Governanceleitfaden für komplexe Unternehmen: Verbessern der Disziplin „Ressourcenkonsistenz“Governance guide for complex enterprises: Improve the Resource Consistency discipline

In diesem Artikel wird die Lösung weiterentwickelt, indem Steuerelemente für Ressourcenkonsistenz zum Governance-MVP hinzugefügt werden, um unternehmenskritische Anwendungen zu unterstützen.This article advances the narrative by adding resource consistency controls to the governance MVP to support mission-critical applications.

Fortführen der GeschichteAdvancing the narrative

Die Teams zur Cloudeinführung haben alle Anforderungen für die Verschiebung geschützter Daten erfüllt.The cloud adoption teams have met all requirements to move protected data. Diese Anwendungen bringen SLA-Verpflichtungen für das Unternehmen und den Bedarf an Unterstützung durch das IT-Betriebsteam mit sich.With those applications come SLA commitments to the business and need for support from IT operations. Direkt hinter dem Team, das die zwei Rechenzentren migriert, stehen mehrere Anwendungsentwicklungs- und Business Intelligence-Teams bereit, um mit dem Start neuer Lösungen in der Produktion zu beginnen.Right behind the team migrating the two datacenters, multiple application development and BI teams are ready to begin launching new solutions into production. Für den IT-Betrieb ist der Gedanke von Cloudabläufen neu, und es wird eine Möglichkeit zur schnellen Integration bestehender Betriebsprozesse benötigt.IT operations is new to cloud operations and needs to quickly integrate existing operational processes.

Änderungen des aktuellen StatusChanges in the current state

  • IT verschiebt aktiv Produktionsworkloads mit geschützten Daten nach Azure.IT is actively moving production workloads with protected data into Azure. Einige Workloads mit niedriger Priorität bedienen den Produktionsdatenverkehr.Some low-priority workloads are serving production traffic. Weitere können umgestellt werden, sobald das IT-Betriebsteam die Bereitschaft zur Unterstützung der Workloads signalisiert.More can be cut over as soon as IT operations signs off on readiness to support the workloads.
  • Die Anwendungsentwicklungsteams sind für Produktionsdatenverkehr bereit.The application development teams are ready for production traffic.
  • Das Business Intelligence-Team steht bereit, Prognosen und Erkenntnisse in die Systeme zu integrieren, die den Betrieb für die drei Geschäftseinheiten tragen.The BI team is ready to integrate predictions and insights into the systems that run operations for the three business units.

Inkrementelles Verbessern des zukünftigen StatusIncrementally improve the future state

  • Für den IT-Betrieb ist der Gedanke von Cloudabläufen neu, und es wird eine Möglichkeit zur schnellen Integration bestehender Betriebsprozesse benötigt.IT operations is new to cloud operations and needs to quickly integrate existing operational processes.
  • Die Änderungen des aktuellen und zukünftigen Status bergen neue Risiken, die neue Richtlinienanweisungen erfordern.The changes to current and future state expose new risks that will require new policy statements.

Änderungen bei konkreten RisikenChanges in tangible risks

Unterbrechung des Geschäftsbetriebs: Jede neue Plattform bringt ein inhärentes Risiko für Unterbrechungen in unternehmenskritischen Geschäftsabläufen mit sich.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. Das IT-Betriebsteam und die Teams, die verschiedene Cloudeinführungen vornehmen, sind relativ unerfahren in Cloudvorgängen.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Dadurch steigt die Gefahr von Unterbrechungen, die entsprechend verringert und kontrolliert werden muss.This increases the risk of interruption and must be remediated and governed.

Dieses Geschäftsrisiko lässt sich auf eine Reihe von technischen Risiken ausweiten:This business risk can be expanded into several technical risks:

  1. Falsch ausgerichtete Betriebsprozesse können zu Ausfällen führen, die nicht erkannt oder schnell korrigiert werden können.Misaligned operational processes might lead to outages that can't be detected or mitigated quickly.
  2. Ein Eindringen von außerhalb oder Denial-of-Service-Angriffe können zu einer Unterbrechung des Geschäftsbetriebs führen.External intrusion or denial of service attacks might cause a business interruption.
  3. Unternehmenswichtige Ressourcen werden möglicherweise nicht korrekt identifiziert und daher nicht ordnungsgemäß betrieben.Mission-critical assets might not be properly discovered and therefore not properly operated.
  4. Nicht identifizierte oder falsch bezeichnete Ressourcen werden möglicherweise durch die vorhandenen Prozesse des Betriebsmanagements nicht unterstützt.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  5. Die Konfiguration der bereitgestellten Ressourcen erfüllt möglicherweise nicht die Leistungserwartungen.Configuration of deployed assets might not meet performance expectations.
  6. Die Protokollierung wird eventuell nicht ordnungsgemäß aufgezeichnet und ist nicht korrekt zentralisiert, um die Behebung der Leistungsprobleme zu ermöglichen.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  7. Bei Wiederherstellungsrichtlinien treten möglicherweise Fehler auf, oder ihre Ausführung dauert länger als erwartet.Recovery policies may fail or take longer than expected.
  8. Inkonsistente Bereitstellungsprozesse können Sicherheitslücken verursachen, die zu Datenverlusten oder Unterbrechungen führen können.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  9. Konfigurationsabweichungen oder fehlende Patches können unbeabsichtigte Sicherheitslücken zur Folge haben, die zu Datenverlusten oder Unterbrechungen führen können.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  10. Die Konfiguration setzt möglicherweise die Anforderungen der definierten SLAs oder der festgeschriebenen Wiederherstellungsanforderungen nicht durch.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  11. Die bereitgestellten Betriebssysteme oder Anwendungen genügen eventuell nicht den Härtungsanforderungen an Betriebssysteme und Anwendungen.Deployed operating systems or applications might not meet OS and application hardening requirements.
  12. Es besteht die Gefahr von Inkonsistenzen aufgrund der verschiedenen Teams, die in der Cloud arbeiten.There is a risk of inconsistency due to multiple teams working in the cloud.

Inkrementelle Verbesserungen der RichtlinienanweisungenIncremental improvement of the policy statements

Die folgenden Änderungen an der Richtlinie verringern die neuen Risiken und vereinfachen die Implementierung.The following changes to policy will help remediate the new risks and guide implementation. Die Liste wirkt lang, aber die Einführung dieser Richtlinien ist möglicherweise einfacher, als es den Anschein hat.The list looks long, but the adoption of these policies may be easier than it would appear.

  1. Alle bereitgestellten Ressourcen müssen nach Wichtigkeit und Datenklassifizierung kategorisiert werden.All deployed assets must be categorized by criticality and data classification. Vor der Bereitstellung in der Cloud müssen die Klassifizierungen durch das Cloudgovernanceteam und die Besitzer der Anwendung überprüft werden.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Subnetze, die unternehmenskritische Anwendungen enthalten, müssen durch eine Firewalllösung geschützt werden, die Eindringversuche erkennen und auf Angriffe reagieren kann.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. Die Anforderungen an die Netzwerkkonfiguration, die vom Sicherheitsbaselineteam definiert wurden, müssen mit Governancetools überwacht und durchgesetzt werden.Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.
  4. Mit den Governancetools muss überprüft werden, ob alle Ressourcen, die in einem Zusammenhang mit unternehmenskritischen Anwendungen oder geschützten Daten stehen, in die Überwachung auf Ressourcenschwund und -optimierung einbezogen sind.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. Ferner muss mit den Governancetools überprüft werden, ob für alle unternehmenskritischen Anwendungen oder geschützten Daten Protokolldaten mit dem passenden Protokolliergrad erfasst werden.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. Der Governanceprozess muss überprüfen, ob für unternehmenskritische Anwendungen und geschützte Daten die Sicherung, Wiederherstellung und Einhaltung von SLAs ordnungsgemäß implementiert sind.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. Mit den Governancetools muss die Bereitstellung virtueller Computer ausschließlich auf genehmigte Images eingeschränkt werden.Governance tooling must limit virtual machine deployment to approved images only.
  8. Die Governancetools müssen erzwingen, dass für alle bereitgestellten Ressourcen, die unternehmenskritische Anwendungen unterstützen, automatische Updates verhindert werden.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. Verstöße müssen von Betriebsmanagementteams überprüft und in Übereinstimmung mit den Betriebsrichtlinien beseitigt werden.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Ressourcen, die nicht automatisch aktualisiert werden, müssen in Prozesse des IT-Betriebs einbezogen werden, um eine schnelle und effektive Aktualisierung dieser Server zu gewährleisten.Assets that are not automatically updated must be included in processes owned by IT operations to quickly and effectively update those servers.
  9. Mit Governancetools muss die Kennzeichnung (Tagging) im Hinblick auf Kosten, Kritikalität, SLA, Anwendung und Datenklassifizierung überprüft werden.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Alle Werte müssen sich an vordefinierten Werten ausrichten, die vom Cloudgovernanceteam verwaltet werden.All values must align to predefined values managed by the cloud governance team.
  10. Governanceprozesse müssen Überwachungen zum Bereitstellungszeitpunkt und nachfolgend in regelmäßigen Zyklen umfassen, um für alle Ressourcen Konsistenz zu gewährleisten.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Trends und Exploits, die Auswirkungen auf Cloudbereitstellungen haben könnten, müssen vom Sicherheitsteam regelmäßig überprüft werden, damit Updates für in der Cloud verwendete Sicherheitsbaselinetools bereitgestellt werden können.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.
  12. Vor der Veröffentlichung in einer Produktionsumgebung müssen alle unternehmenskritischen Anwendungen und geschützten Daten der designierten Betriebsüberwachungslösung hinzugefügt werden.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Ressourcen, die von den gewählten IT Operations-Tools nicht erkannt werden können, können nicht für die Produktion freigegeben werden.Assets that cannot be discovered by the chosen IT operations tooling cannot be released for production use. Alle Änderungen, die erforderlich sind, um die Ressourcen erkennbar zu machen, müssen an den relevanten Bereitstellungsprozessen vorgenommen werden, um sicherzustellen, dass die Ressourcen in kommenden Bereitstellungen ermitelbar sind.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. Bei der Ermittlung muss die Ressourcendimensionierung von den Betriebsmanagementteams überprüft werden, um sicherzustellen, dass die Ressourcen den Leistungsanforderungen genügen.When discovered, asset sizing is to be validated by operational management teams to validate that the asset meets performance requirements.
  14. Bereitstellungstools müssen vom Cloudgovernanceteam genehmigt werden, um eine kontinuierliche Governance für bereitgestellte Ressourcen sicherzustellen.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Bereitstellungsskripts müssen in einem zentralen Repository aufbewahrt werden, das für das Cloudgovernanceteam zur regelmäßigen Überprüfung und Überwachung zugänglich ist.Deployment scripts must be maintained in central repository accessible by the cloud governance team for periodic review and auditing.
  16. Mithilfe von Governanceprüfprozessen muss bestätigt werden, dass die bereitgestellten Ressourcen im Hinblick auf SLA- und Wiederherstellungsanforderungen ordnungsgemäß konfiguriert sind.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Inkrementelle Verbesserungen der bewährten MethodenIncremental improvement of the best practices

In diesem Abschnitt des Artikels wird der Governance-MVP-Entwurf so verbessert, dass er neue Azure-Richtlinien und eine Implementierung von Azure Cost Management umfasst.This section of the article will improve the governance MVP design to include new Azure policies and an implementation of Azure Cost Management. Zusammen erfüllen diese beiden Entwurfsänderungen die neuen Richtlinienanweisungen des Unternehmens.Together, these two design changes will fulfill the new corporate policy statements.

Nach den Erfahrungen mit diesem fiktiven Beispiel wird davon ausgegangen, dass die Änderungen der geschützten Daten bereits erfolgt sind.Following the experience of this fictional example, it is assumed that the protected data changes have already occurred. Aufbauend auf diesen bewährten Verfahren, werden in der Folge Anforderungen an die Betriebsüberwachung hinzugefügt, mit denen ein Abonnement für geschäftskritische Anwendungen vorbereitet wird.Building on that best practice, the following will add operational monitoring requirements, readying a subscription for mission-critical applications.

Unternehmenseigenes IT-Abonnement: Fügen Sie dem unternehmenseigenen IT-Abonnement, das als Hub fungiert, Folgendes hinzu.Corporate IT subscription: Add the following to the corporate IT subscription, which acts as a hub.

  1. Als externe Abhängigkeit muss das Cloud Operations-Team Tools für die Betriebsüberwachung, BCDR-Tools (Business Continuity/Disaster Recovery) und Tools zur automatisierten Wartung definieren.As an external dependency, the cloud operations team will need to define operational monitoring tooling, business continuity and disaster recovery (BCDR) tooling, and automated remediation tooling. Damit kann das Cloudgovernanceteam die erforderlichen Ermittlungsvorgänge unterstützen.The cloud governance team can then support necessary discovery processes.
    1. In diesem Anwendungsfall hat das Cloud Operations-Team Azure Monitor als primäres Tool für die Überwachung unternehmenskritischer Anwendungen ausgewählt.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
    2. Das Team sich ferner für Azure Site Recovery als primäres BCDR-Tool entschieden.The team also chose Azure Site Recovery as the primary BCDR tooling.
  2. Azure Site Recovery-Implementierung:Azure Site Recovery implementation.
    1. Definieren Sie einen Azure Site Recovery-Tresor für Sicherungs- und Wiederherstellungsvorgänge, und stellen Sie ihn bereit.Define and deploy Azure Site Recovery vault for backup and recovery processes.
    2. Erstellen Sie eine Azure-Ressourcenverwaltungsvorlage zur Erstellung eines Tresors in jedem Abonnement.Create an Azure resource management template for creation of a vault in each subscription.
  3. Azure Monitor-Implementierung:Azure Monitor implementation.
    1. Nachdem ein unternehmenskritisches Abonnement ermittelt wurde, kann ein Log Analytics-Arbeitsbereich erstellt werden.Once a mission-critical subscription is identified, a Log Analytics workspace can be created.

Individuelles Abonnement zur Cloudeinführung: Mit den folgenden Maßnahmen stellen Sie sicher, dass jedes Abonnement von der Überwachungslösung ermittelbar und zur Aufnahme in BCDR-Praktiken bereit ist.Individual cloud adoption subscription: The following will ensure that each subscription is discoverable by the monitoring solution and ready to be included in BCDR practices.

  1. Azure-Richtlinie für unternehmenskritische Knoten:Azure Policy for mission-critical nodes:
    1. Überwachen und erzwingen Sie die ausschließliche Verwendung von Standardrollen.Audit and enforce use of standard roles only.
    2. Überwachen und erzwingen Sie die Anwendung von Verschlüsselung für alle Speicherkonten.Audit and enforce application of encryption for all storage accounts.
    3. Überwachen und erzwingen Sie die Verwendung eines genehmigten Netzwerksubnetzes und virtuellen Netzwerks pro Netzwerkschnittstelle.Audit and enforce use of approved network subnet and virtual network per network interface.
    4. Überwachen und erzwingen Sie die Einschränkung benutzerdefinierter Routingtabellen.Audit and enforce the limitation of user-defined routing tables.
    5. Überwachen und erzwingen Sie die Bereitstellung von Log Analytics-Agents für virtuelle Windows- und Linux-Computer.Audit and enforce the deployment of Log Analytics agents for Windows and Linux virtual machines.
  2. Azure-Blaupause:Azure blueprint:
    1. Erstellen Sie eine Blaupause mit dem Namen mission-critical-workloads-and-protected-data.Create a blueprint named mission-critical-workloads-and-protected-data. Diese Blaupause betrifft Ressourcen, in Ergänzung zur Blaupause der geschützten Daten.This blueprint will apply assets in addition to the protected data blueprint.
    2. Fügen Sie der Blaupause die neuen Azure-Richtlinien hinzu.Add the new Azure policies to the blueprint.
    3. Wenden Sie die Blaupause auf jedes Abonnement an, von dem angenommen wird, dass es eine unternehmenskritische Anwendung hostet.Apply the blueprint to any subscription that is expected to host a mission-critical application.

ZusammenfassungConclusion

Durch das Hinzufügen dieser Prozesse und Änderungen zum Governance-MVP lassen sich viele Risiken im Zusammenhang mit der Ressourcengovernance minimieren.Adding these processes and changes to the governance MVP helps remediate many of the risks associated with resource governance. In Kombination fügen Sie die Steuerelemente für Wiederherstellung, Dimensionierung und Überwachung hinzu, die zum Ermöglichen eines cloudfähigen Betriebs erforderlich sind.Together, they add the recovery, sizing, and monitoring controls necessary to empower cloud-aware operations.

Nächste SchritteNext steps

Mit dem Wachstum der Cloudeinführung und der damit verbundenen Steigerung des Geschäftswerts ändern sich auch die Risiken und Anforderungen an Cloud Governance.As cloud adoption grows and delivers additional business value, the risks and cloud governance needs will also change. Für das fiktive Unternehmen in diesem Leitfaden kommt der nächste Trigger, wenn die Größe der Bereitstellung 1.000 Ressourcen in der Cloud oder die monatlichen Ausgaben 10.000 US-Dollar übersteigen.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 1,000 assets to the cloud or monthly spending exceeds $10,000 USD per month. An diesem Punkt fügt das Cloudgovernanceteam Steuerelemente für die Kostenverwaltung hinzu.At this point, the cloud governance team adds cost management controls.