Oblast návrhu: Zásady správného řízení Azure

  • Článek

Využijte zásady správného řízení Azure k vytvoření nástrojů, které potřebujete k podpoře zásad správného řízení v cloudu, auditování dodržování předpisů a automatizovaných mantinely.

Kontrola oblasti návrhu

Role nebo funkce: Zásady správného řízení Azure pocházejí z zásad správného řízení v cloudu. Možná budete muset implementovat cloudovou platformu nebo špičkové centrum cloudu, abyste mohli definovat a uplatňovat určité technické požadavky. Zásady správného řízení se zaměřují na vynucování operací a požadavků na zabezpečení, které můžou vyžadovat zabezpečení cloudu, centrální IT nebo cloudové operace.

Rozsah: Zvažte svá rozhodnutí z kontrol oblastí návrhu identit, sítě, zabezpečení a správy . Váš tým může porovnat rozhodnutí o kontrole automatizovaných zásad správného řízení, která je součástí akcelerátoru cílových zón Azure. Kontrola rozhodnutí vám může pomoct určit, co se má auditovat nebo vynucovat a jaké zásady se mají automaticky nasadit.

Mimo rozsah: Zásady správného řízení Azure vytvářejí základ pro sítě. Nezabývá se ale komponentami souvisejícími s dodržováním předpisů, jako je pokročilé zabezpečení sítě nebo automatizované mantinely pro vynucení síťových rozhodnutí. Tato rozhodnutí o sítích můžete řešit při kontrole oblastí návrhu dodržování předpisů, které souvisejí se zabezpečením a zásadami správného řízení. Tým cloudové platformy by měl před řešením složitějších komponent řešit počáteční síťové požadavky.

Nové cloudové prostředí (zelené pole): Pokud chcete zahájit cestu ke cloudu, vytvořte malou sadu předplatných. K vytvoření nových cílových zón Azure můžete použít šablony nasazení Bicep. Další informace najdete v tématu Bicep cílové zóny Azure – tok nasazení.

Existující cloudové prostředí (brownfield): Pokud chcete použít osvědčené principy zásad správného řízení Azure pro stávající prostředí Azure, zvažte následující doprovodné materiály:

  • Vytvořte směrný plán správy pro hybridní nebo multicloudové prostředí.

  • Implementujte funkce služby Microsoft Cost Management , jako jsou rozsahy fakturace, rozpočty a upozornění, abyste zajistili, že nepřekročíte limit výdajů.

  • Pomocí Služby Azure Policy můžete vynucovat mantinely zásad správného řízení v nasazeních Azure a aktivovat úlohy nápravy, aby se stávající prostředky Azure dostaly do kompatibilního stavu.

  • Zvažte použití funkce správy nároků Microsoft Entra k automatizaci pracovních postupů žádostí o přístup k Azure, přiřazení přístupu, kontrol a vypršení platnosti.

  • Využijte doporučení Azure Advisoru k zajištění optimalizace nákladů a efektivity provozu v Azure, z nichž obě jsou základními principy architektury Microsoft Azure Well-Architected Framework.

Cílové zóny Azure Bicep – Úložiště toku nasazení obsahuje šablony nasazení Bicep, které můžou urychlit nasazení do zeleného pole a brownfieldu pro nasazení cílových zón Azure. Tyto šablony integrovaly osvědčené pokyny k zásadám správného řízení microsoftu.

Zvažte použití modulu Bicep pro výchozí přiřazení zásad cílové zóny Azure, abyste získali přehled o zajištění dodržování předpisů pro vaše prostředí Azure.

Další informace najdete v tématu Aspekty prostředí Brownfield.

Přehled oblasti návrhu

Cesta přechodu na cloud ve vaší organizaci začíná silnými ovládacími prvky pro státní správu.

Zásady správného řízení poskytují mechanismy a procesy pro zachování kontroly nad platformami, aplikacemi a prostředky v Azure.

Diagram znázorňující návrh zásad správného řízení cílové zóny

Prozkoumejte následující aspekty a doporučení, abyste při plánování cílové zóny mohli provádět informovaná rozhodnutí.

Oblast návrhu zásad správného řízení se zaměřuje na rozhodnutí o návrhu cílové zóny. Informace oprocesechch

Aspekty zásad správného řízení Azure

Azure Policy pomáhá zajistit zabezpečení a dodržování předpisů pro podniková technická aktiva. Azure Policy může vynucovat důležité konvence správy a zabezpečení napříč službami platformy Azure. Azure Policy doplňuje řízení přístupu na základě role v Azure (RBAC), které řídí akce pro oprávněné uživatele. Cost Management může také pomoct podporovat průběžné náklady na zásady správného řízení a výdaje v Azure nebo v jiných multicloudových prostředích.

Aspekty nasazení

Rady pro kontrolu změn můžou bránit inovacím a obchodní flexibilitě vaší organizace. Azure Policy nahrazuje takové kontroly automatizovanými mantinely a audity dodržování, aby se zlepšila efektivita úloh.

  • Určete, které zásady Azure potřebujete, na základě obchodních kontrol nebo předpisů dodržování předpisů. Jako výchozí bod použijte zásady zahrnuté v akcelerátoru cílových zón Azure.

  • Pomocí ukázek podrobných plánů založených na standardech zvažte další zásady, které můžou odpovídat vašim obchodním požadavkům.

  • Vynucujte automatizované síťové zásady, identity, správy a zabezpečení.

  • Pomocí definic zásad můžete spravovat a vytvářet přiřazení zásad a opakovaně je používat v několika zděděných oborech přiřazení. Můžete mít centralizovaná přiřazení zásad standardních hodnot v oborech správy, předplatného a skupin prostředků.

  • Začleňte vytváření sestav dodržování předpisů a auditování, abyste zajistili nepřetržité dodržování předpisů.

  • Seznamte se s omezeními služby Azure Policy, jako je omezení definic v jakémkoli konkrétním rozsahu.

  • Seznamte se se zásadami dodržování právních předpisů, jako jsou HIPAA, PCI-DSS nebo SOC 2 Trust Services Criteria.

Důležité informace o službě Cost Management

  • Představte si strukturu modelu nákladů a dobíjení vaší organizace. Určete klíčové datové body, které přesně vyjadřují útratu za cloudové služby.

  • Zvolte strukturu značek, které odpovídají vašemu modelu nákladů a dobíjení, abyste mohli sledovat útratu v cloudu.

  • Pomocí cenové kalkulačky Azure můžete odhadnout očekávané měsíční náklady na používání produktů Azure.

  • Získejte Zvýhodněné hybridní využití Azure, abyste snížili náklady na provoz úloh v cloudu. V Azure můžete použít místní licence Windows Serveru s podporou Software Assurance a SQL Serveru. Můžete také použít předplatná Red Hat a SUSE Linux.

  • Získejte rezervace Azure a zavážete se k plánům na jeden nebo tři roky pro více produktů. Plány rezervací poskytují slevy za prostředky, které můžou výrazně snížit náklady na prostředky až o 72 % oproti průběžným platbám.

  • Získejte plán úspory Azure pro výpočetní prostředky, abyste ušetřili až 65 % oproti cenám průběžných plateb. Vyberte roční nebo tříletý závazek, který se vztahuje na výpočetní služby bez ohledu na vaši oblast, velikost instance nebo operační systém. Vyberte plán pro výpočetní komponenty, jako jsou virtuální počítače, vyhrazené hostitele, instance kontejnerů, prémiové funkce Azure a aplikační služby Azure. Zkombinujte plán úspory Azure s rezervacemi Azure, abyste optimalizovali náklady na výpočetní prostředky a flexibilitu.

  • Pomocí zásad Azure povolte konkrétní oblasti, typy prostředků a skladové položky prostředků.

  • Pomocí zásad založených na pravidlech správy životního cyklu služby Azure Storage přesuňte data objektů blob do odpovídajících úrovní přístupu nebo k vypršení platnosti dat na konci životního cyklu dat.

  • Využijte předplatná Azure pro vývoj/testování a získejte slevu na přístup k vybraným službám Azure pro neprodukční úlohy.

  • Pomocí automatického škálování můžete dynamicky přidělovat a uvolnit prostředky tak, aby odpovídaly vašim požadavkům na výkon, což šetří peníze.

  • Využijte spotové virtuální počítače Azure k využití nevyužité výpočetní kapacity s nízkými náklady. SpotOvé virtuální počítače jsou skvělé pro úlohy, které dokážou zvládnout přerušení, například úlohy dávkového zpracování, vývojová/testovací prostředí a rozsáhlé výpočetní úlohy.

  • Vyberte správné služby Azure, které vám pomůžou snížit náklady. Některé služby Azure jsou zdarma po dobu 12 měsíců a některé jsou vždy zdarma.

  • Vyberte správnou výpočetní službu pro vaši aplikaci, která vám pomůže zlepšit nákladovou efektivitu. Azure nabízí spoustu způsobů hostování vašeho kódu.

Důležité informace o správě prostředků

  • Určete, jestli skupiny prostředků ve vašem prostředí můžou sdílet požadované konfigurace, společný životní cyklus nebo běžná omezení přístupu (například RBAC), které vám pomůžou zajistit konzistenci.

  • Zvolte návrh aplikace nebo předplatného úloh, který je vhodný pro potřeby vaší operace.

  • Pomocí standardních konfigurací prostředků ve vaší organizaci zajistíte konzistentní konfiguraci standardních hodnot.

Bezpečnostní aspekty

  • Vynucujte nástroje a mantinely v celém prostředí jako součást standardních hodnot zabezpečení.

  • Upozorněte příslušné osoby, když zjistíte odchylky.

  • Zvažte použití služby Azure Policy k vynucení nástrojů, jako je Microsoft Defender for Cloud nebo mantinely, jako je srovnávací test zabezpečení cloudu Microsoftu.

Aspekty správy identit

  • Určete, kdo má přístup k protokolům auditu pro správu identit a přístupu.

  • Upozorněte příslušné osoby, když dojde k podezřelým událostem přihlášení.

  • Zvažte použití sestav Microsoft Entra k řízení aktivit.

  • Zvažte odeslání protokolů Microsoft Entra ID do centrálního pracovního prostoru protokolů služby Azure Monitor pro platformu.

  • Prozkoumejte funkce zásad správného řízení microsoft Entra ID, jako jsou kontroly přístupu a správa nároků.

Nástroje jiné společnosti než Microsoft

  • Aktualizace zásad správného řízení Azure získáte pomocí nástroje AzAdvertizer . Přehledy o definicích zásad, iniciativách, aliasech, zabezpečení a ovládacích prvcích dodržování právních předpisů najdete například v definicích rolí Azure Policy nebo Azure RBAC. Můžete také získat přehled o operacích poskytovatele prostředků, definicích rolí Microsoft Entra a akcích rolí a oprávněních rozhraní API první strany.

  • Vizualizér zásad správného řízení Azure vám umožní sledovat vaše technická aktiva zásad správného řízení. Pomocí funkce kontroly verzí zásad pro cílové zóny Azure můžete udržovat vaše prostředí aktuální s nejnovějším stavem zásad cílové zóny Azure.

Doporučení k zásadám správného řízení Azure

Doporučení ke zrychlení nasazení

  • Identifikujte požadované značky Azure a pomocí režimu zásad připojení vynucujte použití. Další informace najdete v tématu Definování strategie označování.

  • Namapování zákonných požadavků a požadavků na dodržování předpisů na definice Azure Policy a přiřazení rolí Azure

  • Vytvořte definice služby Azure Policy v kořenové skupině pro správu nejvyšší úrovně, protože se můžou přiřazovat v zděděných oborech.

  • V případě potřeby můžete spravovat přiřazení zásad na nejvyšší odpovídající úrovni s vyloučeními na nejnižších úrovních.

  • Azure Policy slouží k řízení registrací poskytovatelů prostředků na úrovni předplatného nebo skupiny pro správu.

  • Pomocí předdefinovaných zásad minimalizujte provozní režii.

  • Přiřaďte předdefinované role Přispěvatel zásad prostředků v určitém oboru, abyste povolili zásady správného řízení na úrovni aplikace.

  • Omezte počet přiřazení služby Azure Policy v oboru kořenové skupiny pro správu, abyste se vyhnuli správě vyloučení v zděděných oborech.

Doporučení pro správu nákladů

  • Pomocí služby Cost Management můžete implementovat finanční dohled nad prostředky ve vašem prostředí.

  • Pomocí značek, jako je nákladové středisko nebo název projektu, připojte metadata zdroje. Tento přístup pomáhá umožnit podrobnou analýzu výdajů.

Zásady správného řízení Azure v akcelerátoru cílových zón Azure

Akcelerátor cílových zón Azure poskytuje organizacím vyspělé řízení zásad správného řízení.

Můžete například implementovat:

  • Hierarchie skupin pro správu, která seskupuje prostředky podle funkce nebo typu úlohy. Tento přístup podporuje konzistenci prostředků.

  • Bohatá sada zásad Azure, která umožňuje řízení zásad správného řízení na úrovni skupiny pro správu. Tento přístup pomáhá ověřit, jestli jsou všechny prostředky v rozsahu.