سقالات مؤسسة Azure: إدارة الاشتراكات الإلزامية

ملاحظة

تم دمج سقالات مؤسسة Azure في Microsoft Cloud Adoption Framework. يتم الآن تمثيل المحتوى الوارد في هذه المقالة في المنهجية الجاهزة للإطار. سيتم إهمال هذه المقالة في أوائل عام 2020. لبدء استخدام العملية الجديدة، راجع نظرة عامة على المنهجية الجاهزةومناطق هبوط Azureواعتبارات المنطقة المنتقل إليها.

تعتمد الشركات بشكل متزايد السحابة العامة لرشاقة ومرونتها. وهي تعتمد على نقاط قوة السحابة لتوليد الإيرادات وتحسين استخدام الموارد للأعمال. يوفر Microsoft Azure العديد من الخدمات والقدرات التي تجمعها المؤسسات مثل كتل الإنشاء لمعالجة مجموعة واسعة من أحمال العمل والتطبيقات.

يعد اتخاذ قرار باستخدام Microsoft Azure الخطوة الأولى فقط لتحقيق فائدة السحابة. الخطوة الثانية هي فهم كيف يمكن للمؤسسة استخدام Azure بشكل فعال وتحديد القدرات الأساسية التي يجب أن تكون في مكانها لمعالجة أسئلة مثل:

  • "أنا قلق بشأن سيادة البيانات؛ أنا قلق بشأن سيادة البيانات. كيف يمكنني التأكد من أن بياناتي وأنظمتي تفي بمتطلباتنا التنظيمية؟"
  • "كيف أعمل معرفة ما يدعمه كل مورد حتى أتمكن من حسابه وإعادة إصدار الفاتورة بدقة؟"
  • "أريد التأكد من أن كل ما نقوم بنشره أو القيام به في السحابة العامة يبدأ بعقلية الأمان أولا، كيف يمكنني المساعدة في تسهيل ذلك؟"

إن احتمال وجود اشتراك فارغ بدون حواجز حماية أمر شاق. يمكن أن تعوق هذه المساحة الفارغة انتقالك إلى Azure.

توفر هذه المقالة نقطة انطلاق للمحترفين التقنيين لمعالجة الحاجة إلى الحوكمة وموازنة ذلك مع الحاجة إلى السرعة. يقدم مفهوم سقالة المؤسسة التي توجه المؤسسات في تنفيذ وإدارة بيئات Azure الخاصة بها بطريقة آمنة. ويوفر إطار عمل لوضع ضوابط فعالة وفعالة.

الحاجة إلى الحوكمة

عند الانتقال إلى Azure، يجب عليك معالجة موضوع الحوكمة في وقت مبكر لضمان الاستخدام الناجح للسحابة داخل المؤسسة. لسوء الحظ، فإن الوقت والبيروقراطية لإنشاء نظام حوكمة شامل يعني أن بعض مجموعات الأعمال تذهب مباشرة إلى مقدمي الخدمات دون إشراك تكنولوجيا المعلومات للمؤسسات. يمكن أن يترك هذا النهج المؤسسة مفتوحة للاختراق إذا لم تتم إدارة الموارد بشكل صحيح. تعد خصائص السحابة العامة - المرونة والمرونة والتسعير المستند إلى الاستهلاك - مهمة لمجموعات الأعمال التي تحتاج إلى تلبية متطلبات العملاء بسرعة (الداخلية والخارجية على حد سواء). ولكن تحتاج تكنولوجيا المعلومات للمؤسسات إلى ضمان حماية البيانات والأنظمة بشكل فعال.

عند إنشاء مبنى، يتم استخدام السقالات لإنشاء أساس البنية. ترشد السقالة المخطط العام وتوفر نقاط ارتساء لأنظمة أكثر ديمومه ليتم تركيبها. سقالات المؤسسة هي نفسها: مجموعة من عناصر التحكم المرنة وقدرات Azure التي توفر بنية للبيئة، ومراسي للخدمات المبنية على السحابة العامة. يوفر للمنشئين (تكنولوجيا المعلومات ومجموعات الأعمال) أساسا لإنشاء خدمات جديدة وإرفاقها مع مراعاة سرعة التسليم.

تستند السقالة إلى الممارسات التي جمعناها من العديد من المفاوضات مع العملاء من مختلف الأحجام. يتراوح هؤلاء العملاء من المؤسسات الصغيرة التي تطور حلولا في السحابة إلى المؤسسات متعددة الجنسيات الكبيرة وموردي البرامج المستقلين الذين يقومون بترحيل أحمال العمل وتطوير حلول سحابية أصلية. السقالات المؤسسية "مصممة لغرض" لتكون مرنة لدعم كل من أحمال عمل تكنولوجيا المعلومات التقليدية وأحمال العمل المرنة، مثل المطورين الذين ينشئون تطبيقات البرامج كخدمة (SaaS) استنادا إلى قدرات النظام الأساسي ل Azure.

يمكن أن تعمل سقالة المؤسسة كأساس لكل اشتراك جديد داخل Azure. فهو يمكن المسؤولين من ضمان تلبية أحمال العمل للحد الأدنى من متطلبات الإدارة للمؤسسة دون منع مجموعات الأعمال والمطورين من تحقيق أهدافهم الخاصة بسرعة. تظهر تجربتنا أن هذا يسرع بشكل كبير، بدلا من أن يعوق، نمو السحابة العامة.

ملاحظة

أصدرت Microsoft في معاينة إمكانية جديدة تسمى Azure Blueprints والتي ستمكنك من حزم الصور والقوالب والنهج والبرامج النصية الشائعة وإدارتها وتوزيعها عبر الاشتراكات ومجموعات الإدارة. هذه الإمكانية هي الجسر بين الغرض من السقالة كنموذج مرجعي ونشر هذا النموذج لمؤسستك.

تظهر الصورة التالية مكونات السقالة. يعتمد الأساس على خطة قوية للتسلسل الهرمي للإدارة والاشتراكات. تتكون الركائز من سياسات Resource Manager ومعايير تسمية قوية. بقية السقالات هي قدرات وميزات Azure الأساسية التي تمكن وتربط بيئة آمنة وقابلة للإدارة.

سقالة المؤسسة

تعريف التسلسل الهرمي الخاص بك

أساس السقالة هو التسلسل الهرمي والعلاقة بين تسجيل اتفاقية Enterprise (EA) من خلال الاشتراكات ومجموعات الموارد. يحدد التسجيل شكل خدمات Azure واستخدامها داخل شركتك من وجهة نظر تعاقدية. ضمن اتفاقية Enterprise، يمكنك تقسيم البيئة إلى أقسام وحسابات واشتراكات ومجموعات موارد لمطابقة بنية مؤسستك.

التدرج الهرمي

اشتراك Azure هو الوحدة الأساسية حيث يتم احتواء جميع الموارد. كما يحدد العديد من الحدود داخل Azure، مثل عدد الذاكرات الأساسية والشبكات الظاهرية والموارد الأخرى. تستخدم مجموعات الموارد لزيادة تحسين نموذج الاشتراك وتمكين تجميع أكثر طبيعية للموارد.

تختلف كل مؤسسة ويسمح التسلسل الهرمي في الصورة أعلاه بمرونة كبيرة في كيفية تنظيم Azure داخل شركتك. تعد نمذجة التسلسل الهرمي الخاص بك لتعكس احتياجات الفوترة وإدارة الموارد والوصول إلى الموارد الخاصة بشركتك هو القرار الأول والأكثر أهمية الذي تتخذه عند البدء في السحابة العامة.

الأقسام والحسابات

الأنماط الثلاثة الشائعة لتسجيلات EA هي:

  • النمط الوظيفي :

    رسم تخطيطي للنمط الوظيفي.

  • نمط وحدة الأعمال :

    رسم تخطيطي لنمط وحدة الأعمال.

  • النمط الجغرافي :

    رسم تخطيطي للنمط الجغرافي.

على الرغم من أن هذه الأنماط لها مكانها، يتم اعتماد نمط وحدة الأعمال بشكل متزايد لمرونته في نمذجة نموذج التكلفة للمؤسسة بالإضافة إلى انعكاس مدى التحكم. أنشأت مجموعة الهندسة والعمليات الأساسية من Microsoft مجموعة فرعية فعالة من نمط وحدة الأعمال على غرار الفيدراليةوالولايةوالمحلية. لمزيد من المعلومات، راجع تنظيم الاشتراكات ومجموعات الموارد.

مجموعات إدارة Azure

توفر Microsoft الآن طريقة أخرى لنمذجة التسلسل الهرمي الخاص بك: مجموعات إدارة Azure. مجموعات الإدارة أكثر مرونة من الأقسام والحسابات، ويمكن تداخلها حتى ستة مستويات. تتيح لك مجموعات الإدارة إنشاء تسلسل هرمي منفصل عن التسلسل الهرمي للفوترة، لإدارة الموارد بكفاءة فقط. يمكن لمجموعات الإدارة عكس التسلسل الهرمي للفوترة وغالبا ما تبدأ المؤسسات بهذه الطريقة. ومع ذلك، فإن قوة مجموعات الإدارة هي عند استخدامها لنمذجة مؤسستك وتجميع الاشتراكات ذات الصلة معا (بغض النظر عن موقعها في التسلسل الهرمي للفوترة) وتعيين الأدوار والنهج والمبادرات الشائعة. من بين الأمثلة:

  • الإنتاج مقابل عدم الإنتاج. تنشئ بعض المؤسسات مجموعات إدارة لتحديد اشتراكاتها في الإنتاج وعدم الإنتاج. تسمح مجموعات الإدارة لهؤلاء العملاء بإدارة الأدوار والنهج بسهولة أكبر. على سبيل المثال، قد يسمح الاشتراك غير الإنتاجي للمطورين بالوصول "المساهم"، ولكن في الإنتاج، لديهم حق الوصول "القارئ" فقط.
  • الخدمات الداخلية مقابل الخدمات الخارجية. غالبا ما يكون لدى المؤسسات متطلبات وسياسات وأدوار مختلفة للخدمات الداخلية مقابل الخدمات التي تواجه العملاء.

مجموعات الإدارة المصممة تصميما جيدا هي، جنبا إلى جنب مع نهج Azure ومبادرات النهج، العمود الفقري للحوكمة الفعالة ل Azure.

الاشتراكات

عند اتخاذ قرار بشأن الأقسام والحسابات (أو مجموعات الإدارة)، فإنك تقوم في المقام الأول بتقييم كيفية ترتيب بيئة Azure الخاصة بك لمطابقة مؤسستك. ومع ذلك، فإن الاشتراكات هي المكان الذي يحدث فيه العمل الحقيقي، وتؤثر قراراتك هنا على الأمان وقابلية التوسع والفوترة. تستخدم العديد من المؤسسات الأنماط التالية كدليل لها:

  • التطبيق/الخدمة: تمثل الاشتراكات تطبيقا أو خدمة (قائمة التطبيقات)
  • دوره حياه: تمثل الاشتراكات دورة حياة خدمة، مثل Production أو Development.
  • اداره: تمثل الاشتراكات الأقسام في المؤسسة.

النمطان الأولان هما الأكثر استخداما، ويوصى بشدة بكلاهما. نهج دورة الحياة مناسب لمعظم المؤسسات. في هذه الحالة، التوصية العامة هي استخدام اشتراكين أساسيين، وNonproduction، Production ثم استخدام مجموعات الموارد لفصل البيئات بشكل أكبر.

مجموعات الموارد

يمكنك Azure Resource Manager من تنظيم الموارد في مجموعات ذات معنى للإدارة أو الفوترة أو الترابط الطبيعي. مجموعات الموارد هي حاويات من الموارد التي لها دورة حياة مشتركة أو تشترك في سمة مثل All SQL servers أو Application A.

لا يمكن تداخل مجموعات الموارد، ويمكن أن تنتمي الموارد إلى مجموعة موارد واحدة فقط. يمكن أن تعمل بعض الإجراءات على جميع الموارد في مجموعة موارد. على سبيل المثال، يؤدي حذف مجموعة موارد إلى إزالة كافة الموارد داخل مجموعة الموارد. مثل الاشتراكات، هناك أنماط شائعة عند إنشاء مجموعات الموارد وستختلف من أحمال عمل تكنولوجيا المعلومات التقليدية إلى أحمال عمل تكنولوجيا المعلومات المرنة:

  • عادة ما يتم تجميع أحمال عمل تكنولوجيا المعلومات التقليدية حسب العناصر ضمن نفس دورة الحياة، مثل التطبيق. يسمح التجميع حسب التطبيق بإدارة التطبيقات الفردية.
  • تميل أحمال عمل تكنولوجيا المعلومات المرنة إلى التركيز على التطبيقات السحابية الخارجية التي تواجه العملاء. غالبا ما تعكس مجموعات الموارد طبقات التوزيع (مثل طبقة الويب أو طبقة التطبيق) والإدارة.

ملاحظة

يساعدك فهم حمل العمل الخاص بك على تطوير استراتيجية مجموعة الموارد. يمكن خلط هذه الأنماط ومطابقتها. على سبيل المثال، يمكن أن تتواجد مجموعة موارد الخدمات المشتركة في نفس الاشتراك مثل مجموعات موارد حمل العمل السريع.

معايير التسمية

الركيزة الأولى من السقالة هي معيار تسمية متسق. تمكنك معايير التسمية المصممة تصميما جيدا من تحديد الموارد في المدخل، وعلى فاتورة، وضمن البرامج النصية. من المحتمل أن يكون لديك بالفعل معايير تسمية موجودة للبنية الأساسية المحلية. عند إضافة Azure إلى بيئتك، يجب توسيع معايير التسمية هذه إلى موارد Azure.

تلميح

لاصطلاحات التسمية:

  • مراجعة واعتماد إرشادات تسمية Cloud Adoption Framework ووضع العلامات كلما أمكن ذلك. يساعدك هذا التوجيه على اتخاذ قرار بشأن معيار تسمية ذي معنى ويوفر أمثلة واسعة النطاق.
  • استخدام نهج Resource Manager للمساعدة في فرض معايير التسمية.

تذكر أنه من الصعب تغيير الأسماء لاحقا، لذا فإن بضع دقائق الآن ستوفر لك المشكلة لاحقا.

ركز معايير التسمية الخاصة بك على تلك الموارد الأكثر استخداما والبحث عنها. على سبيل المثال، يجب أن تتبع جميع مجموعات الموارد معيارا قويا للوضوح.

علامات الموارد

تتم محاذاة علامات الموارد بإحكام مع معايير التسمية. مع إضافة الموارد إلى الاشتراكات، يصبح من المهم بشكل متزايد تصنيفها منطقيا لأغراض الفوترة والإدارة والتشغيل. لمزيد من المعلومات، راجع استخدام العلامات لتنظيم موارد Azure.

هام

يمكن أن تحتوي العلامات على معلومات شخصية وقد تندرج تحت لوائح القانون العام لحماية البيانات (GDPR). خطط لإدارة علاماتك بعناية. إذا كنت تبحث عن معلومات عامة حول GDPR، فشاهد قسم GDPR في مدخل Microsoft Service Trust Portal.

تستخدم العلامات بطرق عديدة تتجاوز الفوترة والإدارة. غالبا ما تستخدم كجزء من الأتمتة (راجع القسم اللاحق). يمكن أن يتسبب هذا في تعارضات إذا لم يتم اعتبارها مقدما. أفضل الممارسات هي تحديد جميع العلامات الشائعة على مستوى المؤسسة (مثل ApplicationOwner و CostCenter) وتطبيقها باستمرار عند توزيع الموارد باستخدام الأتمتة.

نهج ومبادرات Azure

تتضمن الركيزة الثانية من السقالة استخدام نهج Azure والمبادرات لإدارة المخاطر من خلال فرض القواعد (ذات التأثيرات) على الموارد والخدمات في اشتراكاتك. مبادرات نهج Azure هي مجموعات من النهج المصممة لتحقيق هدف واحد. ثم يتم تعيين النهج والمبادرات إلى نطاق مورد لبدء إنفاذ هذه النهج.

وتكون السياسات والمبادرات أكثر قوة عند استخدامها مع مجموعات الإدارة المذكورة سابقا. تمكن مجموعات الإدارة من تعيين مبادرة أو نهج إلى مجموعة كاملة من الاشتراكات.

الاستخدامات الشائعة لنهج Resource Manager

النهج والمبادرات هي أدوات Azure قوية. تسمح النهج للشركات بتوفير ضوابط لأحمال عمل تكنولوجيا المعلومات التقليدية التي توفر الاستقرار لتطبيقات خط الأعمال، مع السماح أيضا بتطوير حمل عمل أكثر مرونة، مثل تطوير تطبيقات العملاء دون تعريض المؤسسة لمخاطر إضافية. الأنماط الأكثر شيوعا للنهج هي:

  • الامتثال الجغرافي وسيادة البيانات. لدى Azure قائمة متزايدة من المناطق في جميع أنحاء العالم. غالبا ما تحتاج المؤسسات إلى ضمان بقاء الموارد في نطاق معين في منطقة جغرافية لتلبية المتطلبات التنظيمية.
  • تجنب تعريض الخوادم بشكل عام. يمكن أن يحظر نهج Azure نشر أنواع موارد معينة. من الشائع إنشاء نهج لرفض إنشاء عنوان IP عام ضمن نطاق معين، وتجنب التعرض غير المقصود للخادم للإنترنت.
  • إدارة التكلفة وبيانات التعريف. غالبا ما تستخدم علامات الموارد لإضافة بيانات فوترة مهمة إلى الموارد ومجموعات الموارد مثل CostCenter و Owner. هذه العلامات لا تقدر بثمن للفوترة الدقيقة وإدارة الموارد. يمكن للنهج فرض تطبيق علامات الموارد على جميع الموارد المنشورة، ما يسهل إدارتها.

الاستخدامات الشائعة للمبادرات

توفر المبادرات للمؤسسات القدرة على تجميع السياسات المنطقية وتتبعها ككيان واحد. تساعد المبادرات المؤسسة على تلبية احتياجات كل من أحمال العمل المرنة والتقليدية. وتشمل الاستخدامات الشائعة للمبادرات ما يلي:

  • تمكين المراقبة في Microsoft Defender للسحابة. هذه مبادرة افتراضية في نهج Azure ومثال ممتاز على المبادرات. فهو يمكن النهج التي تحدد قواعد بيانات SQL غير المشفرة وثغرات الجهاز الظاهري (VM) والاحتياجات الأكثر شيوعا المتعلقة بالأمان.
  • مبادرة تنظيمية محددة. غالبا ما تقوم المؤسسات بتجميع السياسات الشائعة في المتطلبات التنظيمية (مثل HIPAA) بحيث يتم تعقب عناصر التحكم والتوافق مع هذه الضوابط بكفاءة.
  • أنواع الموارد ووحدات SKU. يمكن أن يساعد إنشاء مبادرة تقيد أنواع الموارد التي يمكن توزيعها بالإضافة إلى وحدات SKU التي يمكن توزيعها في التحكم في التكاليف والتأكد من أن مؤسستك تنشر الموارد التي يمتلك فريقك مجموعة المهارات والإجراءات التي يدعمها فقط.

تلميح

نوصي دائما باستخدام تعريفات المبادرة بدلا من تعريفات النهج. بعد تعيين مبادرة إلى نطاق، مثل الاشتراك أو مجموعة الإدارة، يمكنك بسهولة إضافة نهج آخر إلى المبادرة دون الحاجة إلى تغيير أي تعيينات. وهذا يجعل فهم ما يتم تطبيقه وتتبع التوافق أسهل بكثير.

تعيينات النهج والمبادرة

بعد إنشاء النهج وتجميعها في مبادرات منطقية، يجب تعيين النهج إلى نطاق، مثل مجموعة إدارة أو اشتراك أو مجموعة موارد. تسمح لك التعيينات أيضا باستبعاد نطاق فرعي من تعيين نهج. على سبيل المثال، إذا رفضت إنشاء عناوين IP عامة ضمن اشتراك، يمكنك إنشاء تعيين مع استثناء لمجموعة موارد متصلة ب DMZ المحمي.

تتوفر أمثلة توضح كيفية تطبيق النهج والمبادرات على الموارد في Azure في azure-policy مستودع GitHub.

إدارة الهوية والوصول

الأسئلة الرئيسية التي يجب طرحها عند اعتماد السحابة العامة هي "من يجب أن يكون لديه حق الوصول إلى الموارد؟" و"كيف أعمل التحكم في هذا الوصول؟" يعد التحكم في الوصول إلى مدخل Microsoft Azure وموارده أمرا بالغ الأهمية لسلامة أصولك على المدى الطويل في السحابة.

لتأمين الوصول إلى مواردك، ستقوم أولا بتكوين موفر الهوية الخاص بك ثم تكوين الأدوار والوصول. Azure Active Directory (Azure AD)، المتصل Active Directory محلي الخاص بك، هو أساس الهوية في Azure. ومع ذلك، Azure AD ليست هي نفسها Active Directory محلي، ومن المهم فهم ماهية مستأجر Azure AD وكيفية ارتباطه بالتسجيل الخاص بك. راجع إدارة الوصول إلى الموارد في Azure للحصول على فهم قوي Azure AD Active Directory محلي. لتوصيل دليلك المحلي ومزامنته مع Azure AD، قم بتثبيت أداة Azure AD Connect وتكوينها محليا.

رسم تخطيطي لبنية تتضمن كلا من Azure Active Directory ومثيل Active Directory محلي.

عندما تم إصدار Azure في الأصل، كانت عناصر التحكم في الوصول إلى اشتراك أساسية: يمكن تعيين دور مسؤول للمستخدمين أو Co-Administrator. يتضمن الوصول إلى اشتراك في هذا النموذج الكلاسيكي الوصول إلى جميع الموارد في المدخل. أدى هذا النقص في التحكم الدقيق إلى انتشار الاشتراكات لتوفير مستوى معقول من التحكم في الوصول للتسجيل. لم تعد هناك حاجة إلى هذا الانتشار للاشتراكات. باستخدام التحكم في الوصول المستند إلى دور Azure (RBAC)، يمكنك تعيين مستخدمين لأدوار قياسية مثل المالك أو المساهم أو القارئ الذي يوفر أذونات شائعة، أو حتى إنشاء أدوارك الخاصة.

عند تنفيذ التحكم في الوصول المستند إلى دور Azure، يوصى بشدة بالممارسات التالية:

  • التحكم في أدوار المسؤول Co-Administrator للاشتراك، نظرا لأن هذه الأدوار لها أذونات واسعة النطاق. تحتاج فقط إلى إضافة مالك الاشتراك ك Co-Administrator إذا كانوا بحاجة إلى عمليات توزيع Azure الكلاسيكية المدارة.
  • استخدم مجموعات الإدارة لتعيين الأدوار عبر اشتراكات متعددة وتقليل عبء إدارتها على مستوى الاشتراك.
  • إضافة مستخدمي Azure إلى مجموعة (على سبيل المثال، Application X Owners) في Active Directory. استخدم المجموعة المتزامنة لتزويد أعضاء المجموعة بالحقوق المناسبة لإدارة مجموعة الموارد التي تحتوي على التطبيق.
  • اتبع مبدأ منح أقل امتياز مطلوب للقيام بالعمل المتوقع.

هام

ضع في اعتبارك استخدام Azure AD إدارة الهويات المتميزةومصادقة Azure متعددة العواملوقدرات الوصول المشروط Azure AD لتوفير أمان أفضل ورؤية أكبر للإجراءات الإدارية عبر اشتراكات Azure. تأتي هذه الإمكانات من ترخيص premium Azure AD صالح (اعتمادا على الميزة) لتأمين هويتك وإدارتها بشكل أكبر. يتيح Azure AD PIM الوصول الإداري في الوقت المناسب مع سير عمل الموافقة، بالإضافة إلى التدقيق الكامل لتنشيطات المسؤول وأنشطته. تعد مصادقة Azure متعددة العوامل إمكانية مهمة أخرى وتمكن التحقق على خطوتين لتسجيل الدخول إلى مدخل Microsoft Azure. عند دمجها مع عناصر تحكم الوصول المشروط Azure AD، يمكنك إدارة مخاطر الاختراق بشكل فعال.

يعد التخطيط والإعداد لعناصر التحكم في الهوية والوصول واتباع أفضل ممارسات إدارة هوية Azure واحدة من أفضل استراتيجيات التخفيف من المخاطر التي يمكنك استخدامها ويجب اعتبارها إلزامية لكل عملية توزيع.

الأمان

كان أحد أكبر أدوات حظر استخدام السحابة تقليديا هو المخاوف بشأن الأمان. يحتاج مديرو مخاطر تكنولوجيا المعلومات وأقسام الأمان إلى التأكد من أن الموارد في Azure محمية وآمنة بشكل افتراضي. يوفر Azure قدرات يمكنك استخدامها لحماية الموارد أثناء اكتشاف التهديدات ضد هذه الموارد والقضاء عليها.

Microsoft Defender للسحابة

يوفر Microsoft Defender for Cloud عرضا موحدا لحالة أمان الموارد عبر بيئتك بالإضافة إلى الحماية المتقدمة من التهديدات. Defender for Cloud هو نظام أساسي مفتوح يمكن شركاء Microsoft من إنشاء برامج تعمل على توصيل قدراتها وتحسينها. توفر القدرات الأساسية للطبقة المجانية من Defender for Cloud تقييما وتوصيات تعزز وضعك الأمني. تتيح مستوياتها المدفوعة إمكانات إضافية وقيمة مثل الوصول المتميز في الوقت المناسب وعناصر التحكم في التطبيقات التكيفية (قوائم السماح).

تلميح

Defender for Cloud هي أداة قوية يتم تحسينها بانتظام مع قدرات جديدة يمكنك استخدامها للكشف عن التهديدات وحماية مؤسستك. يوصى بشدة بتمكين Defender for Cloud دائما.

تأمين موارد Azure

نظرا لأن مؤسستك تضيف خدمات أساسية إلى الاشتراكات، يصبح من المهم بشكل متزايد تجنب تعطيل الأعمال. يحدث تعطيل شائع واحد عندما يقوم برنامج نصي أو أداة يتم تنفيذها في اشتراك Azure عن غير قصد بحذف مورد. تقيد التأمينات العمليات على الموارد عالية القيمة حيث سيكون لتعديلها أو حذفها تأثير كبير. يمكنك تطبيق التأمينات على الاشتراكات أو مجموعات الموارد أو الموارد الفردية. تطبيق التأمينات على الموارد الأساسية مثل الشبكات الظاهرية والبوابات ومجموعات أمان الشبكة وحسابات التخزين الرئيسية.

مجموعة DevOps الآمنة لـ Azure

حزمة DevOps الآمنة ل Azure (AzSK) هي مجموعة من البرامج النصية والأدوات والملحقات وقدرات الأتمتة التي أنشأها في الأصل فريق تكنولوجيا المعلومات الخاص ب Microsoft وتم إصدارها ك مصدر مفتوح عبر GitHub. يلبي AzSK احتياجات اشتراك Azure وأمان الموارد الشاملة للفرق التي تستخدم أتمتة واسعة النطاق ودمج الأمان بسلاسة في مهام سير عمل DevOps الأصلية للمساعدة في تحقيق DevOps الآمنة مع مجالات التركيز الستة هذه:

  • تأمين الاشتراك
  • تمكين التطوير الآمن
  • دمج الأمان في CI/CD
  • التأكيد المستمر
  • التنبيه والمراقبة
  • إدارة مخاطر السحابة

مخطط نظرة عامة على حزمة DevOps الآمنة ل Azure

AzSK هي مجموعة غنية من الأدوات والبرامج النصية والمعلومات التي تعد جزءا مهما من خطة حوكمة Azure الكاملة ودمجها في سقالتك أمر بالغ الأهمية لدعم أهداف إدارة المخاطر في مؤسستك.

حل Azure Update Management

تتمثل إحدى المهام الرئيسية التي يمكنك القيام بها للحفاظ على أمان بيئتك في التأكد من تصحيح خوادمك بأحدث التحديثات. في حين أن هناك العديد من الأدوات لتحقيق ذلك، يوفر Azure حل Azure Update Management لمعالجة تحديد وتعمم تصحيحات نظام التشغيل الهامة. يستخدم Azure Automation، المغطى في قسم Automate لاحقا في هذا الدليل.

المراقبة والتنبيهات

يعد جمع وتحليل بيانات تتبع الاستخدام التي توفر خط رؤية للأنشطة ومقاييس الأداء والصحة وتوافر الخدمات التي تستخدمها عبر اشتراكات Azure أمرا بالغ الأهمية لإدارة تطبيقاتك والبنية الأساسية بشكل استباقي وهو حاجة أساسية لكل اشتراك Azure. تصدر كل خدمة Azure بيانات تتبع الاستخدام في شكل سجلات النشاط والمقاييس وسجلات التشخيص.

  • تصف سجلات النشاط جميع العمليات التي يتم إجراؤها على الموارد في اشتراكاتك.
  • المقاييس هي معلومات رقمية منبعثة من مورد يصف أداء المورد وصحته.
  • يتم إصدار سجلات التشخيص بواسطة خدمة Azure وتوفر بيانات غنية ومتكررة حول تشغيل تلك الخدمة.

ويمكن عرض هذه المعلومات والعمل عليها على مستويات متعددة ويجري تحسينها باستمرار. يوفر Azure إمكانات مراقبة مشتركة ونواة وعميقة لموارد Azure من خلال الخدمات الموضحة في الرسم التخطيطي التالي.

رسم تخطيطي يصور مراقبة التطبيقات العميقة ومراقبة البنية الأساسية العميقة والمراقبة الأساسية والقدرات المشتركة.

القدرات المشتركة

  • تنبيهات: يمكنك جمع كل سجل وحدث ومقياس من موارد Azure، ولكن دون القدرة على إعلامك بالظروف الحرجة والتصرف، تكون هذه البيانات مفيدة فقط للأغراض التاريخية والتحاليل الجنائية. تقوم تنبيهات Azure بإعلامك بشكل استباقي بالشروط التي تحددها عبر جميع تطبيقاتك والبنية الأساسية الخاصة بك. يمكنك إنشاء قواعد التنبيه عبر السجلات والأحداث والمقاييس التي تستخدم مجموعات الإجراءات لإعلام مجموعات المستلمين. توفر مجموعات الإجراءات أيضا القدرة على أتمتة المعالجة باستخدام إجراءات خارجية مثل خطافات الويب لتشغيل دفاتر تشغيل Azure Automation وAzure Functions.

  • لوحات: تمكنك لوحات المعلومات من تجميع طرق عرض المراقبة ودمج البيانات عبر الموارد والاشتراكات لمنحك طريقة عرض على مستوى المؤسسة في بيانات تتبع الاستخدام لموارد Azure. يمكنك إنشاء طرق العرض الخاصة بك وتكوينها ومشاركتها مع الآخرين. على سبيل المثال، يمكنك إنشاء لوحة معلومات تتكون من تجانبات مختلفة لمسؤولي قاعدة البيانات لتوفير معلومات عبر جميع خدمات قاعدة بيانات Azure، بما في ذلك قاعدة بيانات Azure SQL وقاعدة بيانات Azure ل PostgreSQL وقاعدة بيانات Azure ل MySQL.

  • Metrics Explorer: المقاييس هي قيم رقمية تم إنشاؤها بواسطة موارد Azure (النسبة المئوية لوحدة المعالجة المركزية أو مقاييس إدخال/إخراج القرص) التي توفر نظرة ثاقبة على تشغيل الموارد وأدائها. باستخدام Metrics Explorer، يمكنك تحديد وإرسال المقاييس التي تهمك إلى Log Analytics للتجميع والتحليل.

المتابعة الأساسية

  • Azure Monitor: Azure Monitor هي خدمة النظام الأساسي الأساسية التي توفر مصدرا واحدا لمراقبة موارد Azure. توفر واجهة مدخل Azure ل Azure Monitor نقطة انطلاق مركزية لجميع ميزات المراقبة عبر Azure بما في ذلك قدرات المراقبة العميقة ل Application Insights وتحليلات السجل ومراقبة الشبكة وحلول الإدارة وخرائط الخدمة. باستخدام Azure Monitor، يمكنك تصور المقاييس والسجلات الواردة من موارد Azure والاستعلام عنها وتوجيهها وأرشيفها والعمل عليها عبر ملكية السحابة بأكملها. بالإضافة إلى المدخل، يمكنك استرداد البيانات من خلال Azure Monitor PowerShell cmdlets أو CLI عبر الأنظمة الأساسية أو واجهات برمجة تطبيقات AZURE Monitor REST.

  • Azure Advisor: يراقب Azure Advisor باستمرار بيانات تتبع الاستخدام عبر اشتراكاتك وبيئاتك. كما يوصي بأفضل الممارسات لتحسين التكلفة لموارد Azure وتحسين أداء موارد التطبيق وأمانها وتوافرها.

  • Azure Service Health: يحدد Azure Service Health أي مشكلات في خدمات Azure قد تؤثر على تطبيقاتك بالإضافة إلى مساعدتك في التخطيط لنوافذ الصيانة المجدولة.

  • سجل النشاط: يصف سجل النشاط جميع العمليات على الموارد في اشتراكاتك. يوفر سجل تدقيق لتحديد ما، ومن، ومتى لأي عملية CRUD (إنشاء، تحديث، حذف) على الموارد. يتم تخزين أحداث سجل النشاط في النظام الأساسي وهي متاحة للاستعلام لمدة 90 يوما. يمكنك استيعاب سجلات النشاط في Log Analytics لفترات استبقاء أطول واستعلام وتحليل أعمق عبر موارد متعددة.

المتابعة العميقة للتطبيق.

  • Application Insights: يمكنك Application Insights من جمع بيانات تتبع الاستخدام الخاصة بالتطبيق ومراقبة أداء التطبيقات وتوافرها واستخدامها في السحابة أو في أماكن العمل. من خلال وضع علامة على تطبيقك باستخدام SDKs المدعومة بلغات متعددة بما في ذلك .NET وJavaScript وJava Node.js وRupe وPython. يتم استيعاب أحداث Application Insights في نفس مخزن بيانات Log Analytics الذي يدعم البنية الأساسية ومراقبة الأمان لتمكينك من ربط الأحداث وتجميعها بمرور الوقت من خلال لغة استعلام غنية.

المتابعة العميقة للبنية التحتية.

  • تحليلات السجل: يلعب Log Analytics دورا مركزيا في مراقبة Azure من خلال جمع بيانات تتبع الاستخدام والبيانات الأخرى من مجموعة متنوعة من المصادر وتوفير لغة استعلام ومحرك تحليلات يمنحك رؤى حول تشغيل تطبيقاتك ومواردك. يمكنك إما التفاعل مباشرة مع بيانات Log Analytics من خلال عمليات البحث السريعة في السجل وطرق العرض، أو يمكنك استخدام أدوات التحليل في خدمات Azure الأخرى التي تخزن بياناتها في Log Analytics مثل Application Insights أو Microsoft Defender for Cloud.

  • مراقبة الشبكة: تمكنك خدمات مراقبة الشبكة من Azure من الحصول على نظرة ثاقبة على تدفق نسبة استخدام الشبكة والأداء والأمان والاتصال والازدحامات. يجب أن يتضمن تصميم الشبكة المخطط له جيدا تكوين خدمات مراقبة شبكة Azure مثل Network Watcher وExpressRoute Monitor.

  • حلول الإدارة: حلول الإدارة هي مجموعات مجمعة من المنطق والرؤى واستعلامات Log Analytics المعرفة مسبقا لتطبيق أو خدمة. وهي تعتمد على Log Analytics كأساس لتخزين بيانات الحدث وتحليلها. تتضمن حلول إدارة العينة حاويات المراقبة وتحليلات قاعدة بيانات Azure SQL.

  • Service Map: يوفر Service Map طريقة عرض رسومية لمكونات البنية الأساسية وعملياتها وتداخلاتها على أجهزة الكمبيوتر الأخرى والعمليات الخارجية. وهو يدمج الأحداث وبيانات الأداء وحلول الإدارة في Log Analytics.

تلميح

قبل إنشاء تنبيهات فردية، قم بإنشاء مجموعة من مجموعات الإجراءات المشتركة التي يمكن استخدامها عبر تنبيهات Azure والحفاظ عليها. سيمكنك هذا من الحفاظ مركزيا على دورة حياة قوائم المستلمين وطرق تسليم الإشعارات (البريد الإلكتروني وأرقام هواتف SMS) والإخطارات على الويب للإجراءات الخارجية (دفاتر تشغيل Azure Automation وAzure Functions وLogic Apps و ITSM).

إدارة التكلفة

أحد التغييرات الرئيسية التي ستواجهها عند الانتقال من السحابة المحلية إلى السحابة العامة هو التبديل من النفقات الرأسمالية (شراء الأجهزة) إلى نفقات التشغيل (الدفع مقابل الخدمة أثناء استخدامها). يتطلب مفتاح التبديل هذا أيضا إدارة أكثر دقة للتكاليف الخاصة بك. تتمثل فائدة السحابة في أنه يمكنك التأثير بشكل أساسي وإيجابي على تكلفة الخدمة التي تستخدمها بمجرد إيقاف تشغيلها أو تغيير حجمها عندما لا تكون هناك حاجة إليها. تعد إدارة تكاليفك عمدا في السحابة أفضل الممارسات والممارسات التي يقوم بها العملاء الناضجين يوميا.

توفر Microsoft العديد من الأدوات التي تساعدك على تصور التكاليف وتعقبها وإدارتها. كما نقدم مجموعة كاملة من واجهات برمجة التطبيقات لتمكينك من تخصيص ودمج إدارة التكلفة في أدواتك ولوحات المعلومات الخاصة بك. يتم تجميع هذه الأدوات بشكل فضفاض في إمكانات مدخل Microsoft Azure والقدرات الخارجية.

إمكانات مدخل Microsoft Azure

هذه هي الأدوات التي توفر لك معلومات فورية حول التكلفة بالإضافة إلى القدرة على اتخاذ الإجراءات.

  • تكلفة مورد الاشتراك: في المدخل، توفر طريقة عرض Azure Cost Management + Billing نظرة سريعة على التكاليف والمعلومات الخاصة بالإنفاق اليومي حسب المورد أو مجموعة الموارد.
  • Azure Cost Management + Billing: يسمح لك هذا بإدارة إنفاق Azure وتحليله بالإضافة إلى ما تنفقه على موفري السحابة العامة الآخرين. هناك مستويات مجانية ومدفوعة، مع ثروة كبيرة من القدرات.
  • ميزانيات Azure ومجموعات الإجراءات: معرفة ما يكلف شيئا والقيام بشيء حيال ذلك حتى وقت قريب كان أكثر من تمرين يدوي. مع إدخال ميزانيات Azure وواجهات برمجة التطبيقات الخاصة بها، يمكنك الآن إنشاء إجراءات تعمل عندما تصل التكاليف إلى حد. على سبيل المثال، يمكنك إيقاف تشغيل مجموعة test موارد عندما يصل استهلاكها إلى 100٪ من ميزانيتها.
  • Azure Advisor: معرفة ما يكلف شيئا هو نصف المعركة فقط؛ النصف الآخر هو معرفة ما يجب فعله بتلك المعلومات. يوفر لك Azure Advisor توصيات حول الإجراءات التي يجب اتخاذها لتوفير المال أو تحسين الموثوقية أو حتى زيادة الأمان.

أدوات إدارة التكلفة الخارجية

  • Power BI Azure Consumption Insights: هل تريد إنشاء مرئيات خاصة بك لمؤسستك؟ إذا كان الأمر كذلك، فإن حزمة المحتوى Azure Consumption Insights ل Power BI هي الأداة التي تختارها. باستخدام حزمة المحتوى هذه وPower BI، يمكنك إنشاء مرئيات مخصصة لتمثيل مؤسستك، والقيام بتحليل أعمق للتكاليف وإضافة مصادر بيانات أخرى لمزيد من الإثراء.

  • واجهات برمجة تطبيقات استهلاك Azure: تمنحك واجهات برمجة تطبيقات الاستهلاك وصولا برمجيا إلى بيانات التكلفة والاستخدام بالإضافة إلى معلومات حول الميزانيات والمثيلات المحجوزة ورسوم السوق. يمكن الوصول إلى واجهات برمجة التطبيقات هذه فقط لتسجيلات EA وبعض اشتراكات Web Direct ولكنها تمنحك القدرة على دمج بيانات التكلفة الخاصة بك في أدواتك ومستودعات البيانات الخاصة بك. يمكنك أيضا الوصول إلى واجهات برمجة التطبيقات هذه عبر Azure CLI.

يتبع العملاء الذين هم مستخدمون سحابة على المدى الطويل ومنضجون أفضل الممارسات:

  • مراقبة التكاليف بنشاط. تراقب المؤسسات الناضجة من مستخدمي Azure التكاليف باستمرار وتتخذ الإجراءات عند الحاجة. حتى أن بعض المؤسسات تكرس الأشخاص للقيام بالتحليل وتقترح تغييرات على الاستخدام، وهؤلاء الأشخاص أكثر من الدفع لأنفسهم في المرة الأولى التي يجدون فيها مجموعة HDInsight غير مستخدمة تعمل منذ أشهر.
  • استخدم مثيلات الجهاز الظاهري المحجوزة من Azure. المبدأ الرئيسي الآخر لإدارة التكاليف في السحابة هو استخدام الأداة المناسبة للوظيفة. إذا كان لديك جهاز ظاهري IaaS يجب أن يبقى على 24x7، فإن استخدام مثيل محجوز سيوفر لك أموالا كبيرة. يتطلب العثور على التوازن الصحيح بين أتمتة إيقاف تشغيل الأجهزة الظاهرية واستخدام المثيلات المحجوزة الخبرة والتحليل.
  • استخدم الأتمتة بفعالية. لا تحتاج العديد من أحمال العمل إلى التشغيل كل يوم. يمكن أن يؤدي إيقاف تشغيل جهاز ظاهري لمدة أربع ساعات كل يوم إلى توفير 15٪ من التكلفة. سوف تدفع الأتمتة مقابل نفسها بسرعة.
  • استخدم علامات الموارد للرؤية. كما هو مذكور في مكان آخر في هذا المستند، سيسمح استخدام علامات الموارد بتحليل أفضل للتكاليف.

إدارة التكلفة هي ضابط أساسي للتشغيل الفعال والفعال للسحابة العامة. يمكن للمؤسسات التي تحقق النجاح التحكم في تكاليفها ومطابقتها مع طلبها الفعلي، بدلا من الإفراط في الإفراط في الطلب والأمل في أن يأتي.

تلقائي

واحدة من العديد من القدرات التي تميز نضج المؤسسات التي تستخدم موفري السحابة هي مستوى الأتمتة التي أدرجتها. الأتمتة هي عملية لا تنتهي أبدا. مع انتقال مؤسستك إلى السحابة، إنها منطقة تحتاج إلى استثمار الموارد والوقت في البناء. تخدم الأتمتة العديد من الأغراض، بما في ذلك الإطلاق المتسق للموارد (حيث ترتبط مباشرة بمفهوم دعم أساسي آخر وقوالب وDevOps) لمعالجة المشكلات. تربط الأتمتة معا كل منطقة من سقالات Azure.

يمكن أن تساعدك العديد من الأدوات في بناء هذه الإمكانية، من أدوات الطرف الأول مثل Azure Automation و Event Grid و Azure CLI، إلى عدد كبير من أدوات الجهات الخارجية مثل Terraform و Jenkins و Chef و Puppet. تتضمن أدوات الأتمتة الأساسية أتمتة Azure وشبكة الأحداث وAzure Cloud Shell.

  • يتيح لك Azure Automation تأليف دفاتر التشغيل إما في PowerShell أو Python التي تقوم بأتمتة العمليات وتكوين الموارد وحتى تطبيق التصحيحات. يحتوي Azure Automation على مجموعة واسعة من قدرات النظام الأساسي المتقاطعة التي تعد جزءا لا يتجزأ من التوزيع الخاص بك ولكنها واسعة جدا بحيث لا يمكن تغطيتها بعمق هنا.
  • Event Grid هو نظام توجيه أحداث مدار بالكامل يسمح لك بالتفاعل مع الأحداث داخل بيئة Azure الخاصة بك. تماما كما أن Azure Automation هو النسيج الضام للمؤسسات السحابية الناضجة، فإن Event Grid هي النسيج الضام للأتمتة الجيدة. باستخدام Event Grid، يمكنك إنشاء إجراء بسيط بلا خادم لإرسال بريد إلكتروني إلى مسؤول كلما تم إنشاء مورد جديد وتسجيل هذا المورد إلى قاعدة بيانات. يمكن لشبكة الأحداث نفسها إعلام عند حذف مورد وإزالة العنصر من قاعدة البيانات.
  • Azure Cloud Shell هو shell تفاعلي يستند إلى المستعرض لإدارة الموارد في Azure. يوفر بيئة كاملة إما ل PowerShell أو Bash التي يتم تشغيلها حسب الحاجة (وصيانتها لك) بحيث يكون لديك بيئة متسقة لتشغيل البرامج النصية الخاصة بك منها. يوفر Azure Cloud Shell الوصول إلى أدوات رئيسية إضافية -مثبتة بالفعل- لأتمتة بيئتك بما في ذلك Azure CLIوTerraform وقائمة متزايدة من الأدوات الإضافية لإدارة الحاويات وقواعد البيانات (sqlcmd) والمزيد.

الأتمتة هي وظيفة بدوام كامل، وستصبح بسرعة واحدة من أهم المهام التشغيلية داخل فريق السحابة الخاص بك. تتمتع المؤسسات التي تتبع نهج "التشغيل التلقائي أولا" بنجاح أكبر في استخدام Azure:

  • إدارة التكاليف: البحث النشط عن الفرص وإنشاء الأتمتة لتغيير حجم الموارد وتوسيع نطاقها أو خفضها وإيقاف تشغيل الموارد غير المستخدمة.
  • المرونة التشغيلية: باستخدام الأتمتة (جنبا إلى جنب مع القوالب وDevOps)، يمكنك الحصول على مستوى من قابلية التكرار التي تزيد من التوفر وتزيد من الأمان وتمكن فريقك من التركيز على حل مشكلات العمل.

القوالب و DevOps

كما تم تمييزه سابقا، يجب أن يكون هدفك كمؤسسة هو توفير الموارد من خلال القوالب والبرامج النصية التي يتحكم فيها المصدر وتقليل التكوين التفاعلي للبيئات الخاصة بك. يمكن أن يضمن هذا النهج من "البنية الأساسية كتعلم برمجي" جنبا إلى جنب مع عملية DevOps منضبطة للتوزيع المستمر الاتساق وتقليل الانحراف عبر بيئاتك. يمكن نشر كل مورد Azure تقريبا من خلال قوالب Azure Resource Manager JSON بالاقتران مع PowerShell أو Azure cross platform CLI وأدوات مثل Terraform by HashiCorp، والتي لديها دعم وتكامل من الدرجة الأولى مع Azure Cloud Shell).

توفر مقالات مثل أفضل الممارسات لاستخدام قوالب Azure Resource Manager مناقشة ممتازة لأفضل الممارسات والدروس المستفادة لتطبيق نهج DevOps على قوالب Azure Resource Manager باستخدام سلسلة أدوات Azure DevOps. خذ الوقت والجهد لتطوير مجموعة أساسية من القوالب الخاصة بمتطلبات مؤسستك، وتطوير مسارات التسليم المستمر باستخدام سلاسل أدوات DevOps (مثل Azure DevOps و Jenkins و Bamboo و TeamCity و Concourse)، خاصة لبيئات الإنتاج و QA الخاصة بك. هناك مكتبة كبيرة من قوالب Azure Quickstart على GitHub يمكنك استخدامها كنقطة بداية للقوالب، ويمكنك إنشاء مسارات تسليم مستندة إلى السحابة بسرعة باستخدام Azure DevOps.

كأفضل ممارسة لاشتراكات الإنتاج أو مجموعات الموارد، يجب أن يكون هدفك هو استخدام أمان Azure RBAC لعدم السماح للمستخدمين التفاعليين افتراضيا واستخدام مسارات التسليم المستمر التلقائية استنادا إلى أساسيات الخدمة لتوفير جميع الموارد وتقديم جميع التعليمات البرمجية للتطبيق. يجب ألا يلمس أي مسؤول أو مطور مدخل Microsoft Azure لتكوين الموارد بشكل تفاعلي. يأخذ هذا المستوى من DevOps جهدا متضافرا ويستخدم جميع مفاهيم سقالة Azure، ما يوفر بيئة متسقة وأكثر أمانا تلبي حاجة مؤسستك إلى التوسع.

تلميح

عند تصميم وتطوير قوالب Azure Resource Manager المعقدة، استخدم القوالب المرتبطة لتنظيم علاقات الموارد المعقدة وإعادة بناء التعليمات البرمجية لها من ملفات JSON المتجانسة. سيمكنك هذا من إدارة الموارد بشكل فردي وجعل قوالبك أكثر قابلية للقراءة والاختبار وإعادة الاستخدام.

Azure هو موفر سحابة hyperscale. أثناء نقل مؤسستك من الخوادم المحلية إلى السحابة، فإن الاعتماد على نفس المفاهيم التي يستخدمها موفرو السحابة وتطبيقات SaaS سيساعد مؤسستك على الاستجابة لاحتياجات الأعمال بشكل أكثر كفاءة.

الشبكة الأساسية

المكون النهائي للنموذج المرجعي لدعم Azure أساسي لكيفية وصول مؤسستك إلى Azure، بطريقة آمنة. يمكن أن يكون الوصول إلى الموارد داخليا (داخل شبكة الشركة) أو خارجيا (من خلال الإنترنت). من السهل على المستخدمين في مؤسستك وضع الموارد في المكان الخطأ عن غير قصد، ومن المحتمل أن يفتحوها للوصول الضار. كما هو الحال مع الأجهزة المحلية، يجب على المؤسسات إضافة عناصر تحكم مناسبة للتأكد من أن مستخدمي Azure يتخذون القرارات الصحيحة. لإدارة الاشتراك، نحدد الموارد الأساسية التي توفر التحكم الأساسي في الوصول. تتكون الموارد الأساسية من:

  • الشبكات الظاهرية هي كائنات حاوية للشبكات الفرعية. على الرغم من أنه ليس ضروريا تماما، فإنه غالبا ما يستخدم عند توصيل التطبيقات بموارد الشركة الداخلية.
  • تسمح لك المسارات المعرفة من قبل المستخدم بمعالجة جدول التوجيه داخل شبكة فرعية مما يتيح لك إرسال نسبة استخدام الشبكة عبر جهاز ظاهري للشبكة أو إلى بوابة بعيدة على شبكة ظاهرية نظيرة.
  • يتيح لك نظير الشبكة الظاهرية توصيل شبكتين ظاهريتين أو أكثر بسلاسة في Azure، مما يؤدي إلى إنشاء تصميمات مركزية ومتحدثة أكثر تعقيدا أو شبكات خدمات مشتركة.
  • نقاط نهاية الخدمة. في الماضي، كانت خدمات PaaS تعتمد على أساليب مختلفة لتأمين الوصول إلى هذه الموارد من شبكاتك الظاهرية. تسمح لك نقاط نهاية الخدمة بتأمين الوصول إلى خدمات PaaS الممكنة من نقاط النهاية المتصلة فقط ، ما يزيد من الأمان العام.
  • مجموعات الأمان هي مجموعة واسعة من القواعد التي توفر القدرة على السماح بنسبة استخدام الشبكة الواردة والصادرة من/إلى موارد Azure أو رفضها. تتكون مجموعات الأمان من قواعد الأمان التي يمكن زيادتها بعلامات الخدمة (التي تحدد خدمات Azure الشائعة مثل Azure Key Vault أو قاعدة بيانات Azure SQL) ومجموعات أمان التطبيقات (التي تحدد بنية التطبيق و، مثل خوادم الويب أو التطبيقات).

تلميح

استخدم علامات الخدمة ومجموعات أمان التطبيقات في مجموعات أمان الشبكة من أجل:

  • تحسين قابلية قراءة القواعد الخاصة بك، وهو أمر بالغ الأهمية لفهم التأثير.
  • تمكين التجزئة الدقيقة الفعالة داخل شبكة فرعية أكبر، ما يقلل من الامتداد ويزيد من المرونة.

مركز بيانات Azure الظاهري

يوفر Azure قدرات داخلية وإمكانات خارجية من شبكة شركائنا الواسعة التي تمنحك موقفا أمنيا فعالا. والأهم من ذلك، توفر Microsoft أفضل الممارسات والإرشادات في شكل مركز بيانات Azure الظاهري (VDC). أثناء الانتقال من حمل عمل واحد إلى أحمال عمل متعددة تستخدم قدرات مختلطة، ستوفر لك إرشادات VDC "وصفات" لتمكين شبكة مرنة ستنمو مع نمو أحمال العمل الخاصة بك في Azure.

الخطوات التالية

تعد الحوكمة أمرا بالغ الأهمية لنجاح Azure. تستهدف هذه المقالة التنفيذ التقني لمقالة المؤسسة ولكنها لا تتطرق إلا إلى العملية الأوسع والعلاقات بين المكونات. تتدفق حوكمة النهج من أعلى لأسفل ويتم تحديدها من خلال ما تريد الشركة تحقيقه. بطبيعة الحال، يتضمن إنشاء نموذج حوكمة ل Azure ممثلين من تكنولوجيا المعلومات، ولكن الأهم من ذلك يجب أن يكون له تمثيل قوي من قادة مجموعة الأعمال، وإدارة الأمان والمخاطر. في النهاية، يتعلق دعم المؤسسة بتخفيف مخاطر الأعمال لتسهيل مهمة المنظمة وأهدافها.

الآن بعد أن تعرفت على إدارة الاشتراك، راجع أفضل الممارسات لاستعداد Azure للاطلاع على هذه التوصيات في الممارسة العملية.