Designområde: Azure-styrning

Använd Azure-styrning för att upprätta de verktyg som du behöver för att stödja molnstyrning, efterlevnadsgranskning och automatiserade skyddsräcken.

Designområdesgranskning

Roller eller funktioner: Azure-styrningen kommer från molnstyrning. Du kan behöva implementera molnplattformen eller ett molncenter av hög kvalitet för att definiera och tillämpa vissa tekniska krav. Styrning fokuserar på att framtvinga åtgärder och säkerhetskrav, vilket kan kräva molnsäkerhet, centrala IT- eller molnåtgärder.

Omfång: Överväg dina beslut från granskningar av designområdet identitet, nätverk, säkerhet och hantering. Ditt team kan jämföra granskningsbeslut från automatiserad styrning, som är en del av Azure-landningszonacceleratorn. Granskningsbeslut kan hjälpa dig att avgöra vad du ska granska eller tillämpa och vilka principer som ska distribueras automatiskt.

Utanför omfånget: Azure-styrningen etablerar grunden för nätverk. Men den hanterar inte efterlevnadsrelaterade komponenter, till exempel avancerad nätverkssäkerhet eller automatiserade skyddsräcken för att framtvinga nätverksbeslut. Du kan hantera dessa nätverksbeslut när du granskar efterlevnadsdesignområden som är relaterade till säkerhet och styrning. Molnplattformsteamet bör uppfylla de inledande nätverkskraven innan de hanterar mer komplexa komponenter.

Ny (greenfield)-molnmiljö: Skapa en liten uppsättning prenumerationer om du vill starta molnresan. Du kan använda Bicep-distributionsmallar för att skapa dina nya Azure-landningszoner. Mer information finns i Azures landningszoner Bicep – distributionsflöde.

Befintlig (brownfield)-molnmiljö: Om du vill tillämpa beprövade Azure-styrningsprinciper på befintliga Azure-miljöer bör du överväga följande vägledning:

• Upprätta en hanteringsbaslinje för din hybrid- eller multimolnsmiljö.

• Implementera Microsoft Cost Management-funktioner , till exempel faktureringsomfång, budgetar och aviseringar, för att säkerställa att du inte överskrider utgiftsgränsen.

• Använd Azure Policy för att framtvinga styrningsskydd i Azure-distributioner och utlösa reparationsåtgärder för att försätta befintliga Azure-resurser i ett kompatibelt tillstånd.

• Överväg att använda microsoft Entra-rättighetshanteringsfunktionen för att automatisera arbetsflöden för Azure-åtkomstbegäran, åtkomsttilldelningar, granskningar och förfallodatum.

• Använd Azure Advisor-rekommendationer för att säkerställa kostnadsoptimering och driftseffektivitet i Azure, som båda är grundläggande principer för Microsoft Azure Well-Architected Framework.

Azure-landningszonerna Bicep – Distributionsflödeslagringsplatsen innehåller Bicep-distributionsmallar som kan påskynda distributionen av Azure-landningszonen på greenfield och brownfield. Dessa mallar har integrerad styrningsvägledning från Microsoft.

Överväg att använda Bicep-modulen för standardprinciptilldelningar i Azure-landningszonen för att få ett försprång när det gäller att säkerställa efterlevnad för dina Azure-miljöer.

Mer information finns i Överväganden för Brownfield-miljön.

Översikt över designområde

Organisationens molnimplementeringsresa börjar med starka kontroller för myndighetsmiljöer.

Styrning tillhandahåller mekanismer och processer för att upprätthålla kontroll över plattformar, program och resurser i Azure.

Utforska följande överväganden och rekommendationer för att fatta välgrundade beslut när du planerar din landningszon.

Designområdet för styrning fokuserar på designbeslut för din landningszon. Information om styrningsprocesser och verktyg finns i Styrning i Cloud Adoption Framework för Azure.

Överväganden för Azure-styrning

Azure Policy hjälper till att säkerställa säkerhet och efterlevnad för företagets tekniska egendomar. Azure Policy kan tillämpa viktiga hanterings- och säkerhetskonventioner i Azure-plattformstjänster. Azure Policy kompletterar rollbaserad åtkomstkontroll i Azure (RBAC), som styr åtgärder för behöriga användare. Cost Management kan också hjälpa dig att stödja löpande styrningskostnader och -utgifter i Azure eller andra miljöer med flera moln.

Att tänka på vid distribuering

Granskningstavlor för ändringsrådgivning kan hindra organisationens innovation och affärsflexialitet. Azure Policy ersätter sådana granskningar med automatiserade skyddsräcken och efterlevnadsgranskningar för att förbättra arbetsbelastningens effektivitet.

• Ta reda på vilka Azure-principer du behöver baserat på dina affärskontroller eller efterlevnadsregler. Använd principerna som ingår i Azure-landningszonacceleratorn som utgångspunkt.

• Använd de standardbaserade skissexemplen för att överväga andra principer som kan anpassas efter dina affärsbehov.

• Framtvinga automatiserade nätverks-, identitets-, hanterings- och säkerhetskonventioner.

• Använd principdefinitioner för att hantera och skapa principtilldelningar och återanvända dem vid flera ärvda tilldelningsomfång. Du kan ha centraliserade principtilldelningar för baslinje i hanterings-, prenumerations- och resursgruppsomfång.

• Införliva efterlevnadsrapportering och granskning för att säkerställa kontinuerlig efterlevnad.

• Förstå att Azure Policy har gränser, till exempel begränsning av definitioner i ett visst omfång.

• Förstå efterlevnadsprinciper som HIPAA, PCI-DSS eller SOC 2-förtroendetjänster.

Överväganden för kostnadshantering

• Överväg strukturen för organisationens kostnads- och laddningsmodell. Fastställ de viktiga datapunkter som korrekt förmedlar dina molntjänsters utgifter.

• Välj strukturen för taggar som passar din kostnads- och laddningsmodell för att spåra dina molnutgifter.

• Använd Priskalkylatorn för Azure för att beräkna förväntade månatliga kostnader för användning av Azure-produkter.

• Få Azure Hybrid-förmån för att minska kostnaden för att köra dina arbetsbelastningar i molnet. Du kan använda dina lokala Software Assurance-aktiverade Windows Server- och SQL Server-licenser i Azure. Du kan också använda Red Hat- och SUSE Linux-prenumerationer.

• Hämta Azure-reservationer och genomför ett- eller treårsplaner för flera produkter. Reservationsplaner ger resursrabatter, vilket avsevärt kan minska dina resurskostnader med upp till 72 % jämfört med betala per användning-priser.

• Hämta Azure-sparplanen för beräkning för att spara upp till 65 % jämfört med betala per användning-priser. Välj ett åtagande på ett år eller tre år som gäller för beräkningstjänster, oavsett region, instansstorlek eller operativsystem. Välj en plan för beräkningskomponenter, till exempel virtuella datorer, dedikerade värdar, containerinstanser, Azure Premium-funktioner och Azure-apptjänster. Kombinera en Azure-sparplan med Azure-reservationer för att optimera beräkningskostnaden och flexibiliteten.

• Använd Azure-principer för att tillåta specifika regioner, resurstyper och resurs-SKU:er.

• Använd den regelbaserade principen för livscykelhantering i Azure Storage för att flytta blobdata till lämpliga åtkomstnivåer eller för att förfalla data i slutet av datalivscykeln.

• Använd Azure dev/test-prenumerationer för att få rabatt på åtkomst för att välja Azure-tjänster för icke-produktionsarbetsbelastningar.

• Använd automatisk skalning för att dynamiskt allokera och frigöra resurser för att matcha dina prestandabehov, vilket sparar pengar.

• Använd virtuella Azure Spot Virtual Machines för att dra nytta av outnyttjad beräkningskapacitet till en låg kostnad. Virtuella datorer med oanvänd kapacitet är bra för arbetsbelastningar som kan hantera avbrott, till exempel batchbearbetningsjobb, utvecklings-/testmiljöer och arbetsbelastningar med stor beräkning.

• Välj rätt Azure-tjänster för att minska kostnaderna. Vissa Azure-tjänster är kostnadsfria i 12 månader och vissa är alltid kostnadsfria.

• Välj rätt beräkningstjänst för ditt program för att förbättra kostnadseffektiviteten. Azure erbjuder många sätt att vara värd för din kod.

Överväganden för resurshantering

• Kontrollera om resursgrupperna i din miljö kan dela nödvändiga konfigurationer, en gemensam livscykel eller vanliga åtkomstbegränsningar (till exempel RBAC) för att ge konsekvens.

• Välj en prenumerationsdesign för program eller arbetsbelastning som passar dina åtgärdsbehov.

• Använd standardresurskonfigurationer i din organisation för att säkerställa en konsekvent baslinjekonfiguration.

Säkerhetsfrågor

• Framtvinga verktyg och skyddsräcken i miljön som en del av en säkerhetsbaslinje.

• Meddela lämpliga personer när du hittar avvikelser.

• Överväg att använda Azure Policy för att framtvinga verktyg, till exempel Microsoft Defender för molnet eller skyddsräcken, till exempel Microsofts prestandamått för molnsäkerhet.

Överväganden för identitetshantering

• Fastställa vem som har åtkomst till granskningsloggar för identitets- och åtkomsthantering.

• Meddela lämpliga personer när misstänkta inloggningshändelser inträffar.

• Överväg att använda Microsoft Entra-rapporter för att styra aktiviteten.

• Överväg att skicka Microsoft Entra-ID-loggar till plattformens centrala Arbetsyta för Azure Monitor-loggar.

• Utforska Styrningsfunktioner för Microsoft Entra-ID, till exempel åtkomstgranskningar och berättigandehantering.

Verktyg som inte kommer från Microsoft

• Använd AzAdvertizer för att hämta Azure-styrningsuppdateringar. Du kan till exempel hitta insikter om principdefinitioner, initiativ, alias, säkerhets- och regelefterlevnadskontroller i Azure Policy eller Azure RBAC-rolldefinitioner. Du kan också få insikter om resursprovideråtgärder, Rolldefinitioner och rollåtgärder för Microsoft Entra och API-behörigheter från första part.

• Använd Azure Governance Visualizer för att hålla reda på din tekniska styrningsegendom. Du kan använda funktionen för kontroll av principversioner för Azure-landningszoner för att hålla miljön uppdaterad med det senaste versionstillståndet för Azure-landningszonens princip.

Rekommendationer för Azure-styrning

Rekommendationer för distributionsacceleration

• Identifiera nödvändiga Azure-taggar och använd tilläggsprincipläget för att framtvinga användning. Mer information finns i Definiera din taggningsstrategi.

• Mappa regel- och efterlevnadskrav till Azure Policy-definitioner och Azure-rolltilldelningar.

• Upprätta Azure Policy-definitioner i rothanteringsgruppen på den översta nivån eftersom de kan tilldelas i ärvda omfång.

• Hantera principtilldelningar på högsta lämpliga nivå med undantag på nedre nivåer, om det behövs.

• Använd Azure Policy för att styra registreringar av resursprovider på prenumerations- eller hanteringsgruppsnivå.

• Använd inbyggda principer för att minimera driftkostnaderna.

• Tilldela den inbyggda rollen Resursprincipdeltagare i ett specifikt omfång för att aktivera styrning på programnivå.

• Begränsa antalet Azure Policy-tilldelningar i rothanteringsgruppens omfång för att undvika att hantera undantag i ärvda omfång.

Kostnadshanteringsrekommendationer

• Använd Cost Management för att implementera ekonomisk tillsyn över resurser i din miljö.

• Använd taggar, till exempel kostnadsställe eller projektnamn, för att lägga till resursmetadata. Den här metoden hjälper till att möjliggöra detaljerad analys av utgifter.

Azure-styrning i Azure-landningszonacceleratorn

Azures accelerator för landningszoner ger organisationer mogna styrningskontroller.

Du kan till exempel implementera:

• En hanteringsgruppshierarki som grupperar resurser efter funktions- eller arbetsbelastningstyp. Den här metoden uppmuntrar till resurskonsekvens.

• En omfattande uppsättning Azure-principer som möjliggör styrningskontroller på hanteringsgruppsnivå. Den här metoden hjälper dig att kontrollera att alla resurser finns i omfånget.