設計區域:Azure 治理

  • 發行項

使用 Azure 治理來建立支援雲端治理、合規性稽核和自動化護欄所需的工具。

設計領域檢閱

角色或函式: Azure 治理源自 雲端治理。 您可能需要實作 雲端平臺卓越 雲端中心,才能定義並套用特定技術需求。 治理著重於強制執行作業和安全性需求,這可能需要 雲端安全性中央 IT雲端作業

範圍:考慮來自身分識別網路安全性和管理設計區域檢閱的決策。 您的小組可以比較自動化治理的檢閱決策,這是 Azure 登陸區域加速器的一部分。 檢閱決策可協助您判斷要稽核或強制執行的專案,以及要自動部署哪些原則。

範圍不足: Azure 治理會建立網路的基礎。 但是,它無法解決合規性相關元件,例如進階網路安全性或自動化護欄,以強制執行網路決策。 當您檢閱安全性與治理相關的合規性設計區域時,您可以解決這些網路決策。 雲端平臺小組應該先解決初始網路需求,再處理更複雜的元件。

新的 (綠地) 雲端環境: 若要開始您的雲端旅程, 請建立一組小型訂用帳戶。 您可以使用 Bicep 部署範本來建立新的 Azure 登陸區域。 如需詳細資訊,請參閱 Azure 登陸區域 Bicep— 部署流程

現有的 (brownfield) 雲端環境: 如果您想要將經過實證的 Azure 治理原則套用至現有的 Azure 環境,請考慮下列指引:

  • 為您的混合式或多重雲端環境建立 管理基準

  • 作 Microsoft 成本管理功能 ,例如計費範圍、預算和警示,以確保您不會超過費用限制。

  • 使用 Azure 原則 在 Azure 部署上強制執行治理防護措施,並觸發補救工作,讓現有的 Azure 資源進入相容狀態。

  • 請考慮使用 Microsoft Entra 權利管理功能 ,將 Azure 存取要求工作流程、存取指派、檢閱和到期自動化。

  • 使用 Azure Advisor 建議來確保 Azure 中的成本優化和營運卓越,這兩者都是 Microsoft Azure 良好架構的核心原則

Azure 登陸區域 Bicep — 部署流程存放庫包含 Bicep 部署範本,可加速您的綠地和棕色地帶 Azure 登陸區域部署。 這些範本已整合 Microsoft 經過實證作法的治理指導方針。

請考慮使用 Azure 登陸區域默認原則指派 Bicep 模組,開始確保 Azure 環境的合規性。

如需詳細資訊,請參閱 布朗菲爾德環境考慮

設計領域概觀

貴組織的雲端採用旅程從政府環境的強式控制開始。

治理提供機制和程式,可維護 Azure 中平臺、應用程式和資源的控制權。

顯示登陸區域治理設計的圖表。

探索下列考慮和建議,以在規劃登陸區域時做出明智的決策。

治理設計區域著重於登陸區域的設計決策。 如需治理程式和工具的相關信息,請參閱 Azure 雲端採用架構 中的控管。

Azure 治理考慮

Azure 原則 有助於確保企業技術資產的安全性與合規性。 Azure 原則 可以跨 Azure 平臺服務強制執行重要的管理和安全性慣例。 Azure 原則 補充 Azure 角色型存取控制 (RBAC),以控制授權用戶的動作。 成本管理也可以協助支援您在 Azure 或其他多重雲端環境中持續進行的治理成本和支出。

部署考量

變更諮詢檢閱面板可能會阻礙貴組織的創新和業務靈活性。 Azure 原則 將這類檢閱取代為自動化護欄,並遵循稽核以改善工作負載效率。

  • 根據商務控制或合規性法規,判斷您需要哪些 Azure 原則。 使用 Azure 登陸區域加速器中包含的原則作為起點。

  • 使用以標準為基礎的藍圖範例來考慮可能符合您業務需求的其他原則。

  • 強制執行自動化網路、身分識別、管理和安全性慣例。

  • 使用原則定義來管理和建立原則指派,並在多個繼承的指派範圍中重複使用它們。 您可以在管理、訂用帳戶和資源群組範圍中擁有集中式基準原則指派。

  • 納入合規性報告和稽核,以確保持續合規性。

  • 瞭解 Azure 原則 具有限制,例如任何特定範圍的定義限制。

  • 瞭解法規合規性政策,例如 HIPAA、PCI-DSS 或 SOC 2 信任服務準則。

成本管理考慮

  • 請考慮貴組織成本和重新收費模型的結構。 判斷正確傳達雲端服務支出的關鍵數據點。

  • 選擇符合成本與充電模型的標籤結構,以協助追蹤您的雲端支出。

  • 使用 Azure 定價計算機來預估使用 Azure 產品的預期每月成本。

  • 取得 Azure Hybrid Benefit,以協助降低在雲端中執行工作負載的成本。 您可以在 Azure 上使用已啟用軟體保證的內部部署 Windows Server 和 SQL Server 授權。 您也可以使用 Red Hat 和 SUSE Linux 訂用帳戶。

  • 取得 Azure 保留,並認可多個產品的一年或三年方案。 保留方案提供資源折扣,相較於隨用隨付價格,可大幅降低您的資源成本高達 72%。

  • 相較於隨用隨付價格,取得計算節省高達 65% 的 Azure 節省方案。 不論您的區域、實例大小或操作系統為何,挑選適用於計算服務的一年或三年承諾用量。 挑選計算元件的方案,例如虛擬機、專用主機、容器實例、Azure 進階函式和 Azure 應用程式服務。 結合 Azure 節省方案與 Azure 保留,以優化計算成本和彈性。

  • 使用 Azure 原則來允許特定區域、資源類型和資源 SKU。

  • 使用以規則為基礎的原則,Azure 儲存體 生命週期管理,將 Blob 數據移至適當的存取層,或在數據生命週期結束時過期數據。

  • 使用 Azure 開發/測試訂用帳戶來取得存取權的折扣,以選取非生產工作負載的 Azure 服務。

  • 使用自動調整來動態配置和解除分配資源,以符合您的效能需求,以節省成本。

  • 使用 Azure Spot 虛擬機器 以低成本利用未使用的計算容量。 現成 虛擬機器 適用於可以處理中斷的工作負載,例如批處理作業、開發/測試環境和大型計算工作負載。

  • 選取正確的 Azure 服務,以協助降低成本。 有些 Azure 服務免費 12 個月,有些服務一律是免費的。

  • 為您的應用程式選取正確的計算服務,以協助提高成本效益。 Azure 提供許多裝載程式碼的方式。

資源管理考慮

  • 判斷您環境中的資源群組是否可以共用必要的設定、通用生命週期或通用存取條件約束(例如 RBAC),以協助提供一致性。

  • 選擇適合您作業需求的應用程式或工作負載訂用帳戶設計。

  • 使用組織內的標準資源設定,以確保一致的基準設定。

安全性考量

  • 在安全性基準中,在整個環境中強制執行工具和護欄。

  • 當您發現偏差時,請通知適當的人員。

  • 請考慮使用 Azure 原則 來強制執行工具,例如 適用於雲端的 Microsoft Defender 或護欄,例如 Microsoft 雲端安全性效能評定。

身分識別管理考慮

  • 判斷誰可以存取身分識別和存取管理的稽核記錄。

  • 當發生可疑的登入事件時,通知適當的人員。

  • 請考慮使用 Microsoft Entra 報告 來管理活動。

  • 請考慮將 Microsoft Entra 識別碼記錄傳送至平臺的中央 Azure 監視器記錄工作區。

  • 探索 Microsoft Entra ID 控管 功能,例如存取權檢閱權利管理

非 Microsoft 工具

  • 使用 AzAdvertizer 來取得 Azure 治理更新。 例如,您可以在 Azure 原則 或 Azure RBAC 角色定義中找到原則定義、計劃、別名、安全性和法規合規性控制的相關深入解析。 您也可以深入了解資源提供者作業、Microsoft Entra 角色定義和角色動作,以及第一方 API 許可權。

  • 使用 Azure 治理可視化檢視 來追蹤您的技術治理資產。 您可以使用 Azure 登陸區域的原則版本檢查程式功能,讓您的環境保持在最新狀態,並具備最新的 Azure 登陸區域原則發行狀態。

Azure 治理建議

部署加速建議

  • 識別必要的 Azure 標籤,並使用附加原則模式來強制執行使用方式。 如需詳細資訊,請參閱 定義標記策略

  • 將法規和合規性需求對應至 Azure 原則 定義和 Azure 角色指派。

  • 在最上層根管理群組中建立 Azure 原則 定義,因為它們可能會在繼承範圍中指派。

  • 如有必要,請以最適當的層級管理原則指派,並排除在最底層。

  • 使用 Azure 原則 來控制訂用帳戶或管理群組層級的資源提供者註冊。

  • 使用內建原則將作業額外負荷降至最低。

  • 在特定範圍指派內建資源原則參與者角色,以啟用應用層級治理。

  • 限制根管理群組範圍 Azure 原則 指派的數目,以避免在繼承範圍管理排除範圍。

成本管理建議

  • 使用成本管理,在您的環境中實作資源的財務監督。

  • 使用成本中心或專案名稱等標籤來附加資源元數據。 這種方法有助於對費用進行細微分析。

Azure 登陸區域加速器中的 Azure 治理

Azure 登陸區域加速器為組織提供成熟的治理控制。

例如,您可以實作:

  • 依函式或工作負載類型將資源分組的管理群組階層。 這種方法鼓勵資源一致性。

  • 一組豐富的 Azure 原則,可在管理群組層級啟用治理控制。 此方法可協助確認所有資源都在範圍內。