Tervezési terület: Azure-szabályozás
Az Azure-szabályozással létrehozhatja a felhőszabályozás, a megfelelőségi naplózás és az automatizált védőkorlátok támogatásához szükséges eszközöket.
Tervezési terület áttekintése
Szerepkörök vagy függvények: Az Azure-szabályozás a felhőszabályozásból származik. Előfordulhat, hogy a felhőplatformot vagy egy felhőbeli kiválósági központot kell implementálnia bizonyos technikai követelmények meghatározásához és alkalmazásához. Az irányítás a műveletek és a biztonsági követelmények kikényszerítésére összpontosít, ami felhőbiztonságot, központi informatikai vagy felhőműveleteket igényelhet.
Hatókör: Fontolja meg az identitás-, a hálózat-, a biztonsági és a felügyeleti tervezési terület áttekintésével kapcsolatos döntéseket. A csapat összehasonlíthatja az automatizált irányítás döntéseinek áttekintését, amely az Azure-beli célzónagyorsító része. A döntések áttekintésével meghatározhatja, hogy mit kell naplózni vagy kikényszeríteni, és milyen szabályzatokat kell automatikusan üzembe helyezni.
Hatókörön kívül: Az Azure-szabályozás létrehozza a hálózatkezelés alapjait. Ez azonban nem foglalkozik a megfelelőséghez kapcsolódó összetevőkkel, például a fejlett hálózati biztonsággal vagy az automatizált védőkorlátokkal a hálózati döntések kikényszerítése érdekében. Ezeket a hálózati döntéseket a biztonsággal és irányítással kapcsolatos megfelelőségi tervezési területek áttekintésekor kezelheti. A felhőplatform-csapatnak az összetettebb összetevők kezelése előtt meg kell felelnie a kezdeti hálózati követelményeknek.
Új (zöldmezős) felhőkörnyezet: A felhőbeli utazás megkezdéséhez hozzon létre egy kis előfizetéskészletet. A Bicep üzembehelyezési sablonjaival létrehozhatja az új Azure-beli kezdőzónákat. További információ: Azure-beli kezdőzónák – Bicep – Üzembe helyezési folyamat.
Meglévő (barnamezős) felhőkörnyezet: Ha bevált Azure-szabályozási alapelveket szeretne alkalmazni meglévő Azure-környezetekre, vegye figyelembe az alábbi útmutatást:
Hozzon létre egy felügyeleti alapkonfigurációt a hibrid vagy többfelhős környezethez.
Implementálja a Microsoft Cost Management funkcióit, például a számlázási hatóköröket, a költségvetéseket és a riasztásokat, hogy ne lépje túl a költségkeretet.
Az Azure Policy használatával kényszerítheti a szabályozási védőkorlátokat az Azure-üzemelő példányokon, és szervizelési feladatokat indíthat el a meglévő Azure-erőforrások megfelelő állapotba hozásához.
Fontolja meg a Microsoft Entra jogosultságkezelési funkciójának használatát az Azure-beli hozzáférési kérelmek munkafolyamatainak, hozzáférési hozzárendeléseinek, véleményezéseinek és lejáratának automatizálásához.
Az Azure Advisor javaslatait használva biztosíthatja a költségoptimalizálást és a működési kiválóságot az Azure-ban, amelyek mindegyike a Microsoft Azure Well-Architected Framework alapelvei.
Az Azure-beli bicep-kezdőzónák – Az üzembehelyezési folyamat adattára Bicep-üzembehelyezési sablonokat tartalmaz, amelyek felgyorsíthatják a zöldmezős és barnamezős Azure-beli kezdőzónák üzembe helyezését. Ezek a sablonok integrált, bevált Microsoft-szabályozási útmutatóval rendelkeznek.
Fontolja meg az Azure-beli kezdőzóna alapértelmezett szabályzat-hozzárendelési Bicep-moduljának használatát az Azure-környezetek megfelelőségének biztosításához.
További információ: Brownfield environment considerations.
Tervezési terület áttekintése
A szervezet felhőbevezetési folyamata a kormányzati környezetek szigorú szabályozásával kezdődik.
Az irányítás mechanizmusokat és folyamatokat biztosít a platformok, alkalmazások és erőforrások felügyeletének fenntartásához az Azure-ban.
Ismerje meg az alábbi szempontokat és javaslatokat, amelyek alapján megalapozott döntéseket hozhat a kezdőzóna tervezése során.
A szabályozási tervezési terület a célzóna tervezési döntéseire összpontosít. A szabályozási folyamatokkal és eszközökkel kapcsolatos információkért lásd: Szabályozás az Azure felhőadaptálási keretrendszer.
Az Azure szabályozási szempontjai
Az Azure Policy segít biztosítani a vállalati műszaki tulajdonok biztonságát és megfelelőségét. Az Azure Policy életbevágó felügyeleti és biztonsági egyezményeket kényszeríthet ki az Azure platformszolgáltatásai között. Az Azure Policy kiegészíti az Azure szerepköralapú hozzáférés-vezérlést (RBAC), amely a jogosult felhasználók műveleteit szabályozza. A Cost Management az Azure-ban vagy más többfelhős környezetekben is segíthet a folyamatos szabályozási költségek és kiadások támogatásában.
Telepítési szempontok
A változáskezelési felülvizsgálati táblák akadályozhatják a szervezet innovációját és üzleti rugalmasságát. Az Azure Policy az ilyen felülvizsgálatokat automatizált védőkorlátokra és betartási auditokra cseréli a számítási feladatok hatékonyságának javítása érdekében.
Az üzleti vezérlők vagy megfelelőségi előírások alapján határozza meg, hogy mely Azure-szabályzatokra van szüksége. Használja kiindulási pontként az Azure célzónagyorsítóban található szabályzatokat.
A szabványokon alapuló tervminták segítségével további, az üzleti követelményeknek megfelelő szabályzatokat is figyelembe vehet.
Automatikus hálózatkezelési, identitáskezelési, felügyeleti és biztonsági konvenciók kényszerítése.
Szabályzatdefiníciók használatával kezelheti és hozhatja létre a szabályzat-hozzárendeléseket, és felhasználhatja őket több öröklött hozzárendelési hatókörben. Központosított alapkonfigurációs szabályzat-hozzárendelések lehetnek a felügyeleti, előfizetési és erőforráscsoport-hatókörökben.
A folyamatos megfelelőség biztosítása érdekében foglalja bele a megfelelőségi jelentéskészítést és a naplózást.
Ismerje meg, hogy az Azure Policy korlátozásokkal rendelkezik, például a definíciók korlátozását bármely adott hatókörben.
Megismerheti a szabályozási megfelelőségi szabályzatokat, például a HIPAA, a PCI-DSS vagy a SOC 2 megbízhatósági szolgáltatásokra vonatkozó kritériumokat.
Költségkezelési szempontok
Vegye figyelembe a szervezet költség- és feltöltési modelljének szerkezetét. Határozza meg azokat a kulcsfontosságú adatpontokat, amelyek pontosan közvetítik a felhőszolgáltatások kiadásait.
A felhőköltségek nyomon követéséhez válassza ki a költségnek és a feltöltési modellnek megfelelő címkék struktúráját.
Az Azure díjkalkulátorával megbecsülheti az Azure-termékek használatának várható havi költségeit.
Az Azure Hybrid Benefit segítségével csökkentheti a számítási feladatok felhőben való futtatásának költségeit. A helyszíni szoftvergarancia-kompatibilis Windows Server- és SQL Server-licenceket az Azure-ban használhatja. Red Hat és SU Standard kiadás Linux-előfizetéseket is használhat.
Szerezze be az Azure-foglalásokat, és kötelezze el magát több termék egy- vagy hároméves csomagjaira. A foglalási csomagok erőforrás-kedvezményeket biztosítanak, amelyek jelentősen, akár 72%-kal is csökkenthetik az erőforrás költségeit a használatalapú fizetéshez képest.
Kérje le az Azure-megtakarítási csomagot a számításhoz , hogy akár 65%-ot is megtakarítson a használatalapú fizetéshez képest. Válasszon egy vagy hároméves kötelezettségvállalást, amely a számítási szolgáltatásokra vonatkozik, függetlenül a régiótól, a példány méretétől vagy az operációs rendszerétől. Válasszon egy csomagot a számítási összetevőkhöz, például virtuális gépekhez, dedikált gazdagépekhez, tárolópéldányokhoz, Prémium Szintű Azure-függvényekhez és Azure-alkalmazásszolgáltatásokhoz. Azure-beli megtakarítási terv és Azure-foglalások kombinálása a számítási költségek és a rugalmasság optimalizálása érdekében.
Azure-szabályzatok használatával engedélyezheti bizonyos régiókat, erőforrástípusokat és erőforrás-termékváltozatokat.
Az Azure Storage életciklus-kezelés szabályalapú szabályzatával áthelyezheti a blobadatokat a megfelelő hozzáférési szintekre, vagy az adatok életciklusának végén lejárnak.
Az Azure fejlesztői/tesztelési előfizetéseinek használatával kedvezményt kaphat a nem gyártási számítási feladatokhoz tartozó Azure-szolgáltatások kiválasztásához való hozzáférésre vonatkozóan.
Az automatikus skálázással dinamikusan lefoglalhatja és felszabadíthatja az erőforrásokat a teljesítményigényeknek megfelelően, ami pénzt takarít meg.
Az Azure Spot virtuális gépek használatával kihasználhatja a nem használt számítási kapacitást alacsony költséggel. A kihasználatlan virtuális gépek kiválóan használhatók olyan számítási feladatokhoz, amelyek képesek kezelni a megszakításokat, például kötegelt feldolgozási feladatokat, fejlesztési/tesztelési környezeteket és nagy számítási feladatokat.
Válassza ki a megfelelő Azure-szolgáltatásokat a költségek csökkentéséhez. Egyes Azure-szolgáltatások 12 hónapig ingyenesek, mások pedig mindig ingyenesek.
Válassza ki az alkalmazáshoz megfelelő számítási szolgáltatást a költséghatékonyság javítása érdekében. Az Azure számos lehetőséget kínál a kód üzemeltetésére.
Erőforrás-kezelési szempontok
Annak meghatározása, hogy a környezet erőforráscsoportjai megoszthatják-e a szükséges konfigurációkat, a közös életciklust vagy a gyakori hozzáférési korlátozásokat (például RBAC- ket) a konzisztencia biztosításához.
Válasszon egy olyan alkalmazást vagy számítási feladat-előfizetést, amely megfelel a művelet igényeinek.
Konzisztens alapkonfiguráció biztosítása érdekében a szervezeten belül standard erőforráskonfigurációkat használjon.
Biztonsági szempontok
Eszközök és védőkorlátok kényszerítése a környezetben egy biztonsági alapkonfiguráció részeként.
Ha eltérést tapasztal, értesítse a megfelelő személyeket.
Fontolja meg az Azure Policy használatát olyan eszközök kényszerítéséhez, mint például a Felhőhöz készült Microsoft Defender vagy védőkorlátok, például a Microsoft felhőbiztonsági benchmarkja.
Identitáskezelési szempontok
Határozza meg, hogy ki férhet hozzá az identitás- és hozzáférés-kezelés naplózási naplóihoz.
Értesítse a megfelelő személyeket, ha gyanús bejelentkezési események történnek.
Fontolja meg a Microsoft Entra-jelentések használatát a tevékenységek szabályozásához.
Fontolja meg a Microsoft Entra ID-naplók küldését a platform központi Azure Monitor-naplók munkaterületére.
Ismerje meg Microsoft Entra ID-kezelés funkciókat, például a hozzáférési felülvizsgálatokat és a jogosultságkezelést.
Nem Microsoft-eszközök
Az AzAdvertizer használatával szerezze be az Azure szabályozási frissítéseit. Az Azure Policy vagy az Azure RBAC szerepkördefinícióiban például a szabályzatdefiníciókkal, kezdeményezésekkel, aliasokkal, biztonsági és szabályozási megfelelőségi vezérlőkkel kapcsolatos megállapításokat találhat. Emellett betekintést nyerhet az erőforrás-szolgáltató műveleteibe, a Microsoft Entra szerepkördefinícióiba és szerepkörműveleteibe, valamint a belső API-engedélyekbe is.
Az Azure Governance Visualizer használatával nyomon követheti a műszaki szabályozási tulajdonát. Az Azure-beli célzónák szabályzatverzió-ellenőrző funkciójával naprakészen tarthatja környezetét a legújabb Azure-beli célzóna-szabályzatok kiadási állapotával.
Azure-szabályozási javaslatok
Üzembehelyezési gyorsítási javaslatok
Azonosítsa a szükséges Azure-címkéket, és használja a hozzáfűzési szabályzat módot a használat kényszerítéséhez. További információ: Címkézési stratégia definiálása.
Szabályozási és megfelelőségi követelmények leképezése az Azure Policy-definíciókra és az Azure-szerepkör-hozzárendelésekre.
Hozzon létre Azure Policy-definíciókat a legfelső szintű legfelső szintű felügyeleti csoportban, mert örökölt hatókörökhöz rendelhetők hozzá.
Szükség esetén a szabályzat-hozzárendelések kezelése a legmagasabb szinten, az alsó szinteken kizárásokkal.
Az Azure Policy használatával szabályozhatja az erőforrás-szolgáltató regisztrációit az előfizetés vagy a felügyeleti csoport szintjén.
A beépített szabályzatok használatával minimalizálhatja a működési többletterhelést.
Rendelje hozzá a beépített erőforrásházirend-közreműködői szerepkört egy adott hatókörhöz az alkalmazásszintű szabályozás engedélyezéséhez.
Korlátozza az Azure Policy-hozzárendelések számát a gyökérszintű felügyeleti csoport hatókörében, hogy elkerülje a kizárások kezelését az örökölt hatókörökben.
Költségkezelési javaslatok
A Cost Management használatával pénzügyi felügyeletet valósíthat meg a környezetben lévő erőforrásokon.
Az erőforrás metaadatainak hozzáfűzéséhez használjon címkéket, például a költséghelyet vagy a projektnevet. Ez a megközelítés lehetővé teszi a költségek részletes elemzését.
Azure-szabályozás az Azure-beli célzónagyorsítóban
Az Azure célzónagyorsító fejlett szabályozási vezérlőket biztosít a szervezeteknek.
Implementálhatja például a következőt:
A felügyeleti csoport hierarchiája, amely függvény vagy számítási feladat típusa szerint csoportosítja az erőforrásokat. Ez a megközelítés ösztönzi az erőforrások konzisztenciáját.
Az Azure-szabályzatok gazdag készlete, amely lehetővé teszi a felügyeleti csoport szintjén a szabályozási vezérlést. Ez a módszer segít ellenőrizni, hogy az összes erőforrás hatókörben van-e.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: