Область проектирования: система управления Azure

  • Статья

Используйте систему управления Azure, чтобы установить средства, необходимые для поддержки облачного управления, аудита соответствия требованиям и автоматической защиты.

Проверка области проектирования

Роли или функции: управление Azure происходит из облачного управления. Возможно, потребуется реализовать облачную платформу или облачный центр превосходства , чтобы определить и применить определенные технические требования. Управление сосредоточено на применении операций и требований к безопасности, которые могут потребовать облачной безопасности, централизованной ИТ-службы или облачных операций.

Область. Рассмотрите ваши решения от проверки удостоверений, сети, безопасности и управления областями проектирования. Ваша команда может сравнить решения о проверке из автоматизированного управления, который является частью акселератора целевой зоны Azure. Проверка решений поможет определить, что следует проверять или применять, а также какие политики следует автоматически развертывать.

Вне области применения: система управления Azure определяет основу для работы с сетями. Но это не касается компонентов, связанных с соответствием требованиям, таких как расширенная сетевая безопасность или автоматизированная защита для применения сетевых решений. Эти сетевые решения можно решить при проверке областей проектирования соответствия требованиям, связанных с безопасностью и управлением. Перед решением более сложных компонентов команда облачной платформы должна решать начальные требования к сети.

Новая облачная среда (greenfield): чтобы начать путешествие в облако, создайте небольшой набор подписок. Для создания новых целевых зон Azure можно использовать шаблоны развертывания Bicep. Дополнительные сведения см. в разделе "Целевые зоны Azure Bicep" — поток развертывания.

Существующая облачная среда (brownfield): если вы хотите применить проверенные принципы управления Azure к существующим средам Azure, рассмотрите следующее руководство.

  • Создайте базовые показатели управления для гибридной или многооблачной среды.

  • Реализуйте функции управления затратами Майкрософт, такие как выставление счетов, область, бюджеты и оповещения, чтобы гарантировать, что вы не превышаете лимит расходов.

  • Используйте Политика Azure для принудительного применения охранников управления в развертываниях Azure и активации задач исправления, чтобы перенести существующие ресурсы Azure в соответствующее состояние.

  • Рекомендуется использовать функцию управления правами Microsoft Entra для автоматизации рабочих процессов запросов доступа Azure, назначений доступа, проверок и истечения срока действия.

  • Используйте рекомендации помощника по Azure, чтобы обеспечить оптимизацию затрат и эффективность работы в Azure, оба из которых являются основными принципами Microsoft Azure Well-Architected Framework.

Целевые зоны Azure Bicep — репозиторий потока развертывания Bicep содержат шаблоны развертывания Bicep, которые могут ускорить развертывание целевой зоны Azure в гринфилде и браунфилде. Эти шаблоны интегрированы с рекомендациями по управлению, проверенными корпорацией Майкрософт.

Рассмотрите возможность использования целевой зоны Azure по умолчанию для назначения политик Bicep, чтобы начать работу с обеспечением соответствия вашим средам Azure.

Дополнительные сведения см . в рекомендациях по среде Браунфилда.

Обзор зоны проектирования

Путешествие по внедрению облака вашей организации начинается с строгих элементов управления для государственных сред.

Система управления предусматривает механизмы и процессы для контроля платформ, приложений и ресурсов в Azure.

Схема, на которую показана схема управления целевой зоной.

Изучите следующие рекомендации и рекомендации по принятию обоснованных решений при планировании целевой зоны.

Область проектирования управления ориентирована на решения по проектированию для целевой зоны. Сведения о процессах и средствах управления см. в разделе "Управление" в Cloud Adoption Framework для Azure.

Аспекты системы управления Azure

Политика Azure помогает обеспечить безопасность и соответствие корпоративным техническим активам. Политика Azure может применять важные соглашения об управлении и безопасности в службах платформ Azure. Политика Azure дополняет управление доступом на основе ролей Azure (RBAC), которое управляет действиями авторизованных пользователей. Управление затратами также может помочь поддерживать текущие затраты на управление и расходы в Azure или других многооблачных средах.

Рекомендации по развертыванию

Изменение советов по рассмотрению рекомендаций может препятствовать инновациям и гибкости бизнеса вашей организации. Политика Azure заменяет такие проверки автоматическими охранниками и аудитами соответствия для повышения эффективности рабочей нагрузки.

  • Определите, какие политики Azure требуются на основе бизнес-элементов управления или нормативных требований. Используйте политики, включенные в акселератор целевой зоны Azure, в качестве отправной точки.

  • Используйте политики, включенные в эталонную реализацию целевых зон Azure, чтобы рассмотреть другие политики, которые могут соответствовать вашим бизнес-требованиям.

  • Применение автоматизированных соглашений о сети, удостоверении, управлении и безопасности.

  • Управление и создание назначений политик с помощью определений политик, которые можно повторно использовать при нескольких унаследованных область назначения. Вы можете иметь централизованные назначения базовых политик в область управления, подписки и группы ресурсов.

  • Обеспечьте постоянное соответствие требованиям за счет аудитов и отчетов о соответствии.

  • Узнайте, какие пределы имеет Политика Azure, такие как ограничение определений в любой конкретной области. Дополнительные сведения см. в разделе "Ограничения политики".

  • Изучите общие сведения о политиках соответствия нормативным требованиям. В число политик могут входить акт HIPAA, PCI-DSS или критерии надежности услуг SOC 2 Trust Services Criteria.

Аспекты управления затратами

  • Рассмотрим структуру стоимости и перезарядки модели вашей организации. Определите ключевые точки данных, которые точно передают расходы на облачные службы.

  • Выберите структуру тегов, которые соответствуют затратам и перезарядки модели, чтобы отслеживать расходы в облаке.

  • Используйте калькулятор цен Azure, чтобы оценить ожидаемые ежемесячные затраты на использование продуктов Azure.

  • Получите Преимущество гибридного использования Azure, чтобы снизить затраты на выполнение рабочих нагрузок в облаке. Вы можете использовать в Azure локальные лицензии Windows Server и SQL Server с программой Software Assurance. Вы также можете использовать подписки Red Hat и SUSE Linux.

  • Получение резервирований Azure и фиксация на один или три года планов для нескольких продуктов. Планы резервирования предоставляют скидки на ресурсы, которые могут значительно сократить затраты на ресурсы до 72% по сравнению с ценами по мере использования.

  • Получите план экономии Azure для вычислений, чтобы сэкономить до 65 % по сравнению с ценами по мере использования. Выберите одно-или трехлетнее обязательство, которое применяется к вычислительным службам независимо от региона, размера экземпляра или операционной системы. Выберите план для вычислительных компонентов, таких как виртуальные машины, выделенные узлы, экземпляры контейнеров, функции Azure premium и службы приложений Azure. Объедините план экономии Azure с резервированиями Azure для оптимизации затрат и гибкости вычислений.

  • Используйте политики Azure, чтобы разрешить определенные регионы, типы ресурсов и номера SKU ресурсов.

  • Используйте политику на основе правил управления жизненным циклом служба хранилища Azure для перемещения данных BLOB-объектов на соответствующие уровни доступа или истечения срока действия данных в конце жизненного цикла данных.

  • Используйте подписки на разработку и тестирование Azure, чтобы получить скидку на доступ к службам Azure для непроизводственных рабочих нагрузок.

  • Используйте автоматическое масштабирование для динамического выделения и освобождения ресурсов в соответствии с потребностями в производительности, что экономит деньги.

  • Используйте Azure Spot Виртуальные машины, чтобы воспользоваться неиспользуемой вычислительной емкостью с низкой стоимостью. Точечный Виртуальные машины отлично подходит для рабочих нагрузок, которые могут обрабатывать прерывания, например задания пакетной обработки, среды разработки и тестирования и большие вычислительные рабочие нагрузки.

  • Выберите нужные службы Azure, чтобы снизить затраты. Некоторые службы Azure бесплатны в течение 12 месяцев, и некоторые из них всегда бесплатны.

  • Выберите нужную службу вычислений для приложения, чтобы повысить эффективность затрат. Azure предлагает много способов размещения кода.

Рекомендации по управлению ресурсами

  • Определите, могут ли группы ресурсов в вашей среде совместно использовать необходимые конфигурации, общий жизненный цикл или общие ограничения доступа (например, RBAC), чтобы обеспечить согласованность.

  • Выберите проект подписки на приложение или рабочую нагрузку, подходящий для вашей операции.

  • Используйте стандартные конфигурации ресурсов в организации, чтобы обеспечить согласованную базовую конфигурацию.

Вопросы безопасности

  • Применение средств и охранников в среде в рамках базовых показателей безопасности.
  • Уведомите соответствующих людей при поиске отклонений.
  • Рассмотрите возможность использования Политика Azure для применения таких средств, как Microsoft Defender для облака или охранники, такие как тест безопасности в облаке Майкрософт.

Аспекты управления удостоверениями

  • Определите, кто имеет доступ к журналам аудита для управления удостоверениями и доступом.

  • Уведомите соответствующих пользователей о возникновении подозрительных событий входа.

  • Рекомендуется использовать отчеты Microsoft Entra для управления действиями.

  • Рассмотрите возможность отправки журналов идентификатора Microsoft Entra в центральную рабочую область журналов Azure Monitor для платформы.

  • Изучите Управление идентификацией Microsoft Entra функции, такие как проверки доступа и управление правами.

Инструменты, отличные от Майкрософт

  • Используйте AzAdvertizer для получения обновлений системы управления Azure. Например, можно найти аналитические сведения об определениях политик, инициативах, псевдонимах, безопасности и нормативных требованиях в определениях ролей Политика Azure или Azure RBAC. Вы также можете получить представление об операциях поставщика ресурсов, определениях ролей Microsoft Entra и действиях ролей, а также разрешениях API сторонних производителей.

  • Используйте визуализатор управления Azure для отслеживания вашего технического управления. Вы можете использовать функцию проверка er версии политики для целевых зон Azure, чтобы обеспечить актуальность среды с последним состоянием выпуска политики целевой зоны Azure.

Рекомендации по системе управления Azure

Рекомендации по ускорению развертывания

  • Укажите необходимые теги Azure и используйте режим добавления политики для принудительного использования. Дополнительные сведения см. в разделе "Определение стратегии добавления тегов".

  • Сопоставьте нормативные требования и требования соответствия с определениями политик Azure и назначениями ролей Azure.

  • Установите определения Политика Azure в корневой группе управления верхнего уровня, так как они могут быть назначены наследуемыми область.

  • Управляйте назначениями политик на наивысшем подходящем уровне с исключениями на нижних уровнях, если это необходимо.

  • Используйте Политику Azure для управления регистрациями поставщиков ресурсов на уровнях подписки или группы управления.

  • Используйте встроенные политики, чтобы минимизировать операционные издержки.

  • Назначьте встроенную роль участника политики ресурсов в определенном область, чтобы включить управление на уровне приложений.

  • Ограничить количество назначений Политика Azure в корневой группе управления область, чтобы избежать управления исключениями при наследуемых область.

Рекомендации по управлению затратами

  • Используйте управление затратами для реализации финансового надзора за ресурсами в вашей среде.
  • Используйте теги, такие как центр затрат или имя проекта, чтобы добавить метаданные ресурса. Этот подход помогает включить детализированный анализ расходов.

Система управления Azure в ускорителе целевой зоны Azure

Акселератор целевой зоны Azure предоставляет организациям зрелые элементы управления.

Например, можно реализовать следующее:

  • Иерархия групп управления, которая группировать ресурсы по типу функции или рабочей нагрузки. Такой подход поощряет согласованность ресурсов.
  • Широкий набор политик Azure, позволяющих управлять элементами управления на уровне группы управления. Этот подход помогает убедиться, что все ресурсы находятся в область.