Průvodce zásadami správného řízení pro standardní firmyStandard enterprise governance guide

Přehled osvědčených postupůOverview of best practices

Tento průvodce zásadami správného řízení sleduje zážitky fiktivní společnosti napříč různými fázemi vyspělosti zásad správného řízení.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Vychází z reálných zkušeností zákazníků.It's based on real customer experiences. Osvědčené postupy vycházejí z omezení a potřeb fiktivní společnosti.The best practices are based on the constraints and needs of the fictional company.

Jako rychlý výchozí bod tento přehled na základě osvědčených postupů definuje MVP (Minimum Viable Product) pro zásady správného řízení.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Kromě toho obsahuje také odkazy na fáze vylepšení zásad správného řízení, které s tím, jak se objevují nová obchodní nebo technická rizika, implementují další osvědčené postupy.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Upozornění

Tento MVP představuje základní výchozí bod vycházející z několika předpokladů.This MVP is a baseline starting point, based on a set of assumptions. Dokonce i tato minimální sada osvědčených postupů je založená na firemních zásadách, které se řídí jedinečnými obchodními riziky a úrovněmi tolerance k rizikům.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Pokud chcete zjistit, jestli se na vás tyto předpoklady vztahují, přečtěte si delší vyprávění, které následuje po tomto článku.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Osvědčené postupy pro zásady správného řízeníGovernance best practices

Tyto osvědčené postupy slouží jako základ, pomocí kterého můžou organizace rychle a konzistentně do předplatných přidávat ochranné mantinely zásad správného řízení.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across your subscriptions.

Organizace prostředkůResource organization

Následující diagram znázorňuje hierarchii MVP zásad správného řízení pro organizaci prostředků.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagram organizace prostředků

Jednotlivé aplikace by se v hierarchii skupin pro správu, předplatných a skupin prostředků měly nasazovat do vhodné oblasti.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Při plánování nasazení tým zásad správného řízení v cloudu vytvoří v hierarchii potřebné uzly pro týmy přechodu na cloud.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Jedna skupina pro správu pro každý typ prostředí (například produkční, vývojové a testovací)One management group for each type of environment (such as production, development, and test).
  2. Dvě předplatná, jedno pro produkční a druhé pro neprodukční úlohyTwo subscriptions, one for production workloads and another for nonproduction workloads.
  3. Na všech úrovních této hierarchie seskupení by se měla používat konzistentní terminologie.Consistent nomenclature should be applied at each level of this grouping hierarchy.
  4. Skupiny prostředků by se měly nasadit způsobem, který bere v úvahu životní cyklus jejich obsahu: všechno, co se vyvíjí dohromady, se také dohromady spravuje a vyřazuje z provozu.Resource groups should be deployed in a manner that considers its contents lifecycle: everything that is developed together, is managed together, and retires together goes together. Další informace o osvědčených postupech pro skupiny prostředků najdete v průvodci rozhodováním o konzistenci prostředků.For more information about resource group best practices, see the resource consistency decision guide.
  5. Výběr oblasti je mimořádně důležitý a musí se zvážit, aby bylo možné v případě převzetí služeb při selhání nebo navrácení služeb po obnovení použít sítě, monitorování, auditování a také potvrzení, že požadované skladové položky jsou dostupné v upřednostňovaných oblastech.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Tady je příklad použití tohoto vzoru:Here is an example of this pattern in use:

Příklad organizace prostředků pro středně velkou firmu

Tyto vzory poskytují prostor k růstu bez zbytečného komplikování hierarchie.These patterns provide room for growth without complicating the hierarchy unnecessarily.

Poznámka

V případě změny vašich obchodních požadavků vám skupiny pro správu Azure umožní snadno reorganizovat hierarchii správy a přiřazení skupin předplatných.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Mějte však na paměti, že přiřazení zásad a rolí skupině pro správu dědí všechna předplatná, která jsou v hierarchii pod touto skupinou.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Pokud chcete změnit přiřazení předplatných mezi skupinami pro správu, ujistěte se, že znáte všechny potenciální dopady změn přiřazení zásad a rolí.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Další informace najdete v dokumentaci ke skupinám pro správu Azure.See the Azure management groups documentation for more information.

Zásady správného řízení prostředkůGovernance of resources

Základní úroveň vynucování zásad správného řízení vám poskytne sada globálních zásad a rolí RBAC.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Pro splnění požadavků zásad týmu zásad správného řízení v cloudu vyžaduje implementace MVP zásad správného řízení dokončení následujících úloh:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identifikace definic Azure Policy potřebných k vynucování obchodních požadavkůIdentify the Azure Policy definitions needed to enforce business requirements. To může zahrnovat použití integrovaných definic a vytvoření nových vlastních definic.This might include using built-in definitions and creating new custom definitions. K zajištění přehledu o nově vydaných integrovaných definicích je k dispozici kanál Atom obsahující všechny potvrzené změny pro integrované zásady, které můžete využít pro informační kanál RSS.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. Další možností je využít AzAdvertizer.Alternatively, you can check AzAdvertizer.
  2. Vytvoření definice podrobného plánu s využitím těchto integrovaných a vlastních zásad a přiřazení rolí, které vyžaduje MVP zásad správného řízeníCreate a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Globální použití zásad a konfigurace přiřazením definice podrobného plánu všem předplatnýmApply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identifikace definic zásadIdentify policy definitions

Azure poskytuje několik předdefinovaných zásad a definic rolí, které můžete přiřadit jakékoli skupině pro správu, předplatnému nebo skupině prostředků.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Mnoho běžných požadavků zásad správného řízení můžete zpracovat pomocí integrovaných definic.Many common governance requirements can be handled using built-in definitions. Je ale pravděpodobné, že budete také muset vytvořit vlastní definice zásad pro zpracování vašich specifických požadavků.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Vlastní definice zásad se ukládají do skupiny pro správu nebo předplatného a dědí se v rámci hierarchie skupiny pro správu.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Pokud je umístěním pro uložení definice zásad skupina pro správu, je tato definice zásad k dispozici pro přiřazení k jakýmkoli podřízeným skupinám pro správu nebo předplatným této skupiny pro správu.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Vzhledem k tomu, že by zásady požadované k zajištění podpory MVP zásad správného řízení měly platit pro všechna aktuální předplatná, následující obchodní požadavky se implementují se pomocí kombinace integrovaných a vlastních definic vytvořených v kořenové skupině pro správu:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Omezte seznam dostupných přiřazení rolí na sadu předdefinovaných rolí Azure autorizovaných týmem zásad správného řízení v cloudu.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. To vyžaduje vlastní definici zásad.This requires a custom policy definition.
  2. Vyžadování následujících značek u všech prostředků: Oddělení/fakturační jednotka, Geografická oblast, Klasifikace dat, Důležitost, Smlouva SLA, Prostředí, Archetyp aplikace, Aplikace a Vlastník aplikace.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. To můžete zpracovat pomocí integrované definice Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Vyžaduje, aby značka Application u prostředků odpovídala názvu příslušné skupiny prostředků.Require that the Application tag for resources should match the name of the relevant resource group. To můžete zpracovat pomocí integrované definice Vyžadovat značku a její hodnotu.This can be handled using the "Require tag and its value" built-in definition.

Informace o definování vlastních zásad najdete v dokumentaci ke službě Azure Policy.For information on defining custom policies see the Azure Policy documentation. Pokyny a příklady vlastních zásad najdete na webu s ukázkami pro službu Azure Policy a v přidruženém úložišti GitHub.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Přiřazování rolí Azure Policy a RBAC s využitím služby Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

Zásady Azure můžou být přiřazené na úrovni skupiny prostředků, předplatného a skupiny pro správu a můžou být součástí Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Přestože se požadavky zásad definované v tomto MVP zásad správného řízení vztahují na všechna aktuální předplatná, je velmi pravděpodobné, že budoucí nasazení budou vyžadovat výjimky nebo alternativní zásady.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Z tohoto důvodu přiřazování zásad s využitím skupin pro správu, kde tato přiřazení dědí všechna podřízená předplatná, nemusí být dostatečně flexibilní pro zajištění podpory těchto scénářů.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Služba Azure Blueprints umožňuje konzistentní přiřazování zásad a rolí, používání šablon Resource Manageru a nasazování skupin prostředků do několika předplatných.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Definice podrobných plánů se stejně jako definice zásad ukládají do skupin pro správu nebo předplatných.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. Definice zásad jsou prostřednictvím dědičnosti dostupné pro všechny podřízené položky v hierarchii skupin pro správu.The policy definitions are available through inheritance to any children in the management group hierarchy.

Tým zásad správného řízení v cloudu se rozhodl implementovat vynucování požadovaných přiřazení Azure Policy a RBAC napříč předplatnými prostřednictvím služby Azure Blueprints a přidružených artefaktů:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. V kořenové skupině pro správu vytvořte definici podrobného plánu governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Do definice podrobného plánu přidejte následující artefakty podrobného plánu:Add the following blueprint artifacts to the blueprint definition:
    1. Přiřazení zásad pro vlastní definice Azure Policy definované v kořenové skupině pro správuPolicy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Definice skupin prostředků pro všechny požadované skupiny v předplatných vytvořených nebo řízených prostřednictvím MVP zásad správného řízeníResource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Standardní přiřazení rolí požadovaná v předplatných vytvořených nebo řízených prostřednictvím MVP zásad správného řízeníStandard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Publikujte definici podrobného plánu.Publish the blueprint definition.
  4. Přiřaďte definici podrobného plánu governance-baseline všem předplatným.Assign the governance-baseline blueprint definition to all subscriptions.

Další informace o vytváření a používání definic podrobných plánů najdete v dokumentaci ke službě Azure Blueprints.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Zabezpečená hybridní síť VNetSecure hybrid VNet

Konkrétní předplatná často vyžadují určitou úroveň přístupu k místním prostředkům.Specific subscriptions often require some level of access to on-premises resources. To je běžné ve scénářích migrace nebo vývoje, ve kterých se závislé prostředky nacházejí v místním datacentru.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Dokud se s cloudovým prostředím úplně nenaváže vztah důvěryhodnosti, je důležité pečlivě kontrolovat a monitorovat veškerou povolenou komunikaci mezi místním prostředím a cloudovými úlohami, stejně jako zabezpečení místní sítě před potenciálním neoprávněným přístupem z cloudových prostředků.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Pro zajištění podpory těchto scénářů přidává MVP zásad správného řízení následující osvědčené postupy:To support these scenarios, the governance MVP adds the following best practices:

  1. Vytvořte zabezpečenou hybridní cloudovou síť VNet.Establish a cloud secure hybrid VNet.
    1. Referenční architektura sítě VPN stanovuje vzor a model nasazení pro vytvoření služby VPN Gateway v Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Ověřte, že místní mechanismy zabezpečení a správy provozu pracují s připojenými cloudovými sítěmi jako s nedůvěryhodnými.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Prostředky a služby hostované v cloudu by měly mít přístup pouze k autorizovaným místním službám.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Ověřte, že je místní hraniční zařízení v místním datacentru kompatibilní s požadavky služby Azure VPN Gateway a že jeho konfigurace umožňuje přístup k veřejnému internetu.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Upozorňujeme, že tunely sítě VPN by se měly považovat za okruhy připravené pro produkční prostředí jenom pro ty nejjednodušší úlohy.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Cokoli nad rámec několika jednoduchých úloh vyžadujících možnosti místního připojení by mělo používat Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. V kořenové skupině pro správu vytvořte druhou definici podrobného plánu secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Jako artefakt k definici podrobného plánu přidejte šablonu Resource Manageru pro službu VPN Gateway.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Jako artefakt k definici podrobného plánu přidejte šablonu Resource Manageru pro virtuální síť.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Publikujte definici podrobného plánu.Publish the blueprint definition.
  3. Přiřaďte definici podrobného plánu secure-hybrid-vnet všem předplatným, která vyžadují možnosti připojení k místnímu prostředí.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Tuto definici byste měli přiřadit navíc k definici podrobného plánu governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Jednou z největších obav týmů zabezpečení IT a tradičních týmů zásad dodržování předpisů je riziko, že přechod na cloud v počáteční fázi ohrozí zabezpečení stávajících prostředků.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. Výše uvedený přístup umožňuje týmům přechodu na cloud vytvářet a migrovat hybridní řešení s menším rizikem pro místní prostředky.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. S tím, jak se bude důvěra v cloud prohlubovat, se můžou v dalších fázích evoluce tato dočasná řešení odebrat.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Poznámka

Výše je popsaný výchozí bod pro rychlé vytvoření základního MVP zásad správného řízení.The above is a starting point to quickly create a baseline governance MVP. Toto je pouze začátek cesty k zásadám správného řízení.This is only the beginning of the governance journey. S tím, jak společnost bude pokračovat v přechodu na cloud a přijímat další rizika, bude potřeba další vývoj v následujících oblastech:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Důležité úlohyMission-critical workloads
  • Chráněná dataProtected data
  • Správa nákladůCost management
  • Scénáře s více cloudyMulticloud scenarios

Konkrétní podrobnosti o tomto MVP navíc vycházejí z příkladu cesty fiktivní společnosti popsané v následujících článcích.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Před implementací tohoto osvědčeného postupu doporučujeme, abyste se seznámili s dalšími články v této sérii.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Iterativní vylepšování zásad správného řízeníIterative governance improvements

Po nasazení tohoto MVP je možné do prostředí rychle začlenit další vrstvy zásad správného řízení.Once this MVP has been deployed, additional layers of governance can be incorporated into the environment quickly. Tady je několik možných způsobů vylepšení MVP za účelem splnění konkrétních obchodních potřeb:Here are some ways to improve the MVP to meet specific business needs:

Co tyto pokyny poskytují?What does this guidance provide?

V MVP se zavádí postupy a nástroje z disciplíny zrychlení nasazení kvůli možnosti rychlého použití firemních zásad.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. Konkrétně MVP používá Azure Blueprints, Azure Policy a skupiny pro správu Azure k použití několika základních firemních zásad, jak je definováno v příběhu této fiktivní společnosti.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Tyto firemní zásady se použijí pomocí šablon Resource Manageru a zásad Azure pro vytvoření základních hodnot pro identitu a zabezpečení.Those corporate policies are applied using Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagram ukazující příklad MVP inkrementálních zásad správného řízení

Postupné vylepšování postupů správného řízeníIncremental improvement of governance practices

V průběhu času se toto MVP zásad správného řízení využije k vylepšování postupů správného řízení.Over time, this governance MVP will be used to improve governance practices. Jak přechod postupuje, obchodní riziko se zvyšuje.As adoption advances, business risk grows. Pro zajištění správy těchto rizik se změní různé disciplíny v rámci modelu zásad správného řízení architektury přechodu na cloud.Various disciplines within the Cloud Adoption Framework governance model will change to manage those risks. Pozdější články v této sérii se zaměří na postupné vylepšování firemních zásad ovlivňujících fiktivní společnost.Later articles in this series discuss the incremental improvement of corporate policy affecting the fictional company. K těmto vylepšením dochází ve třech disciplínách:These improvements happen across three disciplines:

  • Disciplína služby Cost Management – jak se přechod škáluje.The Cost Management discipline, as adoption scales.
  • Disciplína Standardní hodnoty zabezpečení – jak se nasazují chráněná data.The Security Baseline discipline, as protected data is deployed.
  • Disciplína Konzistence prostředků – jak provoz IT začíná podporovat klíčové úlohy.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagram ukazující příklad postupného vylepšování postupů správného řízení

Další krokyNext steps

Teď když jste se seznámili s MVP zásad správného řízení a máte představu o vylepšeních zásad správného řízení, která budou následovat, přečtěte si doprovodný příběh, ve kterém najdete další kontext.Now that you're familiar with the governance MVP and have an idea of the governance improvements to follow, read the supporting narrative for additional context.