Ontwerpgebied: Azure-governance

Gebruik Azure-governance om de hulpprogramma's vast te stellen die u nodig hebt om cloudgovernance, nalevingscontrole en geautomatiseerde kaders te ondersteunen.

Ontwerpgebiedbeoordeling

Rollen of functies: Azure-governance is afkomstig van cloud governance. Mogelijk moet u het cloudplatform implementeren of een cloudcentrum van uitmuntendheid om bepaalde technische vereisten te definiëren en toe te passen. Governance is gericht op het afdwingen van bewerkingen en beveiligingsvereisten, waarvoor mogelijk cloudbeveiliging, centrale IT-of cloudbewerkingenis vereist.

Bereik: Houd rekening met uw beslissingen van identiteits-, netwerk, beveiligingen ontwerpgebiedbeoordelingen. Uw team kan beoordelingsbeslissingen vergelijken van geautomatiseerde governance, die deel uitmaakt van de Azure-landingszoneversneller. Met beoordelingsbeslissingen kunt u bepalen wat u moet controleren of afdwingen en welk beleid automatisch moet worden geïmplementeerd.

Buiten bereik: Azure-governance vormt de basis voor netwerken. Maar er worden geen nalevingsgerelateerde onderdelen behandeld, zoals geavanceerde netwerkbeveiliging of geautomatiseerde kaders voor het afdwingen van netwerkbeslissingen. U kunt deze netwerkbeslissingen aanpakken wanneer u ontwerpgebieden voor naleving bekijkt die betrekking hebben op beveiligings- en governance-. Het cloudplatformteam moet voldoen aan de eerste netwerkvereisten voordat ze complexere onderdelen aanpakken.

Nieuwe cloudomgeving (greenfield): Begin uw cloudtraject door een kleine set abonnementente maken. U kunt Bicep-implementatiesjablonen gebruiken om uw nieuwe Azure-landingszones te maken. Zie Azure-landingszones Bicep: implementatiestroomvoor meer informatie.

bestaande cloudomgeving (brownfield): Als u bewezen Azure-governanceprincipes wilt toepassen op bestaande Azure-omgevingen, moet u rekening houden met de volgende richtlijnen:

• Stel een basislijn voor beheer vast voor uw hybride of multicloudomgeving.

• Implementeer Functies van Microsoft Cost Management, zoals factureringsbereiken, budgetten en waarschuwingen, om ervoor te zorgen dat u uw onkostenlimiet niet overschrijdt.

• Gebruik Azure Policy om governance-rails af te dwingen voor Azure-implementaties en om hersteltaken te activeren die bestaande Azure-resources naar een conforme staat brengen.

• Overweeg het gebruik van de Microsoft Entra-functie voor rechtenbeheer om werkstromen voor toegangsaanvragen, toewijzingen, beoordelingen en verlooptijd van Azure te automatiseren.

• Gebruik Azure Advisor aanbevelingen om kostenoptimalisatie en operationele uitmuntendheid in Azure te garanderen. Beide zijn de belangrijkste principes van de Microsoft Azure Well-Architected Framework-.

De Azure-landingszones Bicep—implementatiestroomopslagplaats bevat Bicep-implementatiesjablonen die de implementatie van Azure-landingszones in greenfield en brownfield omgevingen kunnen versnellen. Deze sjablonen hebben geïntegreerde richtlijnen voor beproefd beheer van Microsoft.

Overweeg het gebruik van de standaardbeleidstoewijzingen voor Azure-landingszone Bicep-module om een begin te maken met het garanderen van naleving voor uw Azure-omgevingen.

Zie Brownfield-omgevingsoverwegingenvoor meer informatie.

Overzicht van ontwerpgebied

Het cloudacceptatietraject van uw organisatie begint met sterke controles voor overheidsomgevingen.

Governance biedt mechanismen en processen voor het onderhouden van controle over platforms, toepassingen en resources in Azure.

Bekijk de volgende overwegingen en aanbevelingen om weloverwogen beslissingen te nemen tijdens het plannen van uw landingszone.

Het ontwerpgebied voor governance richt zich op ontwerpbeslissingen voor uw landingszone. Zie Govern in the Cloud Adoption Framework voor Azurevoor meer informatie over governanceprocessen en hulpprogramma's.

Overwegingen voor Azure-governance

Azure Policy zorgt voor beveiliging en naleving voor technische activa van ondernemingen. Azure Policy kan essentiële beheer- en beveiligingsconventies afdwingen in Azure-platformservices. Azure Policy vormt een aanvulling op op rollen gebaseerd toegangsbeheer van Azure (RBAC), waarmee acties voor geautoriseerde gebruikers worden beheerd. Cost Management kan ook helpen bij het ondersteunen van uw doorlopende governancekosten en -uitgaven in Azure of andere omgevingen met meerdere clouds.

Overwegingen bij de implementatie

Wijzigingsadviesbeoordelingsborden kunnen de innovatie en bedrijfsflexibiliteit van uw organisatie belemmeren. Azure Policy vervangt dergelijke beoordelingen door geautomatiseerde kaders en nalevingscontroles om de efficiëntie van workloads te verbeteren.

• Bepaal welke Azure-beleidsregels u nodig hebt op basis van uw bedrijfscontroles of nalevingsregels. Gebruik de beleidsregels die zijn opgenomen in de Azure-landingszoneversneller als uitgangspunt.

• Gebruik de beleidsregels die zijn opgenomen in de Azure-landingszones referentie-implementatie om na te denken over andere beleidsregels die mogelijk beter aansluiten bij uw bedrijfsvereisten.

• Dwing geautomatiseerde netwerk-, identiteits-, beheer- en beveiligingsconventies af.

• Beheer en maak beleidstoewijzingen met behulp van beleidsdefinities die u kunt hergebruiken bij meerdere overgenomen toewijzingsbereiken. U kunt toewijzingen van gecentraliseerd basislijnbeleid hebben op het niveau van management, abonnement en resourcegroep.

• Zorg voor voortdurende naleving met nalevingsrapportage en auditing.

• Begrijp dat Azure Policy limieten heeft, zoals de beperking van definities in een bepaald bereik. Zie Beleidslimietenvoor meer informatie.

• Begrijp het nalevingsbeleid voor regelgeving. Het beleid kan HIPAA, PCI-DSS of SOC 2 Trust Services-criteria bevatten.

Overwegingen voor kostenbeheer

• Overweeg de structuur van het kosten- en herverdelingsmodel van uw organisatie. Bepaal de belangrijkste gegevens die uw cloudservices-uitgaven nauwkeurig weergeven.

• Kies de structuur van tags die bij uw kosten- en betalingsmodel past om uw clouduitgaven bij te houden.

• Gebruik de Azure-prijscalculator om de verwachte maandelijkse kosten voor het gebruik van Azure-producten te schatten.

• Haal Azure Hybrid Benefit op om de kosten van het uitvoeren van uw workloads in de cloud te verlagen. U kunt uw on-premises Software Assurance-licenties voor Windows Server en SQL Server gebruiken in Azure. U kunt ook Red Hat- en SUSE Linux-abonnementen gebruiken.

• Azure-reserveringen ophalen en een abonnement van één jaar of drie jaar doorvoeren voor meerdere producten. Reserveringsplannen bieden resourcekortingen, waardoor uw resourcekosten aanzienlijk kunnen worden verlaagd met maximaal 72% vergeleken met prijzen voor betalen per gebruik.

• Haal het Azure-besparingsplan op voor het berekenen van om maximaal 65% te besparen in vergelijking met prijzen voor betalen per gebruik. Kies een toezegging van één of drie jaar die van toepassing is op rekenservices, ongeacht uw regio, instantiegrootte of besturingssysteem. Kies een plan voor rekenonderdelen, zoals virtuele machines, toegewezen hosts, containerinstanties, Azure Premium-functies en Azure-app-services. Combineer een Azure-besparingsplan met Azure-reserveringen om de rekenkosten en flexibiliteit te optimaliseren.

• Gebruik Azure-beleid om specifieke regio's, resourcetypen en resource-SKU's toe te staan.

• Gebruik het op regels gebaseerde beleid van levenscyclusbeheer van Azure Storage om blobgegevens te verplaatsen naar de juiste toegangslagen of om gegevens aan het einde van de levenscyclus van de gegevens te laten verlopen.

• Gebruik Azure dev/test-abonnementen om korting te krijgen op toegang tot bepaalde Azure-services voor niet-productieworkloads.

• Gebruik automatisch schalen om resources dynamisch toe te wijzen en de toewijzing ervan ongedaan te maken om aan uw prestatiebehoeften te voldoen, waardoor u geld bespaart.

• Gebruik Azure Spot Virtual Machines om tegen lage kosten te profiteren van ongebruikte rekencapaciteit. Spot Virtual Machines is ideaal voor workloads die onderbrekingen kunnen afhandelen, zoals batchverwerkingstaken, ontwikkel-/testomgevingen en grote rekenworkloads.

• Selecteer de juiste Azure-services om de kosten te verlagen. Sommige Azure-services zijn 12 maanden gratis en sommige zijn altijd gratis.

• Selecteer de juiste rekenservice voor uw toepassing om de kostenefficiëntie te verbeteren. Azure biedt veel manieren om uw code te hosten.

Overwegingen voor resourcebeheer

• Bepaal of de groepen resources in uw omgeving vereiste configuraties, een gemeenschappelijke levenscyclus of algemene toegangsbeperkingen (zoals RBAC) kunnen delen om consistentie te bieden.

• Kies een toepassings- of workloadabonnementsontwerp dat geschikt is voor uw bewerkingsbehoeften.

• Gebruik standaardresourceconfiguraties binnen uw organisatie om een consistente basislijnconfiguratie te garanderen.

Beveiligingsoverwegingen

• Dwing tools en beveiligingsrichtlijnen in de gehele omgeving af als onderdeel van een beveiligingsbasislijn.
• Informeer de juiste personen wanneer u afwijkingen vindt.
• Overweeg Azure Policy te gebruiken om hulpmiddelen zoals Microsoft Defender for Cloud of richtlijnen zoals de Microsoft Cloud Security-benchmark af te dwingen.

Overwegingen voor identiteitsbeheer

• Bepalen wie toegang heeft tot auditlogboeken voor identiteits- en toegangsbeheer.

• Informeer de juiste personen wanneer er verdachte aanmeldingsgebeurtenissen plaatsvinden.

• Overweeg het gebruik van Microsoft Entra-rapporten om activiteiten te beheren.

• Overweeg om Microsoft Entra ID-logboeken naar de centrale Azure Monitor Logs-werkruimte voor het platform te verzenden.

• Verken Microsoft Entra ID Governance-functies, zoals toegangsbeoordelingen en rechtenbeheer.

Niet-Microsoft-hulpprogramma's

• Gebruik AzAdvertizer- om Azure-governance-updates op te halen. U kunt bijvoorbeeld inzichten vinden over beleidsdefinities, initiatieven, aliassen, beveiliging en naleving van regelgeving in Azure Policy- of Azure RBAC-roldefinities. U kunt ook inzicht krijgen in bewerkingen van resourceproviders, Microsoft Entra-roldefinities en rolacties en API-machtigingen van derden.

• Gebruik Azure Governance Visualizer- om uw technische governanceomgeving bij te houden. U kunt de functie beleidsversiecontrole voor Azure-landingszones gebruiken om uw omgeving up-to-date te houden met de nieuwste releasestatus van het Azure-landingszonebeleid.

Aanbevelingen voor Azure-governance

Aanbevelingen voor implementatieversnelling

• Identificeer vereiste Azure-tags en gebruik de modus voor het toevoegen van beleid om gebruik af te dwingen. Zie Uw tagstrategie definiërenvoor meer informatie.

• Wijs wettelijke en nalevingsvereisten toe aan Azure Policy-definities en Azure-roltoewijzingen.

• Stel Azure Policy-definities in op het hoogste niveau binnen de hoofdbeheergroep in, omdat ze mogelijk worden toegewezen op geërfde scopes.

• Beheer beleidstoewijzingen op het hoogste juiste niveau met uitsluitingen op laagste niveaus, indien nodig.

• Gebruik Azure Policy om registraties van resourceproviders te beheren op abonnements- of beheergroepsniveaus.

• Gebruik ingebouwd beleid om operationele overhead te minimaliseren.

• Wijs de ingebouwde rol Resource Policy-bijdrager toe aan een specifieke scope om governance op toepassingsniveau te implementeren.

• Beperk het aantal Azure Policy-toewijzingen binnen het hoofdbereik van de beheergroep om het beheren van uitsluitingen bij overgenomen bereiken te voorkomen.

Aanbevelingen voor kostenbeheer

• Gebruik Cost Management om financieel toezicht op resources in uw omgeving te implementeren.
• Gebruik tags, zoals de kostenplaats of projectnaam, om de metagegevens van de resource toe te voegen. Deze aanpak helpt bij het gedetailleerd analyseren van uitgaven.

Azure-governance in de Azure-landingszoneversneller

De Azure-landingszoneversneller biedt organisaties volwassen besturingselementen voor governance.

U kunt bijvoorbeeld het volgende implementeren:

• Een beheergroephiërarchie die resources groeperen op functie- of workloadtype. Deze benadering stimuleert resourceconsistentie.
• Een uitgebreide set Azure-beleidsregels die beheerbesturingselementen op beheergroepsniveau mogelijk maakt. Met deze aanpak kunt u controleren of alle resources binnen het bereik vallen.