Ład dla obciążeń SaaS na platformie Azure
Ład to zestaw mechanizmów kontroli, praktyk i narzędzi, których można użyć do organizowania, kontrolowania i regulowania korzystania z usług w chmurze. Ład można traktować jako szereg mechanizmów zabezpieczających, które ustawiają standardy dopuszczalnego użycia, zapobiegają nieautoryzowanemu dostępowi i modyfikacjom oraz dostosowują działania w chmurze do ogólnej strategii chmury. Skuteczny ład zmniejsza ryzyko, pomaga zapewnić zgodność i wspiera cele biznesowe organizacji. Podczas kompilowania rozwiązania oprogramowania jako usługi (SaaS) kluczowe jest ustalanie priorytetów ładu od samego początku. Takie podejście stanowi podstawę dla bezpiecznego, ekonomicznego i wydajnego rozwiązania.
Zarządzanie kosztami
Aby zapewnić sukces twojej firmy, kluczowe znaczenie ma zrozumienie kosztów uruchamiania rozwiązania. Należy efektywnie analizować i optymalizować te koszty oraz zarządzać nimi przy zachowaniu kontroli nad nimi. Po rozpoczęciu tworzenia rozwiązania na platformie Azure możesz użyć narzędzi, takich jak kalkulatory cen i analizatory kosztów, aby oszacować koszty.
Aby uzyskać więcej informacji na temat śledzenia i kontrolowania kosztów usługi SaaS oraz rozliczania klientów, zobacz Rozliczenia i zarządzanie kosztami obciążeń SaaS na platformie Azure.
Uwagi dotyczące projektowania
Opracuj konwencję nazewnictwa i strategię tagowania. Nazwy i tagi zapewniają metadane, których można użyć do zarządzania zasobami i szybkiego określania własności. Spójne nazewnictwo zasobów może ułatwić zarządzanie zasobami platformy Azure i zarządzanie nimi. Tagi zasobów platformy Azure to pary klucz-wartość metadanych stosowane do zasobów i używane do ich identyfikowania.
Rozważ użycie metadanych, aby ułatwić śledzenie informacji, takich jak:
- Typ zasobu.
- Skojarzone obciążenie.
- Środowisko, w którym jest używane, takie jak produkcja, przemieszczanie lub programowanie.
- Lokalizacja zasobu.
- Klient lub grupa klientów korzystających z zasobu na potrzeby wdrożeń specyficznych dla klienta.
Aby zapoznać się ze strategiami nazewnictwa zasobów, zobacz Cloud Adoption Framework: Nazewnictwo zasobów.
Implementowanie zautomatyzowanego ładu za pomocą zasad. Zasady mają kluczowe znaczenie dla definiowania standardów organizacji i oceny zgodności obciążeń i zasobów. Jest to narzędzie do zapewniania ładu, którego można użyć do osiągnięcia spójności zasobów, zgodności z przepisami, zabezpieczeń, zarządzania i wydajności kosztów.
Usługa Azure Policy umożliwia utworzenie katalogu usług dozwolonych usług i typów usług dostosowanych do wymagań dotyczących obciążenia. Ten wykaz może zapobiec przypadkowemu nadmiernemu wypłaceniu, pomagając zapewnić, że są używane tylko zatwierdzone usługi. Na przykład po określeniu typu, serii i rozmiaru potrzebnych maszyn wirtualnych można zaimplementować zasady, które zezwalają tylko na wdrażanie tych maszyn wirtualnych. Wymuszaj zasady równomiernie dla wszystkich użytkowników i podmiotów zabezpieczeń, niezależnie od poziomu uprawnień.
Kompromis: Bezpieczeństwo i wydajność operacyjna. Implementowanie zbyt wielu zasad może zmniejszyć produktywność zespołu. Staraj się implementować zautomatyzowane mechanizmy kontroli na najbardziej podstawowych elementach.Użyj narzędzi do zarządzania kosztami. Usługa Microsoft Cost Management udostępnia kilka narzędzi do obsługi ładu w zakresie kosztów, takich jak:
Analiza kosztów to narzędzie, którego można użyć do uzyskiwania dostępu do analiz i wglądu w wydatki na chmurę. Możesz przejrzeć te koszty za pomocą różnych inteligentnych i dostosowywalnych widoków. Te widoki szczegółowe szczegółowe informacje, takie jak koszty według grup zasobów, usług i subskrypcji. Korzystając z analizy kosztów, możesz analizować skumulowane i dzienne koszty oraz przeglądać szczegóły faktur.
Budżety w usłudze Cost Management to narzędzie, za pomocą którego można ustanowić zabezpieczenia wydatków i alerty w różnych zakresach na platformie Azure. Alerty budżetowe można skonfigurować na podstawie rzeczywistych wydatków lub prognozowanych wydatków. Budżety można również przypisywać na różnych poziomach, w tym grupy zarządzania, subskrypcje lub grupy zasobów.
Alerty dotyczące kosztów ułatwiają monitorowanie wydatków na chmurę za pomocą trzech oddzielnych typów alertów.
Alerty budżetowe powiadamiają adresatów o osiągnięciu progów budżetu lub gdy wkrótce osiągniesz prognozowane progi.
Alerty anomalii powiadamiają adresatów o nieoczekiwanych zmianach wydatków na chmurę.
Zaplanowane alerty wysyłają odbiorców codziennie, co tydzień lub co miesiąc raporty dotyczące ogólnych wydatków na chmurę.
Zalecenia dotyczące projektowania
| Zalecenie | Korzyści |
|---|---|
| Włącz usługę Cost Management. Narzędzia są dostępne w witrynie Azure Portal i dla każdego, kto ma dostęp do konta rozliczeniowego, subskrypcji, grupy zasobów lub grupy zarządzania. |
Uzyskujesz dostęp do narzędzi, które analizują, monitorują i optymalizują wydatki w chmurze firmy Microsoft. |
| Utwórz usługę Azure Policy , aby ułatwić wymuszanie kontroli kosztów, takich jak dozwolone typy zasobów i lokalizacje. | Ta strategia pomaga wymusić spójne standardy, kontrolować zasoby, które można wdrożyć, oraz śledzić zgodność zasobów i wydatków na chmurę. |
| Włącz odpowiednie alerty dotyczące kosztów. | Alerty dotyczące kosztów powiadamiają o nieoczekiwanych wydatkach na chmurę lub zbliżaniu się do wstępnie zdefiniowanych limitów. |
| Użyj spójnej konwencji nazewnictwa i tagów zasobów. Zastosuj tagi zasobów platformy Azure, aby wskazać, które zasoby są przeznaczone dla określonego klienta. | Spójne metadane ułatwiają śledzenie zasobów, do których należy klient. Ta praktyka jest szczególnie ważna w przypadku wdrażania zasobów przeznaczonych dla klientów. |
Zabezpieczenia i zgodność
Zabezpieczenia i zgodność są podstawowymi zasadami projektowania obciążeń w chmurze i kluczowym składnikiem odpowiedniego ładu w chmurze. Mechanizmy kontroli zabezpieczeń, takie jak kontrola dostępu oparta na rolach, pomagają określić akcje, które użytkownicy mogą wykonywać w danym środowisku. Mechanizmy kontroli za pomocą zasad mogą pomóc w osiągnięciu określonych standardów zgodności z przepisami dla wdrożonych obciążeń.
Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure i Usługa Azure Policy.
Podczas tworzenia rozwiązania SaaS klienci zależą od Ciebie, aby chronić swoje dane i obsługiwać operacje biznesowe. Aby obsługiwać rozwiązanie SaaS w imieniu klientów, musisz spełnić lub przekroczyć oczekiwania w zakresie bezpieczeństwa. Może być również konieczne spełnienie określonych wymagań dotyczących zgodności narzuconych przez klientów. To wymaganie jest powszechne w przypadku klientów w regulowanych branżach, takich jak opieka zdrowotna i usługi finansowe oraz dla wielu klientów korporacyjnych.
Uwagi dotyczące projektowania
Definiowanie dzierżaw firmy Microsoft Entra. Dzierżawa firmy Microsoft Entra definiuje granicę tożsamości, które mogą zarządzać zasobami platformy Azure. W przypadku większości organizacji dobrym rozwiązaniem jest użycie jednej dzierżawy firmy Microsoft Entra we wszystkich zasobach. Podczas tworzenia modelu SaaS istnieją różne podejścia, których można użyć do łączenia lub oddzielania dzierżaw firmy Microsoft Entra w zależności od potrzeb.
Podczas podejmowania decyzji, czy używać modelu SaaS, ważne jest, aby wziąć pod uwagę trzy różne typy przypadków użycia:
Wewnętrzna usługa SaaS, czasami nazywana przedsiębiorstwem lub firmą, jest hostem zasobów własnej organizacji, w tym platformy Microsoft 365 i innych narzędzi, których używasz samodzielnie.
Produkcyjny model SaaS jest używany podczas hostowania zasobów platformy Azure dla rozwiązania SaaS, z którym klienci łączą się i używają.
Usługa SaaS nieprodukcyjna jest hostowana w przypadku hostowania zasobów platformy Azure dla wszystkich środowisk nieprodukcyjnych rozwiązania SaaS, takich jak środowiska programistyczne, testowe i przejściowe.
Większość niezależnych dostawców oprogramowania (ISV) używa jednej dzierżawy firmy Microsoft Entra dla wszystkich celów na powyższej liście.
Czasami może istnieć konkretne uzasadnienie biznesowe dla oddzielenia niektórych celów między wieloma dzierżawami firmy Microsoft Entra. Jeśli na przykład pracujesz z klientami rządowymi o wysokim poziomie zabezpieczeń, mogą wymagać użycia odrębnych katalogów dla aplikacji wewnętrznych oraz obciążeń produkcyjnych i nieprodukcyjnych SaaS. Te wymagania są nietypowe.
Ważne
Zarządzanie wieloma dzierżawami firmy Microsoft Entra może być trudne. Zarządzanie wieloma dzierżawami zwiększa koszty i koszty związane z zarządzaniem. Jeśli nie uważasz, wiele dzierżaw może zwiększyć ryzyko bezpieczeństwa. Używaj tylko wielu dzierżaw firmy Microsoft Entra, jeśli jest to absolutnie konieczne.
Aby uzyskać więcej informacji na temat konfigurowania dzierżaw usługi Microsoft Entra podczas wdrażania usługi SaaS, zobacz Zagadnienia dotyczące niezależnego dostawcy oprogramowania dla stref docelowych platformy Azure.
Zarządzanie tożsamościami. Tożsamość jest podstawą zabezpieczeń chmury, które stanowią podstawę zarządzania dostępem. Podczas opracowywania modelu SaaS należy wziąć pod uwagę różne typy tożsamości. Aby uzyskać więcej informacji na temat tożsamości w rozwiązaniach SaaS, zobacz Zarządzanie tożsamościami i dostępem dla obciążeń SaaS na platformie Azure.
Kontrolowanie dostępu do zasobów platformy Azure. Zasoby platformy Azure są kluczowymi składnikami rozwiązania. Platforma Azure oferuje wiele sposobów ochrony zasobów.
Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji, który kontroluje dostęp do płaszczyzny sterowania platformy Azure i zasobów w danym środowisku. Kontrola dostępu oparta na rolach platformy Azure to kolekcja wstępnie zdefiniowanych i niestandardowych ról, które określają, jakie akcje można wykonać względem zasobów platformy Azure. Role są klasyfikowane jako role uprzywilejowanego administratora i role funkcji zadania. Te role ograniczają czynności, które można wykonać do zestawu zasobów w zdefiniowanym zakresie. Kontrola dostępu oparta na rolach platformy Azure może przyznać każdemu, kto zarządza obciążeniem, ma najmniej uprzywilejowany dostęp.
Blokady platformy Azure mogą pomóc zapobiec przypadkowemu usunięciu i modyfikacjom zasobów platformy Azure. W przypadku zastosowania blokady do zasobu nawet użytkownicy z rolami uprzywilejowanego administratora nie mogą usunąć zasobu, chyba że jawnie usuną blokadę.
Kompromis: Bezpieczeństwo i wydajność operacyjna. Kontrola dostępu oparta na rolach i blokady są ważnymi elementami strategii zabezpieczeń i ładu w chmurze. Należy jednak wziąć pod uwagę złożoność operacyjną, które mogą wystąpić, gdy poważnie ograniczysz, kto może wykonywać typowe operacje. Staraj się zrównoważyć potrzeby związane z zabezpieczeniami i funkcjami. Masz jasny plan eskalacji obowiązków, jeśli istnieje sytuacja kryzysowa lub jeśli kluczowe osoby są niedostępne.Zgodność ze standardami prawnymi. Wielu klientów musi kontrolować swoje zasoby w celu spełnienia określonych przepisów dotyczących zgodności. Platforma Azure udostępnia wiele narzędzi ułatwiających organizacji tworzenie rozwiązania na platformie Azure, które spełnia Twoje potrzeby dotyczące zgodności.
Usługa Azure Policy ułatwia definiowanie standardów organizacyjnych oraz ocenianie i wymuszanie zgodności obciążeń i zasobów. Możesz zaimplementować wstępnie zdefiniowane standardy lub własne niestandardowe standardy zgodności. Usługa Azure Policy obejmuje wiele wbudowanych inicjatyw zasad lub grup zasad dla typowych standardów regulacyjnych. Te zasady obejmują FedRAMP High, HIPAA, HITRUST, PCI DSS i ISO 27001. Po zastosowaniu zasad do środowiska pulpit nawigacyjny zgodności zapewnia szczegółowy wynik ogólnej zgodności. Możesz użyć tego pulpitu nawigacyjnego podczas tworzenia planu korygowania w celu dostosowania środowiska do standardów. Za pomocą usługi Azure Policy można wykonywać następujące czynności:
Odmów wdrażania zasobów na podstawie kryteriów zdefiniowanych w zasadach. Można na przykład uniemożliwić wdrażanie zasobów danych w regionach świadczenia usługi Azure, w których zostaną naruszone wymagania dotyczące rezydencji danych.
Przeprowadź inspekcję wdrażania lub konfiguracji zasobów, aby określić, czy są one wdrażane przy użyciu konfiguracji spełniających standardy zgodności. Możesz na przykład przeprowadzić inspekcję maszyn wirtualnych, aby sprawdzić, czy zostały skonfigurowane kopie zapasowe i wyświetlić listę maszyn wirtualnych, których nie ma.
Korygowanie wdrożenia zasobu. Zasady można skonfigurować w celu skorygowania niezgodnych zasobów, wdrażając rozszerzenia lub zmieniając konfigurację nowych lub istniejących zasobów. Na przykład możesz użyć zadania korygowania, aby automatycznie wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych.
Microsoft Defender dla Chmury zapewnia ciągłą ocenę konfiguracji zasobów pod kątem mechanizmów kontroli zgodności i najlepszych rozwiązań w zakresie standardów i testów porównawczych stosowanych w subskrypcjach. Defender dla Chmury oblicza ogólny wynik zgodności, który pomaga określić zmiany, które należy wprowadzić.
Domyślnie Defender dla Chmury używa testu porównawczego zabezpieczeń w chmurze firmy Microsoft (MCSB) jako standardu bazowego dla praktyk opartych na zabezpieczeniach i zgodności. McSB to zestaw mechanizmów kontroli zgodności udostępnianych przez firmę Microsoft, który zalecamy dla większości obciążeń na platformie Azure. Jeśli musisz spełnić inny standard, możesz użyć innych dostępnych ofert zgodności.
Napiwek
Nawet jeśli nie musisz natychmiast przestrzegać standardu regulacyjnego, należy mimo to. Znacznie łatwiej jest stosować się do standardu, takiego jak MCSB od momentu rozpoczęcia wdrażania rozwiązania, niż ma to na celu wsteczne zastosowanie go później.
Standardy zgodności można stosować do różnych zakresów. Możesz na przykład zdefiniować określoną subskrypcję platformy Azure, tak jak w zakresie dla określonego standardu. Za pomocą Defender dla Chmury można również ocenić konfigurację zasobów hostowanych u innych dostawców usług w chmurze.
Zalecenia dotyczące projektowania
| Zalecenie | Korzyści |
|---|---|
| Przyznaj najmniejszą ilość dostępu niezbędną dla użytkowników i grup w celu ukończenia funkcji zadań. Ogranicz liczbę przypisań ról uprzywilejowanych. Ustal, czy możesz użyć roli specyficznej dla funkcji zadania zamiast roli administratora uprzywilejowanego. |
Narażenie na zagrożenia można zmniejszyć w przypadku naruszenia zabezpieczeń poświadczeń. |
| Ogranicz liczbę właścicieli subskrypcji platformy Azure. | Zbyt wielu właścicieli subskrypcji zwiększa ryzyko naruszenia bezpieczeństwa poświadczeń. |
| Przypisz role do grup zamiast użytkowników. | Takie podejście zmniejsza wymaganą liczbę przypisań ról, co zmniejsza nakład pracy administracyjnej. |
| Wdrożenie punktu odniesienia zabezpieczeń na wczesnym etapie procesu projektowania. Należy wziąć pod uwagę mcSB jako punkt wyjścia. McSB zapewnia jasne, możliwe do działania porady w celu poprawy bezpieczeństwa aplikacji na platformie Azure i w różnych środowiskach w innych chmurach i lokalnie. | Koncentrując się na mechanizmach kontroli specyficznych dla chmury, mcSB pomaga zwiększyć ogólny stan zabezpieczeń. |
| Użyj blokad platformy Azure, aby zapobiec przypadkowym zmianom w środowisku. | Blokady mogą pomóc w zapobieganiu przypadkowym modyfikacjom i usuwaniu zasobów, grup zasobów i subskrypcji. |
| Użyj usługi Azure Policy lub Defender dla Chmury, aby ocenić zgodność. | Zasady mogą pomóc w wymuszaniu standardów organizacji i spełnianiu zgodności z przepisami. |
Dodatkowe zasoby
Multitenancy to podstawowa metodologia biznesowa projektowania obciążeń SaaS. Te artykuły zawierają więcej informacji na temat zagadnień dotyczących ładu:
Następny krok
Dowiedz się, jak wybrać odpowiednie regiony platformy Azure dla zasobów i opracować strategię organizacji zasobów, aby wspierać rozwój i ewolucję rozwiązania SaaS.