Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Ihre Azure-Cloud-Umgebung verwalten, um die Betriebliche Integrität zu gewährleisten. Sie benötigen eine starke administrative Kontrolle über Ihre Cloudvorgänge, um sicherzustellen, dass die Cloud ihren Geschäftszielen entspricht.
Identifizieren Sie Ihren Verwaltungsumfang
Die Verwaltungsaufgaben variieren je nach Bereitstellungsmodell. Verwenden Sie die folgende Tabelle, um Ihre Verwaltungsaufgaben für Infrastruktur (IaaS), Plattform (PaaS), Software (SaaS) und lokale Bereitstellungen zu identifizieren.
| Verwaltungsbereiche | Vor Ort | IaaS (Azure) | PaaS (Azure) | SaaS |
|---|---|---|---|---|
| Ändern | ✔️ | ✔️ | ✔️ | ✔️ |
| Sicherheit | ✔️ | ✔️ | ✔️ | ✔️ |
| Einhaltung | ✔️ | ✔️ | ✔️ | ✔️ |
| Daten | ✔️ | ✔️ | ✔️ | ✔️ |
| Code und Laufzeit | ✔️ | ✔️ | ✔️ | |
| Cloudressourcen | ✔️ | ✔️ | ✔️ | |
| Standortwechsel | ✔️ | ✔️ | ✔️ | |
| Betriebssystem | ✔️ | ✔️ | ||
| Virtualisierungsebene | ✔️ | |||
| Physische Hardware | ✔️ |
Verwalten von Änderungen
Die Änderung ist die häufigste Ursache für Probleme in der Cloud. Daher benötigen Sie einen Change Management-Ansatz, der Änderungen und deren Genehmigungen nachverfolgt. Außerdem sollten nicht genehmigte Änderungen erkannt und in einen gewünschten Zustand zurückgesetzt werden. Führen Sie die folgenden Schritte aus:
Entwickeln eines Änderungsanforderungsprozesses. Ein formales System verwenden, z. B. ein Ticketingtool, Pull-Anforderung (GitHub oder Azure DevOps) oder bestimmte Formulare. Der Änderungsanforderungsprozess muss wichtige Details wie den Typ der Änderung, die Anforderungsidentität, die Zielumgebung, den Bereich und den Grund erfassen. Behalten Sie separate Verfahren für Routinedienstanforderungen wie Kennwortzurücksetzungen bei.
Bewerten des mit der Änderung verbundenen Risikos. Weisen Sie klare Risikokategorien (hoch, mittel, niedrig) zu, um die Bereitstellungsgeschwindigkeit mit dem Risikomanagement auszugleichen. Bewerten Sie jede Änderung nach Kriterien wie Ausfallzeittoleranz (Fehlerbudget) und Arbeitsauslastungskritischität. Um den geeigneten Genehmigungsworkflow zu ermitteln, verwenden Sie die folgende Tabelle als Beispiel:
Risikostufe Ausfallzeitenvergütung Kritikalität der Arbeitslast Genehmigungsprozess Änderungsbeispiele Hoch Keine Ausfallzeiten zulässig Diese Änderungen wirken sich auf unternehmenskritische Systeme aus, die eine kontinuierliche Verfügbarkeit mit null Toleranz für Ausfallzeiten erfordern. Mehrere Leitende Techniker überprüft, automatisierte Pipelinewarnungen, progressives Expositionsmodell und aktive Überwachung. Kritische Infrastrukturupdates Mittel Kurze Ausfallzeiten zulässig Diese Änderungen wirken sich auf wichtige Systeme mit eingeschränkter Toleranz für Ausfallzeiten aus. Automatisierte Pipeline kennzeichnet die Änderung. Schnelle Überprüfung durch Techniker, wenn die Überwachung eine Warnung auslöst. Nicht kritische Systemupdates, Featureverbesserungen während kurzer Wartungsfenster Niedrig Ausreichend Ausfallzeiten zulässig Diese Änderungen wirken sich auf nicht kritische Systeme aus, bei denen erweiterte Ausfallzeiten akzeptabel sind, ohne dass sich dies auf den Gesamtbetrieb auswirkt. Die vollständig automatisierte Bereitstellung über CI/CD führt Vorabbereitstellungstests und -überwachungen aus. Routineupdates, kleinere Richtlinienupdates Stellen Sie die Standardisierung der Genehmigung klar. Definieren Sie die Genehmigungskriterien und die erforderlichen Autoritäten auf jedem Risikoniveau. Geben Sie an, wer jede Änderung überprüfen muss, unabhängig davon, ob es sich um einen einzelnen Genehmigenden oder ein Prüfgremium handelt, und klären Sie, wie Prüfer Feedback bereitstellen und auflösen müssen.
Den Bereitstellungsprozess standardisieren. Klar die Verfahren zum Erstellen, Testen und Bereitstellen genehmigter Änderungen für die Produktionsumgebung erläutern. Ausführliche Informationen finden Sie unter Verwalten von Cloudressourcen.
Standardisieren des Prozesses nach der Bereitstellung. Um erfolgreiche Änderungen zu bestätigen, implementieren Sie Überwachungs- und Validierungsschritte. Fügen Sie eine klare Rollbackstrategie ein, um den Dienst schnell wiederherzustellen, wenn eine Änderung Probleme aufführt.
Verhindern und Erkennen nicht autorisierter Änderungen. Verwenden Sie Änderungsanalyse, um Konfigurationsänderungen zu erkennen und ihre zugrunde liegenden Ursachen zu erläutern. Verwenden Sie Azure-Richtlinien, um Änderungen mithilfe von Effekten wie Deny, DenyAction, Auditund auditIfNotExistsabzulehnen und zu überwachen. Wenn Sie Bicep verwenden, sollten Sie Bicep-Bereitstellungsstapel verwenden, um nicht autorisierte Änderungen zu verhindern.
Verwalten von Sicherheit
Die Identität ist Ihr Sicherheitsperimeter. Sie müssen Identitäten überprüfen, Berechtigungen einschränken und sichere Ressourcenkonfigurationen verwalten. Führen Sie die folgenden Schritte aus:
Identitäten verwalten. Verwenden Sie Microsoft Entra ID als einheitliche Identitätsverwaltungslösung. Definieren Sie Berechtigungen eindeutig, indem Sie rollenbasierte Zugriffssteuerung (RBAC)anwenden. Verwenden Sie Microsoft Entra ID Governance-, um Zugriffsanforderungsworkflows, Zugriffsüberprüfungen und Identitätslebenszyklusverwaltung zu steuern. Aktivieren Sie Privileged Identity Management, um privilegierten Just-in-Time-Zugriff zu gewähren. Diese Strategie reduziert unnötigen erhöhten Zugriff. Verwalten Sie alle drei Identitätstypen (Benutzer, Anwendung, Gerät) konsistent, um die ordnungsgemäße Authentifizierung und Autorisierung sicherzustellen.
Zugriff verwalten. Verwenden Sie azure rollenbasierte Zugriffssteuerung (RBAC) und attributbasierte Zugriffssteuerung (ABAC), um die geringste Berechtigung zum Ausführen des Auftrags zu erteilen. Um den Verwaltungsaufwand zu begrenzen, bevorzugen Sie Rollenzuweisungen basierend auf Gruppen. Erteilen Sie den niedrigsten erforderlichen Bereichen Bereich auswählen, z. B. Abonnements, Ressourcengruppen oder einzelne Ressourcen. Vermeiden Sie übermäßig breite Berechtigungsbereiche, um unbeabsichtigte Berechtigungseskalation zu verhindern. Weisen Sie nur die erforderlichen Berechtigungen für die Rolle jedes Benutzers zu.
Verwalten von Ressourcenkonfigurationen. Verwenden Sie Infrastruktur als Code (IaC), um eine konsistente und reproduzierbare Konfiguration von Ressourcen sicherzustellen. Verwenden Sie dann Azure-Richtlinie, um sichere Konfigurationen bestimmter Azure-Dienste zu erzwingen. Verweisen Sie auf die Sicherheitsgrundwerte, um Anleitungen zu verfügbaren Sicherheitsfunktionen und optimalen Sicherheitskonfigurationen zu erhalten. Verwenden Sie als Add-On-Feature Sicherheitsrichtlinien in Defender for Cloud, um die gemeinsamen Sicherheitsstandards zu erfüllen.
Verwalten der Authentifizierung. Sicherstellen, dass Benutzer eine starke Authentifizierung über die mehrstufige Authentifizierung (MFA) übernehmen und Microsoft Entra multifactor authentication (MFA)verwenden. Erfordern Sie immer bedingten Zugriff , um die Authentifizierung basierend auf Benutzeridentität, Geräteintegrität und Zugriffskontext zu erzwingen. Konfigurieren Sie die Self-Service-Kennwortzurücksetzung und entfernen Sie unsichere Kennwörter.
Sicherheitsinformationen verwalten. Verwenden von Microsoft Sentinel für Sicherheitsinformationen und sogar die Verwaltung (SIEM) und die Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR).
Überwachen Sie die Workloadsicherheit. Empfehlungen zur Workloadsicherheit finden Sie in der Sicherheitscheckliste des Well-Architected Frameworks und in Azure-Dienstleitfäden. (Beginnen Sie mit dem Abschnitt „Sicherheit“.)
Compliance verwalten
Die Complianceverwaltung stellt sicher, dass Azure-Vorgänge weiterhin an etablierten Governancerichtlinien und behördlichen Standards ausgerichtet bleiben. Sie müssen das Risiko verringern, indem Sie die Umgebung vor potenziellen Verstößen und Fehlkonfigurationen schützen. Führen Sie die folgenden Schritte aus:
Verstehen Sie Ihre Governancerichtlinien. Governancerichtlinien definieren die übergeordneten Einschränkungen, die Ihre Teams befolgen müssen, um konform zu bleiben. Überprüfen Sie die Richtlinien Ihrer Organisation, und ordnen Sie jede Anforderung Ihren betrieblichen Prozessen zu. Wenn Sie nicht über Governancerichtlinien verfügen, dokumentieren Sie zunächst Governancerichtlinien.
Compliance verwalten. Die Durchsetzung der Compliance stellt sicher, dass Ihre Umgebung sowohl mit organisatorischen als auch mit regulatorischen Standards übereinstimmt. In der folgenden Tabelle finden Sie Richtlinienempfehlungen.
Empfehlung Einzelheiten Starten Sie mit Allgemeine Richtliniendefinitionen Beginnen Sie mit den allgemeinen Definitionen von Azure Policy, einschließlich zulässiger Speicherorte, unzulässiger Ressourcentypen und überwachen Sie benutzerdefinierte RBAC-Rollen. Einhaltung gesetzlicher Standards Verwenden Sie die kostenlosen integrierten Definitionen von Azure Policy, die an regulatorischen Standards wie ISO 27001, NIST SP 800-53, PCI DSS, EU-DSGVO angepasst sind.
Weitere Informationen finden Sie unter Erzwingen der Compliance in Azure.
Verwalten von Daten
Das Verwalten von Daten in Cloudvorgängen umfasst die aktive Klassifizierung, Segmentierung, Sicherung des Zugriffs und schutz vor Löschungen. Sie müssen vertrauliche Informationen schützen, die Compliance aufrecht erhalten und die Datensicherheit während betrieblicher Änderungen sicherstellen. Führen Sie die folgenden Schritte aus:
Ermitteln und Klassifizieren von Daten. Identifizieren und Kategorisieren von Daten gemäß Vertraulichkeit und Wichtigkeit. Diese Klassifizierung leitet angepasste Steuerungsmaßnahmen für jeden Datentyp. Verwenden Sie Microsoft Purview für die Datenverwaltung. Weitere Informationen finden Sie unter Datenquellen, die eine Verbindung mit Microsoft Purview Data Mapherstellen.
Kontrollieren Sie die Datenresidenz. Wählen Sie Regionen innerhalb Ihrer Geografie aus, z. B. die Vereinigten Staaten oder Europa, um die Anforderungen an die Datenresidenz zu erfüllen. Überprüfen Sie alle Ausnahmen, da bestimmte Azure-Dienste Möglicherweise Daten außerhalb Ihrer ausgewählten Region speichern. Überprüfen Sie regelmäßig Azure Data Residency-Einstellungen und Complianceanforderungen, um die vollständige Kontrolle über Ihre Kundendaten zu behalten.
Interne Arbeitslasten ("Corp") und internetgerichtete Workloads ("Online") isolieren. Verwenden Sie Verwaltungsgruppen, um interne und externe Workloads zu trennen. Interne Workloads erfordern in der Regel Konnektivität oder Hybridkonnektivität mit Ihrem Unternehmensnetzwerk. Externe Workloads erfordern in der Regel keine Unternehmensnetzwerkkonnektivität und benötigen möglicherweise direkten eingehenden oder ausgehenden Internetzugriff. Überprüfen Sie beispielsweise die Verwaltungsgruppen "Corp" (intern) und "Online" (internetorientierte) in der Azure-Landezone.
Zugriffssteuerung erzwingen. Implementieren robuster Zugriffssteuerungen wie Azure RBAC und Azure ABAC, um sicherzustellen, dass nur autorisierte Mitarbeiter auf vertrauliche Daten basierend auf definierten Klassifizierungen zugreifen.
Daten vor Löschung schützen. Verwenden von Features wie Soft Delete, Datenversionierung und Unveränderlichkeit, sofern verfügbar. Implementieren Sie die Datenbankversionsverwaltung, und bereiten Sie Rollbackprozeduren vor. Verwenden Sie die Azure Policy, um Löschungen von Datenspeichern mithilfe von Deny und DenyAction zu verhindern oder Änderungen mithilfe von Audit und auditIfNotExists zu überwachen. Wenn Sie Bicep verwenden, sollten Sie Bicep-Bereitstellungsstapel verwenden, um nicht autorisierte Änderungen zu verhindern. Verwenden Sie Ressourcensperren nur streng, um unbeabsichtigte Änderungen oder Löschungen kritischer Daten zu verhindern. Vermeiden Sie die Verwendung von Ressourcensperren zum Schutz von Konfigurationen, da Ressourcensperren IaC-Bereitstellungen erschweren.
Arbeitsauslastungsdaten verwalten. Lesen Sie die Empfehlungen des Well-Architected Frameworks zu Datenklassifizierung.
Weitere Informationen finden Sie unter Durchsetzung der Datenverwaltung.
Kosten verwalten
Die Verwaltung von Kosten in Cloud-Vorgängen bedeutet, dass Ausgaben sowohl zentral als auch pro Workload aktiv nachverfolgt werden. Die Kostenkontrolle sollte Die Ausgaben sichtbar machen und verantwortungsvolle Ausgaben fördern. Führen Sie die folgenden Schritte aus:
Kosten verwalten und überprüfen. Verwenden Sie Microsoft Cost Management Tools, um Cloudkosten zu überwachen. Azure verfügt nicht über einen abonnementweiten Mechanismus, um ausgaben auf einen bestimmten Schwellenwert zu begrenzten. Einige Dienste, z. B. Azure Log Analytics-Arbeitsbereich, haben Ausgabenobergrenzen. Ihre Kostenüberwachungsstrategie dient als primäres Instrument für die Verwaltung von Ausgaben.
Verwalten Sie die Workloadkosten. Gewähren Sie Workloadteams Zugriff auf Abrechnungen. Lassen Sie diese Teams die Kostenoptimierungs-Checkliste des Well-Architected-Frameworksverwenden.
Verwalten von Code und Laufzeit
Das Verwalten von Code und Laufzeit sind Workload-Verantwortlichkeiten. Lassen Sie Ihre Workloadteams die Well-Architected Frameworks Operational Excellence Checklisteverwenden, die 12 Empfehlungen zum Steuern von Code und Laufzeit enthält.
Verwalten von Cloudressourcen
Richten Sie klare Bereitstellungsprotokolle und proaktive Drift- und Sprawl-Erkennungsstrategien ein, um Konsistenz in allen Umgebungen aufrechtzuerhalten. Dieser Abschnitt behandelt:
Verwalten von Portalbereitstellungen
Definieren Sie Protokolle und Grenzwerte für Portalbereitstellungen, um das Potenzial für Produktionsprobleme zu minimieren. Führen Sie die folgenden Schritte aus:
Definieren der Portalbereitstellungsrichtlinie. Sicherstellen, dass wichtige portalbasierte Änderungen den etablierten Change Management-Prozessen entsprechen. Verwenden Sie Portalbereitstellungen in erster Linie für schnelle Prototyperstellung, Problembehandlung oder kleinere Anpassungen in Entwicklungs- und Testumgebungen. Vermeiden Sie unstrukturierte Portaländerungen, da diese Änderungen zu Abweichungs-, Fehlkonfigurations- und Complianceproblemen führen. Verwenden Sie stattdessen versionsgesteuerte Infrastruktur-as-Code-Vorlagen (IaC) zur Konsistenz. Weitere Informationen finden Sie unter Verwalten von Codebereitstellungen.
Differenzieren von Umgebungen. Einschränken von portalbasierten Änderungen ausschließlich auf Nichtproduktionsumgebungen. Ermöglichen Sie schnelle Prototypen ausschließlich in dedizierten Entwicklungs- oder Testumgebungen und erzwingen Sie strenge Kontrollen in der Produktion.
Portalberechtigungen einschränken. Beschränken der Bereitstellungsfunktionen über das Portal mithilfe der rollenbasierten Zugriffssteuerung (RBAC). Weisen Sie standardmäßig Leseberechtigungen zu, und erweitern Sie Berechtigungen nur, wenn nötig.
Just-in-Time-Zugriff gewähren.Privileged Identity Management (PIM)- für den Zugriff auf Azure- und Microsoft Entra-Ressourcen verwenden. Fordern Sie sequenzielle Genehmigungen von mehreren Einzelpersonen oder Gruppen für die Aktivierung von PIM an. Reservieren Sie privilegierte Rollen ("A0"-Superadministratorrollen) ausschließlich für Notfallszenarien.
Struktur-RBAC basierend auf dem Betriebssystem. Entwerfen von RBAC-Richtlinien, die auf operative Teams zugeschnitten sind, einschließlich Supportebenen, Sicherheitsvorgängen, Plattformen, Netzwerk und Workloads.
Alle Aktivitäten überwachen. Überwachen und Aufzeichnen aller Aktionen in Ihrem System. Verwenden Sie Azure Policy, um Änderungen (Audit oder auditIfNotExists) zu überwachen. Konfigurieren Sie darüber hinaus Warnung in Azure Monitor, um Projektbeteiligte zu benachrichtigen, wenn jemand eine Azure-Ressource löscht. Wenn Sie Bicep verwenden, sollten Sie Bicep-Bereitstellungsstapel verwenden, um nicht autorisierte Änderungen zu verhindern.
Verwenden von versionsgesteuerten Vorlagen. Die Verwendung des Portals auf Notfallszenarien beschränken, wenn IaC-Bereitstellungen verwendet werden. Portaländerungen führen zu Konfigurationsabweichungen von IaC-Vorlagen. Replizieren Sie alle portalbasierten Änderungen sofort in versionsgesteuerten IaC-Vorlagen, z. B. Bicep-, Terraform-oder ARM--Vorlagen. Exportieren Sie regelmäßig Azure-Ressourcenkonfigurationen, und speichern Sie sie als IaC, um Produktionsumgebungen beizubehalten, die an genehmigten, nachverfolgbaren Konfigurationen ausgerichtet sind. Siehe Anleitungen zum Exportieren von Azure-Konfigurationen als Bicep-, Terraform-oder ARM-Vorlagen. Berücksichtigen Sie Vorlagenspezifikationen, wenn Sie ARM-Templates verwenden.
Werkzeug Anwendungsfall Bizeps Verwaltbare, lesbare azurespezifische IaC Terraform Multicloud-Lösung, umfassenderer Community-Support ARM-Vorlagen Volle Kontrolle, vertraut mit JSON
Verwalten von Codebereitstellungen
Übernehmen Sie bewährte Methoden zum Automatisieren und Steuern von Änderungen an Code und Infrastruktur. Führen Sie die folgenden Schritte aus:
Standardisieren der Tools. Verwenden Sie ein konsistentes Toolset, um den Kontextwechsel zu minimieren. Wählen Sie Entwicklertools (VS Code, Visual Studio), ein Code-Repository (GitHub, Azure DevOps), eine CI/CD-Pipeline (GitHub Actions, Azure Pipelines) und eine IaC-Lösung (Bicep, Terraform, oder ARM-Vorlagen) aus, die zusammenarbeiten.
Versionssteuerung verwenden. Bewahren Sie eine einzige Wahrheitsquelle für Ihren Code auf. Verwenden Sie die Versionssteuerung, um die Abweichung der Konfiguration zu reduzieren und Rollbackprozeduren zu vereinfachen.
Verwenden von Bereitstellungspipelines. Eine CI/CD-Pipeline automatisiert den Buildprozess, führt Tests aus und scannt Code auf Qualitäts- und Sicherheitsprobleme bei jeder Pullanforderung. Verwenden Sie GitHub-Aktionen oder Azure Pipelines, um Anwendungscode und IaC-Dateien zu erstellen und bereitzustellen. Erzwingen Sie Hooks und automatisierte Scans, um nicht autorisierte oder risikoreiche Änderungen frühzeitig zu erfassen.
Testen Sie Bereitstellungen. Stellen Sie Genehmigungen in Ihren CI/CD-Pipelines phasenweise bereit, um Bereitstellungen schrittweise zu überprüfen. Folgen Sie dieser Sequenz: Entwicklung, Build-Verifizierung, Integrationstests, Performanztests, Benutzerakzeptanztests (UAT), Staging, Canary Releasing, Vorproduktion und schließlich Produktion.
Infrastruktur als Code (IaC) verwenden. Verwenden Sie IaC, um Konsistenz zu gewährleisten und Bereitstellungen über die Versionssteuerung zu verwalten. Wechseln Sie von auf Azure Portal basierenden Proof of Concepts zu IaC-Produktionsumgebungen. Verwenden Sie Bicep-, Terraform-oder ARM--Vorlagen, um Ressourcen zu definieren. Verwenden Sie für Bicep Module und ziehen Sie Bereitstellungsstapel in Erwägung. Berücksichtigen Sie für ARM-Vorlagen die Vorlagenspezifikationen für die versionsbasierte Bereitstellung.
Bewährte Methoden für das Anwenden von Code-Repositorys. Nach diesen Standards werden Fehler reduziert, Codeüberprüfungen optimiert und Integrationsprobleme vermieden. Für Produktionsumgebungen mit hoher Priorität:
Anforderung Beschreibung Deaktivieren von direkten Pushs Blockieren direkter Commits zum Mainbranch Erzwingen von Pull Requests Alle Änderungen müssen über einen Pull-Request erfolgen Erzwingen von Codeüberprüfungen Sicherstellen, dass eine andere Person als der Autor jede Pullanforderung überprüft Sicherstellen von Schwellenwerten der Codeabdeckung Stellen Sie sicher, dass ein Minimalprozentsatz von Code automatisierte Tests für alle Pullanforderungen bestanden hat. Verwenden von Validierungspipelines Konfigurieren von Branch-Schutzregeln zum Ausführen einer Validierungspipeline für Pullanforderungen Erforderlich sind Prüfungen zum Onboarding von Workload-Teams. Stellen Sie sicher, dass neue Codebasen und Teams mit Geschäftszielen, Standards und bewährten Methoden übereinstimmen. Verwenden Sie eine Checkliste, um die Code-Repositorystruktur, Benennungsstandards, Codierungsstandards und CI/CD-Pipelinekonfigurationen zu bestätigen.
Verwalten von Konfigurationsabweichungen
Verwalten Sie die Konfigurationsabweichung, indem Sie Diskrepanzen zwischen Ihrer beabsichtigten Konfiguration und der Liveumgebung identifizieren und korrigieren. Befolgen Sie die folgenden bewährten Methoden:
Änderungen verhindern und erkennen. Verwenden Sie Änderungsanalyse, um Konfigurationsänderungen zu erkennen und ihre zugrunde liegenden Ursachen zu erläutern. Verwenden Sie Azure-Richtlinien, um Änderungen mithilfe von Effekten wie Deny, DenyAction, Auditund auditIfNotExistsabzulehnen und zu überwachen. Wenn Sie Bicep verwenden, sollten Sie Bicep-Bereitstellungsstapel verwenden, um nicht autorisierte Änderungen zu verhindern.
Erkennen von IaC-Konfigurationsabweichungen. Drift tritt auf, wenn jemand die IaC-Datei aktualisiert (absichtlich, unbeabsichtigt) oder eine Änderung im Azure-Portal vor nimmt. Vergleichen Sie die Liveumgebung regelmäßig mit Ihrer gewünschten Konfiguration, um Drift zu erkennen:
Speichern Sie die gewünschten und zuletzt bekannten Konfigurationen. Speichern Sie Ihre gewünschte Konfigurationsdatei in einem versionsgesteuerten Repository. Diese Datei zeigt die ursprüngliche beabsichtigte Konfiguration an. Bewahren Sie eine zuletzt bekannte gute Konfiguration als zuverlässige Rollback-Referenz und als Basis für die Drift-Erkennung auf.
Konfigurationsabweichungen vor der Bereitstellung erkennen. Vorschau potenzieller Änderungen vor der Bereitstellung mithilfe von Terraform Plan, Bicep What-ifoder ARM Template What-if. Untersuchen Sie Diskrepanzen gründlich, um sicherzustellen, dass vorgeschlagene Änderungen am gewünschten Zustand ausgerichtet sind.
Erkennen Sie Abweichungen nach der Bereitstellung. Vergleichen Sie mithilfe regelmäßiger Abweichungsüberprüfungen Liveumgebungen mit den gewünschten Konfigurationen. Integrieren Sie diese Prüfungen in Ihre CI/CD-Pipelines, oder führen Sie sie manuell aus, um Konsistenz zu gewährleisten. Sehen Sie sich ein Beispiel mit Azure-Richtlinie und Azure-Pipelines an.
Rückkehr zur zuletzt als gut bekannten Konfiguration. Entwickeln Sie klare Rollback-Strategien, die automatisierte Verfahren in Ihrer CI/CD-Pipeline implementieren. Nutzen Sie Ihre zuletzt bekannte gute Konfiguration, um unerwünschte Änderungen schnell rückgängig zu machen und Ausfallzeiten zu minimieren.
Minimieren von portalgesteuerten Änderungen. Minimieren von Nicht-IaC-Änderungen nur für Notfallszenarien. Erzwingen Sie strenge Zugriffskontrollen wie Privileged Identity Management. Aktualisieren Sie IaC-Dateien umgehend, wenn manuelle Anpassungen erforderlich sind, um die Genauigkeit Ihrer gewünschten Konfiguration beizubehalten.
Verwalten von Ressourcenwildwuchs
Die Ressourcenüberlastung beschreibt das unkontrollierte Wachstum von Cloud-Ressourcen. Dieses Wachstum erhöht Die Kosten, Sicherheitsrisiken und Managementkomplexität. Führen Sie die folgenden Schritte aus:
Implementieren von Governancerichtlinien. Verwenden Sie Azure Policy, um Standards für die Ressourcenbereitstellung und das Tagging in Ihrer Organisation durchzusetzen. Erstellen Sie eine klare Benennungsstrategie für eine einfachere Ressourcensichtbarkeit.
Ressourcen effektiv organisieren. Strukturieren von Ressourcen hierarchisch mit Verwaltungsgruppen und Abonnements, die den Anforderungen Ihrer Organisation entsprechen. Diese Struktur verbessert die Sichtbarkeit und ressourcenverwaltung. Informationen zu bewährten Methoden finden Sie in im Leitfaden zur Azure-Zielzone.
Einschränken von Bereitstellungsberechtigungen. Implementieren von bewährten Methoden für die rollenbasierte Zugriffssteuerung (RBAC), die in Azure RBAC und Microsoft Entra RBACbeschrieben sind. Weisen Sie Benutzern geeignete Berechtigungen zu. Verwenden Sie Leserollen, um nicht autorisierte Ressourcenerstellungsrisiken zu minimieren.
Führen Sie regelmäßige Prüfungen durch. Verwenden Sie Azure Advisor, um nicht verwendete oder nicht verwendete Azure-Ressourcen zu identifizieren. Verwenden Sie Kostenverwaltung, um Ihre Cloudausgaben zu analysieren und verwaiste Ressourcen zu entfernen, die unnötige Kosten verursachen. Denken Sie daran, dass nicht alle Azure-Ressourcen Gebühren verursachen. Führen Sie Abfragen in Azure Resource Graph aus, um einen genauen Ressourcenbestand aufrechtzuerhalten.
Verlagerung verwalten
Bewerten Sie ihre aktuellen Azure-Regionen regelmäßig, um zu ermitteln, ob die Zuweisung von Workloads an anderer Stelle die Effizienz verbessert, Kosten reduziert oder die Leistung verbessert.
Grundlegendes zu Verlagerungstreibern. Das Verständnis von Umzugstreibern stellt sicher, dass jede Verlagerung eine gültige geschäftliche Begründung hat, da die Verlagerung Risiken und Kosten beinhaltet. Zu den allgemeinen geschäftlichen Begründungen für die Verlagerung gehören Unternehmenserweiterungen, behördliche Complianceanforderungen und Nähe zu Endbenutzern.
Verwalten Sie Verlagerungsrisiken. Die Verwaltung von Verlagerungsrisiken verhindert Unterbrechungen und hält die Compliance aufrecht. Definieren Sie akzeptable Ausfallzeitfenster, kommunizieren Sie Auswirkungen auf die Projektbeteiligten, und stellen Sie die Einhaltung von Organisationsrichtlinien und Branchenvorschriften sicher.
Verwalten Sie Die Verlagerungskosten. Die Verwaltung der Verlagerungskosten verhindert unnötige Ausgaben während der Migration. Daten einmal übertragen, doppelte Umgebungen entfernen und regionale Azure-Preise vergleichen. Überprüfen Sie die Azure-Bandbreitenpreise.
Verwalten von Verlagerungsprojekten. Kleine Teams sollten Arbeitslasten einzeln mit fokussierter Ausführung migrieren. Große Teams sollten mehrere Arbeitslasten gleichzeitig verschieben, um durch koordinierte Planung Effizienz zu erzielen.
Weitere Informationen finden Sie unter "Verlagern von Workloads".
Verwalten von Betriebssystemen
Wo Sie virtuelle Computer verwenden, müssen Sie auch das Betriebssystem verwalten. Führen Sie die folgenden Schritte aus:
Automatisieren der Wartung virtueller Maschinen. Verwenden Sie in Azure Automatisierungstools, um virtuelle Azure-Computer zu erstellen und zu verwalten. Verwenden Sie Azure Machine Configuration, um Betriebssystemeinstellungen als Code für Computer zu überwachen oder zu konfigurieren, die in Azure und Hybrid ausgeführt werden.
Betriebssysteme aktualisieren. Sie müssen Gastupdates und Hostwartung verwalten, um sicherzustellen, dass die Betriebssysteme für Sicherheitszwecke auf dem neuesten Stand sind.
Überwachen von Vorgängen innerhalb von Gästen. Verwenden Sie den Azure-Dienst für Änderungsnachverfolgung und Bestand, um die Überwachung und Governance für Vorgänge innerhalb von Gästen zu verbessern. Es überwacht Änderungen und stellt detaillierte Bestandsprotokolle für Server in Azure, lokal und anderen Cloudumgebungen bereit.
Azure-Verwaltungstools
| Kategorie | Werkzeug | Beschreibung |
|---|---|---|
| Verwalten von Änderungen | Änderungsanalyse | Erkennt Konfigurationsänderungen und erläutert die zugrunde liegenden Ursachen. |
| Verwalten von Änderungen | Azure-Richtlinie | Erzwingt, überwacht oder verhindert Änderungen an Cloudressourcen |
| Verwalten von Änderungen | Bicep-Bereitstellungsstapel | Verhindert nicht autorisierte Änderungen. |
| Verwalten von Sicherheit | Azure-Sicherheitsgrundwerte | Enthält Anleitungen zu verfügbaren Sicherheitsfunktionen und optimalen Sicherheitskonfigurationen |
| Verwalten von Sicherheit | Säule „Sicherheit“ des Azure Well-Architected Frameworks | Sicherheitsleitfaden für den Entwurf von Arbeitsauslastungen |
| Verwalten von Sicherheit | Azure-Dienstleitfäden (beginnen mit dem Abschnitt "Sicherheit") | Empfehlungen zur Sicherheitskonfiguration für Azure-Dienste |
| Verwalten von Sicherheit | Microsoft Entra-ID | Bietet einheitliche Identitätsverwaltung |
| Verwalten von Sicherheit | Defender für Cloud | Richtet Ressourcenkonfigurationen an Sicherheitsstandards aus |
| Verwalten von Sicherheit | Microsoft Sentinel | Bietet Sicherheitsinformationen und sogar Verwaltung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR) |
| Verwalten von Sicherheit | Azure RBAC | Gewährt sicheren Zugriff mit rollenbasierten Zuordnungen |
| Verwalten von Sicherheit | Azure ABAC | Gewährt sicheren Zugriff basierend auf Attributbedingungen |
| Verwalten von Sicherheit | Microsoft Entra ID Governance | Verwaltet Zugriffsworkflows und Identitätslebenszyklus |
| Verwalten von Sicherheit | Privileged Identity Management | Bietet rechtzeitigen privilegierten Zugriff |
| Verwalten von Sicherheit | Microsoft Entra multifaktor-authentifizierung (MFA) | Erzwingt eine starke mehrstufige Authentifizierung |
| Verwalten von Sicherheit | Bedingter Zugriff | Erzwingt die kontextbasierte Authentifizierung |
| Verwalten von Sicherheit | Self-Service-Kennwortzurücksetzung | Ermöglicht das sichere Zurücksetzen von Benutzerpasswörtern |
| Compliance verwalten | Azure-Richtlinie | Erzwingt Standards und sichert Ressourcenkonfigurationen |
| Verwalten von Daten | Microsoft Purview | Steuert und klassifiziert vertrauliche Daten |
| Verwalten von Daten | Azure-Richtlinie | Verhindert oder überwacht unbeabsichtigte Änderungen oder Löschungen von Ressourcen. |
| Verwalten von Daten | Ressourcensperren | Verhindert unbeabsichtigte Änderungen oder Löschungen. |
| Kosten verwalten | Kosten überwachen | Die Überwachung ist entscheidend für die Verwaltung von Cloudkosten |
| Verwalten von Cloudressourcen | Azure-Richtlinie | Erzwingt, überwacht oder verhindert Änderungen an Cloudressourcen |
| Verwalten von Cloudressourcen (Portalbereitstellungen) | Exportieren von ARM-Vorlagen | Exportiert Ressourcenkonfigurationen als IaC-Vorlagen |
| Verwalten von Cloudressourcen (Portalbereitstellungen) | Azure Monitor-Warnungen | Benachrichtigt die Projektbeteiligten über Ressourcenänderungen. |
| Verwalten von Cloudressourcen (Codebereitstellungen) | Bizeps | Verwaltet die Infrastruktur als Code für Azure-Ressourcen |
| Verwalten von Cloudressourcen (Codebereitstellungen) | Bicep-Bereitstellungsstapel | Unterstützt versionsgesteuerte Bereitstellungen und verhindert nicht autorisierte Änderungen |
| Verwalten von Cloudressourcen (Codebereitstellungen) | Terraform | Verwaltet multicloud-Infrastruktur als Code |
| Verwalten von Cloudressourcen (Codebereitstellungen) | ARM-Vorlagen | Definiert und stellt Azure-Ressourcen mit Vorlagen bereit. |
| Verwalten von Cloudressourcen (Codebereitstellungen) | ARM-Vorlagenspezifikationen | Versioniert und verwaltet ARM-Vorlagen zur Sicherstellung der Konsistenz |
| Verwalten von Cloudressourcen (Codebereitstellungen) | GitHub-Aktionen | Automatisiert Build-, Test- und Bereitstellungspipelines |
| Verwalten von Cloudressourcen (Codebereitstellungen) | Azure-Pipelines | Automatisiert Erstellungs- und Bereitstellungsprozesse |
| Drift verwalten | Azure-Richtlinie | Erzwingt, überwacht oder verhindert Änderungen an Cloudressourcen |
| Drift verwalten | Änderungsanalyse | Erkennt und erläutert Konfigurationsänderungen |
| Drift verwalten | Bicep – Was-wäre-wenn | Vorschau potenzieller Konfigurationsänderungen |
| Drift verwalten | Terraform-Plan | Vorschau potenzieller Änderungen vor der Terraform-Bereitstellung |
| Drift verwalten | ARM-Vorlage Was-wäre-wenn | Vorschau potenzieller Konfigurationsänderungen |
| Verwalten von Betriebssystemen | Azure Machine Configuration | Überwacht und konfiguriert Betriebssystemeinstellungen als Code. |
| Verwalten von Betriebssystemen | Azure-Dienst für Änderungsnachverfolgung und Bestand | Überwacht und protokolliert Änderungen für Betriebssysteme |
| Verwalten von Betriebssystemen | Automatisierungstools | Automatisiert die Wartung virtueller Maschinen |