Průvodce standardním podnikovým zásadami správného řízení: Vylepšení multicloudu

  • Článek

Tento článek popisuje příběh přidáním ovládacích prvků pro přechod na více cloudů.

Pokrok v příběhu

Microsoft rozpozná, že zákazníci můžou pro konkrétní účely přijmout více cloudů. Fiktivní zákazník v této příručce není výjimkou. Současně s přechodem na Azure vedl obchodní úspěch k získání malé, ale doplňkové firmy. Tato firma provozuje všechny své IT operace na jiném poskytovateli cloudu.

Tento článek popisuje, jak se věci mění při integraci nové organizace. Pro účely vyprávění předpokládáme, že tato společnost dokončila každou iteraci zásad správného řízení popsanou v tomto průvodci zásadami správného řízení.

Změny v aktuálním stavu

V předchozí fázi tohoto příběhu společnost začala aktivně tlačit produkční aplikace do cloudu prostřednictvím kanálů CI/CD.

Od té doby se změnily některé věci, které ovlivní zásady správného řízení:

  • Identita je řízena místní instancí služby Active Directory. Hybridní identita se usnadňuje prostřednictvím replikace do Azure Active Directory.
  • Provoz IT nebo cloudové operace jsou z velké části spravovány službou Azure Monitor a souvisejícími automatizovanými procesy.
  • Zotavení po havárii a provozní kontinuita se řídí trezory služby Azure Recovery Services.
  • Microsoft Defender for Cloud slouží k monitorování porušení zabezpečení a útoků.
  • Microsoft Defender for Cloud i Azure Monitor slouží k monitorování zásad správného řízení cloudu.
  • Azure Blueprints, Azure Policy a skupiny pro správu Azure se používají k automatizaci dodržování zásad.

Přírůstkové zlepšení budoucího stavu

Cílem je integrovat společnost akvizici do stávajících operací, kdykoli je to možné.

Změny hmatatelných rizik

Obchodní náklady na pořízení: Získání nové firmy se odhaduje na zisk přibližně za pět let. Z důvodu pomalé návratnosti chce rada co nejvíce řídit náklady na pořízení. Existuje riziko, že řízení nákladů a technická integrace vzájemně kolidují.

Toto obchodní riziko lze rozšířit na několik technických rizik:

  • Migrace do cloudu může vést k dalším nákladům na pořízení.
  • Nové prostředí nemusí být správně řízeno, což může vést k porušení zásad.

Přírůstkové zlepšení prohlášení o zásadách

Následující změny zásad vám pomůžou napravit nová rizika a implementaci průvodce:

  • Všechny prostředky v sekundárním cloudu musí být monitorovány prostřednictvím stávajících nástrojů pro správu provozu a monitorování zabezpečení.
  • Všechny organizační jednotky musí být integrovány do stávajícího zprostředkovatele identity.
  • Primární zprostředkovatel identity by měl řídit ověřování prostředků v sekundárním cloudu.

Postupné vylepšování postupů správného řízení

Tato část článku změní návrh MVP zásad správného řízení tak, aby zahrnoval nové zásady Azure a implementaci Azure Cost Management + Billing. Tyto změny návrhu společně splní nové prohlášení o firemních zásadách.

  1. Připojení sítě. Tento krok provádí týmy zabezpečení sítě a IT a podporují ho tým zásad správného řízení v cloudu. Přidání připojení od poskytovatele MPLS nebo zapůjčené linky do nového cloudu bude integrovat sítě. Přidání směrovacích tabulek a konfigurací brány firewall bude řídit přístup a provoz mezi prostředími.
  2. Konsolidace zprostředkovatelů identity V závislosti na úlohách hostovaných v sekundárním cloudu existují různé možnosti konsolidace zprostředkovatelů identit. Tady je několik příkladů:
    1. U aplikací, které se ověřují pomocí OAuth 2, je možné uživatele ze služby Active Directory v sekundárním cloudu jednoduše replikovat do stávajícího tenanta Azure AD. Tím zajistíte, že se všichni uživatelé můžou ověřit v tenantovi.
    2. V ostatních extrémních případech federace umožňuje organizačním jednotce tok do místní služby Active Directory a pak do instance Azure AD.
  3. Přidání prostředků do Azure Site Recovery
    1. Azure Site Recovery byl od začátku navržen jako hybridní nebo multicloudový nástroj.
    2. Virtuální počítače v sekundárním cloudu můžou být chráněné stejnými procesy Azure Site Recovery, které se používají k ochraně místních prostředků.
  4. Přidání prostředků do Azure Cost Management + Billing
    1. Služba Azure Cost Management + Billing byla od začátku navržena jako multicloudový nástroj.
    2. Virtuální počítače v sekundárním cloudu můžou být kompatibilní s Azure Cost Management + Billing pro některé poskytovatele cloudu. Mohou platit další náklady.
  5. Přidání prostředků do služby Azure Monitor
    1. Azure Monitor byl navržen jako hybridní cloudový nástroj od počátku.
    2. Virtuální počítače v sekundárním cloudu můžou být kompatibilní s agenty služby Azure Monitor, což umožňuje jejich zahrnutí do služby Azure Monitor pro provozní monitorování.
  6. Osvojte si nástroje pro vynucování zásad správného řízení.
    1. Vynucení zásad správného řízení je specifické pro cloud.
    2. Firemní zásady vytvořené v průvodci zásadami správného řízení nejsou specifické pro cloud. I když se implementace může lišit od cloudu po cloud, zásady se dají použít u sekundárního poskytovatele.

Přechod na multicloud by měl být obsažen v tom, kde se vyžaduje na základě technických potřeb nebo specifických obchodních požadavků. S rostoucím přechodem na vícecloudů se tak zvyšuje složitost a rizika zabezpečení.

Závěr

Tato série článků popisuje přírůstkový vývoj osvědčených postupů zásad správného řízení v souladu se zkušenostmi této fiktivní společnosti. Když začnete s malými, ale se správným základem, může se společnost rychle pohybovat a přesto stále uplatňovat správné množství zásad správného řízení ve správný čas. MVP sám o sobě zákazníka nechránil. Místo toho vytvořil základ pro správu rizik a přidání ochrany. Vrstvy zásad správného řízení se odsud použily k nápravě hmatatelných rizik. Přesná cesta, která je zde uvedena, nebude odpovídat 100 % zkušenostem žádného čtenáře. Spíše slouží jako vzor pro přírůstkové zásady správného řízení. Tyto osvědčené postupy byste měli formovat tak, aby vyhovovaly vašim jedinečným omezením a požadavkům zásad správného řízení.