Guide de gouvernance pour les entreprises standard

Ce guide de gouvernance suit les expériences d’une entreprise fictive à différents stades de maturité. Le guide est basé sur des expériences client réelles, et les bonnes pratiques suggérées sont basées sur les contraintes et les besoins de l’entreprise fictive.

Présentation des meilleures pratiques

Comme point de départ rapide, cette présentation définit un produit minimum viable (MVP) pour la gouvernance, basé sur les meilleures pratiques. Elle fournit également des liens vers des améliorations de gouvernance, qui ajoutent des bonnes pratiques à mesure que de nouveaux risques métier ou techniques émergent.

Important

Ce MVP est un point de départ de base, qui se fonde sur un ensemble de postulats. Même cet ensemble minimal de meilleures pratiques se fonde sur des stratégies d’entreprise axées sur des risques métier et des tolérances aux risques uniques. Lisez le récit plus long qui suit cet article pour vérifier si cet ensemble d’hypothèses s’applique à votre situation.

Bonnes pratiques de gouvernance

Ces bonnes pratiques servent de base sur laquelle votre organisation peut s’appuyer pour ajouter de manière cohérente et rapide des garde-fous en matière de gouvernance dans vos abonnements.

Organisation des ressources

Consultez la documentation Cloud Adoption Framework sur l’organisation et la gouvernance des groupes d’administration et des abonnements pour obtenir un guide détaillé de la conception de votre environnement cloud. Le MVP de gouvernance utilisé dans ce scénario intègre les recommandations fournies dans la documentation ci-dessus et suit le modèle de conception fourni dans l’architecture conceptuelle des zones d’atterrissage Azure.

Le diagramme suivant contient la hiérarchie MVP de gouvernance pour l’organisation des ressources.

Diagram of resource organization.

Recommandations supplémentaires

  • Déployez chaque application dans la zone appropriée de votre groupe d’administration, de votre abonnement et de votre hiérarchie de groupes de ressources. Lors de la planification du déploiement, votre équipe de gouvernance cloud doit créer les nœuds nécessaires dans la hiérarchie pour donner aux équipes d’adoption du cloud les moyens d’agir.

  • Appliquez une nomenclature cohérente à chaque niveau de cette hiérarchie de regroupement.

  • Prenez en compte le cycle de vie du contenu lorsque vous déployez des groupes de ressources : les éléments qui sont développés ensemble, gérés ensemble et mis hors service ensemble doivent rester ensemble. Pour plus d’informations sur les meilleures pratiques relatives aux groupes de ressources, consultez le guide de décision sur la cohérence des ressources.

  • Envisagez la sélection de la région pour vous assurer que la mise en réseau, la supervision et l’audit sont en place pour le basculement/la restauration automatique et la confirmation que les références SKU nécessaires sont disponibles dans les régions préférées.

Les modèles d’architecture conceptuelle de zone d’atterrissage Azure favorisent la croissance sans compliquer inutilement votre hiérarchie.

Notes

Si vos besoins métier viennent à changer, les groupes d’administration Azure vous permettent de réorganiser facilement la hiérarchie de votre administration et les attributions de groupe d’abonnements. Toutefois, gardez en tête que les attributions de rôle et de stratégie appliquées à un groupe d’administration sont héritées par tous les abonnements qui se trouvent sous ce groupe dans la hiérarchie. Si vous envisagez de réattribuer des abonnements entre des groupes d’administration, veillez à connaître tous les changements d’attribution de rôle et de stratégie que cela peut entraîner. Pour plus d’informations, consultez la documentation sur les groupes d’administration Azure.

Gouvernance des ressources

Un ensemble de stratégies globales et de rôles RBAC fournit un niveau de référence de la mise en œuvre de la gouvernance. Pour répondre aux exigences de stratégie de l’équipe de gouvernance cloud, l’implémentation du MVP de gouvernance nécessite d’effectuer les tâches suivantes :

  1. Identifier les définitions de stratégie Azure Policy nécessaires pour appliquer les besoins métier. Cela pourrait inclure l’utilisation de définitions intégrées et la création de nouvelles définitions personnalisées. Pour suivre le rythme des définitions intégrées récemment publiées, il existe un flux Atom de tous les commits pour les stratégies intégrées, que vous pouvez utiliser pour un flux RSS. Vous pouvez aussi consultez AzAdvertizer.
  2. Créer une définition de blueprint avec ces attributions de rôle et de stratégie intégrées et personnalisées requises par le MVP de gouvernance.
  3. Appliquer globalement des stratégies et une configuration en attribuant la définition de blueprint à tous les abonnements.

Identifier les définitions de stratégie

Azure offre plusieurs stratégies et définitions de rôle intégrées que vous pouvez attribuer à un groupe d’administration, un abonnement ou un groupe de ressources de votre choix. De nombreuses exigences de gouvernance courantes peuvent être gérées à l’aide de définitions intégrées. Toutefois,vous devrez probablement créer aussi des définitions de stratégie personnalisée pour gérer vos besoins spécifiques.

Les définitions de stratégie personnalisées sont enregistrées dans un groupe d’administration ou dans un abonnement et sont héritées via la hiérarchie des groupes d’administration. Si l’emplacement d’enregistrement d’une définition de stratégie est un groupe d’administration, cette définition de stratégie peut être attribuée à n’importe quel groupe d’administration ou abonnement enfant de ce groupe.

Étant donné que les stratégies nécessaires à la prise en charge du MVP de gouvernance sont destinées à s’appliquer à tous les abonnements actuels, les besoins métier suivants seront implémentés à l’aide d’une combinaison de définitions intégrées et de définitions personnalisées créées dans le groupe d’administration racine :

  1. Limitez la liste des attributions de rôle disponibles à un ensemble de rôles Azure intégrés autorisés par votre équipe de gouvernance cloud. Cela nécessite une définition de stratégie personnalisée.
  2. Exigez l’utilisation des étiquettes suivantes sur toutes les ressources : Département/Unité de facturation, Géographie, Classification des données, Caractère critique, SLA, Environnement, Archétype d’application, Application et Propriétaire de l’application. Cela peut être géré en utilisant la définition intégrée Require specified tag.
  3. Exigez que l’étiquette Application des ressources corresponde au nom du groupe de ressources approprié. Cela peut être géré en utilisant la définition intégrée Require tag and its value.

Pour plus d’informations sur la définition de stratégies personnalisées, consultez la documentation Azure Policy. Pour des conseils et des exemples de stratégies personnalisées, consultez le site d’exemples Azure Policy et le dépôt GitHub associé.

Attribuer des stratégies Azure Policy et des rôles RBAC avec Azure Blueprints

Les stratégies Azure peuvent être affectées au niveau du groupe de ressources, de l’abonnement et du groupe d’administration, et peuvent être incluses dans des définitions Azure Blueprints. Bien que les conditions de stratégie définies dans ce MVP de gouvernance s’appliquent à tous les abonnements actuels, il est très probable que les futurs déploiements nécessiteront des exceptions ou d’autres stratégies. Par conséquent, l’attribution d’une stratégie en utilisant des groupes d’administration, avec tous les abonnements enfants héritant de ces attributions, risque de ne pas être suffisamment flexible pour prendre en charge ces scénarios.

Azure Blueprints permet l’attribution cohérente de stratégies et de rôles, l’application de modèles Resource Manager et le déploiement de groupes de ressources entre plusieurs abonnements. De la même manière que les définitions de stratégie, les définitions de blueprint sont enregistrées dans des groupes d’administration ou des abonnements. Les définitions de stratégie sont disponibles par héritage pour tous les enfants de la hiérarchie des groupes d’administration.

L’équipe de gouvernance cloud a décidé que la mise en œuvre des attributions obligatoires de rôle RBAC et de stratégie Azure Policy sur les abonnements est implémentée par le biais d’Azure Blueprints et des artefacts associés :

  1. Dans le groupe d’administration racine, créez une définition de blueprint nommée governance-baseline.
  2. Ajoutez les artefacts de blueprint suivants à la définition de blueprint :
    1. Attributions de stratégie pour les définitions de stratégie Azure Policy personnalisées définies à la racine du groupe d’administration.
    2. Définitions de groupe de ressources pour tous les groupes nécessaires dans les abonnements créés ou gouvernés par le MVP de gouvernance.
    3. Attributions de rôle standard nécessaires dans les abonnements créés ou gouvernés par le MVP de gouvernance.
  3. Publiez la définition de blueprint.
  4. Attribuez la définition de blueprint governance-baseline à tous les abonnements.

Consultez la documentation Azure Blueprints pour plus d’informations sur la création et l’utilisation de définitions de blueprint.

Sécuriser un réseau virtuel hybride

Certains abonnements spécifiques demandent souvent un niveau d’accès aux ressources locales. C’est courant dans les scénarios de migration ou de développement où résident des ressources dépendantes dans le centre de données local.

Tant que la confiance dans l’environnement cloud n’est pas totalement établie, il est important de contrôler et de surveiller étroitement toutes les communications autorisées entre l’environnement local et les charges de travail cloud, et de s’assurer que le réseau local est sécurisé et protégé contre un accès non autorisé potentiel provenant de ressources cloud. Pour prendre en charge ces scénarios, le MVP de gouvernance ajoute les bonnes pratiques suivantes :

  1. Créez un réseau virtuel hybride sécurisé dans le cloud.
    1. L’architecture de référence VPN établit un schéma et un modèle de déploiement pour la création d’une passerelle VPN dans Azure.
    2. Confirmez que les mécanismes de gestion de la sécurité et du trafic locaux traitent les réseaux cloud connectés comme étant non approuvés. Les ressources et les services hébergés dans le cloud doivent avoir uniquement accès aux services locaux autorisés.
    3. Vérifiez que l’appareil de périphérie local dans le centre de données local est compatible avec les exigences de passerelle VPN Azure et configuré pour accéder à l’Internet public.
    4. Notez que les tunnels VPN ne doivent être considérés comme des circuits prêts pour la production que pour les charges de travail les plus simples. Si vous avez plus que quelques charges de travail simples nécessitant une connectivité locale, vous devez utiliser Azure ExpressRoute.
  2. Dans le groupe d’administration racine, créez une seconde définition de blueprint nommée secure-hybrid-vnet.
    1. Ajoutez le modèle Resource Manager pour la passerelle VPN comme artefact de la définition de blueprint.
    2. Ajoutez le modèle Resource Manager pour le réseau virtuel comme artefact de la définition de blueprint.
    3. Publiez la définition de blueprint.
  3. Attribuez la définition de blueprint secure-hybrid-vnet aux abonnements nécessitant une connectivité locale. Cette définition doit être assignée en plus de la définition de blueprint governance-baseline.

Une des principales préoccupations soulevées par les équipes de sécurité informatique et de gouvernance traditionnelle est le risque qu’une adoption du cloud trop précoce mette en péril les ressources existantes. L’approche ci-dessus permet aux équipes d’adoption du cloud de créer et de migrer des solutions hybrides, ce qui réduit les risques pour les ressources locales. Au fur et à mesure que la confiance l’environnement cloud augmente, les dernières évolutions peuvent éliminer cette solution temporaire.

Notes

La méthode ci-dessus est un point de départ permettant de créer rapidement un MVP de gouvernance de référence. Il ne s’agit que du début du parcours de gouvernance. Des évolutions futures seront nécessaires à mesure que l’entreprise poursuit son adoption du cloud et prend plus de risques dans les domaines suivants :

  • Charges de travail critiques
  • Données protégées
  • la gestion des coûts ;
  • Scénarios multiclouds

Par ailleurs, les détails de ce MVP se basent sur l’exemple de parcours d’une entreprise fictive, qui est décrit dans les articles qui suivent. Nous vous recommandons vivement de consulter les autres articles de cette série avant d’implémenter cette meilleure pratique.

Améliorations itératives de la gouvernance

Une fois que vous avez déployé le MVP, vous pouvez incorporer rapidement des couches supplémentaires de gouvernance dans l’environnement. Voici quelques méthodes permettant d’améliorer le MVP afin de répondre aux besoins spécifiques de l’entreprise :

Que fournit ce guide ?

Dans le MVP, les pratiques et les outils venant de la discipline Accélération du déploiement ont été conçus pour appliquer rapidement la stratégie d’entreprise. Plus précisément, le MVP utilise Azure Blueprints, Azure Policy et les groupes d’administration Azure pour appliquer quelques stratégies d’entreprise basiques, comme le définit le scénario pour cette entreprise fictive. Ces stratégies d’entreprise sont appliquées à l’aide de modèles Resource Manager et de stratégies Azure afin d’établir une petite base de référence pour les identités et la sécurité.

Diagram showing an example of an incremental governance MVP.

Amélioration incrémentielle des pratiques de gouvernance

Au fil du temps, vous pouvez utiliser ce MVP de gouvernance pour améliorer les pratiques de gouvernance. À mesure que le processus d’adoption avance, les risques métier augmentent. Différentes disciplines au sein du modèle de gouvernance du Cloud Adoption Framework continueront de changer pour gérer ces risques. Les articles plus loin dans cette série expliquent comment les améliorations incrémentielles apportées à la stratégie d’entreprise affectent une entreprise fictive. Ces améliorations sont apportées dans trois disciplines :

  • Discipline Gestion des coûts, à mesure que vous mettez à l’échelle votre adoption.
  • Discipline Ligne de base de la sécurité, à mesure que vous déployez des données protégées.
  • Discipline Cohérence des ressources, dès lors que les opérations informatiques commencent à prendre en charge des charges de travail stratégiques.

Diagram showing an example of incremental improvements to governance practices.

Étapes suivantes

Maintenant que vous connaissez le MVP de gouvernance et que vous avez une idée des améliorations de gouvernance à suivre, consultez le scénario correspondant de cet article pour en savoir plus.