你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

治理防御云采用

治理方法侧重于平台域。 它会影响工作负荷成本管理、安全基线、标识访问角色和资源一致性参数。

图 1：域跟踪器 - 平台域

治理是一个框架，它使人员、部署和预算与共同倡议保持一致，并防止偏离该愿景。 它提供对云环境的控制，并帮助防御组织实现任务目标。

防御组织需要治理来降低风险。 有效的成本、安全性和策略治理可以简化平台操作，并提供在工作负荷级别继承这些防护措施的方法。 如果没有适当的治理，将产生重大的管理负担和生产力限制。 缺乏治理也造成了责任差距，引入了安全风险，以及因部署延迟和返工而导致投资（ROIS）的延迟。

为了避免其中一些问题，值得考虑以下治理最佳做法。

评估角色和职责

任务所有者需要一个责任模型，该模型在提交治理策略之前会考虑云中的每个资源。 如果可用，任务所有者应与云中转站策略协调角色和职责。 如果云代理不提供角色和职责模型，则任务所有者需要建立治理功能。

云采用可能会改变 IT 运营的各个方面。 这些更改需要重新评估角色和责任。 重新评估的目标是避免让多个组/人员负责同一服务，同时确保没有责任差距。

以下技术可帮助避免治理冗余或差距：

• 创建服务依赖项映射：服务依赖项映射是列出所有 IT 服务和负责人员的文档。 若要创建服务依赖项映射，应概述组织提供的所有服务，然后确定负责每个服务的团队或个人。
• 跟踪那些负责任的、负责、咨询和知情的（RACI）：RACI 矩阵定义给定服务的责任级别。 应列出对每项服务负责和负责的人员，以及应在决策过程中咨询和告知谁。

有关详细信息，请参阅 云治理函数。

自动化合规性

防御组织具有保护敏感数据和机密的合规性要求层。 治理是保护这些资产所必需的，但它造成了管理负担。 治理需要精度、重复和一致性，这些任务自动化的性能比人类好得多。 防御组织应自动执行治理过程。 它将提高作战效率和安全和自由防御人员，以专注于其他优先事项。

Azure 简化了防御治理的许多方面。 Azure 具有一个名为 Azure Policy 的自动化治理工具，该工具内置于 Azure 平台中。 此工具使云环境与可用的策略、标准和合规性要求保持一致。 它允许团队自动执行合规性评估，甚至针对预定义的合规性标准进行修正。

Azure 中提供了许多内置策略，可简化治理自动化。 这些内置策略满足许多政府合规性要求。 其中包括 NIST 800-53、NIST 800-171、CMMC 2.0、影响级别 4、影响级别 5、ISO 27001：2013、FedRAMP High 等。 Microsoft Sentinel 中还有一些工作簿，可帮助你可视化合规性。 治理团队可以使用策略跨云资源强制实施治理。 用户选择所需的策略，并将其分配给适当的资源范围。 Azure Policy 还允许用户创建和修改策略以满足不同的治理要求。

这些策略根据实施的策略检查新部署和现有资源的符合性。 不符合策略要求的新部署不会部署。 还将识别不符合治理策略的现有部署，以便团队可以对每个资源强制实施合规性。

Azure 中的策略创建一个坚定的防护措施，并自动执行大部分治理任务。 这样做可以降低风险并提高效率，帮助任务所有者更快地实现其任务目标。

有关治理自动化的详细信息，请参阅

• 安全治理
• Azure Policy 概述
• Azure 中的合规性
• Azure 合规性标准
• 治理可视化工具
• Microsoft Sentinel 工作簿

创建成本治理策略

成本是治理有效性的有形迹象。 费用应符合法案的预期和惊喜，这意味着治理方法存在差距。 成本治理是充分利用所需的资源，并阻止未授权的资源部署。

下面是构建成本治理策略时的一些注意事项：

了解成本责任 - 资源消耗需要治理来优化成本，避免浪费，并遵守分配的预算。 成本治理提供了成本管理技术，使你可以预测、控制和正确分配成本。 成本治理通常具有相关的法律要求。 它得到法律的支持，将启动预算监督委员会，以调查和惩罚是否存在侵权。

查看计费 - 每个计费周期都应查看成本。 更频繁的评审将产生更好的成本控制。 定期成本评审将有助于尽早识别问题治理。 建议云代理和任务所有者根据感兴趣的范围实施预算和警报。 如果支出阈值超过，预算将有助于跟踪支出并发送警报。 可以设置多个阈值，以确保及时通知预算。

成本安全性 - 成本治理不力可造成安全风险，并限制满足任务目标的能力。 如果没有成本治理，任何人都可以通过在未经许可的情况下预配资源来增加账单的额外成本。 以这种方式预配的服务很容易被忽视和忘记。 忘记的资源会增加云中的攻击面和潜在漏洞。 对不必要的服务支出不仅会产生风险，而且会从其他优先事项中窃取资金。 意外费用可能表明治理不正确，需要审查组织的治理规则。

趋势分析 - 进行趋势分析 以推动透明度，并允许查看活动资源和消耗。 资源支出异常高峰，应被带到技术团队进行解释。 它可能标志着运营或治理差距的新阶段。 标记并查看趋势中的任何新费用或峰值。 这种形式的主动成本管理有助于避免浪费并降低风险。 趋势分析还有助于管理基础结构并确定未来的优先级。 任务所有者可以看到在给定能力上花费了多少钱。 如果花费的资金不有助于实现任务目标，则此资源或工作负荷的未来需要重新评估。

有关详细信息，请参阅 成本调控 和 成本管理和计费。

创建成本基线

工作负荷成本治理从基线估算开始。 防御团队应对应迁移到云的每个工作负荷执行 TCO 估计。 任务所有者需要监视这些云资源成本并相应地管理服务，以达到所需的结果。 云的一个好处是降低共享服务费用。 它们往往占本地数据中心服务费的一小部分。

下面是创建工作负荷估算的一些实际步骤：

从迁移到云 的投资回报（ROI）开始 - 若要计算云的 ROI，任务所有者需要确定每个过渡到云的单个工作负荷的总拥有成本（TCO）。 Azure 有一个 TCO 计算器 ，允许任务所有者通过多个变量估算每个实例的成本：

• 设施（建筑、房地产）
• 电力和冷却费
• 网络（数据中心内部和/或外部）
• 硬件（服务器、机架、路由器、磁盘存储）
• 系统和应用程序软件的许可证
• 运营人员

并非所有变量都需要输入，某些服务可能难以估计。 任务所有者应确定建立此基线所需的准确性级别。 创建 TCO 估算后，任务所有者应记录此数据以供以后分析。

估算所需服务的 每月成本 - 建立工作负荷成本基线的下一步是确定所需服务的每月估计成本。 每月估计与预算和预算挂钩，可实现业务预测。 Azure 中的资源组织功能可促进组织结构中不同级别的预算。 预算可在管理组、订阅或资源组级别应用。 有关在 Azure 中创建、监视和更新预算的其他信息，请参阅Microsoft成本管理文档。 Azure 定价计算器可帮助创建每月估算值和 TCO 计算器。 应为每个要迁移的单个工作负荷运行这些估计值。 计算每月 Azure 工作负荷估算后，任务所有者应将此数据记录到存储库或其他跟踪资源中，以供以后分析。 此位置应与 TCO 估计相同。 有关详细信息，请参阅 成本工具。

有关治理的详细信息，请参阅：

• 治理指南
• 治理原则

下一步

治理后，云采用将进入工作负载域，并从采用方法开始。

采用