Tervezési terület: Azure-szabályozás

Az Azure-szabályozással létrehozhatja a felhőszabályozás, a megfelelőségi naplózás és az automatizált védőkorlátok támogatásához szükséges eszközöket.

Tervezési terület áttekintése

Szerepkörök vagy függvények: Az Azure-szabályozás a felhőszabályozásból származik. Előfordulhat, hogy a felhőplatformot vagy egy felhőbeli kiválósági központot kell implementálnia bizonyos technikai követelmények meghatározásához és alkalmazásához. Az irányítás a műveletek és a biztonsági követelmények kikényszerítésére összpontosít, ami felhőbiztonságot, központi informatikai vagy felhőműveleteket igényelhet.

Hatókör: Fontolja meg az identitás-, a hálózat-, a biztonsági és a felügyeleti tervezési terület áttekintésével kapcsolatos döntéseket. A csapat összehasonlíthatja az automatizált irányítás döntéseinek áttekintését, amely az Azure-beli célzónagyorsító része. A döntések áttekintésével meghatározhatja, hogy mit kell naplózni vagy kikényszeríteni, és milyen szabályzatokat kell automatikusan üzembe helyezni.

Hatókörön kívül: Az Azure-szabályozás létrehozza a hálózatkezelés alapjait. Ez azonban nem foglalkozik a megfelelőséghez kapcsolódó összetevőkkel, például a fejlett hálózati biztonsággal vagy az automatizált védőkorlátokkal a hálózati döntések kikényszerítése érdekében. Ezeket a hálózati döntéseket a biztonsággal és irányítással kapcsolatos megfelelőségi tervezési területek áttekintésekor kezelheti. A felhőplatform-csapatnak az összetettebb összetevők kezelése előtt meg kell felelnie a kezdeti hálózati követelményeknek.

Új (zöldmezős) felhőkörnyezet: A felhőbeli utazás megkezdéséhez hozzon létre egy kis előfizetéskészletet. A Bicep üzembehelyezési sablonjaival létrehozhatja az új Azure-beli kezdőzónákat. További információ: Azure-beli kezdőzónák – Bicep – Üzembe helyezési folyamat.

Meglévő (barnamezős) felhőkörnyezet: Ha bevált Azure-szabályozási alapelveket szeretne alkalmazni meglévő Azure-környezetekre, vegye figyelembe az alábbi útmutatást:

• Hozzon létre egy felügyeleti alapkonfigurációt a hibrid vagy többfelhős környezethez.

• Implementálja a Microsoft Cost Management funkcióit, például a számlázási hatóköröket, a költségvetéseket és a riasztásokat, hogy ne lépje túl a költségkeretet.

• Az Azure Policy használatával kényszerítheti a szabályozási védőkorlátokat az Azure-üzemelő példányokon, és szervizelési feladatokat indíthat el a meglévő Azure-erőforrások megfelelő állapotba hozásához.

• Fontolja meg a Microsoft Entra jogosultságkezelési funkciójának használatát az Azure-beli hozzáférési kérelmek munkafolyamatainak, hozzáférési hozzárendeléseinek, véleményezéseinek és lejáratának automatizálásához.

• Az Azure Advisor javaslatait használva biztosíthatja a költségoptimalizálást és a működési kiválóságot az Azure-ban, amelyek mindegyike a Microsoft Azure Well-Architected Framework alapelvei.

Az Azure-beli bicep-kezdőzónák – Az üzembehelyezési folyamat adattára Bicep-üzembehelyezési sablonokat tartalmaz, amelyek felgyorsíthatják a zöldmezős és barnamezős Azure-beli kezdőzónák üzembe helyezését. Ezek a sablonok integrált, bevált Microsoft-szabályozási útmutatóval rendelkeznek.

Fontolja meg az Azure-beli kezdőzóna alapértelmezett szabályzat-hozzárendelési Bicep-moduljának használatát az Azure-környezetek megfelelőségének biztosításához.

További információ: Brownfield environment considerations.

Tervezési terület áttekintése

A szervezet felhőbevezetési folyamata a kormányzati környezetek szigorú szabályozásával kezdődik.

Az irányítás mechanizmusokat és folyamatokat biztosít a platformok, alkalmazások és erőforrások felügyeletének fenntartásához az Azure-ban.

Ismerje meg az alábbi szempontokat és javaslatokat, amelyek alapján megalapozott döntéseket hozhat a kezdőzóna tervezése során.

A szabályozási tervezési terület a célzóna tervezési döntéseire összpontosít. A szabályozási folyamatokkal és eszközökkel kapcsolatos információkért lásd: Szabályozás az Azure felhőadaptálási keretrendszer.

Az Azure szabályozási szempontjai

Az Azure Policy segít biztosítani a vállalati műszaki tulajdonok biztonságát és megfelelőségét. Az Azure Policy életbevágó felügyeleti és biztonsági egyezményeket kényszeríthet ki az Azure platformszolgáltatásai között. Az Azure Policy kiegészíti az Azure szerepköralapú hozzáférés-vezérlést (RBAC), amely a jogosult felhasználók műveleteit szabályozza. A Cost Management az Azure-ban vagy más többfelhős környezetekben is segíthet a folyamatos szabályozási költségek és kiadások támogatásában.

Telepítési szempontok

A változáskezelési felülvizsgálati táblák akadályozhatják a szervezet innovációját és üzleti rugalmasságát. Az Azure Policy az ilyen felülvizsgálatokat automatizált védőkorlátokra és betartási auditokra cseréli a számítási feladatok hatékonyságának javítása érdekében.

• Az üzleti vezérlők vagy megfelelőségi előírások alapján határozza meg, hogy mely Azure-szabályzatokra van szüksége. Használja kiindulási pontként az Azure célzónagyorsítóban található szabályzatokat.

• A szabványokon alapuló tervminták segítségével további, az üzleti követelményeknek megfelelő szabályzatokat is figyelembe vehet.

• Automatikus hálózatkezelési, identitáskezelési, felügyeleti és biztonsági konvenciók kényszerítése.

• Szabályzatdefiníciók használatával kezelheti és hozhatja létre a szabályzat-hozzárendeléseket, és felhasználhatja őket több öröklött hozzárendelési hatókörben. Központosított alapkonfigurációs szabályzat-hozzárendelések lehetnek a felügyeleti, előfizetési és erőforráscsoport-hatókörökben.

• A folyamatos megfelelőség biztosítása érdekében foglalja bele a megfelelőségi jelentéskészítést és a naplózást.

• Ismerje meg, hogy az Azure Policy korlátozásokkal rendelkezik, például a definíciók korlátozását bármely adott hatókörben.

• Megismerheti a szabályozási megfelelőségi szabályzatokat, például a HIPAA, a PCI-DSS vagy a SOC 2 megbízhatósági szolgáltatásokra vonatkozó kritériumokat.

Költségkezelési szempontok

• Vegye figyelembe a szervezet költség- és feltöltési modelljének szerkezetét. Határozza meg azokat a kulcsfontosságú adatpontokat, amelyek pontosan közvetítik a felhőszolgáltatások kiadásait.

• A felhőköltségek nyomon követéséhez válassza ki a költségnek és a feltöltési modellnek megfelelő címkék struktúráját.

• Az Azure díjkalkulátorával megbecsülheti az Azure-termékek használatának várható havi költségeit.

• Az Azure Hybrid Benefit segítségével csökkentheti a számítási feladatok felhőben való futtatásának költségeit. A helyszíni szoftvergarancia-kompatibilis Windows Server- és SQL Server-licenceket az Azure-ban használhatja. Red Hat és SU Standard kiadás Linux-előfizetéseket is használhat.

• Szerezze be az Azure-foglalásokat, és kötelezze el magát több termék egy- vagy hároméves csomagjaira. A foglalási csomagok erőforrás-kedvezményeket biztosítanak, amelyek jelentősen, akár 72%-kal is csökkenthetik az erőforrás költségeit a használatalapú fizetéshez képest.

• Kérje le az Azure-megtakarítási csomagot a számításhoz , hogy akár 65%-ot is megtakarítson a használatalapú fizetéshez képest. Válasszon egy vagy hároméves kötelezettségvállalást, amely a számítási szolgáltatásokra vonatkozik, függetlenül a régiótól, a példány méretétől vagy az operációs rendszerétől. Válasszon egy csomagot a számítási összetevőkhöz, például virtuális gépekhez, dedikált gazdagépekhez, tárolópéldányokhoz, Prémium Szintű Azure-függvényekhez és Azure-alkalmazásszolgáltatásokhoz. Azure-beli megtakarítási terv és Azure-foglalások kombinálása a számítási költségek és a rugalmasság optimalizálása érdekében.

• Azure-szabályzatok használatával engedélyezheti bizonyos régiókat, erőforrástípusokat és erőforrás-termékváltozatokat.

• Az Azure Storage életciklus-kezelés szabályalapú szabályzatával áthelyezheti a blobadatokat a megfelelő hozzáférési szintekre, vagy az adatok életciklusának végén lejárnak.

• Az Azure fejlesztői/tesztelési előfizetéseinek használatával kedvezményt kaphat a nem gyártási számítási feladatokhoz tartozó Azure-szolgáltatások kiválasztásához való hozzáférésre vonatkozóan.

• Az automatikus skálázással dinamikusan lefoglalhatja és felszabadíthatja az erőforrásokat a teljesítményigényeknek megfelelően, ami pénzt takarít meg.

• Az Azure Spot virtuális gépek használatával kihasználhatja a nem használt számítási kapacitást alacsony költséggel. A kihasználatlan virtuális gépek kiválóan használhatók olyan számítási feladatokhoz, amelyek képesek kezelni a megszakításokat, például kötegelt feldolgozási feladatokat, fejlesztési/tesztelési környezeteket és nagy számítási feladatokat.

• Válassza ki a megfelelő Azure-szolgáltatásokat a költségek csökkentéséhez. Egyes Azure-szolgáltatások 12 hónapig ingyenesek, mások pedig mindig ingyenesek.

• Válassza ki az alkalmazáshoz megfelelő számítási szolgáltatást a költséghatékonyság javítása érdekében. Az Azure számos lehetőséget kínál a kód üzemeltetésére.

Erőforrás-kezelési szempontok

• Annak meghatározása, hogy a környezet erőforráscsoportjai megoszthatják-e a szükséges konfigurációkat, a közös életciklust vagy a gyakori hozzáférési korlátozásokat (például RBAC- ket) a konzisztencia biztosításához.

• Válasszon egy olyan alkalmazást vagy számítási feladat-előfizetést, amely megfelel a művelet igényeinek.

• Konzisztens alapkonfiguráció biztosítása érdekében a szervezeten belül standard erőforráskonfigurációkat használjon.

Biztonsági szempontok

• Eszközök és védőkorlátok kényszerítése a környezetben egy biztonsági alapkonfiguráció részeként.

• Ha eltérést tapasztal, értesítse a megfelelő személyeket.

• Fontolja meg az Azure Policy használatát olyan eszközök kényszerítéséhez, mint például a Felhőhöz készült Microsoft Defender vagy védőkorlátok, például a Microsoft felhőbiztonsági benchmarkja.

Identitáskezelési szempontok

• Határozza meg, hogy ki férhet hozzá az identitás- és hozzáférés-kezelés naplózási naplóihoz.

• Értesítse a megfelelő személyeket, ha gyanús bejelentkezési események történnek.

• Fontolja meg a Microsoft Entra-jelentések használatát a tevékenységek szabályozásához.

• Fontolja meg a Microsoft Entra ID-naplók küldését a platform központi Azure Monitor-naplók munkaterületére.

• Ismerje meg Microsoft Entra ID-kezelés funkciókat, például a hozzáférési felülvizsgálatokat és a jogosultságkezelést.

Nem Microsoft-eszközök

• Az AzAdvertizer használatával szerezze be az Azure szabályozási frissítéseit. Az Azure Policy vagy az Azure RBAC szerepkördefinícióiban például a szabályzatdefiníciókkal, kezdeményezésekkel, aliasokkal, biztonsági és szabályozási megfelelőségi vezérlőkkel kapcsolatos megállapításokat találhat. Emellett betekintést nyerhet az erőforrás-szolgáltató műveleteibe, a Microsoft Entra szerepkördefinícióiba és szerepkörműveleteibe, valamint a belső API-engedélyekbe is.

• Az Azure Governance Visualizer használatával nyomon követheti a műszaki szabályozási tulajdonát. Az Azure-beli célzónák szabályzatverzió-ellenőrző funkciójával naprakészen tarthatja környezetét a legújabb Azure-beli célzóna-szabályzatok kiadási állapotával.

Azure-szabályozási javaslatok

Üzembehelyezési gyorsítási javaslatok

• Azonosítsa a szükséges Azure-címkéket, és használja a hozzáfűzési szabályzat módot a használat kényszerítéséhez. További információ: Címkézési stratégia definiálása.

• Szabályozási és megfelelőségi követelmények leképezése az Azure Policy-definíciókra és az Azure-szerepkör-hozzárendelésekre.

• Hozzon létre Azure Policy-definíciókat a legfelső szintű legfelső szintű felügyeleti csoportban, mert örökölt hatókörökhöz rendelhetők hozzá.

• Szükség esetén a szabályzat-hozzárendelések kezelése a legmagasabb szinten, az alsó szinteken kizárásokkal.

• Az Azure Policy használatával szabályozhatja az erőforrás-szolgáltató regisztrációit az előfizetés vagy a felügyeleti csoport szintjén.

• A beépített szabályzatok használatával minimalizálhatja a működési többletterhelést.

• Rendelje hozzá a beépített erőforrásházirend-közreműködői szerepkört egy adott hatókörhöz az alkalmazásszintű szabályozás engedélyezéséhez.

• Korlátozza az Azure Policy-hozzárendelések számát a gyökérszintű felügyeleti csoport hatókörében, hogy elkerülje a kizárások kezelését az örökölt hatókörökben.

Költségkezelési javaslatok

• A Cost Management használatával pénzügyi felügyeletet valósíthat meg a környezetben lévő erőforrásokon.

• Az erőforrás metaadatainak hozzáfűzéséhez használjon címkéket, például a költséghelyet vagy a projektnevet. Ez a megközelítés lehetővé teszi a költségek részletes elemzését.

Azure-szabályozás az Azure-beli célzónagyorsítóban

Az Azure célzónagyorsító fejlett szabályozási vezérlőket biztosít a szervezeteknek.

Implementálhatja például a következőt:

• A felügyeleti csoport hierarchiája, amely függvény vagy számítási feladat típusa szerint csoportosítja az erőforrásokat. Ez a megközelítés ösztönzi az erőforrások konzisztenciáját.

• Az Azure-szabályzatok gazdag készlete, amely lehetővé teszi a felügyeleti csoport szintjén a szabályozási vezérlést. Ez a módszer segít ellenőrizni, hogy az összes erőforrás hatókörben van-e.