Area desain: Tata kelola Azure

  • Artikel

Gunakan tata kelola Azure untuk membuat alat yang Anda butuhkan untuk mendukung tata kelola cloud, audit kepatuhan, dan pagar pembatas otomatis.

Peninjauan area desain

Peran atau fungsi: Tata kelola Azure berasal dari tata kelola cloud. Anda mungkin perlu menerapkan platform cloud atau pusat keunggulan cloud untuk menentukan dan menerapkan persyaratan teknis tertentu. Tata kelola berfokus pada pemberlakuan operasi dan persyaratan keamanan, yang mungkin memerlukan keamanan cloud, TI pusat, atau operasi cloud.

Cakupan: Pertimbangkan keputusan Anda dari tinjauan area identitas, jaringan, keamanan, dan desain manajemen . Tim Anda dapat membandingkan keputusan ulasan dari tata kelola otomatis, yang merupakan bagian dari akselerator zona pendaratan Azure. Keputusan peninjauan dapat membantu Anda menentukan apa yang harus diaudit atau diberlakukan dan kebijakan apa yang akan disebarkan secara otomatis.

Di luar cakupan: Tata kelola Azure menentukan dasar untuk jaringan. Tetapi tidak mengatasi komponen terkait kepatuhan, seperti keamanan jaringan tingkat lanjut atau pagar pembatas otomatis untuk menegakkan keputusan jaringan. Anda dapat mengatasi keputusan jaringan ini saat meninjau area desain kepatuhan yang terkait dengan keamanan dan tata kelola. Tim platform cloud harus memenuhi persyaratan jaringan awal sebelum mengatasi komponen yang lebih kompleks.

Lingkungan cloud baru (greenfield): Untuk memulai perjalanan cloud Anda, buat serangkaian langganan kecil. Anda dapat menggunakan templat penyebaran Bicep untuk membuat zona pendaratan Azure baru Anda. Untuk informasi selengkapnya, lihat Bicep zona pendaratan Azure—Alur penyebaran.

Lingkungan cloud (brownfield) yang ada: Jika Anda ingin menerapkan prinsip tata kelola Azure yang terbukti-praktik ke lingkungan Azure yang ada, pertimbangkan panduan berikut:

  • Buat garis besar manajemen untuk lingkungan hibrid atau multicloud Anda.

  • Terapkan fitur Microsoft Cost Management , seperti cakupan penagihan, anggaran, dan pemberitahuan, untuk memastikan bahwa Anda tidak melebihi batas pengeluaran Anda.

  • Gunakan Azure Policy untuk memberlakukan pagar pembatas tata kelola pada penyebaran Azure dan memicu tugas remediasi untuk membawa sumber daya Azure yang ada ke dalam status yang sesuai.

  • Pertimbangkan untuk menggunakan fitur pengelolaan pemberian hak Microsoft Entra untuk mengotomatiskan alur kerja permintaan akses Azure, penetapan akses, tinjauan, dan kedaluwarsa.

  • Gunakan rekomendasi Azure Advisor untuk memastikan pengoptimalan biaya dan keunggulan operasional di Azure, yang keduanya merupakan prinsip inti dari Microsoft Azure Well-Architected Framework.

Bicep zona pendaratan Azure—Repositori alur penyebaran berisi templat penyebaran Bicep yang dapat mempercepat penyebaran zona pendaratan Greenfield dan Brownfield Azure Anda. Templat ini telah mengintegrasikan panduan tata kelola praktik terbukti Microsoft.

Pertimbangkan untuk menggunakan modul Bicep penetapan kebijakan default zona arahan Azure untuk memulai memastikan kepatuhan untuk lingkungan Azure Anda.

Untuk informasi selengkapnya, lihat Pertimbangan lingkungan Brownfield.

Ringkasan area desain

Perjalanan adopsi cloud organisasi Anda dimulai dengan kontrol yang kuat untuk lingkungan pemerintah.

Tata kelola menyediakan mekanisme dan proses untuk mempertahankan kontrol atas platform, aplikasi, dan sumber daya di Azure.

Diagram yang memperlihatkan desain tata kelola zona pendaratan.

Jelajahi pertimbangan dan rekomendasi berikut untuk membuat keputusan berdasarkan informasi saat Anda merencanakan zona pendaratan Anda.

Area desain tata kelola berfokus pada keputusan desain untuk zona pendaratan Anda. Untuk informasi tentang proses dan alat tata kelola, lihat Mengatur di Kerangka Kerja Adopsi Cloud untuk Azure.

Pertimbangan tata kelola Azure

Azure Policy membantu memastikan keamanan dan kepatuhan untuk kawasan teknis perusahaan. Azure Policy dapat menerapkan konvensi manajemen dan keamanan penting di seluruh layanan platform Azure. Azure Policy melengkapi kontrol akses berbasis peran Azure (RBAC), yang mengontrol tindakan untuk pengguna yang berwenang. Cost Management juga dapat membantu mendukung biaya tata kelola dan pengeluaran Anda yang sedang berlangsung di Azure atau lingkungan multicloud lainnya.

Pertimbangan penyebaran

Papan tinjauan saran perubahan dapat menghambat inovasi organisasi dan kelincahan bisnis Anda. Azure Policy mengganti tinjauan tersebut dengan pagar pembatas otomatis dan audit kepatuhan untuk meningkatkan efisiensi beban kerja.

  • Tentukan kebijakan Azure mana yang Anda butuhkan berdasarkan kontrol bisnis atau peraturan kepatuhan Anda. Gunakan kebijakan yang disertakan dalam akselerator zona pendaratan Azure sebagai titik awal.

  • Gunakan sampel cetak biru berbasis standar untuk mempertimbangkan kebijakan lain yang mungkin selaras dengan kebutuhan bisnis Anda.

  • Menerapkan konvensi jaringan, identitas, manajemen, dan keamanan otomatis.

  • Gunakan definisi kebijakan untuk mengelola dan membuat penetapan kebijakan, dan menggunakannya kembali di beberapa cakupan penugasan yang diwariskan. Anda dapat memiliki penetapan kebijakan dasar terpusat dalam lingkup pengelolaan, langganan, dan grup sumber daya.

  • Menggabungkan pelaporan dan audit kepatuhan untuk memastikan kepatuhan berkelanjutan.

  • Pahami bahwa Azure Policy memiliki batasan, seperti pembatasan definisi pada cakupan tertentu.

  • Pahami kebijakan kepatuhan terhadap peraturan, seperti HIPAA, PCI-DSS, atau Kriteria Layanan Kepercayaan SOC 2.

Pertimbangan pengelolaan biaya

  • Pertimbangkan struktur model biaya dan pengisian ulang organisasi Anda. Tentukan poin data utama yang secara akurat menyampaikan pengeluaran layanan cloud Anda.

  • Pilih struktur tag yang sesuai dengan biaya dan model pengisian daya Anda untuk membantu melacak pengeluaran cloud Anda.

  • Gunakan kalkulator harga Azure untuk memperkirakan biaya bulanan yang diharapkan untuk menggunakan produk Azure.

  • Dapatkan Azure Hybrid Benefit untuk membantu mengurangi biaya menjalankan beban kerja Anda di cloud. Anda dapat menggunakan Jaminan perangkat lunak lokal-Server Windows yang diaktifkan dan lisensi SQL Server di Azure. Anda juga dapat menggunakan langganan Red Hat dan SUSE Linux.

  • Dapatkan reservasi Azure dan berkomitmen untuk paket satu tahun atau tiga tahun untuk beberapa produk. Paket reservasi memberikan diskon sumber daya, yang secara signifikan dapat mengurangi biaya sumber daya Anda hingga 72% dibandingkan dengan harga bayar sesuai pemakaian.

  • Dapatkan paket penghematan Azure untuk komputasi guna menghemat hingga 65% dibandingkan dengan harga bayar sesuai pemakaian. Pilih komitmen satu tahun atau tiga tahun yang berlaku untuk layanan komputasi, terlepas dari wilayah, ukuran instans, atau sistem operasi Anda. Pilih paket untuk komponen komputasi, seperti komputer virtual, host khusus, instans kontainer, fungsi premium Azure, dan layanan aplikasi Azure. Gabungkan paket penghematan Azure dengan reservasi Azure untuk mengoptimalkan biaya komputasi dan fleksibilitas.

  • Gunakan kebijakan Azure untuk mengizinkan wilayah, jenis sumber daya, dan SKU sumber daya tertentu.

  • Gunakan kebijakan berbasis aturan manajemen siklus hidup Azure Storage untuk memindahkan data blob ke tingkat akses yang sesuai atau untuk kedaluwarsa data di akhir siklus hidup data.

  • Gunakan langganan azure dev/test untuk mendapatkan diskon akses untuk memilih layanan Azure untuk beban kerja nonproduksi.

  • Gunakan penskalaan otomatis untuk mengalokasikan dan membatalkan alokasi sumber daya secara dinamis agar sesuai dengan kebutuhan performa Anda, yang menghemat uang.

  • Gunakan Azure Spot Virtual Machines untuk memanfaatkan kapasitas komputasi yang tidak digunakan dengan biaya rendah. Spot Virtual Machines sangat bagus untuk beban kerja yang dapat menangani gangguan, misalnya pekerjaan pemrosesan batch, lingkungan dev/test, dan beban kerja komputasi besar.

  • Pilih layanan Azure yang tepat untuk membantu mengurangi biaya. Beberapa layanan Azure gratis selama 12 bulan dan beberapa selalu gratis.

  • Pilih layanan komputasi yang tepat untuk aplikasi Anda untuk membantu meningkatkan efisiensi biaya. Azure menawarkan berbagai cara untuk meng-host kode Anda.

Pertimbangan manajemen sumber daya

  • Tentukan apakah grup sumber daya di lingkungan Anda dapat berbagi konfigurasi yang diperlukan, siklus hidup umum, atau batasan akses umum (seperti RBAC) untuk membantu memberikan konsistensi.

  • Pilih aplikasi atau desain langganan beban kerja yang sesuai untuk kebutuhan operasi Anda.

  • Gunakan konfigurasi sumber daya standar dalam organisasi Anda untuk memastikan konfigurasi garis besar yang konsisten.

Pertimbangan keamanan

  • Menerapkan alat dan pagar pembatas di seluruh lingkungan sebagai bagian dari garis besar keamanan.

  • Beri tahu orang yang sesuai saat Anda menemukan penyimpangan.

  • Pertimbangkan untuk menggunakan Azure Policy untuk menerapkan alat, seperti Microsoft Defender untuk Cloud, atau pagar pembatas, seperti tolok ukur keamanan cloud Microsoft.

Pertimbangan pengelolaan identitas

  • Tentukan siapa yang memiliki akses ke log audit untuk manajemen identitas dan akses.

  • Beri tahu orang yang sesuai ketika peristiwa masuk yang mencurigakan terjadi.

  • Pertimbangkan untuk menggunakan laporan Microsoft Entra untuk mengatur aktivitas.

  • Pertimbangkan untuk mengirim log ID Microsoft Entra ke ruang kerja Log Azure Monitor pusat untuk platform.

  • Jelajahi fitur Tata Kelola ID Microsoft Entra, seperti tinjauan akses dan pengelolaan pemberian hak.

Alat non-Microsoft

  • Gunakan AzAdvertizer untuk mendapatkan pembaruan tata kelola Azure. Misalnya, Anda dapat menemukan wawasan tentang definisi kebijakan, inisiatif, alias, keamanan, dan kontrol kepatuhan peraturan dalam definisi peran Azure Policy atau Azure RBAC. Anda juga bisa mendapatkan wawasan tentang operasi penyedia sumber daya, definisi peran dan tindakan peran Microsoft Entra, dan izin API pihak pertama.

  • Gunakan Azure Governance Visualizer untuk melacak kawasan tata kelola teknis Anda. Anda dapat menggunakan fitur pemeriksa versi kebijakan untuk zona pendaratan Azure untuk menjaga lingkungan Anda tetap terbaru dengan status rilis kebijakan zona pendaratan Azure terbaru.

Rekomendasi tata kelola Azure

Rekomendasi percepatan penyebaran

  • Identifikasi tag Azure yang diperlukan dan gunakan mode kebijakan tambahan untuk menerapkan penggunaan. Untuk informasi selengkapnya, lihat Menentukan strategi pemberian tag Anda.

  • Petakan persyaratan peraturan dan kepatuhan ke definisi Azure Policy dan penetapan peran Azure.

  • Tetapkan definisi Azure Policy di grup manajemen akar tingkat atas karena mungkin ditetapkan pada cakupan yang diwariskan.

  • Kelola penetapan kebijakan pada tingkat tertinggi yang sesuai dengan pengecualian di tingkat bawah, jika perlu.

  • Gunakan Azure Policy untuk mengontrol pendaftaran penyedia sumber daya di tingkat grup langganan atau pengelolaan.

  • Gunakan kebijakan bawaan untuk meminimalkan biaya tambahan operasional.

  • Tetapkan peran Kontributor Kebijakan Sumber Daya bawaan pada cakupan tertentu untuk mengaktifkan tata kelola tingkat aplikasi.

  • Batasi jumlah penetapan Azure Policy di cakupan grup manajemen akar untuk menghindari pengelolaan pengecualian pada cakupan yang diwariskan.

Rekomendasi pengelolaan biaya

  • Gunakan Cost Management untuk menerapkan pengawasan keuangan pada sumber daya di lingkungan Anda.

  • Gunakan tag, seperti pusat biaya atau nama proyek, untuk menambahkan metadata sumber daya. Pendekatan ini membantu mengaktifkan analisis pengeluaran yang terperinci.

Tata kelola Azure di akselerator zona pendaratan Azure

Akselerator zona pendaratan Azure menyediakan kontrol tata kelola yang matang kepada organisasi.

Misalnya, Anda dapat menerapkan:

  • Hierarki grup manajemen yang mengelompokkan sumber daya menurut jenis fungsi atau beban kerja. Pendekatan ini mendorong konsistensi sumber daya.

  • Serangkaian kebijakan Azure yang kaya yang memungkinkan kontrol tata kelola di tingkat grup manajemen. Pendekatan ini membantu memverifikasi bahwa semua sumber daya berada dalam cakupan.