Condividi tramite

Area di progettazione: Governance di Azure

  • Articolo

Usare la governance di Azure per stabilire gli strumenti necessari per supportare la governance del cloud, il controllo della conformità e le protezioni automatizzate.

Revisione dell'area di progettazione

Ruoli o funzioni: la governance di Azure ha origine dalla governance del cloud. Potrebbe essere necessario implementare la piattaforma cloud o un centro di eccellenza cloud per definire e applicare determinati requisiti tecnici. La governance è incentrata sull'applicazione dei requisiti di operazioni e sicurezza, che potrebbero richiedere sicurezza cloud, IT centraleo le operazioni cloud.

ambito : prendere in considerazione le decisioni prese dalle revisioni dell'area di progettazioneidentity, network, securitye management. Il tuo team può confrontare le decisioni di revisione della governance automatizzata, che fa parte dell'acceleratore di landing zone di Azure. Le decisioni di revisione consentono di determinare cosa controllare o applicare e quali criteri distribuire automaticamente.

Fuori ambito: La governance di Azure stabilisce le basi per la rete. Ma non riguarda i componenti correlati alla conformità, ad esempio sicurezza di rete avanzata o protezioni automatiche per applicare decisioni di rete. È possibile gestire queste decisioni di rete quando si esaminano le aree di progettazione della conformità correlate all' di sicurezza e alla governance . Il team della piattaforma cloud deve soddisfare i requisiti di rete iniziali prima di affrontare componenti più complessi.

nuovo ambiente cloud (greenfield): per iniziare il percorso cloud, crea un piccolo set di sottoscrizioni. È possibile usare i modelli di distribuzione Bicep per creare le nuove zone di destinazione di Azure. Per ulteriori informazioni, vedere Flusso di distribuzione delle zone di destinazione di Azure Bicep.

ambiente cloud esistente (brownfield): Se desiderate applicare principi comprovati di governance Azure agli ambienti Azure esistenti, prendete in considerazione le seguenti indicazioni:

  • Stabilire una baseline di gestione per l'ambiente ibrido o multicloud.

  • Implementare funzionalità di Gestione costi Microsoft, ad esempio ambiti di fatturazione, budget e avvisi, per assicurarsi di non superare il limite di spese.

  • Usare criteri di Azure per applicare protezioni di governance nelle distribuzioni di Azure e attivare le attività di correzione per portare le risorse di Azure esistenti in uno stato conforme.

  • È consigliabile usare funzionalità di gestione entitlement di Microsoft Entra per automatizzare i flussi di lavoro delle richieste di accesso di Azure, le assegnazioni di accesso, le verifiche e la scadenza.

  • Usare raccomandazioni di Azure Advisor per garantire l'ottimizzazione dei costi e l'eccellenza operativa in Azure, entrambi principi fondamentali del framework Well-Architected di Microsoft Azure.

Il repository Bicep—Flusso di distribuzione delle zone di destinazione di Azure contiene modelli di distribuzione Bicep che possono accelerare le distribuzioni di zone di destinazione di Azure nuove (greenfield) e preesistenti (brownfield). Questi modelli hanno integrato le linee guida per la governance delle pratiche comprovate di Microsoft.

Considera di utilizzare le assegnazioni predefinite dei criteri per la zona di destinazione Azure il modulo Bicep per avvantaggiarti nel garantire la conformità dei tuoi ambienti Azure.

Per altre informazioni, vedere considerazioni sull'ambiente Brownfield.

Panoramica dell'area di progettazione

Il percorso di adozione del cloud dell'organizzazione inizia con controlli avanzati per gli ambienti governativi.

La governance fornisce meccanismi e processi per mantenere il controllo su piattaforme, applicazioni e risorse in Azure.

Diagramma che mostra la progettazione della governance della zona di atterraggio.

Esplorare le considerazioni e i consigli seguenti per prendere decisioni informate durante la pianificazione della zona di destinazione.

L'area di progettazione della governance si concentra sulle decisioni di progettazione per l'ambiente di atterraggio. Per informazioni sui processi e gli strumenti di governance, vedere Governance nel Cloud Adoption Framework per Azure.

Considerazioni sulla governance di Azure

Azure Policy aiuta a garantire la sicurezza e la conformità per le infrastrutture tecniche aziendali. I criteri di Azure possono applicare convenzioni di sicurezza e gestione fondamentali sull’intera piattaforma di servizi Azure. La funzionalità Azure Policy integra il controllo degli accessi in base al ruolo (RBAC) di Azure, che gestisce le azioni per gli utenti autorizzati. La gestione dei costi può anche aiutare a supportare i costi della governance e le spese continuative in Azure o in altri ambienti multicloud.

Considerazioni sulla distribuzione

I consigli di revisione delle modifiche possono ostacolare l'innovazione e l'agilità aziendale dell'organizzazione. Azure Policy sostituisce tali revisioni con regole di protezione automatizzate e verifiche di conformità per migliorare l'efficienza del carico di lavoro.

  • Determinare i criteri di Azure necessari in base ai controlli aziendali o alle normative di conformità. Usare i criteri inclusi nell'acceleratore di zona di destinazione di Azure come punto di partenza.

  • Utilizzare i criteri di inclusi nell'implementazione di riferimento delle zone di atterraggio di Azure per considerare altri criteri che potrebbero essere allineati ai requisiti aziendali.

  • Applicare convenzioni di rete, identità, gestione e sicurezza automatizzate.

  • Gestire e creare assegnazioni di criteri usando definizioni di criteri che è possibile riutilizzare in più ambiti di assegnazione ereditati. È possibile avere assegnazioni di criteri di base centralizzate nell'ambito di gestione, sottoscrizione e gruppo di risorse.

  • Garantire la conformità continua con la reportistica di conformità e la verifica.

  • Comprendere che i Criteri di Azure hanno limiti, come la restrizione delle definizioni in un determinato ambito. Per ulteriori informazioni, vedere Limiti della polizza .

  • Comprendere le politiche di conformità normativa. I criteri possono includere criteri HIPAA, PCI-DSS o SOC 2 Trust Services.

Considerazioni sulla gestione dei costi

  • Considerare la struttura del modello di costi e di ricarica della tua organizzazione. Determinare i punti dati chiave che comunicano accuratamente la spesa per i servizi cloud.

  • Scegli la struttura dei tag adatta al tuo modello di costo e ricarica per tenere traccia della spesa cloud.

  • Usare il calcolatore prezzi di Azure per stimare i costi mensili previsti per l'uso dei prodotti Azure.

  • Usa Azure Hybrid Benefit per aiutarti a ridurre i costi di esecuzione dei carichi di lavoro nel cloud. È possibile usare le licenze locali di Windows Server e SQL Server abilitate per Software Assurance in Azure. È anche possibile usare le sottoscrizioni di Red Hat e SUSE Linux.

  • Acquisire prenotazioni di Azure e impegnarsi in piani della durata di uno o tre anni per più prodotti. I piani di prenotazione offrono sconti per le risorse, che possono ridurre significativamente i costi delle risorse fino a 72% rispetto ai prezzi con pagamento in base al consumo.

  • Ottenere il piano di risparmio di Azure per computing per un risparmio del 65% rispetto ai prezzi con pagamento in base al consumo. Scegliere un impegno di un anno o di tre anni che si applica ai servizi di calcolo, indipendentemente dall'area, dalle dimensioni dell'istanza o dal sistema operativo. Scegliere un piano per i componenti di calcolo, ad esempio macchine virtuali, host dedicati, istanze di contenitore, funzioni Premium di Azure e servizi app di Azure. Combinare un piano di risparmio di Azure con le prenotazioni di Azure per ottimizzare i costi di calcolo e la flessibilità.

  • Usare i criteri di Azure per consentire aree specifiche, tipi di risorse e SKU di risorse specifici.

  • Usare i criteri basati su regole della gestione del ciclo di vita dell'archiviazione di Azure per spostare i dati blob nei livelli di accesso appropriati o per eliminare i dati alla fine del ciclo di vita.

  • Usare le sottoscrizioni di sviluppo/test di Azure per ottenere uno sconto sull'accesso per selezionare i servizi di Azure per carichi di lavoro non di produzione.

  • Usare il ridimensionamento automatico per allocare e deallocare in modo dinamico le risorse in base alle esigenze di prestazioni, risparmiando così denaro.

  • Usare macchine virtuali spot di Azure per sfruttare la capacità di calcolo inutilizzata a un costo basso. Le macchine virtuali spot sono ideali per i carichi di lavoro che possono gestire interruzioni, ad esempio processi di elaborazione batch, ambienti di sviluppo/test e carichi di lavoro di calcolo di grandi dimensioni.

  • Selezionare i servizi di Azure corretti per ridurre i costi. Alcuni servizi di Azure sono gratuiti per 12 mesi e alcuni sono sempre gratuiti.

  • Selezionare il servizio di calcolo appropriato per l'applicazione per migliorare l'efficienza dei costi. Azure offre molti modi per ospitare il codice.

Considerazioni sulla gestione delle risorse

  • Determinare se i gruppi di risorse nell'ambiente possono condividere le configurazioni necessarie, un ciclo di vita comune o i vincoli di accesso comuni (ad esempio il controllo degli accessi in base al ruolo) per garantire la coerenza.

  • Scegliere una progettazione di sottoscrizione per un'applicazione o un carico di lavoro che soddisfi le tue esigenze operative.

  • Usare le configurazioni delle risorse standard all'interno dell'organizzazione per garantire una configurazione di base coerente.

Considerazioni sulla sicurezza

  • Applicare strumenti e guide protettive in tutto l'ambiente come parte di un punto di riferimento per la sicurezza.
  • Notificare alle persone appropriate quando si trovano deviazioni.
  • Considerare di utilizzare i Criteri di Azure per applicare strumenti come Microsoft Defender per il Cloud o linee guida, come il parametro di riferimento per la sicurezza cloud di Microsoft.

Considerazioni sulla gestione delle identità

  • Determinare chi può accedere ai log di controllo per la gestione delle identità e degli accessi.

  • Notificare agli utenti appropriati quando si verificano eventi di accesso sospetti.

  • È consigliabile usare report di Microsoft Entra per gestire l'attività.

  • Prendere in considerazione l'invio dei log di Microsoft Entra ID all'area di lavoro centrale di log di Azure Monitor per la piattaforma.

  • Esplora le funzionalità di governance di Microsoft Entra ID, ad esempio revisioni di accesso e gestione degli accessi.

Strumenti non Microsoft

  • Usare AzAdvertizer per ottenere gli aggiornamenti della governance di Azure. Ad esempio, è possibile trovare informazioni dettagliate sulle definizioni dei criteri, le iniziative, gli alias, la sicurezza e i controlli di conformità alle normative nei Criteri di Azure o nelle definizioni dei ruoli RBAC di Azure. È anche possibile ottenere informazioni dettagliate sulle operazioni del provider di risorse, sulle definizioni dei ruoli e sulle azioni dei ruoli di Microsoft Entra e sulle autorizzazioni API di prima parte.

  • Usare Azure Governance Visualizer per tenere traccia delle risorse di governance tecnica. È possibile usare la funzionalità di controllo della versione dei criteri per le zone di destinazione di Azure per mantenere l'ambiente aggiornato con lo stato di rilascio più recente dei criteri per le zone di destinazione di Azure.

Raccomandazioni sulla governance di Azure

Raccomandazioni per l'accelerazione della distribuzione

  • Identificare i tag di Azure necessari e usare la modalità dei criteri di accodamento per applicare l'utilizzo. Per altre informazioni, vedere Definire la strategia di assegnazione di tag.

  • Mappare i requisiti normativi e di conformità alle definizioni dei criteri di Azure e alle assegnazioni dei ruoli di Azure.

  • Definire definizioni di Criteri di Azure nel gruppo di gestione radice di primo livello perché potrebbero essere assegnate ad ambiti ereditati.

  • Gestire le assegnazioni di criteri al livello più alto appropriato con esclusioni a livelli inferiori, se necessario.

  • Usare Criteri di Azure per controllare le registrazioni del fornitore di risorse a livello di sottoscrizione o gruppo di gestione.

  • Usare i criteri predefiniti per ridurre al minimo il sovraccarico operativo.

  • Assegnare il ruolo predefinito di Collaboratore per i criteri delle risorse a un ambito specifico per abilitare la governance a livello applicativo.

  • Limitare il numero di assegnazioni di Criteri di Azure nell'ambito del gruppo di gestione principale per evitare di gestire le esclusioni negli ambiti ereditati.

Consigli sulla gestione dei costi

  • Usare Gestione dei costi per implementare la supervisione finanziaria sulle risorse nel tuo ambiente.
  • Usare tag, ad esempio il centro di costo o il nome del progetto, per aggiungere i metadati della risorsa. Questo approccio consente di abilitare l'analisi granulare delle spese.

Governance di Azure nell'acceleratore di zona di destinazione di Azure

L'acceleratore di zona di destinazione di Azure offre alle organizzazioni controlli di governance avanzati.

Ad esempio, è possibile implementare:

  • Gerarchia di gruppi di gestione che raggruppa le risorse per funzione o tipo di carico di lavoro. Questo approccio incoraggia la coerenza delle risorse.
  • Un set completo di criteri di Azure che abilita i controlli di governance a livello di gruppo di gestione. Questo approccio consente di verificare che tutte le risorse siano all'interno dell'ambito.