Průvodce zásadami správného řízení pro standardní firmy

  • Článek
  • 8 min ke čtení

Tento průvodce zásadami správného řízení sleduje zkušenosti fiktivní společnosti v různých fázích vyspělosti zásad správného řízení. Průvodce vychází ze zkušeností skutečných zákazníků a navrhované osvědčené postupy vycházejí z omezení a potřeb fiktivní společnosti.

Přehled osvědčených postupů

Jako rychlý výchozí bod tento přehled na základě osvědčených postupů definuje MVP (Minimum Viable Product) pro zásady správného řízení. Kromě toho obsahuje také odkazy na fáze vylepšení zásad správného řízení, které s tím, jak se objevují nová obchodní nebo technická rizika, implementují další osvědčené postupy.

Důležité

Tento MVP je výchozím bodem založeným na sadě předpokladů. Dokonce i tato minimální sada osvědčených postupů je založená na firemních zásadách, které se řídí jedinečnými obchodními riziky a úrovněmi tolerance k rizikům. Přečtěte si delší příběh , který následuje po tomto článku, abyste zkontrolovali, jestli se tato sada předpokladů vztahuje na vaši situaci.

Osvědčené postupy pro zásady správného řízení

Tyto osvědčené postupy slouží jako základ pro to, aby vaše organizace rychle a konzistentně přidávala mantinely zásad správného řízení napříč předplatnými.

Organizace prostředků

Podrobné pokyny týkající se návrhu cloudového prostředí najdete v dokumentaci k organizaci skupin pro správu a předplatných a zásadám správného řízení Cloud Adoption Framework. MVP zásad správného řízení použité v tomto scénáři zahrnuje doporučení uvedená ve výše uvedené dokumentaci a řídí se vzorem návrhu v koncepční architektuře cílové zóny Azure.

Následující diagram obsahuje hierarchii MVP zásad správného řízení pro organizaci prostředků.

Diagram organizace prostředků

Další doporučení

  • Nasaďte každou aplikaci v příslušné oblasti vaší skupiny pro správu, předplatného a hierarchie skupin prostředků. Během plánování nasazení potřebuje váš tým zásad správného řízení v cloudu vytvořit v této hierarchii nezbytné uzly, které umožní vašim týmům přechodu na cloud.

  • Použijte konzistentní terminologii v rámci každé úrovně hierarchie seskupení.

  • Zvažte životní cyklus obsahu při nasazování skupin prostředků: věci, které se vyvíjejí společně, spravují společně a vyřazují společně. Další informace o osvědčených postupech pro skupiny prostředků najdete v průvodci rozhodováním o konzistenci prostředků.

  • Zvažte výběr oblasti , abyste měli jistotu, že jsou k dispozici sítě, monitorování a auditování pro převzetí služeb při selhání nebo navrácení služeb po obnovení a potvrzení, že v upřednostňovaných oblastech jsou k dispozici potřebné skladové položky.

Vzory koncepční architektury cílové zóny Azure poskytují prostor pro růst, aniž by zbytečně komplikovala vaši hierarchii.

Poznámka

V případě změny vašich obchodních požadavků vám skupiny pro správu Azure umožní snadno reorganizovat hierarchii správy a přiřazení skupin předplatných. Mějte však na paměti, že přiřazení zásad a rolí skupině pro správu dědí všechna předplatná, která jsou v hierarchii pod touto skupinou. Pokud chcete změnit přiřazení předplatných mezi skupinami pro správu, ujistěte se, že znáte všechny potenciální dopady změn přiřazení zásad a rolí. Další informace najdete v dokumentaci ke skupinám pro správu Azure.

Zásady správného řízení prostředků

Základní úroveň vynucování zásad správného řízení vám poskytne sada globálních zásad a rolí RBAC. Pro splnění požadavků zásad týmu zásad správného řízení v cloudu vyžaduje implementace MVP zásad správného řízení dokončení následujících úloh:

  1. Identifikace definic Azure Policy potřebných k vynucování obchodních požadavků To může zahrnovat použití integrovaných definic a vytvoření nových vlastních definic. Abyste udrželi krok s nově vydanými integrovanými definicemi, je k dispozici informační kanál Atom obsahující všechna potvrzení pro předdefinované zásady, které můžete použít pro informační kanál RSS. Případně můžete zkontrolovat AzAdvertizer.
  2. Vytvoření definice podrobného plánu s využitím těchto integrovaných a vlastních zásad a přiřazení rolí, které vyžaduje MVP zásad správného řízení
  3. Globální použití zásad a konfigurace přiřazením definice podrobného plánu všem předplatným

Identifikace definic zásad

Azure poskytuje několik předdefinovaných zásad a definic rolí, které můžete přiřadit jakékoli skupině pro správu, předplatnému nebo skupině prostředků. Mnoho běžných požadavků zásad správného řízení můžete zpracovat pomocí integrovaných definic. Je ale pravděpodobné, že budete také muset vytvořit vlastní definice zásad pro zpracování vašich specifických požadavků.

Vlastní definice zásad se ukládají do skupiny pro správu nebo předplatného a dědí se v rámci hierarchie skupiny pro správu. Pokud je umístěním pro uložení definice zásad skupina pro správu, je tato definice zásad k dispozici pro přiřazení k jakýmkoli podřízeným skupinám pro správu nebo předplatným této skupiny pro správu.

Vzhledem k tomu, že by zásady požadované k zajištění podpory MVP zásad správného řízení měly platit pro všechna aktuální předplatná, následující obchodní požadavky se implementují se pomocí kombinace integrovaných a vlastních definic vytvořených v kořenové skupině pro správu:

  1. Omezte seznam dostupných přiřazení rolí na sadu předdefinovaných rolí Azure autorizovaných týmem zásad správného řízení v cloudu. To vyžaduje vlastní definici zásad.
  2. Vyžadování následujících značek u všech prostředků: Oddělení/fakturační jednotka, Geografická oblast, Klasifikace dat, Důležitost, Smlouva SLA, Prostředí, Archetyp aplikace, Aplikace a Vlastník aplikace. To můžete zpracovat pomocí integrované definice Require specified tag.
  3. Vyžaduje, aby značka Application u prostředků odpovídala názvu příslušné skupiny prostředků. To můžete zpracovat pomocí integrované definice Require tag and its value.

Informace o definování vlastních zásad najdete v dokumentaci ke službě Azure Policy. Pokyny a příklady vlastních zásad najdete na webu s ukázkami pro službu Azure Policy a v přidruženém úložišti GitHub.

Přiřazování rolí Azure Policy a RBAC s využitím služby Azure Blueprints

Zásady Azure můžou být přiřazené na úrovni skupiny prostředků, předplatného a skupiny pro správu a můžou být součástí Azure Blueprints. Přestože se požadavky zásad definované v tomto MVP zásad správného řízení vztahují na všechna aktuální předplatná, je velmi pravděpodobné, že budoucí nasazení budou vyžadovat výjimky nebo alternativní zásady. Z tohoto důvodu přiřazování zásad s využitím skupin pro správu, kde tato přiřazení dědí všechna podřízená předplatná, nemusí být dostatečně flexibilní pro zajištění podpory těchto scénářů.

Služba Azure Blueprints umožňuje konzistentní přiřazování zásad a rolí, používání šablon Resource Manageru a nasazování skupin prostředků do několika předplatných. Definice podrobných plánů se stejně jako definice zásad ukládají do skupin pro správu nebo předplatných. Definice zásad jsou prostřednictvím dědičnosti dostupné pro všechny podřízené položky v hierarchii skupin pro správu.

Tým zásad správného řízení v cloudu se rozhodl implementovat vynucování požadovaných přiřazení Azure Policy a RBAC napříč předplatnými prostřednictvím služby Azure Blueprints a přidružených artefaktů:

  1. V kořenové skupině pro správu vytvořte definici podrobného plánu governance-baseline.
  2. Do definice podrobného plánu přidejte následující artefakty podrobného plánu:
    1. Přiřazení zásad pro vlastní definice Azure Policy definované v kořenové skupině pro správu
    2. Definice skupin prostředků pro všechny požadované skupiny v předplatných vytvořených nebo řízených prostřednictvím MVP zásad správného řízení
    3. Standardní přiřazení rolí požadovaná v předplatných vytvořených nebo řízených prostřednictvím MVP zásad správného řízení
  3. Publikujte definici podrobného plánu.
  4. Přiřaďte definici podrobného plánu governance-baseline všem předplatným.

Další informace o vytváření a používání definic podrobných plánů najdete v dokumentaci ke službě Azure Blueprints.

Zabezpečená hybridní síť VNet

Konkrétní předplatná často vyžadují určitou úroveň přístupu k místním prostředkům. To je běžné ve scénářích migrace nebo vývoje, ve kterých se závislé prostředky nacházejí v místním datacentru.

Dokud se s cloudovým prostředím úplně nenaváže vztah důvěryhodnosti, je důležité pečlivě kontrolovat a monitorovat veškerou povolenou komunikaci mezi místním prostředím a cloudovými úlohami, stejně jako zabezpečení místní sítě před potenciálním neoprávněným přístupem z cloudových prostředků. Pro zajištění podpory těchto scénářů přidává MVP zásad správného řízení následující osvědčené postupy:

  1. Vytvořte zabezpečenou hybridní cloudovou síť VNet.
    1. Referenční architektura sítě VPN stanovuje vzor a model nasazení pro vytvoření služby VPN Gateway v Azure.
    2. Ověřte, že místní mechanismy zabezpečení a správy provozu pracují s připojenými cloudovými sítěmi jako s nedůvěryhodnými. Prostředky a služby hostované v cloudu by měly mít přístup pouze k autorizovaným místním službám.
    3. Ověřte, že je místní hraniční zařízení v místním datacentru kompatibilní s požadavky služby Azure VPN Gateway a že jeho konfigurace umožňuje přístup k veřejnému internetu.
    4. Upozorňujeme, že tunely sítě VPN by se měly považovat za okruhy připravené pro produkční prostředí jenom pro ty nejjednodušší úlohy. Cokoli nad rámec několika jednoduchých úloh vyžadujících možnosti místního připojení by mělo používat Azure ExpressRoute.
  2. V kořenové skupině pro správu vytvořte druhou definici podrobného plánu secure-hybrid-vnet.
    1. Jako artefakt k definici podrobného plánu přidejte šablonu Resource Manageru pro službu VPN Gateway.
    2. Jako artefakt k definici podrobného plánu přidejte šablonu Resource Manageru pro virtuální síť.
    3. Publikujte definici podrobného plánu.
  3. Přiřaďte definici podrobného plánu secure-hybrid-vnet všem předplatným, která vyžadují možnosti připojení k místnímu prostředí. Tuto definici byste měli přiřadit navíc k definici podrobného plánu governance-baseline.

Jednou z největších obav týmů zabezpečení IT a tradičních týmů zásad dodržování předpisů je riziko, že přechod na cloud v počáteční fázi ohrozí zabezpečení stávajících prostředků. Výše uvedený přístup umožňuje týmům přechodu na cloud vytvářet a migrovat hybridní řešení s menším rizikem pro místní prostředky. S tím, jak se bude důvěra v cloud prohlubovat, se můžou v dalších fázích evoluce tato dočasná řešení odebrat.

Poznámka

Výše je popsaný výchozí bod pro rychlé vytvoření základního MVP zásad správného řízení. Toto je pouze začátek cesty k zásadám správného řízení. S tím, jak společnost bude pokračovat v přechodu na cloud a přijímat další rizika, bude potřeba další vývoj v následujících oblastech:

  • Důležité úlohy
  • Chráněná data
  • Správa nákladů
  • Scénáře s více cloudy

Konkrétní podrobnosti o tomto MVP navíc vycházejí z příkladu cesty fiktivní společnosti popsané v následujících článcích. Před implementací tohoto osvědčeného postupu doporučujeme, abyste se seznámili s dalšími články v této sérii.

Iterativní vylepšování zásad správného řízení

Jakmile nasadíte MVP, můžete do prostředí rychle začlenit další vrstvy zásad správného řízení. Tady je několik způsobů, jak můžete MVP vylepšit tak, aby vyhovoval konkrétním obchodním potřebám:

Co tyto pokyny poskytují?

V MVP se zavádí postupy a nástroje z disciplíny zrychlení nasazení kvůli možnosti rychlého použití firemních zásad. Konkrétně MVP používá Azure Blueprints, Azure Policy a skupiny pro správu Azure k použití několika základních firemních zásad, jak je definováno v příběhu této fiktivní společnosti. Tyto firemní zásady se použijí pomocí šablon Resource Manageru a zásad Azure pro vytvoření základních hodnot pro identitu a zabezpečení.

Diagram ukazující příklad MVP inkrementálních zásad správného řízení

Postupné vylepšování postupů správného řízení

V průběhu času můžete tuto MVP zásad správného řízení použít ke zlepšení postupů zásad správného řízení. Jak přechod postupuje, obchodní riziko se zvyšuje. Různé disciplíny v rámci modelu zásad správného řízení Cloud Adoption Framework se budou i nadále měnit, aby se tato rizika řídila. Články dále v této sérii popisují, jak přírůstková vylepšení firemních zásad ovlivňují fiktivní společnost. Tato vylepšení jsou provedena ve třech disciplínách:

  • Disciplína služby Cost Management při škálování přechodu
  • Disciplína standardních hodnot zabezpečení při nasazování chráněných dat
  • Disciplína konzistence prostředků, jakmile vaše it operace začnou podporovat klíčové úlohy.

Diagram ukazující příklad postupného vylepšování postupů správného řízení

Další kroky

Teď, když jste obeznámeni s MVP zásad správného řízení a máte představu o vylepšeních zásad správného řízení, které je třeba sledovat, si přečtěte podpůrný příběh tohoto článku, kde najdete další kontext.

Přečíst doprovodný příběh