Azure enterprise scaffold: Előíró előfizetés-szabályozás

Megjegyzés:

Az Azure nagyvállalati állványzata integrálva lett a Microsoft felhőadaptálási keretrendszer. A cikkben szereplő tartalom most már a keretrendszer Kész módszertanában jelenik meg. Ez a cikk 2020 elején megszűnik. Az új folyamat használatának megkezdéséhez tekintse meg a Ready módszertan áttekintését, az Azure-beli célzónák és a célzóna szempontjait.

A vállalatok egyre inkább a nyilvános felhőt vezetik be rugalmasságuk és rugalmasságuk érdekében. A felhő erősségeire támaszkodnak a bevétel generálásához és az erőforrás-használat optimalizálásához a vállalat számára. A Microsoft Azure számos olyan szolgáltatást és képességet kínál, amelyeket a vállalatok építőelemekként gyűjtenek össze a számítási feladatok és alkalmazások széles skáláját kezelni.

A Microsoft Azure használata csak az első lépés a felhő előnyeinek eléréséhez. A második lépés annak megértése, hogy a vállalat hogyan használhatja hatékonyan az Azure-t, és azonosítja azokat az alapképességeket, amelyeket a következő kérdések megválaszolásához meg kell adni:

• "Aggódom az adatok szuverenitása miatt; hogyan biztosíthatom, hogy adataim és rendszereim megfeleljenek a jogszabályi követelményeknek?"
• "Hogyan tudom, hogy az egyes erőforrások mit támogatnak, hogy el tudjam számolni, és pontosan visszaszámlázhassam?"
• "Meg szeretném győződni arról, hogy minden, amit a nyilvános felhőben telepítünk vagy csinálunk, először a biztonság szemléletével kezdődik, hogyan segíthetek ennek elősegítésében?"

Az üres, védőkorlátok nélküli előfizetés kilátása ijesztő. Ez az üres hely akadályozhatja az Azure-ba való áthelyezést.

Ez a cikk kiindulópontot biztosít a műszaki szakemberek számára, hogy foglalkoznak a szabályozás szükségességével, és egyensúlyba hozják azt az agilitás szükségességével. Bevezeti a vállalati állványzat fogalmát, amely a szervezeteket az Azure-környezetek biztonságos megvalósításában és kezelésében irányítja. Biztosítja a hatékony és hatékony ellenőrzések fejlesztésének keretrendszerét.

Irányításra van szükség

Az Azure-ba való áttéréskor korán foglalkoznia kell a szabályozási témakörrel, hogy a felhő sikeres legyen a vállalaton belül. Sajnos az átfogó irányítási rendszer létrehozásának ideje és bürokrácia azt jelenti, hogy egyes üzleti csoportok közvetlenül a szolgáltatókhoz kerülnek anélkül, hogy bevonták volna a vállalati informatikai részleget. Ez a megközelítés lehetővé teheti, hogy a vállalat veszélybe sodorja az erőforrásokat, ha az erőforrások kezelése nem megfelelő. A nyilvános felhő jellemzői – az agilitás, a rugalmasság és a fogyasztásalapú díjszabás – olyan üzleti csoportok számára fontosak, amelyeknek gyorsan meg kell felelniük az ügyfelek (belső és külső) igényeinek. A vállalati it-nak azonban biztosítania kell az adatok és rendszerek hatékony védelmét.

Egy épület létrehozásakor az állványzatot használják a struktúra alapjainak létrehozásához. Az állvány végigvezeti az általános körvonalat, és horgonypontokat biztosít a tartósabb rendszerek csatlakoztatásához. A vállalati állványzat ugyanaz: rugalmas vezérlők és Azure-képességek készlete, amelyek struktúrát biztosítanak a környezet számára, és horgonyok a nyilvános felhőre épülő szolgáltatásokhoz. Ez biztosítja az építőknek (informatikai és üzleti csoportoknak) az alapot, amellyel új szolgáltatásokat hozhatnak létre és csatolnak, szem előtt tartva a teljesítés sebességét.

Az állványzat olyan gyakorlatokon alapul, amelyeket számos különböző méretű ügyféllel való kapcsolatból gyűjtöttünk össze. Ezek az ügyfelek a felhőben megoldásokat fejlesztő kisvállalatoktól a nagy multinacionális vállalatokig és a számítási feladatok migrálását és natív felhőmegoldásokat fejlesztő független szoftvergyártókig terjednek. A vállalati állványzat "célalapú", hogy rugalmasan támogassa a hagyományos informatikai számítási feladatokat és az agilis számítási feladatokat, például az Azure platform képességein alapuló, szolgáltatásként (SaaS) futó szoftveralkalmazásokat létrehozó fejlesztőket.

A vállalati állványzat szolgálhat az Azure-on belüli új előfizetések alapjaként. Lehetővé teszi a rendszergazdák számára, hogy a számítási feladatok megfeleljenek a szervezet minimális szabályozási követelményeinek anélkül, hogy megakadályozná az üzleti csoportokat és fejlesztőket abban, hogy gyorsan teljesítsék saját céljaikat. Tapasztalataink azt mutatják, hogy ez jelentősen felgyorsítja, és nem akadályozza a nyilvános felhő növekedését.

Megjegyzés:

A Microsoft előzetes verzióban kiadott egy új, Azure Blueprints nevű képességet, amely lehetővé teszi a gyakori rendszerképek, sablonok, szabályzatok és szkriptek előfizetések és felügyeleti csoportok közötti csomagolását, kezelését és üzembe helyezését. Ez a képesség hidat képez az állványzat referenciamodellként való rendeltetése és a modell szervezeten való üzembe helyezése között.

Az alábbi képen az állványzat összetevői láthatók. Az alapítvány a felügyeleti hierarchia és az előfizetések szilárd tervére támaszkodik. A pillérek Resource Manager-szabályzatokból és erős elnevezési szabványokból állnak. A többi állvány alapvető Azure-képességek és funkciók, amelyek biztonságos és kezelhető környezetet tesznek lehetővé és csatlakoztatnak.

A hierarchia meghatározása

Az állvány alapja a Nagyvállalati Szerződés (EA) regisztrációjának hierarchiája és kapcsolata az előfizetésekkel és erőforráscsoportokkal. A regisztráció szerződéses szempontból határozza meg az Azure-szolgáltatások alakját és használatát a vállalaton belül. A Nagyvállalati Szerződés tovább oszthatja a környezetet részlegekre, fiókokra, előfizetésekre és erőforráscsoportokra a szervezet struktúrájának megfelelően.

Az Azure-előfizetés az az alapegység, amelyben minden erőforrás megtalálható. Emellett számos korlátozást határoz meg az Azure-ban, például a magok számát, a virtuális hálózatokat és más erőforrásokat. Az erőforráscsoportok az előfizetési modell további finomítására és az erőforrások természetesebb csoportosítására szolgálnak.

Minden vállalat más, és a fenti képen látható hierarchia jelentős rugalmasságot tesz lehetővé az Azure vállalaton belüli rendszerezésében. A hierarchia modellezése a vállalat számlázási, erőforrás-kezelési és erőforrás-hozzáférési igényeinek megfelelően az első és legfontosabb döntés, amelyet a nyilvános felhőben való kezdéskor hoz.

Részlegek és fiókok

Az EA-regisztrációk három gyakori mintája a következő:

• A működési minta:

  

• Az üzleti egység mintája:

  

• A földrajzi minta:

  

Bár ezeknek a mintáknak megvan a helyük, az üzleti egység mintája egyre nagyobb rugalmasságot biztosít a szervezet költségmodelljének modellezésében, valamint az irányítás kiterjedésének tükrözésében. A Microsoft alapvető mérnöki és üzemeltetési csoportja létrehozta a szövetségi, állami és helyi mintára modellezett üzletiegység-minta hatékony részhalmazát. További információ: Előfizetések és erőforráscsoportok rendszerezése.

Azure-beli felügyeleti csoportok

A Microsoft mostantól egy másik módszert is kínál a hierarchia modellezésére: azure-beli felügyeleti csoportokra. A felügyeleti csoportok sokkal rugalmasabbak, mint a részlegek és a fiókok, és akár hat szintre is beágyazhatók. A felügyeleti csoportok lehetővé teszik, hogy a számlázási hierarchiától különálló hierarchiát hozzon létre, kizárólag az erőforrások hatékony kezelése érdekében. A felügyeleti csoportok tükrözhetik a számlázási hierarchiát, és gyakran a nagyvállalatok is így indulnak el. A felügyeleti csoportok azonban akkor használhatók, ha a szervezet modellezésére, a kapcsolódó előfizetések csoportosítására (a számlázási hierarchiában elfoglalt helyüktől függetlenül) és közös szerepkörök, szabályzatok és kezdeményezések hozzárendelésére használják őket. Néhány példa:

• Termelés és nem termelés. Egyes vállalatok felügyeleti csoportokat hoznak létre a termelési és nem termelési előfizetések azonosításához. A felügyeleti csoportok lehetővé teszik, hogy ezek az ügyfelek könnyebben kezelhessék a szerepköröket és a szabályzatokat. A nem termelési előfizetés például lehetővé teheti a fejlesztők számára a "közreműködői" hozzáférést, éles környezetben azonban csak "olvasói" hozzáféréssel rendelkeznek.
• Belső szolgáltatások és külső szolgáltatások. A vállalatok gyakran eltérő követelményekkel, szabályzatokkal és szerepkörökkel rendelkeznek a belső szolgáltatások és az ügyféloldali szolgáltatások esetében.

A jól megtervezett felügyeleti csoportok, valamint az Azure Policy és a szakpolitikai kezdeményezések az Azure hatékony irányításának gerincét képezik.

Subscriptions

A részlegek és fiókok (vagy felügyeleti csoportok) kiválasztásakor elsősorban azt értékeli, hogyan rendezheti az Azure-környezetet a szervezetének megfelelően. Az előfizetésekben azonban a valódi munka történik, és az itt meghozott döntések hatással vannak a biztonságra, a méretezhetőségre és a számlázásra. Számos szervezet a következő mintákat használja útmutatóként:

• Alkalmazás/szolgáltatás: Az előfizetések egy alkalmazást vagy szolgáltatást jelölnek (alkalmazásportfólió)
• Életciklus: Az előfizetések egy szolgáltatás életciklusát jelölik, például Production vagy Development.
• Részleg: Az előfizetések a szervezet részlegeit jelölik.

Az első két minta a leggyakrabban használt, és mindkettő erősen ajánlott. Az életciklusalapú megközelítés a legtöbb szervezet számára megfelelő. Ebben az esetben az általános javaslat két alap-előfizetés használata, ProductionNonproductionmajd erőforráscsoportok használata a környezetek további elkülönítéséhez.

Resource groups

Az Azure Resource Manager lehetővé teszi, hogy az erőforrásokat értelmes csoportokba rendezze a felügyelet, a számlázás vagy a természetes affinitás érdekében. Az erőforráscsoportok olyan erőforrástárolók, amelyek közös életciklussal rendelkeznek, vagy egy attribútumot ( például All SQL servers vagy Application A.

Az erőforráscsoportok nem ágyazhatók egymásba, és az egyes erőforrások csak egy erőforráscsoportba tartozhatnak. Bizonyos műveletek végrehajthatók egy adott erőforráscsoportba tartozó összes erőforráson egyszerre. Egy erőforráscsoport törlése például eltávolítja az erőforráscsoporton belüli összes erőforrást. Az előfizetésekhez hasonlóan az erőforráscsoportok létrehozásakor is vannak gyakori minták, amelyek a hagyományos informatikai számítási feladatoktól az agilis informatikai számítási feladatokig változnak:

• A hagyományos informatikai számítási feladatok általában ugyanabban az életciklusban lévő elemek, például egy alkalmazás szerint vannak csoportosítva. Az alkalmazás szerinti csoportosítás lehetővé teszi az alkalmazások egyéni felügyeletét.
• Az agilis informatikai számítási feladatok általában a külső ügyféloldali felhőalkalmazásokra összpontosítanak. Az erőforráscsoportok gyakran tükrözik az üzembehelyezési rétegeket (például egy webes vagy alkalmazásszintet) és a felügyeletet.

Megjegyzés:

A számítási feladat megértése segít az erőforráscsoport-stratégia kialakításában. Ezek a minták keverhetők és egyeztethetők. A megosztott szolgáltatások erőforráscsoportjai például ugyanabban az előfizetésben lehetnek, mint az agilis számítási feladatok erőforráscsoportjai.

Elnevezési szabványok

Az állványzat első pillére egy egységes elnevezési szabvány. A jól megtervezett elnevezési szabványok lehetővé teszik az erőforrások azonosítását a portálon, a számlán és a szkripteken belül. Valószínűleg már rendelkezik meglévő elnevezési szabványokkal a helyszíni infrastruktúrához. Amikor az Azure-t hozzáadja a környezetéhez, az említett elnevezési szabványokat az Azure-erőforrásokra is ki kell terjesztenie.

Tipp.

Elnevezési konvenciók esetén:

• Lehetőség szerint tekintse át és fogadja el az felhőadaptálási keretrendszer elnevezési és címkézési útmutatóját. Ez az útmutató segít eldönteni egy értelmes elnevezési szabványt, és széles körű példákat kínál.
• A Resource Manager-szabályzatok használatával érvényesítheti az elnevezési szabványokat.

Ne feledje, hogy a nevek később nehézkesen módosíthatók, ezért néhány perc múlva a probléma később megspórolható.

Összpontosítsa az elnevezési szabványokat azokra az erőforrásokra, amelyeket gyakrabban használnak és keresnek. Az egyértelműség kedvéért például minden erőforráscsoportnak szigorú szabványt kell követnie.

Erőforráscímkék

Az erőforráscímkék szorosan igazodnak az elnevezési szabványokhoz. Ahogy az erőforrásokat hozzáadják az előfizetésekhez, egyre fontosabbá válik, hogy logikailag kategorizáljuk őket számlázási, felügyeleti és üzemeltetési célokra. További információ: Címkék használata az Azure-erőforrások rendszerezéséhez.

Fontos

A címkék tartalmazhatnak személyes adatokat, és a GDPR előírásai alá tartozhatnak. Gondosan tervezze meg a címkék kezelését. Ha általános információkat keres a GDPR-ról, tekintse meg a Microsoft Szolgáltatásmegbízhatósági portál GDPR szakaszát.

A címkék a számlázáson és a kezelésen kívül számos módon használhatók. Ezeket gyakran használják az automatizálás részeként (lásd a későbbi szakaszt). Ez ütközéseket okozhat, ha nem veszi figyelembe elölről. Az ajánlott eljárás az, hogy azonosítja az összes gyakori címkét a vállalati szinten (például ApplicationOwner és CostCenter) és következetesen alkalmazza őket az erőforrások automatizálással történő üzembe helyezésekor.

Azure Policy és kezdeményezések

Az állványzat második pillére az Azure Policy és a kezdeményezések használata a kockázatok kezelésére azáltal, hogy szabályokat (hatásokkal) kényszerít az előfizetések erőforrásaira és szolgáltatásaira. Az Azure Policy-kezdeményezések olyan szabályzatok gyűjteményei, amelyeket egyetlen cél eléréséhez terveztek. A szabályzatok és kezdeményezések ezután erőforrás-hatókörhöz lesznek rendelve a szabályzatok érvényesítésének megkezdéséhez.

A szabályzatok és kezdeményezések még hatékonyabbak, ha a korábban említett felügyeleti csoportokkal használják. A felügyeleti csoportok lehetővé teszik egy kezdeményezés vagy szabályzat hozzárendelését egy teljes előfizetéshez.

A Resource Manager-szabályzatok gyakori használata

A szabályzatok és kezdeményezések hatékony Azure-eszközök. A szabályzatok lehetővé teszik a vállalatok számára, hogy olyan vezérlőket biztosítsanak a hagyományos informatikai számítási feladatokhoz, amelyek stabilitást biztosítanak az üzletági alkalmazások számára, ugyanakkor lehetővé teszik az agilisabb számítási feladatok fejlesztését, például az ügyfélalkalmazások fejlesztését anélkül, hogy a vállalatot további kockázatnak tennék ki. A szabályzatok leggyakoribb mintái a következők:

• Geomegfeleltség és adatelkonvertitás. Az Azure folyamatosan bővülő régiólistával rendelkezik világszerte. A vállalatoknak gyakran gondoskodniuk kell arról, hogy az adott hatókörű erőforrások egy földrajzi régióban maradjanak a szabályozási követelmények kezelése érdekében.
• Kerülje a kiszolgálók nyilvános felfedését. Az Azure Policy megtilthatja bizonyos erőforrástípusok üzembe helyezését. Gyakori, hogy olyan szabályzatot hozunk létre, amely megtagadja egy nyilvános IP-cím létrehozását egy adott hatókörön belül, elkerülve a kiszolgáló nem szándékos internetes kitettségét.
• Költségkezelés és metaadatok. Az erőforráscímkéket gyakran használják fontos számlázási adatok erőforrásokhoz és erőforráscsoportokhoz, például CostCenter és Owner. Ezek a címkék felbecsülhetetlen értékűek az erőforrások pontos számlázásához és kezeléséhez. A szabályzatok kényszeríthetik az erőforráscímkék alkalmazását az összes üzembe helyezett erőforrásra, így könnyebben kezelhetők.

A kezdeményezések gyakori felhasználási módjai

A kezdeményezések lehetővé teszik a vállalatok számára a logikai szabályzatok csoportosítását és nyomon követését egyetlen entitásként. A kezdeményezések segítenek a vállalatnak az agilis és a hagyományos számítási feladatok igényeinek kielégítésében. A kezdeményezések gyakori felhasználási módjai a következők:

• Monitorozás engedélyezése Felhőhöz készült Microsoft Defender. Ez egy alapértelmezett kezdeményezés az Azure Policyban, és kiváló példa arra, hogy milyen kezdeményezésekről van szó. Lehetővé teszi a titkosítatlan SQL-adatbázisok, a virtuális gépek (VM) biztonsági réseinek azonosítását és a biztonsággal kapcsolatos gyakori igényeket azonosító szabályzatokat.
• Szabályozási-specifikus kezdeményezés. A vállalatok gyakran egy szabályozási követelményhez (például HIPAA) közös szabályzatokat csoportosítanak, hogy a vezérlők és az ezekre vonatkozó megfelelések hatékonyan nyomon követhetők legyenek.
• Erőforrástípusok és termékváltozatok. Ha olyan kezdeményezést hoz létre, amely korlátozza az üzembe helyezhető erőforrások típusait, valamint az üzembe helyezhető termékváltozatokat, segíthet a költségek szabályozásában, és biztosíthatja, hogy a szervezet csak azokat az erőforrásokat telepítse, amelyeket a csapat a támogatott szakértelemmel és eljárásokkal rendelkezik.

Tipp.

Javasoljuk, hogy a szabályzatdefiníciók helyett mindig használjon kezdeményezési definíciókat. Miután hozzárendelt egy kezdeményezést egy hatókörhöz, például előfizetéshez vagy felügyeleti csoporthoz, egyszerűen hozzáadhat egy másik szabályzatot a kezdeményezéshez anélkül, hogy módosítania kellene a hozzárendeléseket. Ez sokkal egyszerűbbé teszi az alkalmazás és a megfelelőség nyomon követését.

Szabályzat- és kezdeményezési hozzárendelések

Miután létrehozta a szabályzatokat, és logikai kezdeményezésekbe csoportosította őket, a szabályzatot egy hatókörhöz, például felügyeleti csoporthoz, előfizetéshez vagy erőforráscsoporthoz kell rendelnie. A hozzárendelések lehetővé teszik, hogy egy almappát is kizárjon egy szabályzat hozzárendeléséből. Ha például megtagadja a nyilvános IP-címek létrehozását egy előfizetésen belül, létrehozhat egy olyan hozzárendelést, amely kizárja a védett DMZ-hez csatlakoztatott erőforráscsoportot.

Az Azure-beli erőforrásokra vonatkozó szabályzatok és kezdeményezések alkalmazásának módjai a azure-policy GitHub-adattárban érhetők el.

Identitás- és hozzáférés-kezelés

A nyilvános felhő bevezetésekor felteendő legfontosabb kérdések a következők: "Kinek kell hozzáféréssel rendelkeznie az erőforrásokhoz?" és "Hogyan szabályozni ezt a hozzáférést?" Az Azure Portalhoz és az erőforrásokhoz való hozzáférés szabályozása kritikus fontosságú a felhőbeli objektumok hosszú távú biztonsága szempontjából.

Az erőforrásokhoz való hozzáférés biztosításához először konfigurálja az identitásszolgáltatót, majd konfigurálja a szerepköröket és a hozzáférést. A helyi Active Directory csatlakoztatott Microsoft Entra ID az Identitás alapja az Azure-ban. A Microsoft Entra-azonosító azonban nem ugyanaz, mint helyi Active Directory, és fontos tisztában lenni azzal, hogy mi a Microsoft Entra-bérlő, és hogyan kapcsolódik a regisztrációhoz. Tekintse át az Azure-beli erőforrás-hozzáférés-kezelést, és ismerje meg a Microsoft Entra-azonosítót és helyi Active Directory. A helyszíni címtár Microsoft Entra-azonosítóhoz való csatlakoztatásához és szinkronizálásához telepítse és konfigurálja a Helyszíni Microsoft Entra Csatlakozás eszközt.

Amikor az Azure eredetileg megjelent, az előfizetések hozzáférés-vezérlése alapszintű volt: a felhasználókhoz Rendszergazda istrator vagy társ-Rendszergazda istrator szerepkör rendelhető. Az előfizetéshez való hozzáférés ebben a klasszikus modellben a portál összes erőforrásához való hozzáférést feltételezi. A részletes ellenőrzés hiánya az előfizetések elterjedéséhez vezetett, hogy ésszerű szintű hozzáférés-vezérlést biztosítson a regisztrációhoz. Az előfizetések elterjedésére már nincs szükség. Az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) a felhasználókat olyan szabványos szerepkörökhöz rendelheti, mint például a Tulajdonos, a Közreműködő vagy az Olvasó, amelyek általános engedélyeket biztosítanak, vagy akár saját szerepköröket is létrehozhatnak.

Az Azure szerepköralapú hozzáférés-vezérlésének megvalósításakor a következő eljárások ajánlottak:

• Szabályozhatja egy előfizetés Rendszergazda istrator és társa-Rendszergazda istrator szerepköreit, mivel ezek a szerepkörök kiterjedt engedélyekkel rendelkeznek. Csak akkor kell hozzáadnia az előfizetés tulajdonosát társ-Rendszergazda istratorként, ha klasszikus Azure-telepítéseket kell felügyelniük.
• A felügyeleti csoportok segítségével szerepköröket rendelhet több előfizetéshez, és csökkentheti az előfizetés szintjén történő kezelésük terheit.
• Azure-felhasználók hozzáadása egy csoporthoz (például Application X Owners) az Active Directoryban. A szinkronizált csoport használatával biztosíthatja a csoporttagok számára a megfelelő jogosultságokat az alkalmazást tartalmazó erőforráscsoport kezeléséhez.
• Kövesse az elvárt munka elvégzéséhez szükséges legkisebb jogosultság megadásának elvét.

Fontos

Fontolja meg a Microsoft Entra Privileged Identity Management, az Azure többtényezős hitelesítés és a Microsoft Entra feltételes hozzáférés funkcióinak használatát, hogy nagyobb biztonságot és nagyobb láthatóságot biztosítson a felügyeleti műveletekhez az Azure-előfizetésekben. Ezek a képességek érvényes P1 vagy P2 Microsoft Entra-azonosítójú licencből származnak (a funkciótól függően) az identitás további védelme és kezelése érdekében. A Microsoft Entra PIM lehetővé teszi az igény szerinti rendszergazdai hozzáférést a jóváhagyási munkafolyamattal, valamint a rendszergazdai aktiválások és tevékenységek teljes körű naplózását. Az Azure többtényezős hitelesítés egy másik kritikus képesség, amely lehetővé teszi a kétlépéses ellenőrzést az Azure Portalra való bejelentkezéshez. A Microsoft Entra feltételes hozzáférés vezérlőivel kombinálva hatékonyan kezelheti a veszélyeztetés kockázatát.

Az identitás- és hozzáférés-vezérlés tervezése és előkészítése, valamint az Azure identity management ajánlott eljárásainak követése az egyik legjobb kockázatcsökkentési stratégia, amelyet minden üzembe helyezésnél kötelezőnek kell tekinteni.

Biztonság

A felhőbevezetés egyik legnagyobb akadálya hagyományosan a biztonsággal kapcsolatos aggodalmak voltak. Az informatikai kockázatkezelőknek és a biztonsági részlegeknek gondoskodniuk kell arról, hogy az Azure-beli erőforrások alapértelmezés szerint védettek és biztonságosak legyenek. Az Azure olyan képességeket biztosít, amelyek segítségével megvédheti az erőforrásokat, miközben észleli és kiküszöböli az ezekkel az erőforrásokkal szembeni fenyegetéseket.

Microsoft Defender for Cloud

Felhőhöz készült Microsoft Defender a komplex veszélyforrások elleni védelem mellett egységes nézetet biztosít az erőforrások biztonsági állapotáról a környezetében. Felhőhöz készült Defender egy nyílt platform, amely lehetővé teszi a Microsoft-partnerek számára, hogy olyan szoftvereket hozzanak létre, amelyek csatlakoztatják és bővítik képességeiket. Az ingyenes Felhőhöz készült Defender alapkonfigurációs képességei olyan értékeléseket és javaslatokat nyújtanak, amelyek javítják a biztonsági helyzetet. Fizetős szintjei további és értékes képességeket tesznek lehetővé, például az igény szerinti jogosultsági hozzáférést és az adaptív alkalmazásvezérlőket (engedélyezési listákat).

Tipp.

Felhőhöz készült Defender egy hatékony eszköz, amely rendszeresen fejleszthető új képességekkel, amelyekkel észlelheti a fenyegetéseket és megvédheti vállalatát. Erősen ajánlott mindig engedélyezni a Felhőhöz készült Defender.

Az Azure-erőforrások zárolásai

Mivel a szervezet alapvető szolgáltatásokat ad hozzá az előfizetésekhez, egyre fontosabbá válik az üzleti fennakadások elkerülése. Gyakori fennakadás akkor fordul elő, ha egy Azure-előfizetésben futó szkript vagy eszköz véletlenül töröl egy erőforrást. A zárolások korlátozzák a nagy értékű erőforrásokon végzett műveleteket, ha azok módosítása vagy törlése jelentős hatással lenne rájuk. Zárolásokat alkalmazhat előfizetésekre, erőforráscsoportokra vagy egyéni erőforrásokra. Zárak alkalmazása alapszintű erőforrásokra, például virtuális hálózatokra, átjárókra, hálózati biztonsági csoportokra és kulcstárfiókokra.

Biztonságos DevOps Kit az Azure-hoz

Az Azure-hoz készült Secure DevOps Kit (AzSK) szkriptek, eszközök, bővítmények és automatizálási képességek gyűjteménye, amelyet eredetileg a Microsoft saját informatikai csapata hozott létre, és nyílt forráskód a GitHubon keresztül jelent meg. Az AzSK biztosítja a teljes Körű Azure-előfizetési és erőforrás-biztonsági igényeket a kiterjedt automatizálást használó csapatok számára, és zökkenőmentesen integrálja a biztonságot a natív DevOps-munkafolyamatokba, ezzel a hat fókuszterülettel segítve a biztonságos DevOps megvalósítását:

• Az előfizetés védelme
• Biztonságos fejlesztés engedélyezése
• Biztonság integrálása a CI/CD-be
• Folyamatos garancia
• Riasztás és figyelés
• Felhőkockázat-szabályozás

Az AzSK olyan eszközök, szkriptek és információk széles halmaza, amelyek egy teljes Azure-szabályozási terv fontos részét képezik, és ennek beépítése az állványzatba elengedhetetlen a szervezetek kockázatkezelési céljainak támogatásához.

Azure-frissítéskezelés

A környezet biztonsága érdekében az egyik legfontosabb feladat, hogy a kiszolgálók a legújabb frissítésekkel legyenek javítva. Bár erre számos eszköz van, az Azure biztosítja az Azure Update Management megoldást a kritikus operációsrendszer-javítások azonosítására és bevezetésére. Az Azure Automationt használja, amelyről az útmutató későbbi, Automate szakaszában olvashat.

Monitorozás és riasztások

A telemetriai adatok gyűjtése és elemzése, amely betekintést nyújt az Azure-előfizetésekben használt tevékenységekbe, teljesítménymetrikákba, állapotba és rendelkezésre állásba, kritikus fontosságú az alkalmazások és az infrastruktúra proaktív kezelése szempontjából, és minden Azure-előfizetés alapvető szükséglete. Minden Azure-szolgáltatás telemetriát bocsát ki tevékenységnaplók, metrikák és diagnosztikai naplók formájában.

• A tevékenységnaplók az előfizetésekben lévő erőforrásokon végrehajtott összes műveletet ismertetik.
• A metrikák az erőforrások által kibocsátott numerikus információk, amelyek egy erőforrás teljesítményét és állapotát írják le.
• A diagnosztikai naplókat egy Azure-szolgáltatás bocsátja ki, és gazdag, gyakori adatokat szolgáltat a szolgáltatás működéséről.

Ezek az információk több szinten is megtekinthetők és használhatók, és folyamatosan fejlődnek. Az Azure az alábbi ábrán ismertetett szolgáltatásokon keresztül biztosítja az Azure-erőforrások megosztott, alapvető és mély monitorozási képességeit.

Közös képességek

• Riasztások: Minden naplót, eseményt és metrikát összegyűjthet az Azure-erőforrásokból, de anélkül, hogy képes lenne értesülni a kritikus feltételekről és a cselekvésről, ezek az adatok csak történelmi célokra és kriminalisztikai célokra hasznosak. Az Azure-riasztások proaktív módon értesítik Önt az összes alkalmazás és infrastruktúra által meghatározott feltételekről. Riasztási szabályokat hozhat létre olyan naplók, események és metrikák között, amelyek műveletcsoportokkal értesítik a címzettek csoportjait. A műveletcsoportok emellett lehetővé teszik a szervizelés automatizálását külső műveletek, például webhookok használatával az Azure Automation-runbookok és az Azure Functions futtatásához.

• Irányítópultok: Az irányítópultok lehetővé teszik a figyelési nézetek összesítését, valamint az erőforrások és előfizetések adatainak kombinálását, így nagyvállalati szintű betekintést kaphat az Azure-erőforrások telemetriai adataiba. Létrehozhat és konfigurálhat saját nézeteket, és megoszthatja őket másokkal. Létrehozhat például egy irányítópultot, amely különböző csempékből áll az adatbázis-rendszergazdák számára, hogy információkat nyújtsanak az összes Azure-adatbázis-szolgáltatásról, például az Azure SQL Database-ről, az Azure Database for PostgreSQL-ről és az Azure Database for MySQL-ről.

• Metrics Explorer: A metrikák az Azure-erőforrások által létrehozott numerikus értékek (cpu-százalékos vagy lemez I/O-metrikák), amelyek betekintést nyújtanak az erőforrások működésébe és teljesítményébe. A Metrics Explorerrel meghatározhatja és elküldheti az Önt érdeklő metrikákat a Log Analyticsbe összesítés és elemzés céljából.

Alapvető monitorozás

• Azure Monitor: Az Azure Monitor az alapvető platformszolgáltatás, amely egyetlen forrást biztosít az Azure-erőforrások monitorozásához. Az Azure Monitor Azure Portal felülete központosított ugrópontot biztosít az Azure-beli összes monitorozási funkcióhoz, beleértve az Alkalmazás Elemzések, a Log Analytics, a hálózatfigyelés, a felügyeleti megoldások és a szolgáltatástérképek részletes monitorozási képességeit. Az Azure Monitorral megjelenítheti, lekérdezheti, átirányíthatja, archiválhatja és kezelheti az Azure-erőforrásokból származó metrikákat és naplókat a teljes felhőtulajdonban. A portálon kívül az Azure Monitor PowerShell-parancsmagokkal, platformfüggetlen parancssori felülettel vagy az Azure Monitor REST API-kkal is lekérheti az adatokat.

• Azure Advisor: Az Azure Advisor folyamatosan figyeli a telemetriát az előfizetésekben és a környezetekben. Ajánlott eljárásokat is javasol az Azure-erőforrások költségoptimalizálásához, valamint az alkalmazáserőforrások teljesítményének, biztonságának és rendelkezésre állásának javításához.

• Azure Service Health: Az Azure Service Health azonosítja az Azure-szolgáltatásokkal kapcsolatos olyan problémákat, amelyek hatással lehetnek az alkalmazásokra, valamint segítséget nyújt az ütemezett karbantartási időszakok tervezésében.

• Tevékenységnapló: A tevékenységnapló az előfizetésekben lévő erőforrásokon végzett összes műveletet ismerteti. Naplónyomatot biztosít az erőforrások crud (létrehozási, frissítési, törlési) műveletének mi, ki és mikori meghatározásához. A tevékenységnapló-események a platformon vannak tárolva, és 90 napig kérdezhetők le. A tevékenységnaplókat hosszabb megőrzési időtartamok, valamint több erőforrás mélyebb lekérdezése és elemzése céljából betöltheti a Log Analyticsbe.

Alkalmazások részletes monitorozása

• Alkalmazás Elemzések: Az alkalmazás Elemzések lehetővé teszi az alkalmazásspecifikus telemetriai adatok gyűjtését, valamint az alkalmazások teljesítményének, rendelkezésre állásának és használatának monitorozását a felhőben vagy a helyszínen. Az alkalmazás több nyelv támogatott SDK-kkal történő rendszerezésével, beleértve a .NET, JavaScript, Java, Node.js, Ruby és Python nyelveket. Az alkalmazás Elemzések események ugyanabba a Log Analytics-adattárba kerülnek, amely támogatja az infrastruktúrát és a biztonsági monitorozást, így lehetővé válik az események időbeli korrelációja és összesítése egy gazdag lekérdezési nyelven keresztül.

Infrastruktúra részletes monitorozása

• Log Analytics: A Log Analytics központi szerepet játszik az Azure monitorozásában azáltal, hogy telemetriát és egyéb adatokat gyűjt különböző forrásokból, és egy lekérdezési nyelvet és elemzési motort biztosít, amely betekintést nyújt az alkalmazások és erőforrások működésébe. A Log Analytics-adatokkal közvetlenül is kommunikálhat gyors naplókeresésekkel és -nézetekkel, vagy használhat elemzési eszközöket más Azure-szolgáltatásokban, amelyek az adatokat a Log Analyticsben tárolják, például az Alkalmazás Elemzések vagy Felhőhöz készült Microsoft Defender.

• Hálózatfigyelés: Az Azure hálózatmonitorozási szolgáltatásaival betekintést nyerhet a hálózati forgalomba, a teljesítménybe, a biztonságba, a kapcsolatokba és a szűk keresztmetszetekbe. A jól megtervezett hálózattervezésnek tartalmaznia kell az Olyan Azure-beli hálózatfigyelési szolgáltatások konfigurálását, mint a Network Watcher és az ExpressRoute Monitor.

• Felügyeleti megoldások: A felügyeleti megoldások egy alkalmazáshoz vagy szolgáltatáshoz tartozó logikai, elemzési és előre definiált Log Analytics-lekérdezések csomagolt készletei. A Log Analyticsre támaszkodnak az eseményadatok tárolásának és elemzésének alapjaként. A mintafelügyeleti megoldások közé tartoznak a tárolók monitorozása és az Azure SQL Database-elemzések.

• Szolgáltatástérkép: A Szolgáltatástérkép grafikus nézetet biztosít az infrastruktúra összetevőiről, azok folyamatáról, valamint más számítógépeken és külső folyamatokban lévő egymástól függő elemekről. Az eseményeket, teljesítményadatokat és felügyeleti megoldásokat a Log Analyticsbe integrálja.

Tipp.

Egyéni riasztások létrehozása előtt hozzon létre és tartson fenn egy megosztott műveleti csoportokat, amelyek az Azure-riasztások között használhatók. Ez lehetővé teszi a címzettlisták, értesítési kézbesítési módszerek (e-mail, SMS-telefonszámok) és webhookok külső műveletekre (Azure Automation-runbookok, Azure Functions és Logic Apps, ITSM) való központi karbantartását.

Cost management

A helyszíni felhőről a nyilvános felhőre való áttéréskor az egyik fő változás a tőkekiadásról (hardvervásárlás) az üzemeltetési kiadásokra (a szolgáltatásért való fizetésre a használat során) való váltás. Ez a kapcsoló a költségek gondos kezelését is igényli. A felhő előnye, hogy alapvetően és pozitívan befolyásolhatja a használt szolgáltatás költségeit, ha egyszerűen leállítja vagy átméretezi, ha nincs rá szükség. A felhőbeli költségek tudatos kezelése ajánlott eljárás, amelyet az érett ügyfelek naponta végeznek el.

A Microsoft számos olyan eszközt biztosít, amelyek segítenek a költségek megjelenítésében, nyomon követésében és kezelésében. Az API-k teljes készletét is biztosítjuk, amelyekkel testre szabhatja és integrálhatja a költségkezelést saját eszközeibe és irányítópultjaiba. Ezek az eszközök lazán vannak csoportosítva az Azure Portal képességeire és külső képességeire.

Az Azure Portal képességei

Ezek az eszközök azonnali tájékoztatást nyújtanak a költségekről, valamint a műveletek elvégzésének lehetőségéről.

• Előfizetési erőforrásköltség: A portálon található Azure Cost Management + Számlázási nézet gyorsan áttekinti a költségeket és az erőforráscsoportonkénti napi költségekkel kapcsolatos információkat.
• Azure Cost Management + Számlázás: Így kezelheti és elemezheti az Azure-beli kiadásait, valamint azt, hogy mit költ más nyilvános felhőszolgáltatókra. Vannak ingyenes és fizetős szintek is, amelyek számos képességet biztosítanak.
• Azure-költségvetések és műveletcsoportok: Az, hogy mibe kerül valami, és a közelmúltig tett valamit, inkább manuális gyakorlat volt. Az Azure-költségvetések és API-k bevezetésével mostantól létrehozhat olyan műveleteket, amelyek akkor futnak, amikor a költségek elérik a küszöbértéket. Például leállíthat egy test erőforráscsoportot, ha a felhasználás eléri a költségvetés 100%-át.
• Azure Advisor: Ha tudja, hogy mibe kerül valami, az csak a csata fele, a másik fele pedig az, hogy tudja, mihez kezdjen ezzel az információval. Az Azure Advisor javaslatokat nyújt a megtakarítás, a megbízhatóság javítása vagy a biztonság növelése érdekében végrehajtandó műveletekre.

Külső költségkezelési eszközök

• Power BI Azure Consumption Elemzések: Saját vizualizációkat szeretne létrehozni a szervezet számára? Ha igen, akkor a Power BI-hoz készült Azure Consumption Elemzések tartalomcsomag az Ön által választott eszköz. Ezzel a tartalomcsomaggal és a Power BI-lal egyéni vizualizációkat hozhat létre, amelyek a szervezetet képviselik, részletesebb elemzést végezhet a költségekről, és más adatforrásokat is hozzáadhat a további bővítéshez.

• Azure Consumption API-k: A használati API-k programozott hozzáférést biztosítanak a költség- és használati adatokhoz a költségvetésekkel, fenntartott példányokkal és piactéri díjakkal kapcsolatos információk mellett. Ezek az API-k csak az EA-regisztrációkhoz és néhány közvetlen webes előfizetéshez érhetők el, azonban lehetővé teszik a költségadatok integrálását saját eszközeibe és adattárházaiba. Ezeket az API-kat az Azure CLI-vel is elérheti.

A hosszú távú és kiforrott felhőfelhasználók bizonyos ajánlott eljárásokat követnek:

• Aktívan monitorozza a költségeket. A kiforrott Azure-felhasználók szervezetei folyamatosan figyelik a költségeket, és szükség esetén műveleteket hajtanak végre. Egyes szervezetek még elemzésre is szánják az embereket, és javaslatot tesznek a használat módosítására, és ezek az emberek többet fizetnek magukért, amikor első alkalommal találnak egy hónapok óta futó, nem használt HDInsight-fürtöt.
• Használjon fenntartott Azure-beli virtuálisgép-példányokat. A felhőbeli költségek kezelésének másik fontos eleme a megfelelő eszköz használata a feladathoz. Ha olyan IaaS virtuális gépe van, amely 24x7-en kell maradnia, akkor egy fenntartott példány használata jelentős pénzt takarít meg. A virtuális gépek leállítása és a fenntartott példányok használata közötti megfelelő egyensúly megtalálása tapasztalatot és elemzést igényel.
• Az automatizálás hatékony használata. Sok számítási feladatnak nem kell minden nap futnia. A virtuális gépek napi négyórás kikapcsolásával a költségek 15%-át takaríthatja meg. Az Automation gyorsan kifizeti magát.
• A láthatósághoz használjon erőforráscímkéket. Ahogy a dokumentumban máshol is említettük, az erőforráscímkék használata lehetővé teszi a költségek jobb elemzését.

A költségkezelés egy olyan szemlélet, amely a nyilvános felhő hatékony és hatékony működtetésének alapvető eleme. Azok a vállalatok, amelyek sikert érnek el, szabályozhatják költségeiket, és megfelelhetnek a tényleges igényeiknek, ahelyett, hogy túlbuzdulnak, és remélik, hogy a kereslet jön.

Automatizálás

A felhőszolgáltatókat használó szervezetek fejlettségét megkülönböztető számos képesség egyike az általuk beépített automatizálási szint. Az automatizálás egy soha véget nem érő folyamat. Ahogy a szervezet a felhőbe költözik, ez egy olyan terület, ahol erőforrásokat és időt kell fektetnie az épületbe. Az Automation számos célt szolgál, többek között az erőforrások konzisztens bevezetését (ahol közvetlenül kapcsolódik egy másik alapvető állvány koncepcióhoz, sablonokhoz és DevOpshoz) a problémák megoldásához. Az Automation összekapcsolja az Azure-állványok minden területét.

Számos eszköz segíthet ennek a képességnek a kiépítésében, az olyan külső eszközöktől, mint az Azure Automation, az Event Grid és az Azure CLI, számos külső eszközig, például a Terraformig, a Jenkinsig, a Chefig és a Puppetig. Az alapvető automatizálási eszközök közé tartozik az Azure Automation, az Event Grid és az Azure Cloud Shell.

• Az Azure Automation lehetővé teszi olyan runbookok készítését a PowerShellben vagy a Pythonban, amelyek automatizálják a folyamatokat, erőforrásokat konfigurálnak, és akár javításokat is alkalmazhatnak. Az Azure Automation platformfüggetlen funkciók széles halmazával rendelkezik, amelyek az üzembe helyezés szerves részét képezik, de túl kiterjedtek ahhoz, hogy részletesebben is foglalkozhassanak itt.
• Az Event Grid egy teljes mértékben felügyelt esemény-útválasztási rendszer, amely lehetővé teszi, hogy reagáljon az Azure-környezetben lévő eseményekre. Ahogyan az Azure Automation az érett felhőszervezetek kötőszövete, az Event Grid a jó automatizálás kötőszövete. Az Event Grid használatával létrehozhat egy egyszerű kiszolgáló nélküli műveletet, amellyel e-mailt küldhet a rendszergazdának, amikor új erőforrást hoz létre, és naplózza az erőforrást egy adatbázisba. Ugyanez az Event Grid értesítést tud küldeni egy erőforrás törlésekor, és eltávolíthatja az elemet az adatbázisból.
• Az Azure Cloud Shell egy interaktív, böngészőalapú rendszerhéj az Azure-beli erőforrások kezeléséhez. Teljes környezetet biztosít a PowerShellhez vagy a Bashhez, amely szükség szerint indul el (és karbantartja Az Ön számára), így konzisztens környezetet biztosít a szkriptek futtatásához. Az Azure Cloud Shell további , már telepített kulcseszközökhöz biztosít hozzáférést a környezet automatizálásához, beleértve az Azure CLI-t, a Terraformot és a tárolók, adatbázisok (sqlcmd) kezelésére szolgáló további eszközök egyre bővülő listáját.

Az automatizálás teljes munkaidős feladat, és gyorsan a felhőcsapat egyik legfontosabb üzemeltetési feladatává válik. Azok a szervezetek, amelyek az "első automatizálás" megközelítést használják, nagyobb sikerrel használják az Azure-t:

• Költségek kezelése: Aktívan keresi a lehetőségeket, és automatizálást hoz létre az erőforrások átméretezéséhez, a vertikális fel- vagy leskálázáshoz, valamint a nem használt erőforrások kikapcsolásához.
• Működési rugalmasság: Az automatizálással (a sablonokkal és a DevOpsszal együtt) olyan szintű ismételhetőséget érhet el, amely növeli a rendelkezésre állást, növeli a biztonságot, és lehetővé teszi a csapat számára, hogy az üzleti problémák megoldására összpontosítson.

Sablonok és DevOps

Ahogy korábban kiemelte, a szervezet célja az erőforrások forrásvezérelt sablonokon és szkripteken keresztül történő kiépítése, valamint a környezetek interaktív konfigurációjának minimalizálása. Az "infrastruktúra mint kód" megközelítés és a folyamatos üzembe helyezéshez szükséges, fegyelmezett DevOps-folyamat biztosítja a konzisztenciát, és csökkentheti a környezetek közötti eltérést. Szinte minden Azure-erőforrás üzembe helyezhető Azure Resource Manager JSON-sablonokkal a PowerShell-lel vagy az Azure platformfüggetlen parancssori felületével, valamint olyan eszközökkel, mint a Terraform by HashiCorp, amely első osztályú támogatást és integrációt biztosít az Azure Cloud Shellrel).

Az Azure Resource Manager-sablonok használatának ajánlott eljárásaihoz hasonló cikkek kiválóan ismertetik az Azure Resource Manager-sablonok DevOps-alapú megközelítésének Azure DevOps-eszközláncgal történő alkalmazásával kapcsolatos ajánlott eljárásokat és tanulságokat. Szánjon időt és energiát a szervezet igényeinek megfelelő sablonok alapvető készletének fejlesztésére, valamint a folyamatos kézbesítési folyamatok fejlesztésére a DevOps eszközláncaival (például Az Azure DevOps, a Jenkins, a Bambusz, a TeamCity és a Concourse), különösen az éles és minőségbiztosítási környezetekhez. A GitHubon az Azure Gyorsútmutató-sablonok nagy tára áll rendelkezésre, amelyet kiindulópontként használhat a sablonokhoz, és gyorsan létrehozhat felhőalapú kézbesítési folyamatokat az Azure DevOps használatával.

Az éles előfizetések vagy erőforráscsoportok ajánlott eljárása, hogy az Azure RBAC-biztonság használatával alapértelmezés szerint tiltsa le az interaktív felhasználókat, és szolgáltatásneveken alapuló automatizált folyamatos kézbesítési folyamatokat használjon az összes erőforrás kiépítéséhez és az összes alkalmazáskód kézbesítéséhez. Az erőforrások interaktív konfigurálásához egyetlen rendszergazdának vagy fejlesztőnek sem szabad megérintenie az Azure Portalt. A DevOps ezen szintje összehangolt munkát igényel, és az Azure-állványok összes fogalmat használja, egységesebb és biztonságosabb környezetet biztosítva, amely megfelel a szervezet skálázási igényeinek.

Tipp.

Összetett Azure Resource Manager-sablonok tervezésekor és fejlesztésekor csatolt sablonokkal rendszerezheti és újrabontásba hozhatja a monolitikus JSON-fájlokból származó összetett erőforrás-kapcsolatokat. Így önállóan kezelheti az erőforrásokat, és olvashatóbbá, tesztelhetőbbé és újrafelhasználhatóbbá teheti a sablonokat.

Az Azure egy rugalmas skálázású felhőszolgáltató. Amikor a szervezetet a helyszíni kiszolgálókról a felhőbe helyezi át, a felhőszolgáltatók és az SaaS-alkalmazások által használt fogalmakra támaszkodva a szervezet sokkal hatékonyabban tud reagálni az üzleti igényekre.

Központi hálózat

Az Azure állványzat referenciamodelljének végső összetevője a szervezet azure-hoz való biztonságos hozzáférésének alapvető eleme. Az erőforrásokhoz való hozzáférés lehet belső (a vállalat hálózatán belül) vagy külső (az interneten keresztül). A szervezet felhasználóinak könnyen előfordulhat, hogy véletlenül rossz helyre helyezik az erőforrásokat, és rosszindulatú hozzáférésre nyithatják meg őket. A helyszíni eszközökhöz hasonlóan a vállalatoknak is hozzá kell adniuk a megfelelő vezérlőket annak biztosítása érdekében, hogy az Azure-felhasználók helyes döntéseket hozzanak. Az előfizetés-szabályozáshoz azonosítjuk azokat az alapvető erőforrásokat, amelyek alapvető hozzáférés-vezérlést biztosítanak. Az alapvető erőforrások a következőkből állnak:

• A virtuális hálózatok alhálózatok tárolóobjektumai. Bár nem feltétlenül szükséges, gyakran használják az alkalmazások belső vállalati erőforrásokhoz való csatlakoztatásához.
• A felhasználó által megadott útvonalak lehetővé teszik az alhálózaton belüli útvonaltábla manipulálását, amely lehetővé teszi, hogy forgalmat küldjön egy hálózati virtuális berendezésen vagy egy távoli átjárón keresztül egy társhálózaton.
• A virtuális hálózatok közötti társviszony-létesítéssel zökkenőmentesen csatlakoztathat két vagy több virtuális hálózatot az Azure-ban, így összetettebb küllős kialakításokat vagy megosztott szolgáltatási hálózatokat hozhat létre.
• Szolgáltatásvégpontok. Korábban a PaaS-szolgáltatások különböző módszerekre támaszkodtak, hogy biztonságossá tegye az erőforrásokhoz való hozzáférést a virtuális hálózatokról. A szolgáltatásvégpontok lehetővé teszik az engedélyezett PaaS-szolgáltatásokhoz való hozzáférést csak csatlakoztatott végpontokról, ami növeli az általános biztonságot.
• A biztonsági csoportok olyan szabályok széles halmazát képezik, amelyek lehetővé teszik az Azure-erőforrások bejövő és kimenő forgalmának engedélyezését vagy letiltását. A biztonsági csoportok olyan biztonsági szabályokból állnak, amelyek szolgáltatáscímkékkelbővíthetők (amelyek általános Azure-szolgáltatásokat definiálnak, például az Azure Key Vaultot vagy az Azure SQL Database-t), valamint alkalmazásbiztonsági csoportokat (amelyek definiálják és alkalmazásstruktúrát, például web- vagy alkalmazáskiszolgálókat).

Tipp.

Szolgáltatáscímkék és alkalmazásbiztonsági csoportok használata a hálózati biztonsági csoportokban a következő műveletekhez:

• A szabályok olvashatóságának javítása, ami elengedhetetlen a hatások megértéséhez.
• Hatékony mikrosegmentáció engedélyezése egy nagyobb alhálózaton belül, csökkentve a terjedést és a rugalmasságot.

Azure Virtual Datacenter

Az Azure belső és harmadik féltől származó képességeket is biztosít kiterjedt partnerhálózatunkból, amelyek hatékony biztonsági álláspontot biztosítanak. Ami még fontosabb, a Microsoft ajánlott eljárásokat és útmutatást nyújt az Azure Virtual Datacenter (VDC) formájában. Amikor egyetlen számítási feladatról több, hibrid képességeket használó számítási feladatra vált, a VDC útmutatója "recepteket" nyújt a rugalmas, az Azure-beli számítási feladatok növekedésével növekedő hálózat engedélyezéséhez.

Következő lépések

A szabályozás kulcsfontosságú az Azure sikere szempontjából. Ez a cikk egy vállalati állványzat műszaki megvalósítását célozza meg, de csak a szélesebb körű folyamatot és az összetevők közötti kapcsolatokat érinti. A szabályzatszabályozás felülről lefelé halad, és az határozza meg, hogy mit szeretne elérni az üzlet. Az Azure-hoz készült szabályozási modell létrehozása természetesen magában foglalja az informatikai részleg képviselőit, de ennél is fontosabb, hogy erős képviselettel kell rendelkeznie az üzleti csoportvezetőktől, valamint a biztonság és a kockázatkezelés terén. Végül egy vállalati állványzat arról szól, hogy mérsékelje az üzleti kockázatokat, hogy megkönnyítse a szervezet küldetését és célkitűzéseit.

Most, hogy megismerte az előfizetések szabályozását, tekintse át az Azure ajánlott eljárásait, hogy a gyakorlatban is láthassa ezeket a javaslatokat.