Azure Integration Services 登陸區域加速器的治理考慮
治理牽涉到確保已遵循任何原則,而且您可以顯示您的應用程式符合其受約束的任何法律、財務、法規或內部需求。 對於較小的應用程式,治理可能是手動程式;對於較大的應用程式而言,自動化是不可或缺的。 Azure 包含數個供應專案,其設計目的是讓合規性和治理程式更容易。
本文僅處理控制平面,這表示我們如何透過Azure Resource Manager) ,在 Azure (中建立、管理和設定資源。 本文不會處理資料平面的控管,這表示資源的端點如何受到控管或受到保護或監視。
設計考量
您是否已為與資源互動的所有個人定義角色和責任?
您是否已定義災害復原 (DR) 方案,而且是否需要將復原活動自動化? 例如,您是否需要在異地不同的區域中自動布建備援資源?
您有特定的 復原時間目標 (RTO) 和 復原點目標 (RPO) 需要遵守的原則嗎?
您是否有需要實作的警示或呈報計畫?
您的資源受限於哪些產業、法律或財務法規,以及如何確保您符合規範?
您擁有哪些工具來管理所有資源? 您需要執行手動補救,還是可以自動化? 如果資產的任何部分不符合規範,該如何發出警示?
設計建議
使用Azure 原則強制執行組織標準,並協助您評估合規性。 Azure 原則可提供匯總檢視,讓您能夠評估環境的整體狀態,並能夠向下切入至每個資源的每個原則資料細微性。 例如,您可以有尋找未經授權或昂貴資源的原則;或尋找布建的資源,但沒有足夠安全性。
使用 持續整合/持續部署 自動化部署 (CI/CD) 工具,例如 Azure DevOps 和 Terraform。 這有助於確保您已就地遵循任何原則,而不需要手動設定。
使用 自動化工作 來自動化工作,例如每週或每月對資源傳送警示;或 封存或刪除舊資料。 自動化工作會使用 Logic Apps (取用) 工作流程來執行工作。
使用 角色型存取控制 (RBAC) 來限制使用者和應用程式對不同範圍層級的存取。
使用 Azure 監視器 之類的監視工具,或識別資源在原則外泄的位置,或識別即將違反原則之危險的資源。
啟用雲端Microsoft Defender,以協助識別違反端點原則安全性的資源。