Indicazioni sull'acceleratore del visualizzatore di governance di Azure

Le organizzazioni possono usare il visualizzatore di governance di Azure per acquisire informazioni di governance pertinenti sui tenant di Azure. Lo strumento acquisisce:

• Gerarchia dei gruppi di gestione.
• Informazioni sui criteri, ad esempio definizioni di criteri personalizzati, definizioni di criteri personalizzati orfani e assegnazioni di criteri.
• Informazioni sul controllo degli accessi in base al ruolo, ad esempio definizioni di ruolo personalizzate, definizioni di ruolo personalizzate orfane e assegnazioni di ruolo.
• Sicurezza di Azure e analisi delle procedure consigliate.
• Informazioni dettagliate sull'ID Di Microsoft Entra.

L'acceleratore del visualizzatore di governance di Azure esegue il visualizzatore in modo automatizzato tramite Azure Pipelines o GitHub Actions. Il visualizzatore restituisce il riepilogo come file HTML, MD e CSV. Idealmente, il report HTML generato è reso facilmente accessibile agli utenti autorizzati dell'organizzazione. Questo articolo illustra come automatizzare l'esecuzione del visualizzatore di governance di Azure e ospitare l'output dei report in modo sicuro e conveniente sulla funzionalità App Web del servizio app Azure.

Un'implementazione di esempio è disponibile in GitHub nell'acceleratore del visualizzatore di governance di Azure.

Architettura

Scaricare un file di Visio di questa architettura.

Flusso di dati

L'architettura della soluzione implementa il flusso di lavoro seguente:

1. Un timer attiva il flusso di GitHub Actions.
2. Il flusso stabilisce una connessione OpenID Connessione ad Azure. Esegue quindi lo strumento Visualizzatore di governance di Azure. Lo strumento raccoglie le informazioni dettagliate necessarie sotto forma di report HTML, MD e CSV.
3. I report vengono inseriti nel repository GitHub.
4. L'output HTML dello strumento visualizzatore di governance di Azure viene pubblicato in servizio app.

Flusso utente

Questo flusso spiega come un utente può usare lo strumento :

1. L'utente passa all'URL servizio app per accedere al report HTML del visualizzatore. L'utente deve eseguire l'autenticazione tramite l'autorizzazione microsoft Entra ID.
2. L'utente può esaminare le informazioni dettagliate fornite dal visualizzatore.

Componenti

L'acceleratore si basa su un repository di modelli GitHub costituito dai componenti seguenti:

• Microsoft Entra ID è un servizio di gestione delle identità aziendale che fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale.
• Servizio app di Azure è una piattaforma completamente gestita per la creazione e la distribuzione di applicazioni cloud. Consente di definire un set di risorse di calcolo per l'esecuzione di un'app Web, la distribuzione di app Web e la configurazione degli slot di distribuzione.
• GitHub è un'offerta SaaS diffusa di Microsoft che viene spesso usata dagli sviluppatori per compilare, distribuire e gestire i progetti software.
• GitHub Actions offre funzionalità di integrazione continua e distribuzione continua in questa architettura.

Alternative

• Il visualizzatore di governance di Azure è uno script di PowerShell, che può essere eseguito direttamente in un computer locale. Il visualizzatore può essere configurato per l'esecuzione come parte di GitHub Actions o della pipeline di Azure DevOps per ricevere informazioni aggiornate sull'ambiente. Il visualizzatore genera un wiki come output che può essere pubblicato in GitHub o Azure DevOps.

• Il visualizzatore può anche essere ospitato in qualsiasi altra piattaforma di hosting sicura e conveniente, ad esempio App Web statiche di Azure.

Dettagli dello scenario

Il visualizzatore di governance di Azure è uno script basato su PowerShell che esegue l'iterazione della gerarchia del gruppo di gestione del tenant di Azure fino al livello di sottoscrizione. Acquisisce le funzionalità di governance di Azure più rilevanti, ad esempio Criteri di Azure, controllo degli accessi in base al ruolo, ID Entra Microsoft e Blueprints. Dai dati raccolti, il visualizzatore di governance di Azure visualizza tutte queste informazioni in un report HTML facile da esplorare.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Limitare il codice HTML per la creazione di report solo agli utenti autorizzati a visualizzare questi dati è importante. Questi dati sono una miniera d'oro per minacce interne ed esterne, in quanto espone il panorama di Azure, inclusi i controlli di sicurezza.

• Usare l'autenticazione di Microsoft Entra per limitare l'accesso a utenti autorizzati. Prendere in considerazione l'uso dell'autenticazione App Web per fornire questo servizio. Nell'acceleratore la distribuzione viene configurata per App Web e verifica attivamente che l'autenticazione sia abilitata prima della distribuzione.

• Valutare la possibilità di applicare controlli di sicurezza di rete per esporre il sito al team solo su un endpoint privato. Per limitare il traffico, è consigliabile usare le restrizioni IP di App Web.

• Abilitare la registrazione dell'accesso nell'app Web di Azure per poter controllare l'accesso. Configurare l'app Web di Azure per inviare tali log a un'area di lavoro Log Analytics.

• Assicurarsi che la comunicazione sicura sia abilitata nell'app Web di Azure. Nell'acceleratore sono consentiti solo HTTPS e FTP e la versione minima di TLS è configurata come 1.2.

• Prendere in considerazione l'uso di Microsoft Defender per servizio app di Microsoft Defender per il cloud.

• Usare le versioni più recenti dello stack di runtime dell'app Web di Azure.

• Assicurarsi di ruotare regolarmente il segreto di questa entità servizio e di monitorarne l'attività. Per raccogliere tutte le informazioni necessarie, il visualizzatore distribuito dall'acceleratore dipende da un'entità servizio con autorizzazioni Microsoft Entra ID.

Per altre informazioni sui controlli di sicurezza, vedere Baseline di sicurezza di Azure per servizio app.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

• Il livello B1 (Basic) viene usato per l'app Web di Azure distribuita in servizio app. servizio app ospita l'output HTML dello strumento visualizzatore di governance di Azure in modo che sia leggero.

• L'acceleratore distribuisce solo un'istanza di servizio app, ma è possibile scegliere di distribuire di più, se necessario.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

• L'acceleratore è costituito principalmente da un'app Web di Azure che ospita l'output HTML dello strumento visualizzatore. È consigliabile abilitare le impostazioni di diagnostica dell'app Web per monitorare il traffico, accedere ai log di controllo, alle metriche e altro ancora.

• È importante monitorare le prestazioni dell'app Web. In questo modo è possibile identificare se è necessario aumentare o aumentare le prestazioni a seconda della quantità di utilizzo del visualizzatore.

• È anche importante eseguire sempre le versioni più recenti dello stack di runtime dell'app Web di Azure.

• Il visualizzatore di governance di Azure aggiorna regolarmente le versioni con nuove funzionalità, correzioni di bug o miglioramenti. Nell'acceleratore un flusso di lavoro GitHub dedicato gestisce il processo di aggiornamento. È disponibile un'opzione configurabile per aggiornare il codice del visualizzatore automaticamente o manualmente aprendo una richiesta pull con le modifiche che è possibile esaminare e unire.

• Il codice accelerate potrebbe essere aggiornato con nuove impostazioni nel codice bicep servizio app o con nuove istruzioni per i prerequisiti del visualizzatore. Nell'acceleratore un flusso di lavoro GitHub dedicato gestisce questo processo di aggiornamento. È disponibile un'opzione configurabile per aggiornare il codice del visualizzatore automaticamente o manualmente aprendo una richiesta pull con le modifiche che è possibile esaminare e unire.

Distribuire lo scenario

Per distribuire questo scenario, vedere Acceleratore del visualizzatore di governance di Azure.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

• Seif Bassem | Cloud Solution Architect

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Acceleratore del visualizzatore di governance di Azure
• Visualizzatore di governance di Azure

Risorse correlate

• Zone di destinazione di Azure - Considerazioni sulla progettazione dei moduli Bicep
• Panoramica della zona di destinazione di Azure