Standardní příručka pro zásady správného řízení podniku: vylepšení oboru konzistence prostředkůStandard enterprise governance guide: Improve the Resource Consistency discipline

Tento článek popisuje mluvený komentář přidáním ovládacích prvků konzistence prostředků, které budou podporovat klíčové aplikace.This article advances the narrative by adding resource consistency controls to support mission-critical applications.

Posunutí mluveného komentářeAdvancing the narrative

Nová prostředí pro zákazníky, nové předpovědi nástrojů a migrovaná infrastruktura budou nadále postupovat.New customer experiences, new prediction tools, and migrated infrastructure continue to progress. Firma je teď připravená začít používat tyto prostředky v produkční kapacitě.The business is now ready to begin using those assets in a production capacity.

Změny v aktuálním stavuChanges in the current state

V předchozí fázi tohoto mluveného komentáře byly vývoj aplikací a týmy BI skoro připravené k integraci zákaznických a finančních dat do produkčních úloh.In the previous phase of this narrative, the application development and BI teams were nearly ready to integrate customer and financial data into production workloads. IT tým probíhal při vyřazování datacentra DR.The IT team was in the process of retiring the DR datacenter.

Od té doby se změnily některé věci, které budou mít vliv na zásady správného řízení:Since then, some things have changed that will affect governance:

  • Překročili jsme 100% datacentra DR, před plánem.IT has retired 100% of the DR datacenter, ahead of schedule. V tomto procesu se jako kandidáti na migraci cloudu identifikovaly sady prostředků v provozním datacentru.In the process, a set of assets in the production datacenter were identified as cloud migration candidates.
  • Vývojové týmy pro aplikace jsou teď připravené na provozní provoz.The application development teams are now ready for production traffic.
  • Tým BI je připravený k zakládání předpovědi a přehledů zpátky do operačních systémů v provozním datacentru.The BI team is ready to feed predictions and insights back into operation systems in the production datacenter.

Přírůstkové zlepšení budoucího stavuIncrementally improve the future state

Před použitím nasazení Azure v produkčních obchodních procesech musí být cloudové operace vyspělé.Before using Azure deployments in production business processes, cloud operations must mature. Kromě toho jsou potřeba další změny zásad správného řízení, které zajistí, že prostředky můžou být správně fungující.In conjunction, additional governance changes is required to ensure assets can be operated properly.

Změny aktuálního a budoucího stavu zveřejňují nová rizika, která budou vyžadovat nové příkazy zásad.The changes to current and future state expose new risks that will require new policy statements.

Změny v hmatatelných rizicíchChanges in tangible risks

Provozní přerušení: Existuje riziko, že jakákoli nová platforma způsobuje přerušení důležitých podnikových procesů.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. Provozní tým IT a týmy spuštěné v různých prodaných cloudech jsou relativně v cloudových operacích.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Tím se zvyšuje riziko přerušení a musí se napravit a řídit.This increases the risk of interruption and must be remediated and governed.

Toto obchodní riziko se dá rozšířit na několik technických rizik:This business risk can be expanded into several technical risks:

  1. K externímu vniknutí nebo útokům DOS (Denial of Service) může dojít k výpadku firmy.External intrusion or denial of service attacks might cause a business interruption.
  2. Klíčové prostředky nemusí být správně zjištěny, a proto nemusí být správně provozovány.Mission-critical assets may not be properly discovered, and therefore might not be properly operated.
  3. Existující procesy provozní správy nemusí podporovat nezjištěné nebo neoznačené prostředky.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  4. Konfigurace nasazených prostředků nemusí splňovat očekávání výkonu.The configuration of deployed assets may not meet performance expectations.
  5. Protokolování nemusí být správně zaznamenáno a centralizované, aby bylo možné vyřešit problémy s výkonem.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  6. Zásady obnovení můžou selhat nebo trvat déle, než se čekalo.Recovery policies may fail or take longer than expected.
  7. Nekonzistentní procesy nasazení můžou vést k bezpečnostním otvorům, které by mohly vést k úniku nebo přerušením dat.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  8. Aktualizace s posunem nebo chybějícími opravami můžou vést k nezamýšleným bezpečnostním otvorům, které by mohly vést k úniku nebo přerušením dat.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  9. Konfigurace nemusí vyhovět požadavkům definovaných SLA nebo potvrzených požadavků na obnovení.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  10. Nasazené operační systémy nebo aplikace nemusí selhat, aby splňovaly požadavky na posílení zabezpečení.Deployed operating systems or applications might fail to meet hardening requirements.
  11. Díky tomu mnoho týmů pracujících v cloudu existuje riziko nekonzistence.With so many teams working in the cloud, there is a risk of inconsistency.

Přírůstkové zlepšování příkazů zásadIncremental improvement of the policy statements

Následující změny zásad vám pomůžou opravit nová rizika a implementaci příručky.The following changes to policy will help remediate the new risks and guide implementation. Seznam vypadá dlouhou dobu, ale přijetí těchto zásad může být snazší než jeho zobrazení.The list looks long, but adopting these policies may be easier than it appears.

  1. Všechny nasazené prostředky musí být rozdělené do kategorií podle závažnosti a klasifikace dat.All deployed assets must be categorized by criticality and data classification. Klasifikace jsou přezkoumány týmem zásad správného řízení cloudu a vlastníkem aplikace před nasazením do cloudu.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Podsítě, které obsahují klíčové aplikace, musí být chráněné řešením brány firewall schopnými detekovat vniknutí a reagovat na útoky.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. Nástroje pro správu zásad správného řízení musí auditovat a vymáhat požadavky na konfiguraci sítě definované týmem správy zabezpečení.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  4. Nástroje zásad správného řízení musí ověřit, že všechny prostředky související s důležitými aplikacemi nebo chráněnými daty jsou zahrnuté do monitorování pro vyčerpání a optimalizaci prostředků.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. Nástroje správy zásad správného řízení musí ověřit, jestli jsou shromažďovány odpovídající úrovně dat protokolování pro všechny klíčové aplikace nebo chráněná data.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. Proces zásad správného řízení musí ověřit, jestli je zálohování, obnovení a dodržování SLA správně implementované pro klíčové aplikace a chráněná data.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. Nástroje zásad správného řízení musí omezit nasazení virtuálních počítačů jenom na schválené image.Governance tooling must limit virtual machine deployments to approved images only.
  8. Nástroje zásad správného řízení musí vymáhat, že automatické aktualizace jsou zabráněno na všech nasazených assetech, které podporují klíčové aplikace.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. Porušení musí být přezkoumána s provozními týmy správy a opraveny v souladu se zásadami provozu.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Prostředky, které se automaticky neaktualizují, musí být zahrnuté do procesů, které vlastní IT operace.Assets that are not automatically updated must be included in processes owned by IT operations.
  9. Nástroje řízení správného řízení musí ověřovat označování související s náklady, závažností, smlouvou SLA, aplikací a klasifikací dat.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Všechny hodnoty musí být zarovnané na předdefinované hodnoty, které spravuje tým zásad správného řízení.All values must align to predefined values managed by the governance team.
  10. Procesy zásad správného řízení musí zahrnovat audity v místě nasazení a v pravidelných cyklech, aby se zajistila konzistence napříč všemi prostředky.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Trendy a zneužití, které by mohly ovlivnit nasazení v cloudu, by pravidelně kontroloval tým zabezpečení, aby poskytoval aktualizace nástrojů pro správu zabezpečení používaných v cloudu.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  12. Před vydáním do produkčního prostředí je nutné do určeného řešení monitorování provozu přidat všechny klíčové aplikace a chráněná data.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Prostředky, které nemohou být zjištěny vybranými nástroji IT operace, nelze uvolnit pro použití v produkčním prostředí.Assets that cannot be discovered by the chosen IT operations tooling, cannot be released for production use. Všechny změny potřebné k tomu, aby byly prostředky zjistitelné, musí být provedeny pro příslušné procesy nasazení, aby bylo zajištěno, že prostředky budou v budoucích nasazeních zjistitelné.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. Po zjištění budou týmy provozní správy měnit prostředky, aby bylo zajištěno, že prostředky splňují požadavky na výkon.When discovered, operational management teams will size assets, to ensure that assets meet performance requirements.
  14. Nástroje pro nasazení musí schválit tým zásad správného řízení cloudu, aby se zajistilo průběžné řízení nasazených prostředků.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Skripty nasazení musí být udržovány v centrálním úložišti přístupném týmem zásad správného řízení cloudu pro pravidelnou kontrolu a auditování.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. Procesy kontroly zásad správného řízení musí ověřit, jestli jsou nasazené prostředky správně nakonfigurované v rámci zarovnání s požadavky SLA a obnovení.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Postupné vylepšování postupů správného řízeníIncremental improvement of governance practices

Tato část článku změní návrh MVP zásad správného řízení tak, aby zahrnoval nové zásady Azure a implementaci Azure Cost Management + fakturace.This section of the article will change the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. Tyto dvě změny návrhu společně budou plnit nové příkazy podnikové zásady.Together, these two design changes will fulfill the new corporate policy statements.

  1. Tým provozu cloudu bude definovat nástroje Operational monitoring a nástroje pro automatizované opravy.The cloud operations team will define operational monitoring tooling and automated remediation tooling. Tým zásad správného řízení pro Cloud bude tyto procesy zjišťování podporovat.The cloud governance team will support those discovery processes. V tomto případě se v cloudovém provozním týmu zvolí Azure Monitor jako primární nástroj pro monitorování důležitých podnikových aplikací.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
  2. Vytvořte v Azure DevOps úložiště, ve kterém se uloží a naplní všechny relevantní šablony Správce prostředků a skriptované konfigurace.Create a repository in Azure DevOps to store and version all relevant Resource Manager templates and scripted configurations.
  3. Implementace úložiště Azure Recovery Services:Azure Recovery Services vault implementation:
    1. Definování a nasazení úložiště Azure Recovery Services pro procesy zálohování a obnovení.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    2. Vytvořte šablonu Správce prostředků pro vytvoření trezoru v každém předplatném.Create a Resource Manager template for creation of a vault in each subscription.
  4. Aktualizovat Azure Policy pro všechna předplatná:Update Azure Policy for all subscriptions:
    1. Auditujte a vynutilte kritickou a klasifikaci dat napříč všemi předplatnými k identifikaci všech předplatných s důležitými klíčovými prostředky.Audit and enforce criticality and data classification across all subscriptions to identify any subscriptions with mission-critical assets.
    2. Auditujte a vynutili použití jenom schválených imagí.Audit and enforce the use of approved images only.
  5. Azure Monitor implementace:Azure Monitor implementation:
    1. Po identifikaci úlohy kritické pro vytvoření pracovního prostoru Azure Monitor Log Analytics.Once a mission-critical workload is identified, create an Azure Monitor Log Analytics workspace.
    2. Během testování nasazení nasadí tým operací cloudu nezbytné agenty a testy zjišťování.During deployment testing, the cloud operations team deploys the necessary agents and tests discovery.
  6. Aktualizuje Azure Policy pro všechna předplatná, která obsahují klíčové aplikace.Update Azure Policy for all subscriptions that contain mission-critical applications.
    1. Audituje a vynutila použití NSG pro všechny síťové karty a podsítě.Audit and enforce the application of an NSG to all NICs and subnets. Sítě a zabezpečení IT definují NSG.Networking and IT security define the NSG.
    2. Auditujte a vynutili použití schválených podsítí sítě a virtuálních sítí pro každé síťové rozhraní.Audit and enforce the use of approved network subnets and virtual networks for each network interface.
    3. Audituje a vynutil omezení uživatelem definovaných směrovacích tabulek.Audit and enforce the limitation of user-defined routing tables.
    4. Audituje a vynutil nasazení Azure Monitor agentů pro všechny virtuální počítače.Audit and enforce deployment of Azure Monitor agents for all virtual machines.
    5. Proveďte audit a vyjistěte, aby v předplatném existovaly trezory služby Azure Recovery Services.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  7. Konfigurace brány firewall:Firewall configuration:
    1. Identifikujte konfiguraci Azure Firewall, která splňuje požadavky na zabezpečení.Identify a configuration of Azure Firewall that meets security requirements. Případně můžete identifikovat zařízení třetí strany, které je kompatibilní s Azure.Alternatively, identify a third-party appliance that is compatible with Azure.
    2. Vytvořte šablonu Správce prostředků pro nasazení brány firewall pomocí požadovaných konfigurací.Create a Resource Manager template to deploy the firewall with required configurations.
  8. Podrobný plán Azure:Azure blueprint:
    1. Vytvořte nový plán Azure s názvem protected-data .Create a new Azure blueprint named protected-data.
    2. Přidejte do podrobného plánu šablony brány firewall a úložiště Azure Recovery Services.Add the firewall and Azure Recovery Services vault templates to the blueprint.
    3. Přidejte nové zásady pro odběry chráněných dat.Add the new policies for protected data subscriptions.
    4. Publikujte podrobný plán do jakékoli skupiny pro správu, která bude hostovat klíčové aplikace.Publish the blueprint to any management group that will host mission-critical applications.
    5. Použijte nový podrobný plán na všechny ovlivněné předplatné i na existující plány.Apply the new blueprint to each affected subscription as well as existing blueprints.

ZávěrConclusion

Tyto další procesy a změny v rámci řízení MVP vám pomůžou napravit mnoho rizik spojených se zásadou správného řízení prostředků.These additional processes and changes to the governance MVP help remediate many of the risks associated with resource governance. Společně přidávají ovládací prvky pro obnovení, změnu velikosti a monitorování, které podporují cloudové operace.Together they add recovery, sizing, and monitoring controls that empower cloud-aware operations.

Další krokyNext steps

V případě, že se přijetí do cloudu pokračuje a přináší další obchodní hodnotu, rizika a potřeby zásad správného řízení cloudu se změní také.As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. V případě fiktivní společnosti v tomto průvodci je další aktivační událost v případě, že škálování nasazení přesáhne 100 prostředků do cloudu nebo měsíční útraty překračuje $1 000 za měsíc.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 100 assets to the cloud or monthly spending exceeds $1,000 per month. V tuto chvíli tým zásad správného řízení pro Cloud přidá ovládací prvky pro správu nákladů.At this point, the cloud governance team adds cost management controls.