Implementatierichtlijnen voor Azure Governance Visualizer

Organisaties kunnen Azure Governance Visualizer gebruiken om relevante governance-informatie over hun Azure-tenants vast te leggen. Het hulpprogramma legt het volgende vast:

• Hiërarchie van beheergroepen.
• Beleidsinformatie, zoals aangepaste beleidsdefinities, zwevende aangepaste beleidsdefinities en beleidstoewijzingen.
• Informatie over op rollen gebaseerd toegangsbeheer (RBAC), zoals aangepaste roldefinities, zwevende aangepaste roldefinities en roltoewijzingen.
• Analyse van Azure-beveiliging en best practice.
• Microsoft Entra ID-inzichten.

Azure Governance Visualizer moet worden geautomatiseerd via GitHub-werkstromen. De visualisatie voert de samenvatting uit als HTML-, MD- en CSV-bestanden. Idealiter wordt het gegenereerde HTML-rapport eenvoudig toegankelijk gemaakt voor geautoriseerde gebruikers in de organisatie. In dit artikel leest u hoe u het uitvoeren van Azure Governance Visualizer kunt automatiseren en hoe u de rapportage-uitvoer veilig en rendabel kunt hosten op de functie Web Apps van Azure-app Service.

Een voorbeeld van een implementatie is beschikbaar op GitHub op Azure Governance Visualizer Accelerator.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Gegevensstroom

De oplossingsarchitectuur implementeert de volgende werkstroom:

1. Een timer activeert de GitHub Actions-stroom.
2. De stroom maakt een OpenID Connect-verbinding met Azure. Vervolgens wordt het hulpprogramma Azure Governance Visualizer uitgevoerd. Het hulpprogramma verzamelt de vereiste inzichten in de vorm van HTML-, MD- en CSV-rapporten.
3. De rapporten worden naar de GitHub-opslagplaats gepusht.
4. De HTML-uitvoer van het hulpprogramma Azure Governance Visualizer wordt gepubliceerd naar App Service.

Gebruikersstroom

In deze stroom wordt uitgelegd hoe een gebruiker het hulpprogramma kan gebruiken:

1. De gebruiker bladert naar de APP Service-URL voor toegang tot het HTML-rapport van de visual. De gebruiker is vereist voor verificatie via Microsoft Entra ID-autorisatie.
2. De gebruiker kan de inzichten van de visualizer bekijken.

Onderdelen

De automatisering die in dit scenario wordt gepresenteerd, bestaat uit de volgende onderdelen:

• Microsoft Entra ID is een service voor bedrijfsidentiteit die eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang biedt.
• Azure App Service is een volledig beheerd platform voor het maken en implementeren van cloudtoepassingen. Hiermee kunt u een set rekenresources definiëren voor een web-app om uit te voeren, web-apps te implementeren en implementatiesites te configureren.
• GitHub is een populaire SaaS-aanbieding van Microsoft die vaak wordt gebruikt door ontwikkelaars voor het bouwen, verzenden en onderhouden van hun softwareprojecten.
• GitHub Actions biedt mogelijkheden voor continue integratie en continue implementatie in deze architectuur.

Alternatieven

• Azure Governance Visualizer is een PowerShell-script dat rechtstreeks op een lokale computer kan worden uitgevoerd. De visualizer kan worden geconfigureerd om te worden uitgevoerd als onderdeel van GitHub Actions om actuele informatie over uw omgeving te ontvangen. De visualizer produceert een wiki als uitvoer die kan worden gepubliceerd in GitHub of Azure DevOps.

• De visualizer kan ook worden gehost op elk ander hostingplatform dat veilig en ook rendabel is, zoals Azure Static Web Apps.

Scenariodetails

Azure Governance Visualizer is een PowerShell-script dat de hiërarchie van de Beheergroep van uw Azure-tenant naar abonnementsniveau doorloopt. Het legt de meest relevante Azure-governancemogelijkheden vast, zoals Azure Policy, RBAC, Microsoft Entra ID en Blueprints. Vanuit de verzamelde gegevens visualiseert Azure Governance Visualizer al deze informatie in een eenvoudig te navigeren HTML-rapport.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Het beperken van de HTML-rapportage tot alleen de gebruikers die gemachtigd zijn om deze gegevens weer te geven, is belangrijk. Deze gegevens zijn een goudmijn voor zowel interne als externe bedreigingen, omdat deze uw Azure-landschap blootstelt, inclusief beveiligingscontroles.

• Gebruik Microsoft Entra-verificatie om de toegang tot geautoriseerde personen te beperken. Overweeg om Web Apps-verificatie te gebruiken om deze service te bieden. De implementatiecode in GitHub configureert Web Apps en controleert actief of verificatie is ingeschakeld voordat deze wordt geïmplementeerd.

• Overweeg om netwerkbeveiligingscontroles toe te passen om de site alleen via een privé-eindpunt beschikbaar te maken voor uw team. En om verkeer te beperken, kunt u overwegen om de IP-beperkingen van Web Apps te gebruiken.

• Schakel toegangslogboekregistratie in voor de Azure-web-app om de toegang te controleren. Configureer de Azure-web-app om deze logboeken naar een Log Analytics-werkruimte te verzenden.

• Zorg ervoor dat beveiligde communicatie is ingeschakeld in de Azure-web-app. Alleen HTTPS en FTPs zijn toegestaan en de minimale versie van TLS is geconfigureerd als 1.2.

• Overweeg het gebruik van microsoft Defender voor App Service van Microsoft Defender voor Cloud.

• Gebruik de nieuwste versies van de runtimestack van de Azure-web-app.

• Zorg ervoor dat u het geheim van deze service-principal regelmatig roteert en de activiteit ervan bewaakt. Voor het verzamelen van alle vereiste gegevens is de geïmplementeerde visual afhankelijk van een service-principal met Microsoft Entra ID-machtigingen.

Zie Azure-beveiligingsbasislijn voor App Service voor meer informatie over beveiligingscontroles.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

• De B1-laag (Basic) wordt gebruikt voor de geïmplementeerde Azure-web-app in App Service. App Service host de HTML-uitvoer van het hulpprogramma Azure Governance Visualizer, zodat deze lichtgewicht is.

• In het voorbeeld in GitHub wordt slechts één exemplaar van App Service geïmplementeerd, maar u kunt er desgewenst meer implementeren.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

• De oplossing bestaat voornamelijk uit een Azure-web-app die als host fungeert voor de HTML-uitvoer van het hulpprogramma visualizer. U wordt aangeraden de diagnostische instellingen van de web-app in te schakelen voor het bewaken van verkeer, toegang tot auditlogboeken, metrische gegevens en meer.

• Het is belangrijk om de prestaties van de web-app te bewaken. Als u dit doet, kunt u bepalen of u omhoog of uit moet schalen, afhankelijk van de hoeveelheid visualisatiegebruik.

• Het is ook belangrijk om altijd de nieuwste versies van de runtimestack van de Azure-web-app uit te voeren.

• Met Azure Governance Visualizer worden versies regelmatig bijgewerkt met nieuwe functies, bugfixes of verbeteringen. In de GitHub-opslagplaats verwerkt een toegewezen GitHub-werkstroom het updateproces. Er is een configureerbare optie om de code van de visual automatisch of handmatig bij te werken door alleen een pull-aanvraag te openen met wijzigingen die u kunt controleren en samenvoegen.

• De versnelde code wordt mogelijk bijgewerkt met nieuwe instellingen in de App Service bicep-code of met nieuwe instructies voor de vereisten voor de visualr. In de GitHub-opslagplaats verwerkt een toegewezen GitHub-werkstroom dit updateproces. Er is een configureerbare optie om de code van de visual automatisch of handmatig bij te werken door alleen een pull-aanvraag te openen met wijzigingen die u kunt controleren en samenvoegen.

Dit scenario implementeren

Als u dit scenario wilt implementeren, raadpleegt u de GitHub-opslagplaats van de Azure Governance Visualizer-accelerator.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

• Seif Bassem | Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• GitHub-opslagplaats voor Azure Governance Visualizer Accelerator
• Azure Governance Visualizer Open Source-project

Verwante resources

• Azure-landingszones - Ontwerpoverwegingen voor Bicep-modules
• Overzicht van Azure-landingszone