Průvodce rozhodováním ohledně vynucování zásad

Definování zásad organizace není efektivní, pokud je nejde vynucovat v celé organizaci. Klíčovým aspektem plánování migrace do jakéhokoli cloudu je určení nejlepší kombinace nástrojů, které poskytuje cloudová platforma, a stávajících IT procesů pro zajištění maximalizace dodržování zásad napříč všemi cloudovými aktivy.

Diagram možností vynucování zásad od nejjednodušších po nejsložitější, které odpovídají rychlým odkazům níže

Přejít na: Osvědčené postupy směrného plánu | Monitorování dodržování zásad | Vynucování zásad | Zásady pro celou organizaci | Automatizované vynucování

S tím, jak se budou rozšiřovat vaše cloudová aktiva, budete muset čelit odpovídající potřebě udržovat a vynucovat zásady pro větší sadu prostředků a předplatných. S rozšiřováním vašich aktiv a zvyšováním požadavků vaší organizace na zásady bude potřeba rozšířit rozsah procesů vynucování zásad, aby se zajistilo konzistentní dodržování zásad a rychlá detekce jejich porušení.

Pro méně rozsáhlá cloudová aktiva jsou obvykle dostačující mechanismy vynucování zásad na úrovni prostředku nebo předplatného, které poskytuje platforma. Rozsáhlejší nasazení ospravedlňují širší rozsah vynucování a můžou vyžadovat sofistikovanější mechanismy vynucování, které zahrnují standardy nasazení, seskupování a organizaci prostředků a integraci vynucování zásad se systémy protokolování a generování sestav.

Primárními faktory při určování rozsahu procesů vynucování zásad jsou požadavky vaší organizace na zásady správného řízení v cloudu, velikost a povaha cloudových aktiv a způsob, jakým návrh předplatného odráží vaši organizaci. Rozšíření rozsahu vynucování může ospravedlnit zvýšení velikosti aktiv nebo větší potřeba centrální správy vynucování zásad.

Osvědčené postupy směrného plánu

V případě jednoho předplatného a jednoduchých cloudových nasazení je možné řadu firemních zásad vynucovat pomocí funkcí nativních pro prostředky a předplatná v Azure. Konzistentní používání modelů popsaných v průvodcích rozhodováním architektury přechodu na cloud vám může pomoct stanovit základní úroveň dodržování zásad bez zvláštních investic do vynucování zásad. Mezi tyto funkce patří:

Začněte s plánováním vynucování zásad v cloudu tím, že prozkoumáte, jak vám používání standardních modelů popsaných v těchto průvodcích může pomoct splnit požadavky vaší organizace.

Monitorování dodržování zásad

Pokud se nechcete spoléhat jen na mechanismy vynucování zásad, které poskytuje platforma Azure, prvním krokem je zajistit možnost ověření, jestli jsou cloudové aplikace a služby v souladu se zásadami organizace. To zahrnuje implementaci oznamovacích funkcí, které upozorní odpovědné strany v případě, že prostředek přestane dodržovat předpisy. Důležitou součástí firemní strategie vynucování zásad je efektivní protokolování a generování sestav stavu dodržování předpisů ze strany cloudových úloh.

Jakmile se vaše cloudová aktiva začnou rozšiřovat, další nástroje, jako je Azure Security Center, vám můžou poskytnout integrované zabezpečení a detekci hrozeb a pomoct s implementací centralizované správy zásad a upozorňování pro místní i cloudové prostředky.

Vynucování zásad

V Azure můžete uplatňovat konfigurační nastavení a pravidla vytváření prostředků, která vám pomůžou zajistit dodržování zásad, na úrovni skupiny pro správu, předplatného nebo skupiny prostředků.

Azure Policy je služba Azure umožňující vytvářet, přiřazovat a spravovat zásady. Tyto zásady vynucují na vašich prostředcích různá pravidla a účinky, aby tyto prostředky zůstaly kompatibilní s vašimi firemními standardy a smlouvami o úrovni služeb. Azure Policy vyhodnocuje prostředky z hlediska nedodržování přiřazených zásad. Například můžete chtít omezit velikost skladových položek virtuálních počítačů ve vašem prostředí. Po implementaci odpovídajících zásad se u nových i stávajících prostředků bude vyhodnocovat dodržování předpisů. Se správnými zásadami je možné zajistit dodržování předpisů u stávajících prostředků.

Zásady pro celou organizaci

Když se vaše cloudová aktiva začnou rozšiřovat napříč mnoha předplatnými, která budou vyžadovat vynucování, budete se muset zaměřit na strategii vynucování pro všechna cloudová aktiva, abyste zajistili konzistenci zásad.

Váš návrh předplatného musí počítat s tím, že zásady souvisejí s organizační strukturou. Kromě toho, že skupiny pro správu Azure pomáhají s podporou složitého uspořádání v rámci návrhu předplatného, je možné je také využít k přiřazování pravidel Azure Policy napříč několika předplatnými.

Automatizované vynucování

Zatímco standardizované šablony nasazení jsou efektivní v menším měřítku, služba Azure Blueprints umožňuje rozsáhlou standardizovanou orchestraci zřizování a nasazování řešení Azure. Úlohy napříč několika předplatnými je možné nasadit s konzistentním nastavením zásad pro všechny vytvořené prostředky.

K zajištění funkcí hybridního monitorování pro IT prostředí, ve kterých se integrují cloudové a místní prostředky, možná budete muset použít systémy protokolování a generování sestav. Vaše vlastní systémy monitorování provozu nebo systémy třetích stran můžou nabízet další možnosti vynucování zásad. V případě rozsáhlejších nebo vyspělejších cloudových aktiv zvažte, jak tyto systémy co nejlépe integrovat s cloudovými prostředky.

Další kroky

Vynucování zásad je pouze jednou ze základních komponent infrastruktury, která během procesu přechodu na cloud vyžaduje rozhodnutí na úrovni architektury. Navštivte přehled průvodců rozhodováním ohledně architektury, kde se dozvíte o alternativních modelech nebo modelech určených pro rozhodování o návrzích pro jiné typy architektur.