Zone de conception : gouvernance Azure

  • Article

Utilisez la gouvernance Azure pour établir les outils nécessaires à la prise en charge de la gouvernance cloud, de l’audit de conformité et des garde-fous automatisés.

Examen de la zone de conception

Rôles ou fonctions : la gouvernance Azure provient de la gouvernance cloud. Vous devrez peut-être mettre en œuvre la plateforme cloud ou un centre d’excellence du cloud pour définir et appliquer certaines exigences techniques. La gouvernance se concentre sur la mise en œuvre des exigences en matière d’opérations et de sécurité, qui peuvent nécessiter la sécurité du cloud, les opérations informatiques centrales ou les opérations cloud.

Étendue : penchez-vous sur les décisions que vous avez prises lors de la révision des zones de conception d’identité, de réseau, de sécurité et de gestion. Votre équipe peut comparer les décisions de révision de la gouvernance automatisée, qui fait partie de l’accélérateur de zone d’atterrissage Azure. Les décisions de révision peuvent vous aider à déterminer ce qu’il faut auditer ou mettre en œuvre et quelles stratégies déployer automatiquement.

Hors de l’étendue : La gouvernance Azure établit la fondation de la mise en réseau. Toutefois, elle ne traite pas des composants relatifs à la conformité, tels que la sécurité réseau avancée ou les garde-fous automatisés, afin d’appliquer des décisions en matière de mise en réseau. Vous pouvez prendre ces décisions en matière de mise en réseau lorsque vous vérifiez la conformité en matière de sécurité et de gouvernance. L’équipe de la plateforme cloud doit répondre aux exigences de mise en réseau initiales avant de traiter des composants plus complexes.

Nouvel environnement de cloud (greenfield) : pour commencer votre parcours dans le cloud, créez un petit ensemble d’abonnements. Vous pouvez utiliser des modèles de déploiement Bicep pour créer vos zones d’atterrissage Azure. Pour plus d’informations, consultez Bicep des zones d’atterrissage Azure – Flux de déploiement.

Environnement cloud existant (brownfield) : si vous souhaitez appliquer des principes de gouvernance Azure éprouvés aux environnements Azure existants, examinez l’aide suivante :

  • Établissez une base de référence de gestion pour votre environnement hybride ou multicloud.

  • Implémentez les fonctionnalités de Microsoft Cost Management, telles que les étendues de facturation, les budgets et les alertes, pour vous assurer que vous ne dépassez pas votre limite de dépenses.

  • Utilisez Azure Policy pour appliquer des garde-fous de gouvernance sur les déploiements Azure et déclencher des tâches de correction pour mettre les ressources Azure existantes dans un état conforme.

  • Envisagez l’utilisation de la fonctionnalité de gestion des droits d’utilisation Microsoft Entra pour automatiser les workflows de requêtes d’accès Azure, les attributions d’accès, les révisions et l’expiration.

  • Utilisez les recommandations d’Azure Advisor pour garantir l’optimisation des coûts et l’excellence opérationnelle dans Azure, qui sont tous deux des principes fondamentaux de Microsoft Azure Well-Architected Framework.

Le référentiel Bicep des zones d’atterrissage Azure – Flux de déploiement contient des modèles de déploiement Bicep qui peuvent accélérer vos déploiements de zones d’atterrissage Azure greenfield et brownfield. Ces modèles ont intégré des instructions de gouvernance éprouvées par Microsoft.

Envisagez d’utiliser le module Bicep Affectations Azure Policy de zone d’atterrissage Azure pour commencer à vous assurer de la conformité pour vos environnements Azure.

Pour plus d’informations, consultez Considérations relatives à l’environnement Brownfield.

Vue d’ensemble de la zone de conception

Votre parcours d’adoption du cloud en tant qu’organisation commence par des contrôles renforcés pour les environnements gouvernementaux.

La gouvernance propose des mécanismes et des processus pour garder le contrôle sur vos applications et ressources dans Azure.

Diagramme montrant la conception de gouvernance des zones d’atterrissage.

Explorez les considérations et les recommandations suivantes afin de prendre des décisions informées lors de la planification de votre zone d’atterrissage.

La zone de conception de gouvernance se focalise sur les décisions de conception pour votre zone d’atterrissage. Pour plus d’informations sur les processus de gouvernance et les outils, consultez Gouvernance dans Cloud Adoption Framework pour Azure.

Considérations sur la gouvernance Azure

Azure Policy contribue à garantir la sécurité et la conformité des biens de l’entreprise. Azure Policy peut appliquer des conventions de sécurité et de gestion vitales sur les services de plateforme Azure. Azure Policy complète le contrôle d’accès en fonction du rôle (RBAC) Azure, qui contrôle les actions des utilisateurs autorisés. En outre, Cost Management peut vous aider à prendre en charge votre coût de gouvernance et vos dépenses en cours dans Azure, ou dans d’autres environnements multiclouds.

Points à prendre en considération pour le déploiement

Les tableaux de révision des avis de modification peuvent nuire à l’innovation et à l’agilité de votre entreprise. Azure Policy remplace ces évaluations par des garde-fous automatisés et des audits de respect de la conformité pour augmenter l’efficacité de la charge de travail.

  • Déterminez les stratégies Azure nécessaires en fonction de vos contrôles métier ou de vos réglementations en matière de conformité. Utilisez les stratégies incluses dans l’accélérateur de zone d’atterrissage Azure comme point de départ.

  • Utilisez les exemples de blueprint basés sur des normes pour prendre en compte d’autres stratégies qui peuvent s’aligner sur vos besoins métier.

  • Appliquez des conventions de sécurité, d’identité, de gestion et de mise en réseau automatisées.

  • Utilisez des affectations de stratégie pour gérer et créer les définitions de stratégie et réutilisez-les dans plusieurs étendues d’affectation héritées. Vous pouvez avoir des affectations de stratégie de base centralisées au niveau des étendues d’administration, d’abonnement et de groupe de ressources.

  • Intégrez un rapport de conformité et un audit pour garantir la conformité continue.

  • N’oubliez pas qu’Azure Policy a des limites, comme les définitions limitées à une étendue particulière.

  • Comprendre les stratégies de conformité réglementaire, telles que HIPAA, PCI-DSS ou SOC 2 Trust Services Criteria.

Considérations relatives à la gestion des coûts

  • Tenez compte de la structure du modèle de coût et de recharge de votre organisation. Déterminez les points de données clés qui transmettent avec précision vos dépenses de services cloud.

  • Choisissez la structure des balises qui correspond à votre coût et à la refacturation du modèle pour vous aider à suivre vos dépenses cloud.

  • Utilisez la calculatrice de prix Azure pour estimer les coûts mensuels attendus pour l’utilisation de produits Azure.

  • Obtenez Azure Hybrid Benefit pour vous aider à réduire les coûts d’exécution de vos charges de travail dans le cloud. Vous pouvez utiliser sur Azure vos licences locales Windows Server et SQL Server avec Software Assurance. Vous pouvez également utiliser des abonnements Red Hat et SUSE Linux.

  • Obtenez des réservations Azure et engagez-vous sur des plans d’un ou trois ans pour plusieurs produits. Les plans de réservation fournissent des remises sur les ressources, ce qui peut réduire considérablement les coûts de vos ressources jusqu’à 72 % par rapport aux prix du paiement à l’utilisation.

  • Obtenez le plan d’économies Azure pour le calcul afin d’économiser jusqu’à 65 % par rapport aux prix du paiement à l’utilisation. Choisissez un engagement sur un an ou trois ans qui s’applique aux services de calcul, quelle que soit votre région, la taille des instances ou le système d’exploitation. Choisissez un plan pour les composants de calcul comme les machines virtuelles, les hôtes dédiés, les instances de conteneur, les fonctions Azure Premium et les services d’application Azure. Combinez un plan d’économies Azure avec des réservations Azure pour optimiser le coût et la flexibilité de calcul.

  • Utilisez les stratégies Azure pour autoriser des régions, des types de ressources et des références SKU de ressources spécifiques.

  • Utilisez la stratégie basée sur des règles de la gestion de cycle de vie de Stockage Azure pour faire passer les données blob aux niveaux d’accès appropriés ou faire expirer les données à la fin de leur cycle de vie.

  • Utilisez des abonnements Azure dev/test pour obtenir une remise sur l’accès à la sélection de services Azure pour des charges de travail hors production.

  • Utilisez la mise à l’échelle automatique pour allouer et désallouer dynamiquement des ressources pour répondre à vos besoins de niveau de performance, et ainsi réduire les coûts.

  • Utilisez des Azure Spot Virtual Machines et tirez parti de la capacité de calcul inutilisée à prix réduit. Les Spot Virtual Machines sont donc appropriées pour les charges de travail capables de gérer les interruptions, comme les travaux de traitement par lots, les environnements de développement et de test, ainsi que les charges de travail de calcul importantes.

  • Sélectionnez des services Azure appropriés pour réduire les coûts. Certains services Azure sont gratuits pendant 12 mois et d’autres le sont de façon permanente.

  • Sélectionnez le service de calcul adapté à votre application pour améliorer la rentabilité. Azure offre de nombreuses façons d’héberger votre code.

Considérations relatives à la gestion des ressources

  • Déterminez si les groupes de ressources de votre environnement peuvent partager des configurations requises, un cycle de vie commun ou des contraintes d’accès courantes (telles que RBAC) pour vous aider à assurer la cohérence.

  • Choisissez une conception de l’abonnement d’application ou de charge de travail adaptée à vos besoins en matière d’opérations.

  • Utilisez des configurations de ressources standard au sein de votre organisation pour garantir une configuration de base cohérente.

Considérations de sécurité

  • Appliquez les outils et les garde-fous dans l’environnement dans le cadre d’une base de référence de sécurité.

  • Informez les personnes appropriées lorsque vous trouvez des écarts.

  • Envisagez d’utiliser Azure Policy pour appliquer des outils comme Microsoft Defender pour le cloud ou des garde-fous comme le point de référence de sécurité Microsoft Cloud.

Considérations relatives à la gestion des identités

  • Déterminez qui peut avoir accès aux journaux d’audit pour la gestion des identités et des accès.

  • Informez les personnes appropriées lorsque des événements de connexion suspects se produisent.

  • Envisagez d’utiliser les rapports Microsoft Entra pour régir l’activité.

  • Envisagez d’envoyer des journaux Microsoft Entra ID à l’espace de travail Journaux Azure Monitor central pour la plateforme.

  • Explorez les fonctionnalités de Gouvernance des ID Microsoft Entra, telles que les révisions d’accès et la gestion des droits d’utilisation.

Outils non-Microsoft

  • Utilisez AzAdvertizer pour obtenir des mises à jour de la gouvernance Azure. Par exemple, vous trouverez des insights sur les définitions de stratégie, les initiatives, les alias, la sécurité et les contrôles de conformité réglementaire dans les définitions de rôle Azure Policy ou Azure RBAC. Vous pouvez également obtenir des insights sur les opérations du fournisseur de ressources, les définitions de rôles Microsoft Entra et les actions de rôle, ainsi que les autorisations d’API internes.

  • Utilisez le visualiseur de gouvernance Azure pour suivre votre patrimoine de gouvernance technique. Vous pouvez utiliser la fonctionnalité de vérificateur de la version de stratégie pour les zones d’atterrissage Azure afin de maintenir votre environnement à jour avec la dernière version de la stratégie de zone d’atterrissage Azure.

Recommandations de gouvernance Azure

Recommandations relatives à l’accélération du déploiement

  • Identifiez les balises Azure requises et utilisez le mode d’ajout de stratégie pour appliquer l’utilisation. Pour plus d’informations, consultez Définir une stratégie de catégorisation.

  • Mappez les exigences réglementaires et de conformité aux définitions du service Azure Policy et aux attributions de rôles Azure.

  • Établissez des définitions du service Azure Policy au niveau du groupe d’administration racine de niveau supérieur, car elles pourraient être affectées à des étendues héritées.

  • Gérez les affectations de stratégie au niveau approprié le plus élevé, avec des exclusions aux niveaux inférieurs si nécessaire.

  • Utilisez Azure Policy pour contrôler les inscriptions du fournisseur de ressources au niveau de l’abonnement ou au niveau du groupe d’administration.

  • Utilisez des stratégies intégrées pour minimiser les coûts d’exploitation.

  • Attribuez le rôle Contributeur de stratégie de ressource intégré à une étendue spécifique pour activer la gouvernance au niveau de l’application.

  • Limitez le nombre d’affectations d’Azure Policy au niveau de l’étendue du groupe d’administration racine pour éviter la gestion des exclusions au niveau des étendues héritées.

Recommandations relatives à la gestion des coûts

  • Utilisez Cost Management pour implémenter un aperçu général financier sur les ressources de votre environnement.

  • Utilisez des balises, telles que le centre de coûts ou le nom du projet, pour ajouter les métadonnées de ressource. Cette approche permet une analyse détaillée des dépenses.

Gouvernance Azure dans l’accélérateur de zone d’atterrissage Azure

L’accélérateur de zone d’atterrissage Azure peut aider les organisations à obtenir des contrôles de gouvernance matures.

Par exemple, vous pouvez implémenter les éléments suivants :

  • Une hiérarchie de groupes d’administration qui regroupe des ressources par fonction ou un type de charge de travail. Cette approche encourage la cohérence des ressources.

  • Ensemble complet de stratégies Azure qui permet des contrôles de gouvernance au niveau du groupe d’administration. Cette approche permet de vérifier que toutes les ressources sont dans l’étendue.