Entwurfsbereich: Azure Governance

  • Artikel

Setzen Sie Azure Governance ein, um die Tools einzurichten, die Sie zur Unterstützung von Cloud Governance, Compliance Auditing und automatisierten Leitplanken benötigen.

Informationen zu diesem Entwurfsbereich

Rollen oder Funktionen: Azure-Governance stammt aus der Cloudgovernance. Möglicherweise müssen Sie die Cloud-Plattform oder ein Cloud-Kompetenzzentrum implementieren, um bestimmte technische Anforderungen zu definieren und anzuwenden. Governance konzentriert sich auf die Durchsetzung von Prozess- und Sicherheitsanforderungen, die möglicherweise Cloudsicherheitsvorgänge, zentrale IT-Vorgänge oder Cloudvorgänge erfordern.

Bereich: Berücksichtigen Sie Ihre Entscheidungen, die Sie anhand der Überprüfung der Entwurfsbereiche Identität, Netzwerk, Sicherheit und Verwaltung getroffen haben. Ihr Team kann Überprüfungsentscheidungen der automatisierten Governance vergleichen, die Teil des Accelerators für Azure-Zielzonen ist. Anhand von Entscheidungen können Sie ermitteln, was überwacht oder durchgesetzt werden soll und welche Richtlinien automatisch bereitgestellt werden sollen.

Außerhalb des Bereichs: Azure Governance bildet die Grundlage für Netzwerke. Es geht jedoch nicht um compliancebezogene Artikel wie erweiterte Netzwerksicherheit oder automatisierte Schutzmaßnahmen, um Netzwerkentscheidungen durchzusetzen. Sie können diese Netzwerkentscheidungen bei der Überprüfung von Complianceentwurfsbereichen im Zusammenhang mit Sicherheit und Governance treffen. Das Cloudplattformteam sollte die anfänglichen Netzwerkanforderungen erfüllen, bevor komplexere Komponenten erfüllt werden.

Neue (Greenfield) Cloudumgebung:Legen Sie zu Beginn Ihrer Cloud-Reise eine kleine Anzahl von Abonnements an. Sie können Bicep-Bereitstellungsvorlagen verwenden, um Ihre neuen Azure-Zielzonen zu erstellen. Weitere Informationen finden Sie unter Azure Landing Zones Bicep – Deployment Flow.

Vorhandene (Brownfield) Cloudumgebung: Wenn Sie bewährte Azure-Governance-Prinzipien auf bestehende Azure-Umgebungen anwenden möchten, sollten Sie die folgenden Hinweise beachten:

  • Richten Sie eine Verwaltungsbaseline für Ihre Hybrid- oder Multicloud-Umgebung ein.

  • Implementieren Sie Microsoft Cost Management-Features wie Abrechnungsbereiche, Budgets und Warnungen, um sicherzustellen, dass Sie Ihr Spesenlimit nicht überschreiten.

  • Verwenden Sie Azure Policy, um Governanceleitlinien für Azure-Bereitstellungen durchzusetzen und Korrekturmaßnahmen auszulösen, um vorhandene Azure-Ressourcen in einen konformen Zustand zu bringen.

  • Ziehen Sie den Einsatz der Microsoft Entra-Berechtigungsverwaltung in Betracht, um Azure-Anforderungen, Zugriffszuweisungen, Überprüfungen und den Ablauf zu automatisieren.

  • Nutzen Sie Azure Advisor-Empfehlungen, um Kostenoptimierung und operative Exzellenz in Azure sicherzustellen, die beide Kernprinzipien des Microsoft Azure Well-Architected Framework sind.

Das Repository Azure Landing Zones Bicep – Deployment Flow enthält zahlreiche Bicep-Bereitstellungsvorlagen, die Ihre Greenfield- und Brownfield-Bereitstellungen für Azure-Zielzonen beschleunigen können. In diese Vorlagen sind bewährte Microsoft-Praxisleitfäden integriert.

Erwägen Sie die Verwendung des Bicep-Modus Azure-Landing-Zone-Standardrichtlinienzuweisung, um die Einhaltung der Richtlinien für Ihre Azure-Umgebungen zu gewährleisten.

Weitere Informationen finden Sie unter Überlegungen zur Brownfield-Umgebung.

Übersicht über den Entwurfsbereich

Die Cloudeinführung beginnt für Ihre Organisation mit strengen Überprüfungen für Behördenumgebungen.

Governance bietet Mechanismen und Prozesse zum Steuern von Plattformen, Anwendungen und Ressourcen in Azure.

Diagramm, das die Gestaltung der Zielzonengovernance zeigt.

Lesen Sie die folgenden Überlegungen und Empfehlungen, um bei der Planung Ihrer Zielzone fundierte Entscheidungen zu treffen.

Der Governanceentwurfsbereich konzentriert sich auf Entwurfsentscheidungen für Ihre Zielzone. Informationen zur Entwicklung von Governanceprozessen und Tools finden Sie im Govern im Framework für die Cloudeinführung für Azure.

Überlegungen zu Azure Governance

Azure Policy hilft die Sicherheit und Compliance der technischen Ausrüstung in Unternehmen sicherzustellen. Azure Policy kann wichtige Verwaltungs- und Sicherheitskonventionen für Azure-Plattformdienste erzwingen. Azure Policy ergänzt die rollenbasierte Zugriffssteuerung (RBAC) in Azure, die autorisierte Benutzeraktionen steuert. Cost Management kann auch dazu beitragen, Ihre laufenden Governancekosten und Ausgaben in Azure oder anderen Multi-Cloud-Umgebungen zu unterstützen.

Überlegungen zur Bereitstellung

Überprüfungen von Change Advisory Boards können Innovationen und die geschäftliche Agilität Ihrer Organisation beeinträchtigen. Azure Policy ersetzt solche Überprüfungen durch automatisierte Schutzmaßnahmen und Compliance-Audits, um die Arbeitseffizienz zu verbessern.

  • Bestimmen Sie basierend auf Ihren Unternehmenskontrollmaßnahmen oder Compliancebestimmungen, welche Azure-Richtlinien benötigt werden. Verwenden Sie die im Accelerator für Azure-Zielzonen enthaltenen Richtlinien als Startpunkt.

  • Nutzen Sie die standardbasierten Blueprints-Beispiele, um andere Richtlinien zu berücksichtigen, die möglicherweise Ihren Geschäftsanforderungen entsprechen.

  • Automatisierte Netzwerk-, Identitäts-, Verwaltungs- und Sicherheitskonventionen durchsetzen.

  • Verwenden Sie Richtliniendefinitionen, um Richtlinienzuweisungen zu verwalten und zu erstellen, und verwenden Sie sie in mehrfach vererbten Zuweisungsbereichen wieder. Auf Verwaltungs-, Abonnement- und Ressourcengruppenebene können Sie zentralisierte, grundlegende Richtlinienzuweisungen durchführen.

  • Integrieren Sie Kompatibilitätsberichte und Audits, um die kontinuierliche Einhaltung der Vorschriften zu gewährleisten.

  • Machen Sie sich mit den Grenzen von Azure Policy vertraut, wie z. B. die Beschränkung von Definitionen auf einen bestimmten Geltungsbereich.

  • Lernen Sie die Richtlinien zur Einhaltung von Vorschriften wie HIPAA, PCI-DSS oder SOC 2 Trust Services Criteria kennen.

Überlegungen zur Kostenverwaltung

  • Berücksichtigen Sie die Struktur des Kosten- und Abrechnungsmodells Ihrer Organisation. Bestimmen Sie die wichtigsten Datenpunkte, die Ihre Ausgaben für Cloud-Dienste genau wiedergeben.

  • Wählen Sie die Struktur der Tags, die zu Ihrem Kosten- und Abrechnungsmodell passt, damit Sie Ihre Cloudausgaben besser verfolgen können.

  • Setzen Sie den Azure-Preisrechner ein, um die erwarteten monatlichen Kosten für die Verwendung von Azure-Produkten zu schätzen.

  • Holen Sie sich den Azure-Hybridvorteil, um die Kosten für die Ausführung Ihrer Workloads in der Cloud zu senken. Dazu können Sie Ihre lokalen Windows Server- und SQL Server-Lizenzen mit Software Assurance-Aktivierung in Azure nutzen. Sie können auch Red Hat- und SUSE Linux-Subscriptions verwenden.

  • Sichern Sie sich Azure-Reservierungen und binden Sie sich an Pläne mit einer Laufzeit von einem Jahr oder drei Jahren für mehrere Produkte. Reservierungspläne bieten Ressourcenrabatte, die Ihre Ressourcenkosten um bis zu 72 % im Vergleich zu umlagefinanzierten Preisen senken können.

  • Holen Sie sich den Azure Sparplan für Compute und sparen Sie bis zu 65 % im Vergleich zur nutzungsbasierten Zahlung. Wählen Sie eine ein- oder dreijährige Verpflichtung aus, die unabhängig von Ihrer Region, Instanzgröße oder Betriebssystem für Computedienste gilt. Wählen Sie einen Plan für Compute-Komponenten wie virtuelle Maschinen, dedizierte Hosts, Container-Instanzen, Azure-Premium-Funktionen und Azure-App-Services. Sie können einen Azure-Sparplan mit Azure-Reservierungen kombinieren, um die Compute-Kosten und die Flexibilität zu optimieren.

  • Setzen Sie Azure-Richtlinien ein, um bestimmte Regionen, Ressourcentypen und Ressourcen-SKUs zuzulassen.

  • Verwenden Sie die regelbasierte Richtlinie der Azure Storage-Lebenszyklusverwaltung, um Blob-Daten auf die entsprechenden Zugriffsebenen zu verschieben oder um Daten am Ende des Datenlebenszyklus ablaufen zu lassen.

  • Verwenden Sie Azure Dev/Test-Abonnements, um einen Rabatt auf den Zugriff auf ausgewählte Azure-Dienste für nicht produktive Arbeitslasten zu erhalten.

  • Nutzen Sie die automatische Skalierung, um Ressourcen dynamisch zuzuweisen und freizugeben, damit sie Ihren Leistungsanforderungen entsprechen.

  • Nutzen Sie Azure Spot Virtual Machines, um ungenutzte Rechenkapazitäten zu geringen Kosten zu nutzen. Azure Spot Virtual Machines eignen sich hervorragend für Workloads, die Unterbrechungen tolerieren, z. B. Batchverarbeitungsaufträge, Dev/Test-Umgebungen, umfangreiche Computeworkloads.

  • Wählen Sie die richtigen Azure-Dienste, um die Kosten zu senken. Einige Azure-Dienste sind 12 Monate lang kostenlos, andere immer.

  • Wählen Sie den richtigen Computedienst für Ihre Anwendung, um die Kosteneffizienz zu verbessern. Azure bietet viele Möglichkeiten zum Hosten Ihres Codes.

Überlegungen zur Ressourcenverwaltung

  • Ermitteln Sie, ob die Gruppen von Ressourcen in Ihrer Umgebung erforderliche Konfigurationen, einen gemeinsamen Lebenszyklus oder allgemeine Zugriffsbeschränkungen (z. B. RBAC) gemeinsam nutzen können, um Konsistenz zu gewährleisten.

  • Wählen Sie eine Anwendung oder ein Workload-Abonnement, das für Ihre Betriebsanforderungen geeignet ist.

  • Verwenden Sie Standard-Ressourcenkonfigurationen innerhalb Ihres Unternehmens, um eine einheitliche Basiskonfiguration zu gewährleisten.

Sicherheitshinweise

  • Setzen Sie Werkzeuge und Leitplanken in der gesamten Umgebung als Teil einer Sicherheitsgrundlinie durch.

  • Benachrichtigen Sie die entsprechenden Personen, wenn Sie Abweichungen finden.

  • Erwägen Sie die Verwendung von Azure Policy, um Tools wie z. B. Microsoft Defender for Cloud oder Leitplanken, wie die Microsoft Cloud Security Benchmark zu erzwingen.

Überlegungen zur Identitätsverwaltung

  • Legen Sie fest, wer Zugriff auf Audit-Protokolle für das Identitäts- und Zugriffsmanagement hat.

  • Benachrichtigen Sie die entsprechenden Personen, wenn verdächtige Anmeldeereignisse auftreten.

  • Erwägen Sie die Verwendung von Microsoft Entra-Berichten, um Aktivitäten zu steuern.

  • Erwägen Sie, Microsoft Entra ID-Protokolle an den zentralen Azure Monitor Logs-Arbeitsbereich für die Plattform zu senden.

  • Erkunden Sie microsoft Entra ID Governance-Features, z. B. Zugriffsüberprüfungen und Berechtigungsverwaltung.

Nicht von Microsoft stammende Tools

  • Setzen Sie AzAdvertizer ein, um Azure Governance-Updates abzurufen. So erhalten Sie beispielsweise Erkenntnisse über Richtliniendefinitionen, Initiativen, Aliase, Sicherheit und Compliance-Kontrollen in Azure-Richtlinien- oder Azure RBAC-Rollendefinitionen. Sie können auch Erkenntnisse über Ressourcenanbietervorgänge, Microsoft Entra-Rollendefinitionen und Rollenaktionen sowie API-Berechtigungen von Erstanbietern erhalten.

  • Verwenden Sie Azure Governance Visualizer, um Ihre technische Governancestruktur nachzuverfolgen. Sie können die Funktion zur Überprüfung der Richtlinienversion für Azure-Zielzonen verwenden, um Ihre Umgebung auf dem neuesten Stand der Azure-Zielzonen-Richtlinienversion zu halten.

Azure Governance-Empfehlungen

Empfehlungen zur Beschleunigung der Bereitstellung

  • Bestimmen Sie erforderliche Azure-Tags, und nutzen Sie den Modus zum Anfügen von Richtlinien, um die Nutzung zu erzwingen. Weitere Informationen finden Sie unter Definieren Ihrer Taggingstrategie.

  • Ordnen Sie gesetzliche Vorschriften und Complianceanforderungen Azure Policy-Definitionen und Azure-Rollenzuweisungen zu.

  • Richten Sie Azure Policy-Definitionen in der Stammverwaltungsgruppe der obersten Ebene ein, da sie in geerbten Bereichen zugewiesen werden können.

  • Verwalten Sie die Zuweisungen von Richtlinien auf der höchsten geeigneten Ebene mit Ausschlüssen auf den unteren Ebenen, sofern erforderlich.

  • Nutzen Sie Azure Policy zum Steuern von Registrierungen von Ressourcenanbietern auf der Abonnement- oder Verwaltungsgruppenebene.

  • Verwenden Sie integrierte Richtlinien, um den operativen Aufwand zu minimieren.

  • Weisen Sie die integrierte Rolle „Mitwirkender bei Ressourcenrichtlinien“ für einen bestimmten Bereich zu, um Governance auf Anwendungsebene zu ermöglichen.

  • Beschränken Sie die Anzahl der Azure Policy-Zuweisungen im Bereich der Stammverwaltungsgruppe, um eine Verwaltung von Ausschlüssen in vererbten Bereichen zu vermeiden.

Empfehlungen für die Kostenverwaltung

  • Verwenden Sie Cost Management, um die Finanzüberwachung für Ressourcen in Ihrer Umgebung zu implementieren.

  • Verwenden Sie Tags, z. B. die Kostenstelle oder den Projektnamen, um die Ressourcenmetadaten anzufügen. Dieser Ansatz hilft bei der granularen Analyse der Ausgaben.

Azure Governance im Accelerator für Azure-Zielzonen

Der Azure HPC-Zielzonenbeschleuniger hilft Organisationen mit ausgereiften Governancekontrollen.

Sie können beispielsweise Folgendes implementieren:

  • Eine Verwaltungsgruppenhierarchie, die Ressourcen nach Funktion oder Workloadtyp gruppiert. Dieser Ansatz fördert die Ressourcenkonsistenz.

  • Eine umfangreiche Gruppe von Azure-Richtlinien, die Governancesteuerelemente auf Verwaltungsgruppenebene ermöglichen. Mit diesem Ansatz können Sie überprüfen, ob alle Ressourcen im Gültigkeitsbereich vorhanden sind.