Governanceleitfaden für Standardunternehmen: Verbessern der Disziplin „Ressourcenkonsistenz“Standard enterprise governance guide: Improve the Resource Consistency discipline

In diesem Artikel wird die Lösung weiterentwickelt, indem Steuerelemente für Ressourcenkonsistenz hinzugefügt werden, um unternehmenskritische Anwendungen zu unterstützen.This article advances the narrative by adding resource consistency controls to support mission-critical applications.

Fortführen der GeschichteAdvancing the narrative

Neue Kundenerfahrungen, neue Vorhersagetools und migrierte Infrastruktur entwickeln sich weiter.New customer experiences, new prediction tools, and migrated infrastructure continue to progress. Das Unternehmen kann jetzt damit beginnen, diese Ressourcen mit einer Produktionskapazität zu verwenden.The business is now ready to begin using those assets in a production capacity.

Änderungen des aktuellen StatusChanges in the current state

In der vorherigen Phase dieser Lösung waren die Anwendungsentwicklungs- und BI-Teams nahezu bereit, Kunden- und Finanzdaten in die Produktionsworkloads zu integrieren.In the previous phase of this narrative, the application development and BI teams were nearly ready to integrate customer and financial data into production workloads. Das IT-Team war dabei, das DR-Datencenter außer Betrieb zu nehmen.The IT team was in the process of retiring the DR datacenter.

Seit diesem Zeitpunkt haben sich einige Dinge geändert, die sich auf die Governance auswirken:Since then, some things have changed that will affect governance:

  • Die IT-Abteilung hat 100 % des DR-Datencenters vorzeitig außer Betrieb genommen.IT has retired 100% of the DR datacenter, ahead of schedule. Während des Prozesses wurden mehrere Ressourcen im Produktionsrechenzentrum als Cloudmigrationskandidaten identifiziert.In the process, a set of assets in the production datacenter were identified as cloud migration candidates.
  • Die Anwendungsentwicklungsteams sind nun für Produktionsdatenverkehr bereit.The application development teams are now ready for production traffic.
  • Das BI-Team ist bereit, Vorhersagen und Erkenntnisse wieder an die Betriebssysteme im Produktionsrechenzentrum zu übermitteln.The BI team is ready to feed predictions and insights back into operation systems in the production datacenter.

Inkrementelles Verbessern des zukünftigen StatusIncrementally improve the future state

Bevor Azure-Bereitstellungen in Produktionsgeschäftsprozessen eingesetzt werden können, muss der Cloudbetrieb ausgereift sein.Before using Azure deployments in production business processes, cloud operations must mature. In Verbindung damit sind zusätzliche Änderungen der Governance erforderlich, um sicherzustellen, dass Ressourcen ordnungsgemäß betrieben werden können.In conjunction, additional governance changes is required to ensure assets can be operated properly.

Die Änderungen des aktuellen und zukünftigen Status bergen neue Risiken, die neue Richtlinienanweisungen erfordern.The changes to current and future state expose new risks that will require new policy statements.

Änderungen bei konkreten RisikenChanges in tangible risks

Unterbrechung des Geschäftsbetriebs: Jede neue Plattform bringt ein inhärentes Risiko für Unterbrechungen in unternehmenskritischen Geschäftsabläufen mit sich.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. Das IT-Betriebsteam und die Teams, die verschiedene Cloudeinführungen vornehmen, sind relativ unerfahren in Cloudvorgängen.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Dadurch steigt die Gefahr von Unterbrechungen, die entsprechend verringert und kontrolliert werden muss.This increases the risk of interruption and must be remediated and governed.

Dieses Geschäftsrisiko lässt sich auf eine Reihe von technischen Risiken ausweiten:This business risk can be expanded into several technical risks:

  1. Ein Eindringen von außerhalb oder Denial-of-Service-Angriffe können zu einer Unterbrechung des Geschäftsbetriebs führen.External intrusion or denial of service attacks might cause a business interruption.
  2. Unternehmenswichtige Ressourcen werden möglicherweise nicht richtig identifiziert und daher nicht ordnungsgemäß betrieben.Mission-critical assets may not be properly discovered, and therefore might not be properly operated.
  3. Nicht identifizierte oder falsch bezeichnete Ressourcen werden möglicherweise durch die vorhandenen Prozesse des Betriebsmanagements nicht unterstützt.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  4. Die Konfiguration der bereitgestellten Ressourcen erfüllt möglicherweise nicht die Leistungserwartungen.The configuration of deployed assets may not meet performance expectations.
  5. Die Protokollierung wird eventuell nicht ordnungsgemäß aufgezeichnet und ist nicht korrekt zentralisiert, um die Behebung der Leistungsprobleme zu ermöglichen.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  6. Bei Wiederherstellungsrichtlinien treten möglicherweise Fehler auf, oder ihre Ausführung dauert länger als erwartet.Recovery policies may fail or take longer than expected.
  7. Inkonsistente Bereitstellungsprozesse können Sicherheitslücken verursachen, die zu Datenverlusten oder Unterbrechungen führen können.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  8. Konfigurationsabweichungen oder fehlende Patches können unbeabsichtigte Sicherheitslücken zur Folge haben, die zu Datenverlusten oder Unterbrechungen führen können.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  9. Die Konfiguration setzt möglicherweise die Anforderungen der definierten SLAs oder der festgeschriebenen Wiederherstellungsanforderungen nicht durch.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  10. Die bereitgestellten Betriebssysteme oder Anwendungen genügen möglicherweise nicht den Härtungsanforderungen.Deployed operating systems or applications might fail to meet hardening requirements.
  11. Aufgrund der zahlreichen Teams, die in der Cloud arbeiten, besteht die Gefahr von Inkonsistenzen.With so many teams working in the cloud, there is a risk of inconsistency.

Inkrementelle Verbesserungen der RichtlinienanweisungenIncremental improvement of the policy statements

Die folgenden Änderungen an der Richtlinie verringern die neuen Risiken und vereinfachen die Implementierung.The following changes to policy will help remediate the new risks and guide implementation. Die Liste wirkt lang, aber die Einführung dieser Richtlinien ist möglicherweise einfacher, als es den Anschein hat.The list looks long, but adopting these policies may be easier than it appears.

  1. Alle bereitgestellten Ressourcen müssen nach Wichtigkeit und Datenklassifizierung kategorisiert werden.All deployed assets must be categorized by criticality and data classification. Vor der Bereitstellung in der Cloud müssen die Klassifizierungen durch das Cloudgovernanceteam und die Besitzer der Anwendung überprüft werden.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Subnetze, die unternehmenskritische Anwendungen enthalten, müssen durch eine Firewalllösung geschützt werden, die Eindringversuche erkennen und auf Angriffe reagieren kann.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. Die Anforderungen an die Netzwerkkonfiguration, die vom Sicherheitsverwaltungsteam definiert wurden, müssen mit Governancetools überwacht und durchgesetzt werden.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  4. Mit den Governancetools muss überprüft werden, ob alle Ressourcen, die in einem Zusammenhang mit unternehmenskritischen Anwendungen oder geschützten Daten stehen, in die Überwachung auf Ressourcenschwund und -optimierung einbezogen sind.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. Ferner muss mit den Governancetools überprüft werden, ob für alle unternehmenskritischen Anwendungen oder geschützten Daten Protokolldaten mit dem passenden Protokolliergrad erfasst werden.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. Der Governanceprozess muss überprüfen, ob für unternehmenskritische Anwendungen und geschützte Daten die Sicherung, Wiederherstellung und Einhaltung von SLAs ordnungsgemäß implementiert sind.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. Mit den Governancetools müssen die Bereitstellungen virtueller Computer ausschließlich auf genehmigte Images eingeschränkt werden.Governance tooling must limit virtual machine deployments to approved images only.
  8. Die Governancetools müssen erzwingen, dass für alle bereitgestellten Ressourcen, die unternehmenskritische Anwendungen unterstützen, automatische Updates verhindert werden.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. Verstöße müssen von Betriebsmanagementteams überprüft und in Übereinstimmung mit den Betriebsrichtlinien beseitigt werden.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Ressourcen, die nicht automatisch aktualisiert werden, müssen in Prozesse einbezogen werden, die IT Operations unterstehen.Assets that are not automatically updated must be included in processes owned by IT operations.
  9. Mit Governancetools muss die Kennzeichnung (Tagging) im Hinblick auf Kosten, Kritikalität, SLA, Anwendung und Datenklassifizierung überprüft werden.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Alle Werte müssen sich an vordefinierten Werten ausrichten, die vom Governance-Team verwaltet werden.All values must align to predefined values managed by the governance team.
  10. Governanceprozesse müssen Überwachungen zum Bereitstellungszeitpunkt und nachfolgend in regelmäßigen Zyklen umfassen, um für alle Ressourcen Konsistenz zu gewährleisten.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Trends und Exploits, die mögliche Auswirkungen auf Cloudbereitstellungen haben, müssen vom Sicherheitsteam regelmäßig überprüft werden, damit Updates für in der Cloud verwendete Sicherheitsverwaltungstools bereitgestellt werden.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  12. Vor der Veröffentlichung in einer Produktionsumgebung müssen alle unternehmenskritischen Anwendungen und geschützten Daten der designierten Betriebsüberwachungslösung hinzugefügt werden.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Ressourcen, die von den gewählten IT Operations-Tools nicht erkannt werden können, können nicht für die Produktion freigegeben werden.Assets that cannot be discovered by the chosen IT operations tooling, cannot be released for production use. Alle Änderungen, die erforderlich sind, um die Ressourcen erkennbar zu machen, müssen an den relevanten Bereitstellungsprozessen vorgenommen werden, um sicherzustellen, dass die Ressourcen in kommenden Bereitstellungen ermitelbar sind.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. Bei der Ermittlung dimensionieren die operativen Managementteams die Ressourcen, um sicherzustellen, dass die Ressourcen den Leistungsanforderungen entsprechen.When discovered, operational management teams will size assets, to ensure that assets meet performance requirements.
  14. Bereitstellungstools müssen vom Cloudgovernanceteam genehmigt werden, um eine kontinuierliche Governance für bereitgestellte Ressourcen sicherzustellen.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Bereitstellungsskripts müssen in einem zentralen Repository aufbewahrt werden, das für das Cloudgovernanceteam zur regelmäßigen Überprüfung und Überwachung zugänglich ist.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. Mithilfe von Governanceprüfprozessen muss bestätigt werden, dass die bereitgestellten Ressourcen im Hinblick auf SLA- und Wiederherstellungsanforderungen ordnungsgemäß konfiguriert sind.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Inkrementelle Verbesserung der GovernancemethodenIncremental improvement of governance practices

In diesem Abschnitt des Artikels wird der Governance-MVP-Entwurf so geändert, dass er neue Azure-Richtlinien und eine Implementierung von Azure Cost Management umfasst.This section of the article will change the governance MVP design to include new Azure policies and an implementation of Azure Cost Management. Zusammen erfüllen diese beiden Entwurfsänderungen die neuen Richtlinienanweisungen des Unternehmens.Together, these two design changes will fulfill the new corporate policy statements.

  1. Das Cloud Operations-Team definiert operative Überwachungstools und automatisierte Korrekturtools.The cloud operations team will define operational monitoring tooling and automated remediation tooling. Das Cloudgovernanceteam unterstützt diese Ermittlungsprozesse.The cloud governance team will support those discovery processes. In diesem Anwendungsfall hat das Cloud Operations-Team Azure Monitor als primäres Tool für die Überwachung unternehmenskritischer Anwendungen ausgewählt.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
  2. Erstellen Sie in Azure DevOps ein Repository zur Speicherung und Versionsverwaltung für alle relevanten Resource Manager-Vorlagen und Skriptkonfigurationen.Create a repository in Azure DevOps to store and version all relevant Resource Manager templates and scripted configurations.
  3. Azure Recovery Services-Tresorimplementierung:Azure Recovery Services vault implementation:
    1. Definieren Sie einen Azure Recovery Services-Tresor für Sicherungs- und Wiederherstellungsvorgänge, und stellen Sie ihn bereit.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    2. Erstellen Sie eine Resource Manager-Vorlage zum Erstellen eines Tresors in jedem Abonnement.Create a Resource Manager template for creation of a vault in each subscription.
  4. Aktualisieren Sie Azure Policy für alle Abonnements:Update Azure Policy for all subscriptions:
    1. Überprüfen und erzwingen Sie die Wichtigkeits- und Datenklassifizierung für alle Abonnements, um Abonnements mit unternehmenskritischen Ressourcen zu identifizieren.Audit and enforce criticality and data classification across all subscriptions to identify any subscriptions with mission-critical assets.
    2. Überwachen und erzwingen Sie die ausschließliche Verwendung genehmigter Images.Audit and enforce the use of approved images only.
  5. Azure Monitor-Implementierung:Azure Monitor implementation:
    1. Nachdem eine unternehmenskritische Workload identifiziert wurde, erstellen Sie einen Azure Monitor Log Analytics-Arbeitsbereich.Once a mission-critical workload is identified, create an Azure Monitor Log Analytics workspace.
    2. Während der Bereitstellungstests stellt das Cloud Operations-Team die erforderlichen Agents bereit und testet die Ermittlung.During deployment testing, the cloud operations team deploys the necessary agents and tests discovery.
  6. Aktualisieren Sie Azure Policy für alle Abonnements, die unternehmenskritische Anwendungen enthalten.Update Azure Policy for all subscriptions that contain mission-critical applications.
    1. Überwachen und erzwingen Sie die Anwendung einer NSG auf alle NICs und Subnetze.Audit and enforce the application of an NSG to all NICs and subnets. Die Netzwerk- und die IT-Sicherheit definieren die NSG.Networking and IT security define the NSG.
    2. Überwachen und erzwingen Sie die Verwendung von genehmigten Netzwerksubnetzen und virtuellen Netzwerken für jede Netzwerkschnittstelle.Audit and enforce the use of approved network subnets and virtual networks for each network interface.
    3. Überwachen und erzwingen Sie die Einschränkung benutzerdefinierter Routingtabellen.Audit and enforce the limitation of user-defined routing tables.
    4. Überwachen und erzwingen Sie die Bereitstellung von Azure Monitor-Agents für alle virtuellen Computer.Audit and enforce deployment of Azure Monitor agents for all virtual machines.
    5. Überprüfen Sie, ob Azure Recovery Services-Tresore im Abonnement vorhanden sind, und erzwingen Sie deren Bereitstellung.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  7. Firewallkonfiguration:Firewall configuration:
    1. Identifizieren Sie eine Konfiguration von Azure Firewall, die die Sicherheitsanforderungen erfüllt.Identify a configuration of Azure Firewall that meets security requirements. Identifizieren Sie alternativ eine Appliance eines Drittanbieters, die mit Azure kompatibel ist.Alternatively, identify a third-party appliance that is compatible with Azure.
    2. Erstellen Sie eine Resource Manager-Vorlage, um die Firewall mit den erforderlichen Konfigurationen bereitzustellen.Create a Resource Manager template to deploy the firewall with required configurations.
  8. Azure-Blaupause:Azure blueprint:
    1. Erstellen Sie eine neue Azure-Blaupause namens protected-data.Create a new Azure blueprint named protected-data.
    2. Fügen Sie der Blaupause die Firewall und die Azure Recovery Services-Tresorvorlagen hinzu.Add the firewall and Azure Recovery Services vault templates to the blueprint.
    3. Fügen Sie die neuen Richtlinien für Abonnements geschützter Daten hinzu.Add the new policies for protected data subscriptions.
    4. Veröffentlichen Sie die Blaupause für alle Verwaltungsgruppen, die zum Hosten unternehmenskritischer Anwendungen verwendet werden.Publish the blueprint to any management group that will host mission-critical applications.
    5. Wenden Sie die neue Blaupause zusammen mit vorhandenen Blaupausen auf die betroffenen Abonnements an.Apply the new blueprint to each affected subscription as well as existing blueprints.

ZusammenfassungConclusion

Durch diese zusätzlichen Prozesse und Änderungen am Governance-MVP lassen sich viele Risiken im Zusammenhang mit der Ressourcengovernance umgehen.These additional processes and changes to the governance MVP help remediate many of the risks associated with resource governance. In Kombination fügen sie die Steuerelemente für Wiederherstellung, Dimensionierung und Überwachung hinzu, die einen cloudfähigen Betrieb ermöglichen.Together they add recovery, sizing, and monitoring controls that empower cloud-aware operations.

Nächste SchritteNext steps

Mit der Fortsetzung der Cloudeinführung und der damit verbundenen Steigerung des Geschäftswerts ändern sich auch die Risiken und Anforderungen an die Cloudgovernance.As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. Für das fiktive Unternehmen in diesem Leitfaden wird der nächste Trigger ausgelöst, wenn die Größe der Bereitstellung 100 Ressourcen in der Cloud oder monatliche Ausgaben von 1.000 US-Dollar übersteigt.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 100 assets to the cloud or monthly spending exceeds $1,000 per month. An diesem Punkt fügt das Cloudgovernanceteam Steuerelemente für die Kostenverwaltung hinzu.At this point, the cloud governance team adds cost management controls.