你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 上的 SaaS 工作负荷治理
治理是一组可用于组织、控制和帮助规范云服务使用的控件、做法和工具。 可以将治理视为一系列防护措施,这些防护措施为可接受的使用设定标准、防止未经授权的访问和修改,以及使云活动与整个云策略保持一致。 有效的治理可降低风险,有助于确保合规性,并支持组织的业务目标。 构建软件即服务(SaaS)解决方案时,从一开始就确定治理优先级至关重要。 这种方法为安全、经济高效且高效的解决方案奠定了基础。
成本管理
为了帮助确保业务成功,了解运行解决方案的成本至关重要。 你需要有效地分析、管理和优化这些成本,同时保持对这些成本的控制。 在 Azure 上开始构建解决方案时,可以使用定价计算器和成本分析器等工具来估算成本。
有关如何跟踪和控制 SaaS 的成本以及如何对客户计费的详细信息,请参阅 Azure 上的 SaaS 工作负荷的计费和成本管理。
设计注意事项
制定命名约定和标记策略。 名称和标记提供可用于管理资源的元数据,并快速确定所有权。 一致的资源命名有助于管理和管理 Azure 资源。 Azure 资源标记是应用于资源的元数据键值对,用于标识它们。
请考虑使用元数据来帮助跟踪信息,例如:
- 资源的类型。
- 关联的工作负荷。
- 在其中使用的环境,例如生产、过渡或开发。
- 资源的位置。
- 使用资源的客户或客户组,用于特定于客户的部署。
有关资源命名的策略,请参阅云采用框架:资源命名。
通过策略实现自动化治理。 策略有助于定义组织标准并评估工作负荷和资源符合性。 它是一种治理工具,可用于实现资源一致性、法规合规性、安全、管理和成本效益。
使用 Azure Policy 创建针对工作负荷要求自定义的允许服务和服务类型的服务目录。 此目录可以通过帮助确保仅使用已批准的服务来防止意外超支。 例如,确定所需的虚拟机的类型、系列和大小后,可以实现仅允许部署这些 VM 的策略。 无论其权限级别如何,在所有用户和主体中统一强制实施策略。
权衡:安全性和运营效率。 实施过多的策略可以减少团队的工作效率。 努力实现对最基本元素的自动化控制。使用成本管理工具。 Microsoft成本管理提供了多种工具来支持成本治理,例如:
成本分析 是可用于访问云支出分析和见解的工具。 可以通过不同的智能和可自定义视图查看这些成本。 这些视图详细介绍了资源组、服务和订阅的成本等见解。 通过使用成本分析,可以分析累计和每日成本,并查看发票的详细信息。
成本管理中的预算是一种工具,可用于在 Azure 中的不同范围内建立支出防护措施和警报。 可以根据实际支出或预测支出配置预算警报。 还可以在各种级别分配预算,包括管理组、订阅或资源组。
成本警报 可帮助你通过三种不同的警报类型监视云支出。
当你达到预算阈值或即将达到预测阈值时,预算警报 会通知收件人。
当云支出发生意外更改时,异常警报 会通知收件人。
计划警报 每天、每周或每月向收件人发送有关总体云支出的报告。
设计建议
| 建议 | 好处 |
|---|---|
| 启用 成本管理。 这些工具在Azure 门户中可供有权访问计费帐户、订阅、资源组或管理组的任何人使用。 |
可以访问分析、监视和优化Microsoft云中的支出的工具。 |
| 创建 Azure Policy 来帮助实施成本控制,例如允许的资源类型和位置。 | 此策略可帮助你强制实施一致的标准、控制可部署的资源,以及跟踪资源和云支出的合规性。 |
| 启用适当的 成本警报。 | 成本警报会通知你意外的云支出,或者接近预定义的限制时。 |
| 使用一致的命名约定和资源标记。 应用 Azure 资源标记 以指示哪些资源专用于特定客户。 | 一致的元数据有助于跟踪哪些资源属于哪个客户。 在部署专用于客户的资源时,这种做法尤其重要。 |
安全性与符合性
安全性和符合性是云工作负载的基础设计原则,也是适当的云治理的关键组件。 安全控制(如基于角色的访问控制)有助于确定用户可以在你的环境中执行的操作。 通过策略控制可帮助你实现部署工作负载的特定法规符合性标准。
有关详细信息,请参阅 Azure 基于角色的访问控制(RBAC) 和 Azure Policy。
开发 SaaS 解决方案时,客户将依赖你来保护其数据并支持其业务运营。 若要代表客户运营 SaaS 解决方案,必须满足或超过其安全预期。 你可能还需要满足客户施加的特定合规性要求。 此要求与医疗保健和金融服务等受监管行业的客户以及许多企业客户很常见。
设计注意事项
定义Microsoft Entra 租户。 Microsoft Entra 租户定义可管理 Azure 资源的标识的边界。 对于大多数组织,最好在所有资源中使用单个Microsoft Entra 租户。 生成 SaaS 时,可以使用不同的方法来组合或分离Microsoft Entra 租户,具体取决于你的需求。
在决定是否使用 SaaS 时,请务必考虑三种不同的用例类型:
内部 SaaS(有时称为 企业 或 公司)是托管自己的组织资源(包括Microsoft 365 和其他使用自己的工具)时。
生产 SaaS 是在托管客户连接到和使用 SaaS 解决方案的 Azure 资源时。
非生产 SaaS 是在为 SaaS 解决方案的任何非生产环境(例如开发、测试和过渡环境)托管 Azure 资源时。
大多数独立软件供应商(ISV)将单个Microsoft Entra 租户用于上述列表中的所有用途。
有时,你可能有一个特定的业务理由,用于在多个Microsoft Entra 租户之间分离某些用途。 例如,如果你使用高度安全的政府客户,他们可能需要为内部应用程序和生产和非生产 SaaS 工作负载使用不同的目录。 这些要求并不常见。
重要
管理多个 Microsoft Entra 租户可能很困难。 管理多个租户会增加管理开销和成本。 如果不小心,多个租户可能会增加安全风险。 仅在必要时使用多个Microsoft Entra 租户。
有关如何在部署 SaaS 时配置 Microsoft Entra 租户的详细信息,请参阅 Azure 登陆区域的 ISV 注意事项。
管理标识。 标识是云安全的基石,构成了访问管理的基础。 开发 SaaS 时,需要考虑各种类型的标识。 有关 SaaS 解决方案中的标识的详细信息,请参阅 Azure 上 SaaS 工作负载的标识和访问管理。
控制对 Azure 资源的访问。 Azure 资源是解决方案的关键组件。 Azure 提供了多种保护资源的方法。
Azure RBAC 是一种授权系统,用于控制对 Azure 控制平面和环境中资源的访问。 Azure RBAC 是预定义和自定义角色的集合,用于确定可以对 Azure 资源执行的操作。 角色分为 特权管理员角色 和 作业功能角色。 这些角色限制在定义的范围内对一组资源执行的操作。 Azure RBAC 可以向管理工作负荷的任何人授予最低特权访问权限。
Azure 锁 有助于防止意外删除和修改 Azure 资源。 向资源应用锁时,即使拥有特权管理员角色的用户也不能删除资源,除非他们先显式删除该锁。
权衡:安全性和运营效率。 RBAC 和锁是云安全和治理策略的重要元素。 但是,请考虑在严重限制谁可以执行常见操作时可能发生的操作复杂性。 尝试平衡安全性和功能需求。 如果有紧急情况或关键人员不可用,请制定明确的计划来提升责任。符合法规标准。 许多客户需要对其资源进行严格控制,以满足特定的合规性法规。 Azure 提供了多个工具来帮助组织在 Azure 上构建满足合规性需求的解决方案。
Azure Policy 可帮助定义组织标准并评估和强制实施工作负载和资源符合性。 可以实施预定义标准或自己的自定义符合性标准。 Azure Policy 包括许多 内置策略计划或策略组,用于常见的法规标准。 这些策略包括 FedRAMP High、HIPAA、HITRUST、PCI DSS 和 ISO 27001。 将策略应用于环境时,合规性仪表板提供总体合规性的详细分数。 创建修正计划以使环境达到标准时,可以使用此仪表板。 可以使用 Azure Policy 来:
拒绝基于策略中定义的条件部署资源。 例如,可以阻止在违反数据驻留要求的 Azure 区域中部署数据资源。
审核资源的部署或配置,以确定资源是否部署了符合合规性标准的配置。 例如,可以审核 VM 以验证其是否已配置备份,并列出未配置的 VM。
修正资源的部署。 可以通过部署扩展或更改新资源或现有资源的配置来配置策略以修正不符合的资源。 例如,可以使用修正任务将 Microsoft Defender for Endpoint 自动部署到 VM。
Microsoft Defender for Cloud 针对在订阅中应用的标准和基准中的合规性控制和最佳做法,持续评估资源的配置。 Defender for Cloud 计算总体合规性分数,这有助于确定需要做出的更改。
默认情况下,Defender for Cloud 使用 Microsoft 云安全基准(MCSB) 作为基于安全性和合规性的做法的基线标准。 MCSB 是Microsoft提供的一组符合性控制措施,我们建议对 Azure 上的大多数工作负荷使用。 如果需要满足其他标准,可以使用其他可用的符合性产品/服务。
提示
即使你不需要立即遵守法规标准,你也应该。 从开始部署解决方案时,从开始部署解决方案时遵循 MCSB 等标准比以后追溯应用它要容易得多。
可以将符合性标准应用于各种范围。 例如,可以将特定的 Azure 订阅定义为特定标准的范围。 还可以使用 Defender for Cloud 评估其他云提供商中托管的资源的配置。
设计建议
| 建议 | 好处 |
|---|---|
| 授予用户和组完成其作业功能所需的最少访问权限。 限制特权角色分配的数量。 确定是否可以使用特定于作业的功能角色,而不是特权管理员角色。 |
如果凭据遭到入侵,则可以减少泄露。 |
| 限制 Azure 订阅所有者的数量。 | 订阅所有者过多会增加凭据泄露的风险。 |
| 将角色分配给组而不是用户。 | 此方法可减少所需的角色分配数,从而减少管理开销。 |
| 在设计过程中尽早采用安全基线。 将 MCSB 视为起点。 MCSB 提供了明确的可操作建议,可改进 Azure 上的应用程序的安全性,以及跨其他云和本地环境的安全性。 | 通过专注于特定于云的控制,MCSB 可帮助你增强整体安全态势。 |
| 使用 Azure 锁防止意外更改环境。 | 锁有助于防止意外修改和删除资源、资源组和订阅。 |
| 使用 Azure Policy 或 Defender for Cloud 评估合规性。 | 策略可以帮助强制实施组织标准并满足法规合规性。 |
其他资源
多租户是设计 SaaS 工作负载的核心业务方法。 以下文章提供有关治理注意事项的详细信息:
下一步
了解如何为资源选择适当的 Azure 区域并制定资源组织策略以支持 SaaS 解决方案的增长和演变的策略。