parfois appelé entreprise ou entreprise, est lorsque vous hébergez les ressources de votre organisation, y compris Microsoft 365 et d’autres outils que vous utilisez vous-même.
Le SaaS de production est lorsque vous hébergez les ressources Azure pour votre solution SaaS que les clients se connectent à et utilisent.
SaaS hors production est lorsque vous hébergez les ressources Azure pour tous les environnements hors production de votre solution SaaS, tels que le développement, le test et les environnements intermédiaires.
La plupart des éditeurs de logiciels indépendants utilisent un seul locataire Microsoft Entra à tous les fins de la liste précédente.
Parfois, vous pouvez avoir une justification métier spécifique pour séparer certaines des fins de plusieurs locataires Microsoft Entra. Par exemple, si vous travaillez avec des clients gouvernementaux à haute sécurité, ils peuvent vous obliger à utiliser des répertoires distincts pour vos applications internes et pour vos charges de travail SaaS de production et de production. Ces exigences sont rares.
Important
Il peut être difficile de gérer plusieurs locataires Microsoft Entra. La gestion de plusieurs locataires augmente la charge de gestion et les coûts. Si vous n’êtes pas prudent, plusieurs locataires peuvent augmenter vos risques de sécurité. Utilisez uniquement plusieurs locataires Microsoft Entra si nécessaire.
Pour plus d’informations sur la configuration des locataires Microsoft Entra lorsque vous déployez SaaS, consultez les considérations relatives aux éditeurs de logiciels indépendants pour les zones d’atterrissage Azure.
Gérez vos identités. L’identité est la pierre angulaire de la sécurité cloud qui constitue la base de la gestion des accès. Lorsque vous développez SaaS, vous avez différents types d’identités à prendre en compte. Pour plus d’informations sur l’identité dans les solutions SaaS, consultez Gestion des identités et des accès pour les charges de travail SaaS sur Azure.
Contrôlez l’accès à vos ressources Azure. Vos ressources Azure sont des composants critiques de votre solution. Azure offre plusieurs façons de protéger vos ressources.
Azure RBAC est le système d’autorisation qui contrôle l’accès au plan de contrôle Azure et aux ressources de votre environnement. Azure RBAC est une collection de rôles prédéfinis et personnalisés qui déterminent les actions que vous pouvez effectuer sur les ressources Azure. Les rôles sont classés en tant que rôles d’administrateur privilégié et rôles de fonction de travail. Ces rôles limitent ce que vous pouvez faire à un ensemble de ressources dans une étendue que vous définissez. Azure RBAC peut accorder un accès privilégié minimum à toute personne qui gère la charge de travail.
Les verrous Azure peuvent empêcher les suppressions accidentelles et les modifications de vos ressources Azure. Lorsque vous appliquez un verrou à une ressource, même les utilisateurs disposant de rôles d’administrateur privilégié ne peuvent pas supprimer la ressource, sauf s’ils suppriment explicitement le verrou en premier.
Compromis : sécurité et efficacité opérationnelle. RBAC et verrous sont des éléments importants d’une stratégie de sécurité et de gouvernance cloud. Toutefois, envisagez des complexités opérationnelles qui peuvent se produire lorsque vous limitez sévèrement les personnes pouvant effectuer des opérations courantes. Essayez d’équilibrer vos besoins de sécurité et fonctionnels. Prévoyez clairement d’élever les responsabilités en cas d’urgence ou si des personnes clés ne sont pas disponibles.Respecter les normes réglementaires. De nombreux clients doivent placer des contrôles stricts sur leurs ressources pour respecter des réglementations de conformité spécifiques. Azure fournit plusieurs outils pour aider votre organisation à créer une solution sur Azure qui répond à vos besoins de conformité.
Azure Policy peut vous aider à définir des normes organisationnelles et à évaluer et à appliquer la conformité de vos charges de travail et ressources. Vous pouvez implémenter des normes prédéfinies ou vos propres normes de conformité personnalisées. Azure Policy inclut de nombreuses initiatives de stratégie intégrées, ou groupes de stratégies, pour les normes réglementaires courantes. Ces stratégies incluent FedRAMP High, HIPAA, HITRUST, PCI DSS et ISO 27001. Lorsque vous appliquez les stratégies à votre environnement, le tableau de bord de conformité fournit un score détaillé de votre conformité globale. Vous pouvez utiliser ce tableau de bord lorsque vous créez un plan de correction pour mettre à jour votre environnement. Vous pouvez utiliser Azure Policy pour effectue les actions suivantes :
Refuser le déploiement de ressources en fonction des critères définis dans une stratégie. Par exemple, vous pouvez empêcher le déploiement des ressources de données dans les régions Azure où vos exigences de résidence des données seraient violées.
Auditez le déploiement ou la configuration des ressources pour déterminer s’ils sont déployés avec des configurations qui répondent à vos normes de conformité. Par exemple, vous pouvez auditer les machines virtuelles pour vérifier qu’elles ont une sauvegarde configurée et pour répertorier les machines virtuelles qui ne le font pas.
Corrigez le déploiement d’une ressource. Vous pouvez configurer des stratégies pour corriger les ressources conformes en déployant des extensions ou en modifiant la configuration des ressources nouvelles ou existantes. Par exemple, vous pouvez utiliser une tâche de correction pour déployer automatiquement les Microsoft Defender pour point de terminaison sur vos machines virtuelles.
Microsoft Defender pour le cloud fournit une évaluation continue de la configuration de vos ressources par rapport aux contrôles de conformité et aux bonnes pratiques dans les normes et les benchmarks que vous appliquez dans vos abonnements. Defender pour le cloud calcule un score de conformité global, ce qui vous permet de déterminer les modifications que vous devez apporter.
Par défaut, Defender pour le cloud utilise le benchmark de sécurité cloud Microsoft (MCSB) comme norme de référence pour les pratiques basées sur la sécurité et la conformité. Le MCSB est un ensemble de contrôles de conformité fournis par Microsoft que nous recommandons pour la plupart des charges de travail sur Azure. Si vous devez respecter une autre norme, vous pouvez utiliser d’autres offres de conformité disponibles.
Conseil
Même si vous n’avez pas besoin de vous conformer immédiatement à une norme réglementaire, vous devriez de toute façon. Il est beaucoup plus facile d’adhérer à une norme comme MCSB à partir du moment où vous commencez à déployer votre solution que pour l’appliquer rétroactivement ultérieurement.
Vous pouvez appliquer des normes de conformité à différentes étendues. Par exemple, vous pouvez définir un abonnement Azure spécifique comme dans l’étendue d’une norme spécifique. Vous pouvez également utiliser Defender pour le cloud pour évaluer la configuration des ressources hébergées dans d’autres fournisseurs de cloud.
Recommandations de conception
| Recommandation | Avantage |
|---|---|
| Accordez au moins la quantité d’accès nécessaire pour que les utilisateurs et les groupes terminent leurs fonctions de travail. Limitez le nombre d’attributions de rôles privilégiées. Déterminez si vous pouvez utiliser un rôle spécifique à une fonction de travail au lieu d’un rôle d’administrateur privilégié. |
Vous pouvez réduire l’exposition si des informations d’identification sont compromises. |
| Limitez le nombre de propriétaires d’abonnements Azure. | Un trop grand nombre de propriétaires d’abonnements augmentent le risque d’informations d’identification compromises. |
| Attribuez des rôles à des groupes au lieu d’utilisateurs. | Cette approche réduit le nombre requis d’attributions de rôles, ce qui réduit la surcharge administrative. |
| Adoptez une base de référence de sécurité tôt dans le processus de conception. Considérez le MCSB comme un point de départ. Le MCSB fournit des conseils clairs et exploitables pour améliorer la sécurité de vos applications sur Azure et dans les environnements dans d’autres clouds et locaux. | En mettant l’accent sur les contrôles spécifiques au cloud, le MCSB vous aide à renforcer votre posture de sécurité globale. |
| Utilisez des verrous Azure pour empêcher les modifications accidentelles apportées à votre environnement. | Les verrous peuvent empêcher les modifications accidentelles et les suppressions de ressources, de groupes de ressources et d’abonnements. |
| Utilisez Azure Policy ou Defender pour le cloud pour évaluer la conformité. | Les stratégies peuvent aider à appliquer les normes de l’organisation et à satisfaire à la conformité réglementaire. |
Ressources supplémentaires
L’architecture multilocataire est une méthodologie métier de base pour la conception de charges de travail SaaS. Ces articles fournissent plus d’informations sur les considérations de gouvernance :
Étape suivante
Découvrez comment choisir les régions Azure appropriées pour vos ressources et développer une stratégie d’organisation des ressources pour prendre en charge la croissance et l’évolution de votre solution SaaS.