Recommandations pour l’accélérateur Visualiseur de gouvernance Azure

Les organisations peuvent utiliser l'outil de visualisation de la gouvernance Azure pour capturer des informations de gouvernance pertinentes sur leurs locataires Azure. L'outil capture :

• Hiérarchie des groupes d’administration.
• Les informations sur les stratégies, notamment les définitions de stratégies personnalisées, les définitions de stratégies personnalisées orphelines et les affectations de stratégies.
• Les informations sur le contrôle d'accès basé sur les rôles (RBAC), notamment les définitions de rôles personnalisés, les définitions de rôles personnalisés orphelins et les attributions de rôles.
• Analyse de la sécurité Azure et des meilleures pratiques.
• Informations sur Microsoft Entra ID.

L'accélérateur de visualisation de la gouvernance Azure exécute le visualiseur de manière automatisée par le biais de Pipelines Azure ou d'Actions GitHub. Le visualiseur produit le résumé sous forme de fichiers HTML, MD et CSV. Idéalement, le rapport HTML généré est facilement accessible aux utilisateurs autorisés de l'organisation. Cet article vous montre comment automatiser l'exécution du visualiseur Azure Governance et héberger la sortie du rapport de manière sécurisée et rentable sur la fonctionnalité Web Apps d'Azure App Service.

Un exemple de mise en œuvre est disponible sur GitHub à l'adresse Accélérateur de visualisation de la gouvernance Azure.

Architecture

Téléchargez un fichier Visio de cette architecture.

Flux de données

L'architecture de la solution met en œuvre le flux de travail suivant :

1. Une minuterie déclenche le flux GitHub Actions.
2. Ce flux établit une connexion OpenID Connect avec Azure. Il exécute ensuite l'outil de visualisation de la gouvernance Azure. L'outil recueille les informations requises sous forme de rapports HTML, MD et CSV.
3. Les rapports sont poussés vers le dépôt GitHub.
4. La sortie HTML de l'outil de visualisation de la gouvernance Azure est publiée sur App Service.

Flux utilisateur

Ce flux explique comment un utilisateur peut utiliser l'outil :

1. L'utilisateur parcourt l'url d'app Service pour accéder au rapport HTML du visualiseur. L'utilisateur doit s'authentifier par le biais de l'autorisation Microsoft Entra ID.
2. L'utilisateur peut examiner les informations fournies par le visualiseur.

Composants

L'accélérateur est basé sur un dépôt de modèles GitHub qui comprend les composants suivants :

• Microsoft Entra ID est un service d'identité d'entreprise qui fournit une authentification unique, une authentification multifacteur et un accès conditionnel.
• Azure App Service est une plateforme complètement managée qui permet de créer et de déployer des applications cloud. Il vous permet de définir un ensemble de ressources de calcul pour une application web à exécuter, déployer des applications web et configurer des emplacements de déploiement.
• GitHub est une offre SaaS populaire de Microsoft fréquemment utilisée par les développeurs pour créer, livrer et gérer leurs projets logiciels.
• GitHub Actions fournit des fonctionnalités d’intégration continue et de déploiement continu dans cette architecture.

Autres solutions

• Le visualiseur de gouvernance Azure est un script PowerShell qui peut être exécuté directement sur une machine locale. Le visualiseur peut être configuré pour s'exécuter dans le cadre des actions GitHub ou du pipeline Azure DevOps afin de recevoir des informations actualisées sur votre environnement. Le visualiseur produit un wiki qui peut être publié dans GitHub ou Azure DevOps.

• Le visualiseur peut également être hébergé sur toute autre plateforme d'hébergement sécurisée et également rentable, comme Azure Static Web Apps.

Détails du scénario

Le visualiseur de gouvernance Azure est un script basé sur PowerShell qui itère la hiérarchie du groupe de gestion de votre locataire Azure jusqu'au niveau de l'abonnement. Il capture les capacités de gouvernance Azure les plus pertinentes, notamment Azure Policy, RBAC, Microsoft Entra ID et Blueprints. A partir des données collectées, le visualiseur de gouvernance Azure affiche toutes ces informations dans un rapport HTML facile à parcourir.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Il est important de restreindre le rapport HTML aux seuls utilisateurs autorisés à visualiser ces données. Ces données sont une mine d'or pour les menaces internes et externes, car elles exposent votre environnement Azure, y compris les contrôles de sécurité.

• Utilisez l'authentification Microsoft Entra pour restreindre l'accès aux personnes autorisées. Envisagez d'utiliser l'authentification des applications Web pour fournir ce service. Dans l'accélérateur, le déploiement se configure en applications Web et vérifie activement que l'authentification est activée avant le déploiement.

• Envisagez d'appliquer des contrôles de sécurité du réseau pour exposer le site à votre équipe uniquement via un point de terminaison privé. Et pour restreindre le trafic, envisagez d'utiliser les restrictions IP des applications Web.

• Activez la journalisation des accès sur l'application Web Azure pour pouvoir auditer les accès. Configurez l'application Web Azure pour qu'elle envoie ces journaux à un espace de travail Log Analytics.

• Assurez-vous que la communication sécurisée est activée sur l'application Web Azure. Dans l'accélérateur, seuls HTTPS et FTP sont autorisés, et la version minimale de TLS est configurée à 1.2.

• Envisagez d'utiliser Microsoft Defender pour le Cloud de Microsoft Defender pour App Service.

• Utilisez les dernières versions de la pile d'exécution de l'application Web Azure.

• Veillez à effectuer une rotation régulière du secret de ce principal de service et à surveiller son activité. Pour recueillir toutes les informations nécessaires, le visualiseur déployé par l'accélérateur dépend d'un principal de service avec des autorisations Microsoft Entra ID.

Pour plus d'informations sur les contrôles de sécurité, consultez Base de référence de sécurité Azure pour App Service.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

• Le niveau B1 (Basic) est utilisé pour l'application Web Azure déployée dans App Service. App Service héberge la sortie HTML de l'outil de visualisation de la gouvernance Azure, il est donc léger.

• L'accélérateur ne déploie qu'une seule application d'App Service, mais vous pouvez choisir d'en déployer davantage si nécessaire.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

• L'accélérateur consiste principalement en une application Web Azure qui héberge la sortie HTML de l'outil de visualisation. Nous vous recommandons d'activer les applications de diagnostic de l'application Web pour surveiller le trafic, accéder aux journaux d'audit, aux mesures, etc.

• Il est important de surveiller les performances de l'application Web. Cela permet d'identifier si vous avez besoin d'augmenter ou de réduire l'échelle en fonction de la quantité d'utilisation du visualiseur.

• Il est également important de toujours exécuter les dernières versions de la pile d'exécution de l'application Web Azure.

• Le visualiseur de gouvernance Azure met régulièrement à jour ses versions avec de nouvelles fonctionnalités, des corrections de bogues ou des améliorations. Dans l'accélérateur, un workflow GitHub dédié gère le processus de mise à jour. Une option configurable permet de mettre à jour le code du visualiseur automatiquement ou manuellement en ouvrant simplement une requête pull avec des modifications que vous pouvez examiner et fusionner.

• Le code de l'accélérateur peut être mis à jour avec de nouveaux paramètres sur le code bicep de l'App Service ou avec de nouvelles instructions pour les prérequis du visualiseur. Dans l'accélérateur, un workflow GitHub dédié gère ce processus de mise à jour. Une option configurable permet de mettre à jour le code du visualiseur automatiquement ou manuellement en ouvrant simplement une requête pull avec des modifications que vous pouvez examiner et fusionner.

Déployer ce scénario

Pour déployer ce scénario, consultez Accélérateur du visualiseur de gouvernance Azure.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Principaux auteurs :

• Seif Bassem | Architecte de solutions cloud

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Accélérateur Visualiseur de gouvernance Azure
• Visualiseur de Gouvernance Azure

Ressources associées

• Zones d’atterrissage Azure - Considérations relatives à la conception des modules Bicep
• Vue d’ensemble de la zone d’atterrissage Azure