Panduan tata kelola untuk perusahaan yang kompleks

Panduan tata kelola ini mengikuti pengalaman perusahaan fiktif melalui berbagai tahap kematangan tata kelola mereka. Panduan ini didasarkan pada pengalaman pelanggan nyata, dan praktik terbaik yang disarankan didasarkan pada kendala dan kebutuhan perusahaan fiktif.

Gambaran umum praktik terbaik

Sebagai titik awal yang singkat, ringkasan ini mendefinisikan produk minimum yang layak (MVP) untuk tata kelola berdasarkan praktik terbaik. Ini juga menyediakan tautan ke beberapa peningkatan tata kelola yang memberi praktik terbaik selengkapnya saat muncul risiko bisnis atau teknis yang baru.

Penting

MVP ini adalah titik awal garis besar yang dibangun pada serangkaian asumsi. Bahkan serangkaian praktik terbaik minimal ini didasarkan pada kebijakan perusahaan yang didorong oleh risiko bisnis yang unik dan toleransi risiko. Baca narasi yang lebih panjang yang mengikuti artikel ini untuk memeriksa apakah kumpulan asumsi ini berlaku untuk situasi Anda.

Praktik terbaik tata kelola

Praktik terbaik ini berfungsi sebagai fondasi bagi organisasi Anda untuk menambahkan pagar pembatas tata kelola dengan cepat dan konsisten di beberapa langganan Azure.

Organisasi sumber daya

Diagram berikut berisi hierarki MVP tata kelola untuk organisasi sumber daya.

Diagram organisasi sumber daya.

Sebarkan setiap aplikasi di area yang sesuai dari hierarki grup manajemen, langganan, dan grup sumber daya Anda. Selama perencanaan penyebaran, tim tata kelola cloud Anda perlu membuat simpul yang diperlukan dalam hierarki ini untuk memberdayakan tim adopsi cloud Anda.

  • Untuk setiap unit bisnis, tentukan grup manajemen dengan hierarki terperinci yang mencerminkan geografi terlebih dahulu, lalu jenis lingkungan (seperti lingkungan produksi atau nonproduksi).

  • Buat langganan produksi dan langganan nonproduksi untuk setiap kombinasi unik geografi atau unit bisnis diskrit. Rencanakan dengan cermat saat membuat beberapa langganan. Untuk informasi selengkapnya, lihat panduan keputusan langganan.

  • Terapkan nomenklatur yang konsisten dalam setiap tingkat hierarki pengelompokan Anda.

  • Pertimbangkan siklus hidup konten saat Anda menyebarkan grup sumber daya: hal-hal yang dikembangkan bersama, dikelola bersama, dan pensiun bersama-sama berjalan bersama. Untuk informasi selengkapnya tentang praktik terbaik grup sumber daya, lihat panduan keputusan konsistensi sumber daya.

  • Pertimbangkan pemilihan wilayah sehingga Anda dapat memastikan bahwa jaringan, pemantauan, dan audit tersedia untuk failover/failback dan konfirmasi bahwa SKU yang diperlukan tersedia di wilayah pilihan.

Contoh organisasi sumber daya untuk perusahaan besar.

Pola-pola ini memberikan ruang untuk pertumbuhan tanpa perlu mempersulit hierarki Anda.

Catatan

Jika terjadi perubahan pada persyaratan bisnis Anda, grup manajemen Azure memungkinkan Anda mengatur ulang hierarki manajemen dan penetapan grup langganan dengan mudah. Namun, perlu diingat bahwa penetapan kebijakan dan peran yang diterapkan ke grup manajemen diwarisi oleh semua langganan di bawah grup tersebut dalam hierarki. Jika Anda berencana untuk menetapkan ulang langganan di antara grup manajemen, pastikan Anda mengetahui setiap perubahan kebijakan dan penetapan peran yang mungkin terjadi. Lihat dokumentasi grup manajemen Azure untuk informasi selengkapnya.

Tata kelola sumber daya

Serangkaian kebijakan global dan peran RBAC akan memberikan tingkat garis besar dari penegakan tata kelola. Untuk memenuhi persyaratan kebijakan tim tata kelola cloud, penerapan MVP tata kelola memerlukan penyelesaian tugas berikut:

  1. Identifikasi definisi Azure Policy yang diperlukan untuk menegakkan persyaratan bisnis. Ini mungkin termasuk menggunakan definisi bawaan dan membuat definisi kustom yang baru. Untuk mengikuti kecepatan definisi bawaan yang baru dirilis, ada Umpan atom dari semua penerapan untuk kebijakan bawaan, yang dapat Anda gunakan untuk umpan RSS. Atau, Anda dapat memeriksa AzAdvertizer.
  2. Buat definisi cetak biru menggunakan kebijakan bawaan dan kustom ini serta penetapan peran yang diperlukan oleh MVP tata kelola.
  3. Terapkan kebijakan dan konfigurasi secara global dengan menetapkan definisi cetak biru ke semua langganan.

Mengidentifikasi definisi kebijakan

Azure menyediakan beberapa kebijakan dan definisi peran bawaan yang dapat Anda tetapkan ke grup manajemen, langganan, atau grup sumber daya apa pun. Banyak persyaratan tata kelola umum yang dapat ditangani menggunakan definisi bawaan. Namun, kemungkinan Anda juga perlu membuat definisi kebijakan kustom untuk menangani persyaratan khusus Anda.

Definisi kebijakan kustom disimpan ke grup manajemen atau langganan dan diwarisi melalui hierarki grup manajemen. Jika lokasi penyimpanan definisi kebijakan adalah grup manajemen, definisi kebijakan tersebut tersedia untuk ditetapkan ke salah satu grup atau langganan manajemen turunan dari grup tersebut.

Karena kebijakan yang diperlukan untuk mendukung MVP tata kelola dimaksudkan untuk diterapkan ke semua langganan saat ini, persyaratan bisnis berikut akan diterapkan menggunakan kombinasi definisi bawaan dan definisi kustom yang dibuat di grup manajemen akar:

  1. Batasi daftar penetapan peran yang tersedia ke serangkaian peran Azure bawaan yang diotorisasi oleh tim tata kelola cloud Anda. Ini memerlukan definisi kebijakan kustom.
  2. Wajibkan tag berikut di semua sumber daya: Departemen/Unit Penagihan, Geografi, Klasifikasi Data, Kekritisan, SLA, Lingkungan, Pola Dasar Aplikasi, Aplikasi, dan Pemilik Aplikasi. Ini dapat ditangani menggunakan definisi bawaan Require specified tag.
  3. Wajibkan agar tag Application sumber daya sesuai dengan nama grup sumber daya yang relevan. Ini dapat ditangani menggunakan definisi bawaan Require tag and its value.

Untuk informasi tentang menentukan kebijakan kustom, lihat dokumentasi Azure Policy. Untuk panduan dan contoh kebijakan kustom, lihat contoh situs Azure Policy dan repositori GitHub terkait.

Menetapkan Azure Policy dan peran RBAC menggunakan Azure Blueprints

Kebijakan Azure dapat ditetapkan pada tingkat grup sumber daya, langganan, dan grup manajemen, dan dapat disertakan dalam definisi Azure Blueprints. Meskipun persyaratan kebijakan yang ditentukan dalam MVP tata kelola ini berlaku untuk semua langganan saat ini, kemungkinan besar penyebaran di masa mendatang akan memerlukan pengecualian atau kebijakan alternatif. Akibatnya, penetapan kebijakan menggunakan grup manajemen, dengan semua langganan turunan mewarisi penetapan ini, mungkin tidak cukup fleksibel untuk mendukung skenario ini.

Azure Blueprints memungkinkan penetapan kebijakan dan peran, penerapan template Resource Manager, dan penyebaran grup sumber daya yang konsisten di beberapa langganan. Seperti definisi kebijakan, definisi cetak biru disimpan ke grup manajemen atau langganan. Definisi kebijakan tersedia melalui pewarisan ke turunan mana pun dalam hierarki grup manajemen.

Tim tata kelola cloud telah memutuskan bahwa penegakan Azure Policy yang diperlukan dan penetapan RBAC di seluruh langganan akan diterapkan melalui Azure Blueprints dan artefak terkait:

  1. Di grup manajemen akar, buat definisi cetak biru bernama governance-baseline.
  2. Tambahkan artefak cetak biru berikut ke definisi cetak biru:
    1. Penetapan kebijakan untuk definisi Azure Policy kustom yang ditentukan di akar grup manajemen.
    2. Definisi grup sumber daya untuk grup apa pun yang diperlukan dalam langganan yang dibuat atau diatur oleh MVP Tata kelola.
    3. Penetapan peran standar yang diperlukan dalam langganan yang dibuat atau diatur oleh MVP Tata kelola.
  3. Publikasikan definisi cetak biru.
  4. Tetapkan definisi cetak biru governance-baseline untuk semua langganan.

Lihat dokumentasi Azure Blueprints untuk informasi selengkapnya tentang membuat dan menggunakan definisi cetak biru.

Mengamankan VNet hibrid

Langganan tertentu sering kali memerlukan beberapa tingkat akses ke sumber daya lokal. Ini umum terjadi dalam skenario migrasi atau skenario pengembangan di mana sumber daya yang bergantung berada di pusat data lokal.

Sampai kepercayaan pada lingkungan cloud sepenuhnya terbentuk, penting untuk mengontrol dan memantau komunikasi yang diizinkan antara lingkungan lokal dan beban kerja cloud dengan ketat, dan bahwa jaringan lokal diamankan dari kemungkinan akses tidak sah dari sumber daya berbasis cloud. Untuk mendukung skenario ini, MVP tata kelola menambahkan praktik terbaik berikut:

  1. Buat VNet hibrid yang aman di cloud.
    1. Arsitektur referensi VPN menetapkan pola dan model penyebaran untuk membuat VPN Gateway di Azure.
    2. Pastikan bahwa keamanan lokal dan mekanisme manajemen lalu lintas memperlakukan jaringan cloud yang terhubung sebagai tidak tepercaya. Sumber daya dan layanan yang dihosting di cloud hanya boleh memiliki akses ke layanan lokal resmi.
    3. Pastikan bahwa perangkat edge lokal di pusat data lokal kompatibel dengan persyaratan Azure VPN Gateway dan dikonfigurasi untuk mengakses internet publik.
    4. Perhatikan bahwa tunnel VPN tidak boleh dianggap sebagai sirkuit siap produksi untuk apa pun kecuali beban kerja paling sederhana. Apa pun yang bukan merupakan beban kerja sederhana yang membutuhkan konektivitas lokal harus menggunakan Azure ExpressRoute.
  2. Di grup manajemen akar, buat definisi cetak biru kedua bernama secure-hybrid-vnet.
    1. Tambahkan template Resource Manager untuk VPN Gateway sebagai artefak ke definisi cetak biru.
    2. Tambahkan template Resource Manager untuk jaringan virtual sebagai artefak ke definisi cetak biru.
    3. Publikasikan definisi cetak biru.
  3. Tetapkan definisi cetak biru secure-hybrid-vnet untuk setiap langganan yang memerlukan konektivitas lokal. Definisi ini harus ditetapkan sebagai tambahan untuk definisi cetak biru governance-baseline.

Salah satu hal yang menjadi kekhawatiran terbesar tim keamanan TI dan tata kelola tradisional adalah risiko bahwa adopsi cloud tahap awal akan membahayakan aset yang ada. Pendekatan di atas memungkinkan tim adopsi cloud untuk membangun dan memigrasikan solusi hibrid, dengan pengurangan risiko terhadap aset lokal. Saat kepercayaan pada cloud estate meningkat, evolusi selanjutnya dapat menghapus solusi sementara ini.

Catatan

Hal di atas adalah titik awal untuk membuat MVP tata kelola garis besar dengan cepat. Ini hanyalah awal dari perjalanan tata kelola. Evolusi selengkapnya akan diperlukan ketika perusahaan terus mengadopsi cloud dan mengambil lebih banyak risiko di area berikut:

  • Beban kerja kritis-misi
  • Data yang dilindungi
  • Cost management
  • Skenario multicloud

Selain itu, detail spesifik dari MVP ini didasarkan pada contoh perjalanan perusahaan fiktif, yang dijelaskan dalam artikel berikut. Sebaiknya pelajari artikel lain dalam seri ini sebelum menerapkan praktik terbaik ini.

Perbaikan tata kelola bertahap

Setelah menyebarkan MVP, Anda dapat menggabungkan lapisan tata kelola tambahan ke lingkungan dengan cepat. Berikut adalah beberapa cara Anda dapat meningkatkan MVP untuk memenuhi kebutuhan bisnis tertentu:

Apa isi panduan ini?

Praktik dan alat dari disiplin Akselerasi Penyebaran ditetapkan dalam MVP sehingga Anda dapat dengan cepat menerapkan kebijakan perusahaan. MVP bergantung pada azure Blueprints, Azure Policy, dan grup manajemen Azure untuk menerapkan beberapa kebijakan dasar perusahaan, seperti yang didefinisikan dalam narasi untuk contoh perusahaan fiktif kami. Anda dapat menggunakan templat Azure Resource Manager dan kebijakan Azure untuk menerapkan kebijakan perusahaan ini. menetapkan garis besar kecil untuk identitas dan keamanan.

Diagram memperlihatkan contoh MVP tata kelola inkremental.

Peningkatan praktik tata kelola secara bertambah bertahap

Seiring waktu, Anda dapat menggunakan MVP tata kelola ini untuk meningkatkan praktik tata kelola. Seiring kemajuan adopsi, maka risiko bisnis juga tumbuh. Berbagai disiplin ilmu dalam model tata kelola Cloud Adoption Framework akan terus berubah untuk mengelola risiko tersebut. Artikel selanjutnya dalam seri ini membahas bagaimana peningkatan inkremental terhadap kebijakan perusahaan memengaruhi perusahaan fiktif. Peningkatan ini dilakukan di empat disiplin ilmu:

  • Disiplin Garis Besar Identitas, saat Anda mengubah dependensi migrasi dalam narasi.
  • Disiplin Cost Management, saat Anda menskalakan adopsi Anda.
  • Disiplin Garis Besar Keamanan, saat Anda menyebarkan data yang dilindungi.
  • Disiplin Konsistensi Sumber Daya, saat operasi TI Anda mulai mendukung beban kerja misi penting.

Diagram yang menunjukkan contoh peningkatan inkremental pada praktik tata kelola.

Langkah berikutnya

Setelah memahami MVP tata kelola dan perubahan tata kelola yang akan datang, baca narasi pendukung untuk konteks tambahan.