Bearbeiten

Share via

Azure Governance Visualizer Accelerator Anleitung

Azure

Unternehmen können den Azure Governance Visualizer verwenden, um relevante Governance-Informationen über ihre Azure-Tenants zu erfassen. Das Tool erfasst:

  • Verwaltungsgruppenhierarchie
  • Richtlinieninformationen, z. B. benutzerdefinierte Richtliniendefinitionen, verwaiste benutzerdefinierte Richtliniendefinitionen und Richtlinienzuweisungen.
  • Informationen zur rollenbasierten Zugriffskontrolle (RBAC), z. B. benutzerdefinierte Rollendefinitionen, verwaiste benutzerdefinierte Rollendefinitionen und Rollenzuweisungen.
  • Azure-Sicherheit und Analyse bewährter Verfahren.
  • Microsoft Entra ID Einblicke.

Der Azure Governance Visualizer Accelerator führt den Visualizer auf automatisierte Weise über Azure Pipelines oder GitHub Actions aus. Der Visualizer gibt die Zusammenfassung als HTML-, MD- und CSV-Dateien aus. Im Idealfall wird der generierte HTML-Bericht autorisierten Benutzern im Unternehmen leicht zugänglich gemacht. Dieser Artikel zeigt Ihnen, wie Sie die Ausführung des Azure Governance Visualizer automatisieren und die Berichtsausgabe sicher und kostengünstig auf der Web-Apps-Funktion von Azure App Service hosten können.

Eine Beispielimplementierung ist auf GitHub unter Azure Governance Visualizer accelerator verfügbar.

Aufbau

Diagramm, das die Architektur des Azure Governance Visualizer Accelerators zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

Die Lösungsarchitektur implementiert den folgenden Workflow:

  1. Ein Timer löst den Ablauf der GitHub-Aktionen aus.
  2. Der Fluss stellt eine OpenID Connect-Verbindung zu Azure her. Anschließend wird das Tool Azure Governance Visualizer ausgeführt. Das Tool sammelt die erforderlichen Erkenntnisse in Form von HTML-, MD- und CSV-Berichten.
  3. Die Berichte werden in das GitHub-Repository eingestellt.
  4. Die HTML-Ausgabe des Azure Governance Visualizer-Tools wird im App Service veröffentlicht.

Benutzerflow

Dieser Ablauf erklärt, wie ein Benutzer das Tool verwenden kann:

  1. Der Benutzer ruft die URL des App-Dienstes auf, um auf den HTML-Bericht des Visualizers zuzugreifen. Der Benutzer muss sich über die Microsoft Entra ID Autorisierung authentifizieren.
  2. Der Benutzer kann die vom Visualisierer gelieferten Erkenntnisse überprüfen.

Komponenten

Der Accelerator basiert auf einem GitHub-Vorlagen-Repository, das aus den folgenden Komponenten besteht:

  • Microsoft Entra ID ist ein Identitätsdienst für Unternehmen, der einmaliges Anmelden, Multi-Faktor-Authentifizierung und bedingten Zugriff ermöglicht.
  • Azure App Service ist eine umfassend verwaltete Plattform zum Erstellen und Bereitstellen von Cloudanwendungen. Sie ermöglicht das Definieren einer Reihe von Computeressourcen zum Ausführen einer Web-App, das Bereitstellen von Web-Apps und das Konfigurieren von Bereitstellungsslots.
  • GitHub ist ein beliebtes SaaS-Angebot von Microsoft, das häufig von Entwicklern für die Erstellung, Bereitstellung und Wartung ihrer Softwareprojekte genutzt wird.
  • GitHub Actions bietet Funktionalitäten für Continuous Integration und Continuous Deployment für diese Architektur.

Alternativen

  • Der Azure Governance Visualizer ist ein PowerShell-Skript, das direkt auf einem lokalen Rechner ausgeführt werden kann. Der Visualizer kann so konfiguriert werden, dass er als Teil von GitHub Actions oder Azure DevOps Pipeline ausgeführt wird, um aktuelle Informationen über Ihre Umgebung zu erhalten. Der Visualizer erzeugt ein Wiki als Ausgabe, das in GitHub oder Azure DevOps veröffentlicht werden kann.

  • Der Visualizer kann auch auf jeder anderen Hosting-Plattform gehostet werden, die sicher und auch kostengünstig ist, wie Azure Static Web Apps.

Szenariodetails

Azure Governance Visualizer ist ein PowerShell-basiertes Skript, das die Verwaltungsgruppenhierarchie Ihres Azure-Tenants bis hinunter zur Abonnementebene iteriert. Sie erfasst die wichtigsten Azure-Governance-Funktionen, wie Azure Policy, RBAC, Microsoft Entra ID und Blueprints. Aus den gesammelten Daten visualisiert der Azure Governance Visualizer all diese Informationen in einem einfach zu navigierenden HTML-Bericht.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Es ist wichtig, die HTML-Berichterstattung auf die Benutzer zu beschränken, die berechtigt sind, diese Daten einzusehen. Diese Daten sind eine Goldgrube für interne und externe Bedrohungen, da sie Ihre Azure-Landschaft, einschließlich der Sicherheitskontrollen, offenlegen.

  • Verwenden Sie die Microsoft Entra-Authentifizierung, um den Zugriff auf autorisierte Personen zu beschränken. Erwägen Sie die Verwendung der Web-Apps-Authentifizierung, um diesen Dienst anzubieten. Im Accelerator wird die Bereitstellung auf Web Apps konfiguriert und vor der Bereitstellung aktiv überprüft, ob die Authentifizierung aktiviert ist.

  • Erwägen Sie die Anwendung von Netzwerksicherheitskontrollen, um die Website für Ihr Team nur über einen privaten Endpunkt zugänglich zu machen. Und um den Datenverkehr zu beschränken, sollten Sie die IP-Beschränkungen von Web Apps nutzen.

  • Aktivieren Sie die Zugriffsprotokollierung in der Azure-Webanwendung, um den Zugriff überprüfen zu können. Konfigurieren Sie die Azure-Webanwendung, um diese Protokolle an einen Log Analytics-Arbeitsbereich zu senden.

  • Stellen Sie sicher, dass die sichere Kommunikation in der Azure-Webanwendung aktiviert ist. Im Accelerator sind nur HTTPS und FTP erlaubt, und die Mindestversion von TLS ist auf 1.2 konfiguriert.

  • Erwägen Sie die Verwendung von Microsoft Defender for Cloud's Microsoft Defender for App Service.

  • Verwenden Sie die neuesten Versionen des Runtime Stacks der Azure Web App.

  • Achten Sie darauf, das Geheimnis dieses Dienstherrn regelmäßig zu wechseln und seine Aktivität zu überwachen. Um alle erforderlichen Informationen zu sammeln, ist der vom Accelerator eingesetzte Visualizer von einem Dienstprinzipal mit Microsoft Entra ID-Berechtigungen abhängig.

Weitere Informationen zu den Sicherheitskontrollen finden Sie unter Azure Security Baseline for App Service.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

  • Die B1 (Basic)-Ebene wird für die bereitgestellte Azure-Webanwendung in App Service verwendet. App Service hostet die HTML-Ausgabe des Azure Governance Visualizer-Tools, sodass es leichtgewichtig ist.

  • Der Accelerator stellt nur eine Instanz von App Service bereit, aber Sie können bei Bedarf auch mehr bereitstellen.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

  • Der Accelerator besteht hauptsächlich aus einer Azure-Webanwendung, die die HTML-Ausgabe des Visualisierungstools hostet. Wir empfehlen Ihnen, die Diagnoseeinstellungen der Webanwendung zu aktivieren, um den Datenverkehr zu überwachen, auf Audit-Protokolle und Metriken zuzugreifen und vieles mehr.

  • Es ist wichtig, die Leistung der Webanwendung zu überwachen. Auf diese Weise können Sie feststellen, ob Sie je nach Umfang der Visualisierungsnutzung eine Vergrößerung oder Verkleinerung vornehmen müssen.

  • Es ist auch wichtig, immer die neuesten Versionen des Runtime-Stacks der Azure-Web-App auszuführen.

  • Der Azure Governance Visualizer wird regelmäßig mit neuen Funktionen, Fehlerbehebungen oder Verbesserungen aktualisiert. Im Accelerator übernimmt ein spezieller GitHub-Workflow den Aktualisierungsprozess. Es gibt eine konfigurierbare Option, um den Code des Visualisierers automatisch oder manuell zu aktualisieren, indem Sie einfach eine Pull-Anfrage mit Änderungen öffnen, die Sie überprüfen und zusammenführen können.

  • Der Accelerate Code wird möglicherweise mit neuen Einstellungen im App Service Bicep Code oder mit neuen Anweisungen für die Visualisierungsvoraussetzungen aktualisiert. Im Accelerator übernimmt ein spezieller GitHub-Workflow diesen Aktualisierungsprozess. Es gibt eine konfigurierbare Option, um den Code des Visualisierers automatisch oder manuell zu aktualisieren, indem Sie einfach eine Pull-Anfrage mit Änderungen öffnen, die Sie überprüfen und zusammenführen können.

Bereitstellen dieses Szenarios

Um dieses Szenario bereitzustellen, siehe Azure Governance Visualizer accelerator.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte