Orientação do Azure Governance Visualizer Accelerator

As organizações podem usar o Visualizador de Governança do Azure para capturar informações de governança pertinentes sobre seus locatários do Azure. A ferramenta captura:

• hierarquia de grupo de gestão.
• Informações de política, como definições de política personalizadas, definições de política personalizada órfãs e atribuições de política.
• Informações de controle de acesso baseado em função (RBAC), como definições de função personalizadas, definições de função personalizadas órfãs e atribuições de função.
• Segurança do Azure e análise de práticas recomendadas.
• Informações sobre o Microsoft Entra ID.

O acelerador do Azure Governance Visualizer executa o visualizador de forma automatizada através dos Pipelines do Azure ou das Ações do GitHub. O visualizador produz o resumo como arquivos HTML, MD e CSV. Idealmente, o relatório HTML gerado é facilmente acessível a usuários autorizados na organização. Este artigo mostra como automatizar a execução do Visualizador de Governança do Azure e hospedar a saída de relatórios de forma segura e econômica no recurso Aplicativos Web do Serviço de Aplicativo do Azure.

Um exemplo de implementação está disponível no GitHub no acelerador do Azure Governance Visualizer.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de dados

A arquitetura da solução implementa o seguinte fluxo de trabalho:

1. Um temporizador aciona o fluxo de Ações do GitHub.
2. O fluxo faz uma conexão OpenID Connect com o Azure. Em seguida, executa a ferramenta Azure Governance Visualizer. A ferramenta coleta os insights necessários na forma de relatórios HTML, MD e CSV.
3. Os relatórios são enviados por push para o repositório GitHub.
4. A saída HTML da ferramenta Azure Governance Visualizer é publicada no Serviço de Aplicativo.

Fluxo de utilizador

Este fluxo explica como um usuário pode usar a ferramenta:

1. O usuário navega até a URL do Serviço de Aplicativo para acessar o relatório HTML do visualizador. O usuário é obrigado a autenticar através da autorização do Microsoft Entra ID.
2. O usuário pode revisar as informações fornecidas pelo visualizador.

Componentes

O acelerador é baseado em um repositório de modelos do GitHub que consiste nos seguintes componentes:

• O Microsoft Entra ID é um serviço de identidade corporativa que fornece logon único, autenticação multifator e acesso condicional.
• O Serviço de Aplicações do Azure é uma plataforma completamente gerida para criar e implementar aplicações na nuvem. Ele permite definir um conjunto de recursos de computação para um aplicativo Web ser executado, implantar aplicativos Web e configurar slots de implantação.
• O GitHub é uma oferta SaaS popular da Microsoft que é frequentemente usada por desenvolvedores para criar, enviar e manter seus projetos de software.
• O GitHub Actions fornece integração contínua e recursos de implantação contínua nessa arquitetura.

Alternativas

• O Visualizador de Governança do Azure é um script do PowerShell, que pode ser executado diretamente em uma máquina local. O visualizador pode ser configurado para ser executado como parte das Ações do GitHub ou do pipeline do Azure DevOps para receber informações atualizadas sobre seu ambiente. O visualizador produz um wiki como uma saída que pode ser publicada no GitHub ou no Azure DevOps.

• O visualizador também pode ser hospedado em qualquer outra plataforma de hospedagem que seja segura e também econômica, como os Aplicativos Web Estáticos do Azure.

Detalhes do cenário

O Visualizador de Governança do Azure é um script baseado em PowerShell que itera a hierarquia do Grupo de Gerenciamento do Locatário do Azure até o nível de assinatura. Ele captura os recursos de governança do Azure mais relevantes, como Política do Azure, RBAC, ID do Microsoft Entra e Blueprints. A partir dos dados coletados, o Visualizador de Governança do Azure visualiza todas essas informações em um relatório HTML fácil de navegar.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

É importante restringir o HTML de relatório apenas aos usuários autorizados a visualizar esses dados. Esses dados são uma mina de ouro para ameaças internas e externas, pois expõem seu cenário do Azure, incluindo controles de segurança.

• Use a autenticação do Microsoft Entra para restringir o acesso a indivíduos autorizados. Considere usar a autenticação de aplicativos Web para fornecer esse serviço. No acelerador, a implantação configura para Aplicativos Web e verifica ativamente se a autenticação está habilitada antes da implantação.

• Considere a aplicação de controles de segurança de rede para expor o site à sua equipe somente em um ponto de extremidade privado. E para restringir o tráfego, considere usar as restrições de IP dos aplicativos Web.

• Habilite o log de acesso no aplicativo Web do Azure para poder auditar o acesso. Configure o aplicativo Web do Azure para enviar esses logs para um espaço de trabalho do Log Analytics.

• Certifique-se de que a comunicação segura está habilitada no aplicativo Web do Azure. No acelerador, apenas HTTPS e FTPs são permitidos, e a versão mínima do TLS é configurada como 1.2.

• Considere usar o Microsoft Defender for Cloud do Microsoft Defender for App Service.

• Use as versões mais recentes da pilha de tempo de execução do aplicativo Web do Azure.

• Certifique-se de alternar o segredo desta entidade de serviço regularmente e monitorar sua atividade. Para reunir todas as informações necessárias, o visualizador implantado pelo acelerador depende de uma entidade de serviço com permissões do Microsoft Entra ID.

Para obter mais informações sobre controles de segurança, consulte Linha de base de segurança do Azure para o Serviço de Aplicativo.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

• A camada B1 (Básica) é usada para o aplicativo Web do Azure implantado no Serviço de Aplicativo. O Serviço de Aplicativo hospeda a saída HTML da ferramenta Visualizador de Governança do Azure para que seja leve.

• O acelerador implanta apenas uma instância do Serviço de Aplicativo, mas você pode optar por implantar mais, se necessário.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

• O acelerador consiste principalmente em um aplicativo Web do Azure que hospeda a saída HTML da ferramenta de visualizador. Recomendamos que você habilite as configurações de diagnóstico do aplicativo Web para monitorar o tráfego, acessar logs de auditoria, métricas e muito mais.

• É importante monitorar o desempenho do aplicativo Web. Isso ajuda a identificar se você precisa aumentar ou diminuir a escala dependendo da quantidade de uso do visualizador.

• Também é importante sempre executar as versões mais recentes da pilha de tempo de execução do aplicativo Web do Azure.

• O Visualizador de Governança do Azure atualiza versões regularmente com novos recursos, correções de bugs ou melhorias. No acelerador, um fluxo de trabalho GitHub dedicado lida com o processo de atualização. Há uma opção configurável para atualizar o código do visualizador automaticamente ou manualmente, apenas abrindo uma solicitação pull com alterações que você pode revisar e mesclar.

• O código de aceleração pode ser atualizado com novas configurações no código bíceps do Serviço de Aplicativo ou com novas instruções para os pré-requisitos do visualizador. No acelerador, um fluxo de trabalho GitHub dedicado lida com esse processo de atualização. Há uma opção configurável para atualizar o código do visualizador automaticamente ou manualmente, apenas abrindo uma solicitação pull com alterações que você pode revisar e mesclar.

Implementar este cenário

Para implantar esse cenário, consulte Acelerador do Azure Governance Visualizer.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

• Seif Bassem - Brasil | Arquiteto de Soluções Cloud

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

• Acelerador do Azure Governance Visualizer
• Azure Governance Visualizer

Recursos relacionados

• Zonas de aterrissagem do Azure - Considerações de design dos módulos Bicep
• Visão geral da zona de aterrissagem do Azure