Область разработки: управление Azure

Используйте систему управления Azure, чтобы установить средства, необходимые для поддержки облачного управления, аудита соответствия требованиям и автоматической защиты.

Обзор области разработки

роли или функции: управление Azure берет начало из управления облаком. Возможно, потребуется реализовать облачной платформы или облачного центра качества для определения и применения определенных технических требований. Управление в первую очередь направлено на соблюдение требований по операциям и безопасности, что может потребовать облачной безопасности, центральных ИТ-или облачных операций.

объем : Рассмотрите ваши решения с точки зрения области идентификации, сетей, безопасностии управления проектирования. Ваша команда может сравнить решения о проверке из автоматизированного управления политиками, которое является частью акселератора посадочной зоны Azure. Проверка решений поможет определить, что следует проверять или применять, а также какие политики следует автоматически развертывать.

вне области: система управления Azure устанавливает основу для сетевых подключений. Но это не касается компонентов, связанных с соответствием требованиям, таких как расширенная сетевая безопасность или автоматизированная защита для применения сетевых решений. Эти сетевые решения можно решить при проверке областей проектирования соответствия требованиям, связанных с безопасности и управления. Перед решением более сложных компонентов команда облачной платформы должна решать начальные требования к сети.

Новая (greenfield) облачная среда: чтобы начать работу с облаком, создайте небольшой набор подписок. Для создания новых зон приземления Azure можно использовать шаблоны развертывания Bicep. Дополнительные сведения см. в разделе Azure landing zones (зоны посадки) Bicep — поток развертывания.

существующей (brownfield) облачной среде: Если вы хотите применить проверенные на практике принципы управления Azure к существующим средам Azure, учтите следующие рекомендации.

• Установите базовый уровень управления для вашей гибридной или мультиоблачной среды.

• Реализуйте функции управления затратами Майкрософт, такие как области выставления счетов, бюджеты и оповещения, чтобы гарантировать, что вы не превышаете лимит расходов.

• Используйте политике Azure для принудительного применения защиты управления в развертываниях Azure и активации задач исправления, чтобы перенести существующие ресурсы Azure в соответствующее состояние.

• Рассмотрите возможность использования функции управления правами Microsoft Entra для автоматизации рабочих процессов запросов на доступ Azure, назначений доступа, проверок и истечения срока действия.

• Используйте рекомендации Azure Advisor для обеспечения оптимизации затрат и операционной эффективности в Azure, являющихся основными принципами Microsoft Azure Well-Architected Framework.

Репозиторий "Azure landing zones Bicep—Deployment flow" содержит шаблоны развертывания Bicep, которые могут ускорить развертывание посадочных зон Azure в гринфилд и браунфилд сценариях. Эти шаблоны интегрированы с рекомендациями по управлению, проверенными корпорацией Майкрософт.

Рассмотрите возможность использования назначений политик по умолчанию для целевой зоны Azure модуля Bicep, чтобы начать работу с обеспечением соответствия вашим средам Azure.

Дополнительные сведения см. в рекомендации по среде Браунфилда.

Обзор области разработки

Путешествие по внедрению облака вашей организации начинается с строгих элементов управления для государственных сред.

Управление предоставляет механизмы и процессы для поддержания контроля над платформами, приложениями и ресурсами в Azure.

Изучите следующие аспекты и рекомендации, чтобы принимать обоснованные решения при планировании вашей зоны.

Область проектирования облачного управления сосредоточена на решениях для вашей зоны высадки. Сведения о процессах и средствах управления см. в разделе Управление в рамках освоения облака Cloud Adoption Framework для Azure.

Рекомендации по управлению Azure

Политика Azure помогает обеспечить безопасность и соответствие корпоративным техническим активам. Политика Azure может применять жизненно важные соглашения по управлению и безопасности в службах платформ Azure. Политика Azure дополняет управление доступом на основе ролей Azure (RBAC), которое управляет действиями авторизованных пользователей. Управление затратами также может помочь поддерживать текущие затраты на управление и расходы в Azure или других многооблачных средах.

Рекомендации по развертыванию

Изменение советов по рассмотрению рекомендаций может препятствовать инновациям и гибкости бизнеса вашей организации. Политика Azure заменяет такие проверки автоматизированными рамками и аудитами на соответствие для повышения эффективности работы.

• Определите, какие политики Azure требуются на основе бизнес-элементов управления или нормативных требований. Используйте политики, включенные в акселератор целевой зоны Azure, в качестве отправной точки.

• Используйте политики , включенные в эталонную реализацию зон приземления Azure, чтобы рассмотреть другие политики, которые могут соответствовать вашим бизнес-требованиям.

• Обеспечьте соблюдение автоматизированных соглашений в областях сетевого взаимодействия, идентификации, управления и безопасности.

• Управляйте и создавайте назначения политических правил, используя определения политик, которые можно повторно применять в нескольких наследуемых областях назначения. Вы можете иметь централизованные назначения базовых политик на уровнях управления, подписки и группы ресурсов.

• Обеспечение непрерывного выполнения требований по отчетности и аудиту.

• Понять, что политика Azure имеет ограничения, такие как ограничение определений в любой конкретной области. Дополнительные сведения см. в разделе Ограничения политики.

• Общие сведения о политиках соответствия нормативным требованиям. Эти политики могут включать условия HIPAA, PCI-DSS или SOC 2 Trust Services.

Рекомендации по управлению затратами

• Рассмотрим структуру модели стоимости и перераспределения затрат вашей организации. Определите ключевые точки данных, которые точно передают расходы на облачные службы.

• Выберите структуру тегов, которая соответствует вашей модели затрат и пополнения средств, чтобы отслеживать расходы в облаке.

• Используйте калькулятор цен Azure, чтобы оценить ожидаемые ежемесячные затраты на использование продуктов Azure.

• Получите преимущество гибридного использования Azure, чтобы снизить затраты на выполнение рабочих нагрузок в облаке. Вы можете использовать свои локальные лицензии Windows Server и SQL Server с включенным Software Assurance на платформе Azure. Вы также можете использовать подписки Red Hat и SUSE Linux.

• Оформите резервирования Azure и заключите обязательство на планы сроком на один или три года для нескольких продуктов. Планы резервирования предоставляют скидки на ресурсы, которые могут значительно сократить затраты на ресурсы до 72% по сравнению с ценами по мере использования.

• Получите план экономии Azure для вычислений, чтобы сэкономить до 65% по сравнению с оплатой по мере использования. Выберите одно-или трехлетнее обязательство, которое применяется к вычислительным службам независимо от региона, размера экземпляра или операционной системы. Выберите план для вычислительных компонентов, таких как виртуальные машины, выделенные узлы, экземпляры контейнеров, функции Azure premium и службы приложений Azure. Объедините план экономии Azure с резервированиями Azure для оптимизации затрат и гибкости вычислений.

• Используйте политики Azure, чтобы разрешить определенные регионы, типы ресурсов и номера SKU ресурсов.

• Используйте политику на основе правил управления жизненным циклом службы хранилища Azure для перемещения данных больших двоичных объектов на соответствующие уровни доступа или истечения срока действия данных в конце жизненного цикла данных.

• Используйте подписки на разработку и тестирование Azure, чтобы получить скидку на доступ к службам Azure для непроизводственных рабочих нагрузок.

• Используйте автоматическое масштабирование для динамического выделения и освобождения ресурсов в соответствии с потребностями в производительности, что экономит деньги.

• Используйте виртуальные машины Azure Spot Virtual Machines, чтобы воспользоваться неиспользуемой вычислительной емкостью с низкой стоимостью. Виртуальные машины Spot отлично подходят для рабочих нагрузок, которые могут переносить прерывания, например задания пакетной обработки, среды разработки и тестирования и рабочие нагрузки, требующие высоких вычислительных ресурсов.

• Выберите нужные службы Azure, чтобы снизить затраты. Некоторые службы Azure бесплатны в течение 12 месяцев, и некоторые из них всегда бесплатны.

• Выберите нужную службу вычислений для приложения, чтобы повысить эффективность затрат. Azure предлагает множество способов размещения кода.

Рекомендации по управлению ресурсами

• Определите, могут ли группы ресурсов в вашей среде совместно использовать необходимые конфигурации, общий жизненный цикл или общие ограничения доступа (например, RBAC), чтобы обеспечить согласованность.

• Выберите проект подписки на приложение или рабочую нагрузку, подходящий для вашей операции.

• Используйте стандартные конфигурации ресурсов в организации, чтобы обеспечить согласованную базовую конфигурацию.

Вопросы безопасности

• Внедрение инструментов и защитных механизмов в среде в рамках базового уровня безопасности.
• Уведомите соответствующих людей, когда вы обнаружите отклонения.
• Рекомендуется использовать политики Azure для внедрения таких инструментов, как Microsoft Defender для облака, или таких ограждений, как Microsoft Cloud Security Benchmark.

Рекомендации по управлению удостоверениями

• Определите, кто имеет доступ к журналам аудита для управления удостоверениями и доступом.

• Уведомите соответствующих пользователей о возникновении подозрительных событий входа.

• Рассмотрите возможность использования отчетов Microsoft Entra для управления действиями.

• Рассмотрите возможность отправки журналов Microsoft Entra ID в централизованную область логов Azure Monitor для платформы.

• Ознакомьтесь с функциями управления идентификаторами Microsoft Entra, например проверки доступа и управления правами.

Инструменты, не относящиеся к Майкрософт

• Используйте AzAdvertizer для получения обновлений системы управления Azure. Например, вы можете найти аналитические сведения об определениях политик, инициативах, псевдонимах, безопасности и нормативных требованиях в определениях ролей Azure или RBAC. Вы также можете получить представление об операциях поставщика ресурсов, определениях ролей Microsoft Entra и действиях ролей, а также разрешениях API сторонних производителей.

• Используйте визуализатор управления Azure для отслеживания вашего технического управления. Вы можете использовать функцию проверки версии политики для посадочных зон Azure, чтобы обеспечить актуальность вашей среды с последней версией выпуска политик для посадочных зон Azure.

Рекомендации по управлению Azure

Рекомендации по ускорению развертывания

• Определите необходимые теги Azure и используйте режим политики добавления для принудительного использования. Дополнительные сведения см. в разделе Определение стратегии добавления тегов.

• Сопоставьте регуляторные требования и требования к соответствию с определениями политик Azure и назначениям ролей Azure.

• Создайте определения политики Azure в корневой группе управления на верхнем уровне, так как они могут быть назначены в унаследованных областях действия.

• Управляйте назначениями политик на самом высоком соответствующем уровне, при необходимости делая исключения на нижних уровнях.

• Используйте политику Azure для управления регистрацией поставщиков ресурсов на уровнях подписки или группы управления.

• Используйте встроенные политики для минимизации рабочих накладных расходов.

• Назначьте встроенную роль участника политики ресурсов в определенной области, чтобы обеспечить управление на уровне приложения.

• Ограничить количество назначений политики Azure в области корневой группы управления, чтобы избежать управления исключениями в унаследованных областях.

Рекомендации по управлению затратами

• Используйте управление затратами для реализации финансового надзора за ресурсами в вашей среде.
• Используйте теги, такие как центр затрат или имя проекта, чтобы добавить метаданные ресурса. Этот подход помогает включить детализированный анализ расходов.

Управление Azure в ускорителе стартовой зоны Azure

Акселератор зоны развертывания Azure предоставляет организациям зрелые механизмы управления.

Например, можно реализовать следующее:

• Иерархия группы управления, которая группирует ресурсы по функционалу или по типу рабочей нагрузки. Такой подход поощряет согласованность ресурсов.
• Широкий набор политик Azure, позволяющих управлять элементами управления на уровне группы управления. Этот подход помогает убедиться, что все ресурсы находятся в области.