مشاركة عبر

النهج المعمارية للحوكمة والتوافق في الحلول متعددة المستأجرين

  • مقالة

مع نضوج استخدامك لـ Azure، من المهم مراعاة حوكمة موارد السحابة لديك. تتضمن الحوكمة كيفية تخزين بيانات المستأجرين وإدارتها، وكيفية تنظيم موارد Azure. قد تحتاج أيضا إلى اتباع المعايير التنظيمية أو القانونية أو التعاقدية. توفر هذه المقالة معلومات حول كيفية النظر في الحوكمة والتوافق في حل متعدد المستأجرين. كما يقترح بعض الميزات الرئيسية للنظام الأساسي لـ Azure والتي تدعم هذه المخاوف.

الاعتبارات والمتطلبات الرئيسية

عزل الموارد

تأكد من تكوين موارد Azure لتلبية متطلبات عزل المستأجرين. راجع مؤسسة موارد Azure في حلول متعددة المستأجرين للحصول على إرشادات حول عزل موارد Azure.

إدارة البيانات

عند تخزين البيانات نيابة عن المستأجرين، قد تكون لديك متطلبات أو التزامات تحتاج إلى الوفاء بها. من منظور المستأجر، غالباً ما يتوقعون ملكية بياناتهم والتحكم فيها. ضع في اعتبارك كيفية عزل بيانات المستأجرين وتخزينها والوصول إليها وتجميعها. كشف توقعات المستأجرين ومتطلباتهم التي قد تؤثر على كيفية عمل الحل الخاص بك.

العزل

راجع النهج المعمارية للتخزين والبيانات في حلول متعددة المستأجرين لفهم كيفية عزل بيانات المستأجرين. ضع في اعتبارك ما إذا كان لدى المستأجرين متطلبات لاستخدام مفاتيح تشفير البيانات الخاصة بهم.

أياً كان نهج العزل التي تنفذها، كن مستعداً للمستأجرين لطلب تدقيق بياناتهم. من الممارسات الجيدة توثيق جميع مخازن البيانات التي قد يتم فيها الاحتفاظ ببيانات المستأجرين. تتضمن مصادر البيانات الشائعة ما يلي:

  • قواعد البيانات وحسابات التخزين التي تم توزيعها كجزء من الحل الخاص بك.
  • أنظمة الهوية، والتي غالباً ما تتم مشاركتها بين المستأجرين.
  • السجلات.
  • مستودعات البيانات.

السيادة

فهم ما إذا كانت هناك أي قيود على الموقع الفعلي لبيانات المستأجرين التي سيتم تخزينها أو معالجتها. قد يطلب منك المستأجرون تخزين بياناتهم في مواقع جغرافية محددة. وقد تتطلب أيضاً عدم تخزين بياناتها في مواقع معينة. وعلى الرغم من أن هذه المتطلبات تستند عادة إلى التشريعات، فإنها يمكن أن تستند أيضاً إلى القيم والمعايير الثقافية.

لمزيد من المعلومات حول موقع البيانات وسيادتها، راجع المستند التقني تمكين «موقع البيانات» و«حماية البيانات» في مناطق Microsoft Azure.

وصول المستأجرين إلى البيانات التي تخزنها

يطلب المستأجرون أحياناً الوصول المباشر إلى البيانات التي تخزنها نيابة عنهم. على سبيل المثال، قد يرغبون في استيعاب بياناتهم في مستودع البيانات الخاص بهم.

خطط لكيفية الاستجابة لهذه الطلبات. ضع في اعتبارك ما إذا كان يتم الاحتفاظ بأي من بيانات المستأجرين في مخازن البيانات المشتركة. إذا كان الأمر كذلك، فخطط كيف ستتجنب وصول المستأجرين إلى بيانات المستأجرين الآخرين.

تجنب توفير الوصول المباشر إلى قواعد البيانات أو حسابات التخزين ما لم تكن قد صممت لهذا المتطلب، مثل استخدام نمط مفتاح Valet. ضع في اعتبارك إنشاء واجهة برمجة تطبيقات أو عملية تصدير بيانات تلقائية لأغراض التكامل.

لمزيد من المعلومات حول التكامل مع أنظمة المستأجرين والأنظمة الخارجية، راجع النهج المعمارية لتكامل المستأجر والوصول إلى البيانات.

وصولك إلى بيانات المستأجرين

ضع في اعتبارك ما إذا كانت متطلبات المستأجرين تقيد الموظفين الذين يمكنهم العمل مع بياناتهم أو مواردهم. على سبيل المثال، افترض أنك تقوم بإنشاء حل خدمة تأجير البرامج يستخدمه العديد من العملاء المختلفين. قد تتطلب وكالة حكومية السماح لمواطني بلدهم/منطقتهم فقط بالوصول إلى البنية التحتية والبيانات الخاصة بحلها. قد تفي بهذا المتطلب باستخدام مجموعات موارد Azure المنفصلة أو الاشتراكات أو مجموعات الإدارة لأحمال عمل العملاء الحساسة. يمكنك تطبيق تعيينات دور عناصر التحكم في الوصول المستندة إلى دور Azure (RBAC) ذات النطاق الضيق لمجموعات معينة من المستخدمين للعمل مع هذه الموارد.

تجميع البيانات من مستأجرين متعددين

ضع في اعتبارك ما إذا كنت بحاجة إلى دمج البيانات أو تجميعها من مستأجرين متعددين. على سبيل المثال، هل تقوم بتحليل البيانات المجمعة، أو تدريب نماذج التعلم الآلي التي يمكن تطبيقها على المستأجرين الآخرين؟ تأكد من أن المستأجرين يفهمون الطرق التي تستخدم بها بياناتهم. تضمين أي استخدام للبيانات المجمعة أو المجهولة.

متطلبات الامتثال

من المهم أن تفهم ما إذا كنت بحاجة إلى تلبية أي معايير توافق. قد يتم إدخال متطلبات التوافق في عدة حالات، بما في ذلك:

  • أنت أو أي من المستأجرين لديك، تعمل ضمن صناعات معينة. على سبيل المثال، إذا كان أي من المستأجرين يعملون في مجال الرعاية الصحية، فقد تحتاج إلى التوافق مع معيار HIPAA.
  • تقع أنت أو أي من المستأجرين في مناطق جغرافية مكانية أو جغرافية سياسية تتطلب التوافق مع القوانين المحلية. على سبيل المثال، إذا كان أي من المستأجرين لديك موجوداً في أوروبا، فقد تحتاج إلى التوافق مع القانون العام لحماية البيانات (GDPR).
  • يمكنك شراء نهج تأمين إلكتروني للتخفيف من مخاطر الانتهاكات. قد يطلب موفرو التأمين عبر الإنترنت اتباع معاييرهم وتطبيق عناصر تحكم محددة لسياستك لتكون صالحة.

هام

التوافق هو مسؤولية مشتركة بين Microsoft، وبينك وبين المستأجرين.

تضمن Microsoft تلبية خدماتنا لمجموعة محددة من معايير التوافق، وتوفر أدوات، مثل Microsoft Defender for Cloud التي تساعد في التحقق من تكوين مواردك وفقاً لتلك المعايير.

ومع ذلك، في نهاية المطاف، تقع على عاتقك مسؤولية فهم متطلبات التوافق التي تنطبق على الحل بالكامل، وكيفية تكوين موارد Azure وفقاً لتلك المعايير. راجع عروض توافق Azure لمزيد من التفاصيل.

لا توفر هذه المقالة إرشادات محددة حول كيفية التوافق مع أي معايير معينة. بدلاً من ذلك، توفر بعض الإرشادات العامة حول كيفية النظر في التوافق والحوكمة في حل متعدد المستأجرين.

إذا كان المستأجرون المختلفون بحاجة إلى اتباع معايير امتثال مختلفة، فخطط للامتثال للمعايير الأكثر صرامة عبر بيئتك بأكملها. من الأسهل اتباع معيار صارم واحد باستمرار من اتباع معايير مختلفة للمستأجرين المختلفين.

مناهج وأنماط يجب مراعاتها

علامات المورد

استخدم علامات الموارد لتعقب معرف المستأجر للموارد الخاصة بالمستأجر، أو معرف الخوادم المخصصة عند تغيير الحجم باستخدام نمط الخوادم المخصصة للتوزيع. باستخدام علامات الموارد، يمكنك تحديد الموارد المقترنة بمستأجرين أو طوابع محددة بسرعة.

عنصر تحكم الوصول

استخدم التحكم في الوصول استناداً إلى الدور من Azure لتقييد الوصول إلى موارد Azure التي تشكل الحل متعدد المستأجرين. اتبع أفضل ممارسات التحكم في الوصول استناداً إلى الدور، مثل تطبيق تعيينات الأدوار على المجموعات بدلاً من المستخدمين. حدد نطاق تعيينات الدور بحيث توفر الحد الأدنى من الأذونات الضرورية. تجنب الوصول طويل الأمد إلى الموارد باستخدام الوصول في الوقت المناسب والميزات مثل Microsoft Entra ID Privileged Access Management.

Azure Resource Graph

Azure Resource Graph يتيح لك العمل مع بيانات تعريف مورد Azure. باستخدام Resource Graph، يمكنك الاستعلام عبر عدد كبير من موارد Azure، حتى لو كانت منتشرة عبر اشتراكات متعددة. يمكن Resource Graph الاستعلام عن الموارد من نوع معين، أو لتحديد الموارد التي تم تكوينها بطرق محددة. يمكن استخدامه أيضاً لتتبع محفوظات تكوين المورد.

يمكن أن يكون Resource Graph مفيداً لإدارة عقارات Azure الكبيرة. على سبيل المثال، افترض أنك توزع موارد Azure الخاصة بالمستأجر عبر اشتراكات Azure متعددة. من خلال تطبيق العلامات على مواردك، يمكنك استخدام Resource Graph API للعثور على الموارد التي يستخدمها مستأجرون معينون أو خوادم توزيع مخصصة.

Microsoft Purview

فكر في استخدام Microsoft Purview لتعقب البيانات التي تقوم بتخزينها وتصنيفها. عندما يطلب المستأجرون الوصول إلى بياناتهم، يمكنك بسهولة تحديد مصادر البيانات التي يجب تضمينها.

التحقق من التوافق مع المعايير

استخدم أدوات مثل نهج Azure ومدخل التوافق التنظيمي لـ Microsoft Defender for Cloud ومرشد Azure. تساعدك هذه الأدوات على تكوين موارد Azure لتلبية متطلبات التوافق واتباع أفضل الممارسات الموصى بها.

إنشاء وثائق التوافق

قد يطلب المستأجرون منك إثبات توافقك مع معايير محددة. استخدم Service Trust Portal لإنشاء وثائق التوافق التي يمكنك توفيرها للمستأجرين أو لمدققي الجهات الخارجية.

تتضمن بعض الحلول متعددة المستأجرين خدمات Microsoft 365 واستخدامها، مثل Microsoft OneDrive وMicrosoft SharePoint وMicrosoft Exchange Online. يساعدك مدخل توافق Microsoft Purview في فهم كيفية توافق هذه الخدمات للمعايير التنظيمية.

نمط الخوادم المخصصة للتوزيع

ضع في اعتبارك اتباع نمط الخوادم المخصصة للتوزيع عندما تحتاج إلى التوافق مع متطلبات خاصة بالمستأجر.

على سبيل المثال، يمكنك توزيع الخوادم المخصصة للحل لديك في مناطق Azure متعددة. بعد ذلك، يمكنك تعيين مستأجرين جدد للخوادم المخصصة، استناداً إلى المناطق التي يحتاجون إلى وجود بياناتهم فيها.

وبالمثل، قد يقدم المستأجر الجديد متطلبات توافق صارمة لا يمكنك تلبيتها ضمن مكونات الحل الحالية. يمكنك التفكير في توزيع خوادم مخصصة لذلك المستأجر، ثم تكوينها وفقاً لمتطلباته.

أنماط مضادة لتجنب

  • عدم فهم متطلبات التوافق الخاصة بالمستأجرين لديك. من المهم عدم تقديم افتراضات حول متطلبات التوافق التي قد يفرضها المستأجرون. إذا كنت تخطط لتنمية الحل الخاص بك إلى أسواق جديدة، فضع في اعتبارك البيئة التنظيمية التي من المحتمل أن يعمل المستأجرون فيها.
  • تجاهل الممارسات الجيدة. إذا لم تكن لديك أي حاجة فورية للالتزام بمعايير التوافق، فلا يزال يتعين عليك اتباع الممارسات الجيدة عند توزيع موارد Azure. على سبيل المثال، قم بعزل مواردك، وتطبيق النهج للتحقق من تكوين الموارد، وتطبيق تعيينات الأدوار على المجموعات بدلاً من المستخدمين. باتباع الممارسات الجيدة، يمكنك تسهيل اتباع معايير التوافق عندما تحتاج في النهاية إلى القيام بذلك.
  • بافتراض عدم وجود متطلبات توافق. عند تشغيل حل متعدد المستأجرين لأول مرة، قد لا تكون على علم بمتطلبات التوافق، أو قد لا تحتاج إلى اتباع أي منها. مع نموك، ستحتاج على الأرجح إلى تقديم دليل على توافقك مع المعايير المختلفة. استخدم Microsoft Defender for Cloud لمراقبة وضع التوافق الخاص بك مقابل أساس عام، مثل معيار CIS Microsoft Foundations، حتى قبل أن يكون لديك متطلبات صريحة للقيام بذلك.
  • لا تخطط للإدارة. أثناء توزيع موارد Azure، ضع في اعتبارك كيفية التخطيط لإدارتها. إذا كنت بحاجة إلى إجراء تحديثات مجمعة للموارد، فتأكد من أن لديك فهما لأدوات الأتمتة، مثل Azure CLI وAzure PowerShell وAzure Resource Graph وواجهات برمجة تطبيقات Azure Resource Manager.
  • عدم استخدام مجموعات الإدارة. خطط للتدرج الهرمي لمجموعة الاشتراك والإدارة، بما في ذلك التحكم في الوصول وموارد نهج Azure في كل نطاق. قد يكون من الصعب والمربك إدخال هذه العناصر أو تغييرها عند استخدام مواردك في بيئة تشغيل.
  • فشل في تخطيط استراتيجية التحكم في الوصول. يوفر التحكم في الوصول استناداً إلى الدور في Azure درجة عالية من التحكم والمرونة في كيفية إدارة الوصول إلى مواردك. تأكد من استخدام مجموعات Microsoft Entra لتجنب تعيين أذونات للمستخدمين الفرديين. تعيين الأدوار في النطاقات التي توفر توازناً مناسباً بين الأمان والمرونة. استخدم تعريفات الأدوار المضمنة حيثما أمكن، وقم بتعيين الأدوار التي توفر الحد الأدنى من الأذونات المطلوبة.
  • عدم استخدام نهج Azure. من المهم استخدام نهج Azure لتنظيم بيئة Azure الخاصة بك. بعد تخطيط النهج وتوزيعها، تأكد من مراقبة توافق النهج ومراجعة أي انتهاكات أو استثناءات بعناية.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

مساهمون آخرون:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

مراجعة نهج إدارة التكاليف وتخصيصها.