Sdílet prostřednictvím

Správa cloudových aktiv Azure

Tento článek vysvětluje, jak spravovat cloudová aktiva Azure, abyste zajistili provozní stav. Potřebujete silnou kontrolu nad cloudovými operacemi, abyste zajistili, že cloud bude v souladu s vašimi obchodními cíli.

Diagram znázorňující proces správy CAF: připraveno, spravovat, monitorovat a chránit (RAMP).

Určení rozsahu správy

Odpovědnost za správu se liší podle modelu nasazení. Následující tabulka slouží k identifikaci odpovědností za správu infrastruktury (IaaS), platformy (PaaS), softwaru (SaaS) a místních nasazení.

Oblasti správy Na místě IaaS (Azure) PaaS (Azure) SaaS
Vyměnit ✔️ ✔️ ✔️ ✔️
Bezpečnost ✔️ ✔️ ✔️ ✔️
Vyhovění ✔️ ✔️ ✔️ ✔️
Data ✔️ ✔️ ✔️ ✔️
Kód a runtime ✔️ ✔️ ✔️
Cloudové prostředky ✔️ ✔️ ✔️
Přemístění ✔️ ✔️ ✔️
Operační systém ✔️ ✔️
Vrstva virtualizace ✔️
Fyzický hardware ✔️

Správa změn

Změna je nejběžnějším zdrojem problémů v cloudu. V důsledku toho potřebujete přístup ke správě změn, který sleduje změny a jejich schválení. Měl by také detekovat neschválené změny a vrátit je do požadovaného stavu. Postupujte takto:

  1. Vývoj procesu žádosti o změnu Použijte formální systém, například nástroj pro vytváření lístků, žádost o přijetí změn (GitHub nebo Azure DevOps) nebo určené formuláře. Proces žádosti o změnu musí zaznamenávat podrobnosti o klíčích, jako je typ změny, identita žadatele, cílové prostředí, obor a důvod. Udržujte samostatné postupy pro rutinní žádosti o služby, jako jsou resetování hesla.

  2. Vyhodnoťte riziko spojené se změnou. Přiřaďte jasné kategorie rizik (vysoké, střední, nízké) k vyvážení rychlosti nasazení pomocí řízení rizik. Vyhodnoťte každou změnu podle kritérií, jako je tolerance výpadků (rozpočet chyb) a závažnost úloh. Pokud chcete pomoct určit příslušný pracovní postup schválení, použijte jako příklad následující tabulku:

    Úroveň rizika Přípustný výpadek Důležitost úloh Proces schválení Ukázkové změny
    Vysoko Nepovoluje se žádný výpadek. Tyto změny mají vliv na kritické systémy, které vyžadují nepřetržitou dostupnost s nulovou odolností pro případ výpadků. Několik kontrol vedoucích inženýrů, automatizované výstrahy v rámci procesu, progresivní expoziční model a aktivní monitorování. Aktualizace kritické infrastruktury
    Středně Krátký výpadek povolený Tyto změny ovlivňují důležité systémy s omezenou odolností pro výpadky. Automatizovaný proces označí změnu. Rychlá kontrola techniků v případě, že monitorování vyvolá výstrahu Nekritické aktualizace systému, vylepšení funkcí během krátkých časových období údržby
    Nízké Dostatečné povolené prostoje Tyto změny mají vliv na nekritické systémy, kde je rozšířený výpadek přijatelný, aniž by to ovlivnilo celkové operace. Plně automatizované nasazení prostřednictvím CI/CD spouští předběžné testy a monitorování. Rutinní aktualizace, dílčí aktualizace zásad

  3. Standardizovat schválení jasně. Definovat kritéria schválení a autoritu vyžadované na každé úrovni rizika Určete, kdo musí zkontrolovat každou změnu, ať už jde o jednoho schvalovatele nebo revizní komisi, a vyjasněte, jak by měli revidující poskytnout a vyřešit zpětnou vazbu.

  4. Standardizujte proces nasazení. Jasně nastínit postupy pro sestavování, testování a nasazování schválených změn do produkčního prostředí. Podrobnosti najdete v tématu Správa cloudových prostředků.

  5. Standardizujte proces po nasazení. Pokud chcete potvrdit úspěšné změny, implementujte kroky monitorování a ověření. Zahrnout jasnou strategii vrácení zpět pro rychlé obnovení služby, pokud změna představuje problémy.

  6. Prevence a zjišťování neoprávněných změn Pomocí analýzy změn můžete detekovat změny konfigurace a vysvětlit jejich základní příčiny. Pomocí Služby Azure Policy zamítáte a auditujte změny pomocí efektů, jako je Zamítnutí, DenyAction, Audit a auditIfNotExists. Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

Správa zabezpečení

Identita je váš bezpečnostní perimetr. Musíte ověřit identity, omezit oprávnění a udržovat zabezpečené konfigurace prostředků. Postupujte takto:

  1. Správa identit Jako sjednocené řešení pro správu identit použijte ID Microsoft Entra . Jasně definujte oprávnění použitím řízení přístupu na základě role (RBAC). Použijte Microsoft Entra ID Governance pro řízení pracovních toků žádostí o přístup, revizí přístupu a správy životního cyklu identit. Povolte Privileged Identity Management k udělení privilegovaného přístupu v reálném čase. Tato strategie snižuje zbytečný nadměrný přístup. Spravujte všechny tři typy identit (uživatel, aplikace, zařízení) konzistentně, abyste zajistili správné ověřování a autorizaci.

  2. Správa přístupu Pomocí řízení přístupu na základě role (RBAC) a řízení přístupu na základě atributů (ABAC) udělte nejnižší oprávnění k provedení úlohy. Pokud chcete omezit režijní náklady na správu, upřednostněte přiřazení rolí na základě skupin. Udělte oprávnění v nejnižším požadovaném rozsahu , jako jsou předplatná, skupiny prostředků nebo jednotlivé prostředky. Vyhněte se příliš rozsáhlým rozsahům oprávnění, abyste zabránili eskalaci nechtěných oprávnění. Přiřaďte pouze potřebná oprávnění pro roli každého uživatele.

  3. Správa konfigurací prostředků Pomocí infrastruktury jako kódu (IaC) zajistíte konzistentní a reprodukovatelnou konfiguraci prostředků. Pak pomocí Služby Azure Policy vynucujte zabezpečené konfigurace konkrétních služeb Azure. Referenční informace o standardních hodnotách zabezpečení najdete v pokynech k dostupným funkcím zabezpečení a optimálním konfiguracím zabezpečení. Jako doplňková funkce používejte zásady zabezpečení v programu Defender for Cloud k zajištění souladu s běžnými standardy zabezpečení.

  4. Správa ověřování Zajistěte, aby uživatelé přijali silné ověřování prostřednictvím vícefaktorového ověřování (MFA) a používali vícefaktorové ověřování Microsoft Entra (MFA). Vždy vyžadovat podmíněný přístup k vynucení ověřování na základě identity uživatele, stavu zařízení a kontextu přístupu. Nakonfigurujte samoobslužné resetování hesla a eliminujte slabá hesla.

  5. Správa informací o zabezpečení Použijte Microsoft Sentinel pro informace o zabezpečení a dokonce správu (SIEM) a orchestraci zabezpečení, automatizaci a reakci (SOAR).

  6. Řízení zabezpečení úloh Doporučení k zabezpečení úloh najdete v kontrolním seznamu Well-Architected Frameworku a průvodci službami Azure (začněte částí Zabezpečení).

Správa dodržování předpisů

Správa dodržování předpisů zajišťuje, aby operace Azure zůstaly v souladu se zavedenými zásadami správného řízení a zákonnými standardy. Riziko musíte snížit tím, že prostředí ochráníte před potenciálními porušeními a chybnou konfigurací. Postupujte takto:

  1. Seznamte se se zásadami správného řízení. Zásady správného řízení definují omezení vysoké úrovně, která musí vaše týmy dodržovat, aby zůstaly v souladu s předpisy. Zkontrolujte zásady vaší organizace a namapujte každý požadavek na provozní procesy. Pokud zásady správného řízení nemáte, nejdřív si dokumentujte zásady správného řízení.

  2. Správa dodržování předpisů Vynucení dodržování předpisů zajišťuje, že vaše prostředí zůstane v souladu s organizačními i regulačními standardy. Doporučení zásad najdete v následující tabulce.

    Doporučení Podrobnosti
    Začínáme s definicemi obecných zásad Začněte s obecnými definicemi služby Azure Policy, včetně povolených umístění, nepovolovaných typů prostředků a auditování vlastních rolí RBAC.
    Sladění se zákonnými standardy Použití bezplatných integrovaných definic Azure Policy v souladu se zákonnými standardy, jako jsou ISO 27001, NIST SP 800-53, PCI DSS, EU GDPR

Další informace najdete v tématu Vynucení dodržování předpisů v Azure.

Správa dat

Správa dat v cloudových operacích zahrnuje aktivní klasifikaci, segmentování, zabezpečení přístupu a ochranu před odstraněním. Při provozních změnách musíte chránit citlivé informace, udržovat dodržování předpisů a zajistit spolehlivost dat. Postupujte takto:

  1. Zjišťování a klasifikace dat Identifikovat a kategorizovat data podle citlivosti a důležitosti Tato klasifikační vodítka řídí přizpůsobené ovládací prvky pro každý datový typ. Použijte Microsoft Purview pro zásady správného řízení dat. Další informace najdete v tématu Zdroje dat, které se připojují k mapě dat Microsoft Purview.

  2. Řízení rezidence dat Pokud chcete splnit požadavky na rezidenci dat, vyberte oblasti ve vaší zeměpisné oblasti, jako jsou Spojené státy nebo Evropa. Ověřte všechny výjimky, protože některé služby Azure můžou ukládat data mimo vaši vybranou oblast. Pravidelně kontrolujte nastavení rezidence dat Azure a požadavky na dodržování předpisů, abyste zachovali plnou kontrolu nad vašimi zákaznickými daty.

  3. Izolujte interní úlohy ("Corp") a internetové úlohy ("Online"). Skupiny pro správu slouží k oddělení interních a externích úloh. Interní úlohy obvykle vyžadují připojení nebo hybridní připojení k podnikové síti. Externí úlohy obvykle nevyžadují připojení k podnikové síti a můžou potřebovat přímý příchozí nebo odchozí přístup k internetu. Například se podívejte na "Corp" (interní) a "Online" (internětově orientované) skupiny pro správu v rozšiřovací zóně Azure .

  4. Vynucujte řízení přístupu. Implementujte robustní řízení přístupu, jako je Azure RBAC a Azure ABAC, abyste zajistili přístup jenom autorizovaným pracovníkům k citlivým datům na základě definovaných klasifikací.

  5. Ochrana dat před odstraněním Používejte funkce, jako je obnovitelné odstranění, správa verzí dat a neměnnost, pokud jsou k dispozici. Implementujte správu verzí databáze a připravte postupy vrácení zpět. Pomocí služby Azure Policy zakažte odstranění úložiště dat s efekty Odepřít a DenyAction nebo auditujte změny s Audit a auditIfNotExists jakékoli změny. Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám. Zámky prostředků používejte výhradně k zabránění nezamýšleným úpravám nebo odstranění důležitých dat. Vyhněte se použití zámků prostředků k ochraně konfigurací, jelikož zámky prostředků komplikují nasazení IaC.

  6. Správa dat úloh Prohlédni si doporučení Well-Architected Frameworku pro klasifikaci dat.

Další informace najdete v tématu Vynucení zásad správného řízení dat.

Správa nákladů

Správa nákladů v cloudových operacích znamená, že aktivně sledujete útratu centrálně i na každou úlohu. Kontrola nákladů by měla poskytovat přehled o výdajích a podporovat zodpovědné výdaje. Postupujte takto:

  1. Správa a kontrola nákladů Pomocí nástrojů Microsoft Cost Management můžete monitorovat náklady na cloud. Azure nemá mechanismus na úrovni celého předplatného, který by omezil útratu na určitou prahovou hodnotu. Některé služby, jako je pracovní prostor Azure Log Analytics, mají limit útraty. Strategie monitorování nákladů slouží jako váš primární nástroj pro správu výdajů.

  2. Správa nákladů na úlohy Udělte fakturační přístup týmům úloh. Požádejte tyto týmy, aby používaly kontrolní seznam optimalizace nákladů v Well-Architected Frameworku.

Správa kódu a modulu runtime

Správa kódu a modulu runtime jsou zodpovědnosti týkající se pracovního zatížení. Nechte týmy úloh používat kontrolní seznam z Frameworku Well-Architected pro Operační Excelenci , který popisuje 12 doporučení k řízení kódu a běhového prostředí.

Správa cloudových prostředků

Vytvořte jasné protokoly pro nasazení a proaktivní strategie detekce odchylek a nekontrolovaného růstu, abyste zachovali konzistenci napříč prostředími. Tato část se věnuje následujícím tématům:

Správa nasazení portálu

Definujte protokoly a limity pro nasazení portálu, abyste minimalizovali potenciální problémy v produkčním prostředí. Postupujte takto:

  1. Definujte zásady nasazení portálu. Zajistěte, aby významné změny založené na portálu dodržovaly zavedené procesy správy změn. Nasazení portálu používejte především pro rychlé vytváření prototypů, řešení potíží nebo menší úpravy ve vývojových a testovacích prostředích. Vyhněte se nestrukturovaným změnám portálu, protože tyto změny vedou k problémům s posunem, chybnou konfigurací a dodržováním předpisů. Místo toho se spoléhat na šablony infrastruktury jako kódu (IaC) řízené verzí pro konzistenci. Další informace najdete v tématu správa nasazení kódu.

  2. Rozlišovat prostředí. Omezte změny založené na portálu výhradně na neprodukční prostředí. Povolte rychlé vytváření prototypů výhradně ve vyhrazených vývojových nebo testovacích prostředích a vynucujte přísné kontroly v produkčním prostředí.

  3. Omezení oprávnění portálu Omezte možnosti nasazení z portálu pomocí řízení přístupu na základě role (RBAC). Ve výchozím nastavení přiřaďte oprávnění jen pro čtení a eskalujte oprávnění jenom v případě potřeby.

    • Udělte přístup právě včas. Pro přístup k prostředkům Azure a Microsoft Entra použijte Privileged Identity Management (PIM). K aktivaci PIM potřebujete sekvenční schválení více jednotlivců nebo skupin. Vyhraďte privilegované role (role supersprávce A0) výhradně pro scénáře tísňového volání.

    • Strukturovat RBAC na základě provozního modelu. Návrhu zásad RBAC přizpůsobených provozním týmům, včetně úrovní podpory, bezpečnostních operací, platforem, sítí a pracovních zátěží.

    • Auditujte všechny aktivity. Monitorujte a zaznamenejte všechny akce ve vašem systému. Pomocí služby Azure Policy můžete auditovat (auditovat nebo auditIfNotExists) změny. Kromě toho nakonfigurujte výstrahu ve službě Azure Monitor tak, aby informovala zúčastněné strany, když někdo odstraní prostředek Azure. Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

  4. Použijte šablony řízené verzí. Pokud používáte nasazení IaC (Infrastructure as Code), omezte používání portálu na nouzové situace. Změny portálu vedou k posunu konfigurace od šablon IaC. Replikujte všechny změny založené na portálu okamžitě v šablonách IaC řízených verzími, jako jsou Bicep, Terraform nebo šablony ARM . Pravidelně exportujte konfigurace prostředků Azure a ukládejte je jako IaC, abyste zachovali produkční prostředí v souladu se schválenými a trasovatelnými konfiguracemi. Přečtěte si pokyny k exportu konfigurací Azure jako bicep, Terraformu nebo šablon ARM. Zvažte specifikace šablon , pokud pracujete s šablonami ARM.

    Nástroj Případ použití
    Biceps Čitelné a snadno spravovatelné IaC specifické pro Azure
    Terraform Multicloudové řešení, širší podpora komunity
    Šablony ARM Úplné řízení, pohodlné s JSON

Správa nasazení kódu

Využijte osvědčené postupy pro automatizaci a řízení změn kódu a infrastruktury. Postupujte takto:

  1. Standardizace nástrojů Pomocí konzistentní sady nástrojů můžete minimalizovat přepínání kontextu. Zvolte vývojářské nástroje (VS Code, Visual Studio), úložiště kódu (GitHub, Azure DevOps), kanál CI/CD (GitHub Actions, Azure Pipelines) a řešení IaC (Bicep, Terraform nebo šablony ARM ), které spolupracují.

  2. Použijte správu verzí. Udržujte pro svůj kód jediný zdroj pravdy. Pomocí správy verzí můžete snížit posun konfigurace a zjednodušit postupy vrácení zpět.

  3. Použijte deployment pipeline.Pipeline CI/CD automatizuje proces sestavení, spouští testy a kontroluje kód na problémy s kvalitou a zabezpečením s každou pull request. Pomocí GitHub Actions nebo Azure Pipelines můžete sestavovat a nasazovat kód aplikace a soubory IaC. Vynucujte předběžné háky a automatizované kontroly, aby bylo možné včas zachytit neoprávněné nebo vysoce rizikové změny.

  4. Testujte nasazení. Fázujte schválení v rámci CI/CD kanálů pro postupné ověřování nasazení. Postupujte podle této sekvence: vývoj, ověření sestavení, integrační testy, testy výkonnosti, uživatelské akceptační testování (UAT), příprava, kanárské vydání, předprodukční prostředí a nakonec produkční prostředí.

  5. Použití infrastruktury jako kódu (IaC). Pomocí IaC zajistíte konzistenci a správu nasazení prostřednictvím správy verzí. Přechod z testování konceptů založených na webu Azure Portal na IaC pro produkční prostředí K definování prostředků použijte šablony Bicep, Terraform nebo ARM . Pro Bicep použijte moduly a zvažte stacky nasazení. Zvažte specifikace šablon pro verzované nasazení šablony ARM.

  6. Použijte osvědčené postupy úložiště kódu. Následující standardy snižují chyby, zjednodušují kontroly kódu a vyhýbají se problémům s integrací. Pro produkční prostředí s vysokou prioritou:

    Požadavek Popis
    Zakázat přímé pushy Blokovat přímé commity do hlavní větve
    Vyžadovat pull requesty Vyžadovat, aby všechny změny prošly návrhem na začlenění.
    Vyžadujte kontrolu kódu Ujistěte se, že všechny pull requesty kontroluje někdo jiný než autor.
    Prosazení prahových hodnot pokrytí kódu Ujistěte se, že minimální procento kódu projde automatizovanými testy pro všechny žádosti o přijetí změn.
    Použití ověřovacích kanálů Konfigurace pravidel ochrany větví pro spuštění ověřovacího procesu pro žádosti o přijetí změn

  7. Vyžaduje kontroly onboardingu týmu úloh. Ověřte, že nové základy kódu a týmy odpovídají obchodním cílům, standardům a osvědčeným postupům. Kontrolní seznam slouží k potvrzení struktury úložiště kódu, standardů pojmenování, standardů kódování a konfigurací kanálů CI/CD.

Správa odchylek konfigurace

Spravujte odchylky konfigurace tím, že identifikujete a opravíte nesrovnalosti mezi zamýšlenou konfigurací a živým prostředím. Postupujte podle těchto osvědčených postupů:

  1. Prevence a detekce změn Pomocí analýzy změn můžete detekovat změny konfigurace a vysvětlit jejich základní příčiny. Pomocí Služby Azure Policy zamítáte a auditujte změny pomocí efektů, jako je Zamítnutí, DenyAction, Audit a auditIfNotExists. Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

  2. Zjištění posunu konfigurace IaC Posun nastane, když někdo aktualizuje soubor IaC (úmyslné, neúmyslné) nebo provede změnu na webu Azure Portal. Pravidelně porovnejte živé prostředí s požadovanou konfigurací, abyste zjistili posun:

    • Uložte požadované a naposledy známé konfigurace. Uložte požadovaný konfigurační soubor do úložiště řízeného verzí. Tento soubor zobrazuje původní, zamýšlenou konfiguraci. Udržujte poslední známou dobrou konfiguraci jako spolehlivý bod pro návrat a referenční bod pro detekci odchylek.

    • Zjistěte posun konfigurace před nasazením. Náhled potenciálních změn před nasazením pomocí plánu Terraform, analýzy co když Bicep, nebo analýzy co když šablony ARM. Důkladně prozkoumejte nesrovnalosti, abyste zajistili, že navrhované změny odpovídají požadovanému stavu.

    • Detekce posunu po nasazení Pravidelné porovnávání živých prostředí s požadovanými konfiguracemi prostřednictvím pravidelných kontrol odchylek. Tyto kontroly můžete integrovat do kanálů CI/CD nebo je provést ručně, aby se zachovala konzistence. Podívejte se na příklad se službou Azure Policy a Azure Pipelines.

    • Vrácení zpět na poslední známou konfiguraci Vytvořte jasné strategie vrácení zpět, které používají automatizované procedury v rámci kanálu CI/CD. Využijte poslední známou konfiguraci, abyste rychle vrátili nežádoucí změny a minimalizovali výpadky.

    • Minimalizujte změny řízené portálem. Minimalizujte změny mimo IaC pouze v nouzových scénářích. Vynucujte přísné řízení přístupu, jako je Privileged Identity Management. Pokud jsou k zachování přesnosti požadované konfigurace nutné ruční úpravy, proveďte okamžitou aktualizaci souborů IaC.

Správa roztříštění prostředků

Rozšiřování zdrojů popisuje nekontrolovatelný růst cloudových prostředků. Tento růst zvyšuje náklady, bezpečnostní rizika a složitost správy. Postupujte takto:

  1. Implementujte zásady správného řízení. Pomocí služby Azure Policy vynucujte standardy pro zřizování aoznačování prostředků v celé organizaci. Vytvořte jasnou strategii pojmenování , která usnadňuje viditelnost prostředků.

  2. Efektivně uspořádejte prostředky. Strukturujte prostředky hierarchicky pomocí skupin pro správu a předplatných v souladu s potřebami vaší organizace. Tato struktura zlepšuje viditelnost a správu prostředků. Osvědčené postupy najdete v pokynech pro "Azure landing zone".

  3. Omezte oprávnění nasazení. Implementace osvědčených postupů řízení přístupu na základě role (RBAC) uvedených v Azure RBAC a Microsoft Entra RBAC Přiřaďte uživatelům příslušná oprávnění. Pomocí rolí čtenáře minimalizujte rizika vytváření neoschválených prostředků.

  4. Proveďte pravidelné audity. Pomocí Azure Advisoru můžete identifikovat nepoužívané nebo nedostatečně využité prostředky Azure. Pomocí služby Cost Management můžete analyzovat vaši útratu v cloudu a odstranit osamocené prostředky, které způsobují zbytečné náklady. Pamatujte, že ne všechny prostředky Azure jsou zpoplatněny. Spouštění dotazů v Azure Resource Graphu za účelem zajištění přesného inventáře prostředků

Správa přemístění

Pravidelně vyhodnocujte aktuální oblasti Azure, abyste zjistili, jestli přemístění úloh jinde zlepšuje efektivitu, snižuje náklady nebo zvyšuje výkon.

  • Pochopte faktory přemístění. Pochopení faktorů přemístění zajišťuje, že každé přemístění má platné obchodní odůvodnění, jelikož přemístění zahrnuje riziko a náklady. Mezi běžné obchodní odůvodnění přemístění patří rozšíření firmy, požadavky na dodržování právních předpisů a blízkost koncových uživatelů.

  • Řízení rizik přemístění. Správa rizik přemístění zabraňuje přerušení a udržuje dodržování předpisů. Definujte přijatelná okna výpadků, komunikujte se zúčastněnými stranami a zajistěte dodržování zásad organizace a oborových předpisů.

  • Správa nákladů na přemístění Správa nákladů na přemístění zabraňuje zbytečným výdajům během migrace. Přeneste data jednou, odstraňte duplicitní prostředí a porovnejte regionální ceny Azure. Projděte si ceny šířky pásma Azure.

  • Správa projektů přemístění. Malé týmy by měly migrovat úlohy po jedné se zaměřením na efektivitu. Velké týmy by měly současně přemístit více úloh, aby bylo možné dosáhnout efektivity prostřednictvím koordinovaného plánování.

Další informace naleznete v tématu Přemístění úloh.

Správa operačních systémů

Pokud používáte virtuální počítače, musíte také spravovat operační systém. Postupujte takto:

  1. Automatizace údržby virtuálních počítačů V Azure můžete pomocí nástrojů pro automatizaci vytvářet a spravovat virtuální počítače Azure. Pomocí konfigurace počítače Azure můžete auditovat nebo nakonfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a hybridní.

  2. Aktualizujte operační systémy. Potřebujete spravovat aktualizace hosta a údržbu hostitele , abyste zajistili, že operační systémy jsou aktuální pro účely zabezpečení.

  3. Monitorujte operace v hostu. Pomocí služby Azure Change Tracking a Inventory můžete vylepšit auditování a zásady správného řízení pro operace v hostu. Monitoruje změny a poskytuje podrobné protokoly inventáře pro servery napříč Azure, místními a dalšími cloudovými prostředími.

Nástroje pro správu Azure

Kategorie Nástroj Popis
Správa změn Analýza změn Detekuje změny konfigurace a vysvětluje jejich základní příčiny.
Správa změn Azure Politika Vynucuje, audituje nebo brání změnám cloudových prostředků.
Správa změn Zásobníky nasazení Bicep Zabraňuje neoprávněným změnám.
Správa zabezpečení Standardní hodnoty zabezpečení Azure Poskytuje pokyny k dostupným možnostem zabezpečení a optimálním konfiguracím zabezpečení.
Správa zabezpečení Pilíř zabezpečení architektury Well Architected Framework Pokyny k zabezpečení pro návrh úloh
Správa zabezpečení Průvodci službami Azure (začněte částí Zabezpečení) Doporučení konfigurace zabezpečení pro služby Azure
Správa zabezpečení Microsoft Entra ID Poskytuje jednotnou správu identit.
Správa zabezpečení Defender for Cloud Sjednocuje konfigurace prostředků se standardy zabezpečení.
Správa zabezpečení Microsoft Sentinel Poskytuje informace o zabezpečení a dokonce správu (SIEM) a orchestraci zabezpečení, automatizaci a odezvu (SOAR).
Správa zabezpečení Azure RBAC Uděluje zabezpečený přístup pomocí přiřazení na základě rolí.
Správa zabezpečení Azure ABAC Uděluje zabezpečený přístup na základě podmínek atributů.
Správa zabezpečení Zásady správného řízení MICROSOFT Entra ID Spravuje pracovní postupy přístupu a životní cyklus identit.
Správa zabezpečení Správa privilegovaných identit Nabízí privilegovaný přístup v pravý čas.
Správa zabezpečení Vícefaktorové ověřování Microsoft Entra (MFA) Vynucuje silné vícefaktorové ověřování.
Správa zabezpečení Podmíněný přístup Vynucuje ověřování na základě kontextu.
Správa zabezpečení Samoobslužné resetování hesla Umožňuje zabezpečené resetování hesel uživatelů.
Správa dodržování předpisů Azure Politika Vynucuje standardy a zabezpečuje konfigurace zdrojů.
Správa dat Microsoft Purview Řídí a klasifikuje citlivá data.
Správa dat Azure Politika Zabraňuje nebo audituje nezamýšlené úpravy nebo odstranění prostředků.
Správa dat Zámky prostředků Zabraňuje nezamýšleným úpravám nebo odstraněním.
Správa nákladů Monitorování nákladů Monitorování je nezbytné ke správě nákladů na cloud
Správa cloudových prostředků Azure Politika Vynucuje, audituje nebo brání změnám cloudových prostředků.
Správa cloudových prostředků (nasazení portálu) exportu šablony ARM Exportuje konfigurace zdrojů jako šablony IaC.
Správa cloudových prostředků (nasazení portálu) Upozornění služby Azure Monitor Upozorní zúčastněné strany na změny prostředků.
Správa cloudových prostředků (nasazení kódu) Biceps Spravuje infrastrukturu jako kód pro prostředky Azure.
Správa cloudových prostředků (nasazení kódu) Zásobníky nasazení Bicep Podporuje nasazení řízená verzí a zabraňuje neoprávněným změnám.
Správa cloudových prostředků (nasazení kódu) Terraform Spravuje multicloud infrastrukturu pomocí kódu.
Správa cloudových prostředků (nasazení kódu) Šablony ARM Definuje a nasazuje prostředky Azure pomocí šablon.
Správa cloudových prostředků (nasazení kódu) specifikace šablon ARM Spravuje verze a šablony ARM kvůli zachování konzistence
Správa cloudových prostředků (nasazení kódu) GitHub Actions Automatizuje sestavovací, testovací a nasazovací procesy.
Správa cloudových prostředků (nasazení kódu) Kanály Azure Automatizuje procesy sestavení a nasazení.
Správa odchylky Azure Politika Vynucuje, audituje nebo brání změnám cloudových prostředků.
Správa odchylky Analýza změn Detekuje a vysvětluje změny konfigurace.
Správa odchylky Bicep scénář 'co kdyby' Zobrazení potenciálních změn konfigurace
Správa odchylky Plán Terraformu Náhledy potenciálních změn před nasazením Terraformu
Správa odchylky Co kdyby šablona ARM Zobrazení potenciálních změn konfigurace
Správa operačních systémů konfigurace počítače Azure Audituje a konfiguruje nastavení operačního systému jako kód.
Správa operačních systémů Služba Azure Change Tracking a Inventory Monitoruje a protokoluje změny operačních systémů.
Správa operačních systémů Nástroje pro automatizaci Automatizace údržby virtuálních počítačů

Další kroky

Monitorování cloudových aktiv Azure

Kontrolní seznam pro správu CAF