Guide de gouvernance pour les entreprises standard : Améliorer la discipline quant à la cohérence des ressources

Cet article fait évoluer le scénario de stratégie de gouvernance en ajoutant des contrôles de cohérence des ressources afin de prendre en charge des applications stratégiques.

Développement du scénario

Les nouvelles expériences client, les nouveaux outils de prédiction et les infrastructures migrées continuent de progresser. L’entreprise est maintenant prête pour commencer à utiliser ces ressources en production.

Modifications apportées à l’état actuel

Dans la phase précédente de ce scénario, les équipes Business Intelligence et de développement d’applications étaient pratiquement prêtes à intégrer des données financières et client dans des charges de travail de production. L’équipe informatique procédait à la mise hors service du centre de données de récupération d’urgence.

Depuis, certains changements qui ont un impact sur la gouvernance ont eu lieu :

  • L’équipe informatique a mis hors service l’intégralité du centre de données de récupération d’urgence plus tôt que prévu. Dans un même temps, un ensemble de ressources du centre de données de production ont été identifiées comme de bonnes candidates pour la migration cloud.
  • Les équipes de développement d’applications sont désormais prêtes pour le trafic de production.
  • L’équipe Business Intelligence est prête à injecter des prédictions et des insights dans les systèmes d’exploitation du centre de données de production.

Améliorer progressivement l’état futur

Avant que vous n’utilisiez des déploiements Azure dans des processus métier de production, les opérations cloud doivent gagner en maturité. Parallèlement, davantage de modifications de la gouvernance sont nécessaires pour garantir le bon fonctionnement des ressources.

Les modifications apportées aux états actuel et futur exposent à de nouveaux risques qui nécessitent l’établissement de nouvelles stratégies.

Modifications apportées aux risques tangibles

Interruption de l’activité : chaque nouvelle plateforme risque de provoquer des interruptions de processus métier stratégiques. L’équipe responsable des opérations informatiques et les équipes travaillant sur diverses adoptions cloud sont relativement peu expérimentées en matière d’opérations cloud. Ces problèmes augmentent le risque d’interruption et doivent être traités et régis.

Ce risque métier peut être lié à plusieurs risques techniques :

  1. Des intrusions depuis l’extérieur ou des attaques par déni de service peuvent conduire à une interruption de l’activité.
  2. Des ressources stratégiques peuvent ne pas être détectées correctement, et donc ne pas être gérées comme il se doit.
  3. Des ressources non détectées ou étiquetées de façon incorrecte peuvent ne pas être prises en charge pas les processus de gestion opérationnelle existants.
  4. La configuration des ressources déployées peut ne pas répondre aux attentes en termes de performances.
  5. La journalisation peut ne pas être correctement enregistrée et centralisée pour permettre la résolution des problèmes de performances.
  6. Les stratégies de récupération peuvent échouer ou durer plus longtemps que prévu.
  7. Des processus de déploiement incohérents peuvent entraîner des failles de sécurité susceptibles de provoquer des fuites de données ou des interruptions.
  8. Des changements de configuration ou des correctifs manqués peuvent entraîner des failles de sécurité susceptibles de provoquer des fuites de données ou des interruptions.
  9. La configuration peut ne pas appliquer les exigences des SLA définis ou les exigences de récupération approuvées.
  10. Des applications ou systèmes d’exploitation déployés peuvent ne pas répondre aux exigences de renforcement de la sécurité.
  11. En raison du nombre d’équipes travaillant dans le cloud, il existe un risque d’incohérence.

Amélioration incrémentielle des instructions de stratégie

Les modifications suivantes apportées à la stratégie contribuent à remédier aux nouveaux risques et à guider l’implémentation. La liste peut sembler longue, mais l’adoption de ces stratégies peut être plus simple qu’il n’y paraît.

  1. Vous devez classer toutes les ressources déployées par criticité et par classification des données. L’équipe de gouvernance cloud et le propriétaire de l’application examinent les classifications avant le déploiement dans le cloud.
  2. Les sous-réseaux hébergeant des applications stratégiques doivent être équipés d’un pare-feu capable de détecter les intrusions et de répondre aux attaques pour assurer leur protection.
  3. Les outils de gouvernance doivent auditer et appliquer les exigences de configuration réseau définies par l’équipe Gestion de la sécurité.
  4. Les outils de gouvernance doivent vérifier que toutes les ressources associées aux applications critiques ou aux données protégées sont incluses dans la surveillance pour l’optimisation et l’épuisement des ressources.
  5. Les outils de gouvernance doivent valider que le niveau approprié de données de journalisation est collecté pour toutes les applications critiques ou données protégées.
  6. Le processus de gouvernance doit valider que la sauvegarde, la restauration et le respect des SLA sont implémentés correctement pour les applications critiques et les données protégées.
  7. Les outils de gouvernance doivent limiter les déploiements des machines virtuelles aux images approuvées uniquement.
  8. Les outils de gouvernance doivent faire en sorte d’empêcher les mises à jour automatiques sur toutes les ressources déployées qui prennent en charge les applications critiques. Les violations doivent être examinées avec les équipes de gestion opérationnelle et corrigées conformément aux stratégies liées aux opérations. Les ressources qui ne sont pas mises à jour automatiquement doivent être incluses dans les processus détenus par l’équipe responsable des opérations informatiques.
  9. Les outils de gouvernance doivent valider le marquage associé aux coûts, à la criticité, aux SLA, aux applications et aux classifications des données. Toutes les valeurs doivent être alignées avec les valeurs prédéfinies gérées par l’équipe de gouvernance.
  10. Les processus de gouvernance doivent inclure des audits, à intervalles réguliers, au point de déploiement pour garantir la cohérence entre toutes les ressources.
  11. L’équipe de sécurité doit examiner les tendances et les attaques susceptibles d’affecter les déploiements cloud et fournir des mises à jour aux outils de gestion de la sécurité utilisés dans le cloud.
  12. Avant la mise en production, toutes les applications critiques et données protégées doivent être ajoutées à la solution de surveillance opérationnelle désignée. Si les outils choisis par l’équipe responsable des opérations informatiques ne peuvent pas détecter de ressources, elles ne pourront pas être utilisées en production. Les modifications nécessaires pour que ces ressources puissent être détectées doivent être apportées dans les processus de déploiement appropriés pour garantir la bonne détection des ressources dans les prochains déploiements.
  13. Une fois détectées, les équipes de gestion opérationnelle dimensionnent les ressources pour s’assurer qu’elles répondent aux exigences en termes de performances.
  14. L’équipe de gouvernance cloud doit approuver les outils de déploiement pour s’assurer de la gouvernance en continu des ressources déployées.
  15. Les scripts de déploiement doivent être conservés dans un référentiel centralisé, accessible par l’équipe de gouvernance cloud pour effectuer des audits et des révisions périodiques.
  16. Les processus de révision de la gouvernance doivent valider que les ressources déployées sont correctement configurées selon les exigences des SLA et de récupération.

Amélioration incrémentielle des pratiques de gouvernance

Les changements suivants apportés à la conception du produit minimum viable (MVP) de la gouvernance incluent de nouvelles stratégies Azure ainsi qu’une implémentation d’Azure Cost Management et de la facturation. Ensemble, ces deux modifications de la conception permettent de répondre aux nouvelles instructions de la stratégie d’entreprise.

  1. L’équipe responsable des opérations cloud définit des outils de supervision opérationnelle et de correction automatisée. L’équipe de gouvernance cloud prend en charge ces processus de détection. Ici, l’équipe responsable des opérations cloud a choisi Azure Monitor en tant qu’outil principal pour la supervision des applications stratégiques.
  2. Créez un référentiel dans Azure DevOps pour stocker et gérer les versions de tous les modèles Resource Manager pertinents et des configurations utilisant des scripts.
  3. Implémenter un coffre Azure Recovery Services :
    1. Définissez et déployez un coffre Azure Recovery Services pour les processus de sauvegarde et de reprise d’activité.
    2. Créez un modèle Resource Manager pour mettre en place un coffre dans chaque abonnement.
  4. Mettez à jour Azure Policy pour tous les abonnements :
    1. Auditez et appliquez la classification des données et la criticité sur tous les abonnements, de façon à identifier les abonnements avec des ressources critiques.
    2. Auditez et appliquez l’utilisation exclusive d’images approuvées.
  5. Implémenter Azure Monitor :
    1. Après l’identification d’une charge de travail stratégique, créez un espace de travail Log Analytics Azure Monitor.
    2. Pendant les tests de déploiement, l’équipe responsable des opérations cloud déploie les agents nécessaires et teste la détection.
  6. Mettez à jour Azure Policy pour tous les abonnements qui contiennent des applications critiques.
    1. Auditez et imposez l’application d’un groupe de sécurité réseau à toutes les cartes réseau et à tous les sous-réseaux. Les équipes responsables de la sécurité informatique et de la mise en réseau définissent le groupe de sécurité réseau.
    2. Auditez et imposez l’utilisation de sous-réseaux et réseaux virtuels approuvés pour chaque interface réseau.
    3. Auditez et appliquez la limitation de tables de routage définies par l’utilisateur.
    4. Auditez et appliquez le déploiement des agents Azure Monitor pour toutes les machines virtuelles.
    5. Vérifiez et imposez la présence de coffres Azure Recovery Services dans l’abonnement.
  7. Configurer le Pare-feu Azure :
    1. Identifiez une configuration de Pare-feu Azure qui répond aux exigences de sécurité. Vous pouvez également identifier une appliance tierce qui est compatible avec Azure.
    2. Créez un modèle Resource Manager pour déployer le pare-feu avec les configurations nécessaires.
  8. Configurer le blueprint Azure :
    1. Créez un blueprint Azure nommé protected-data.
    2. Ajoutez les modèles de pare-feu et de coffre Azure Recovery Services au blueprint.
    3. Ajoutez les nouvelles stratégies pour les abonnements de données protégées.
    4. Publiez le blueprint dans les groupes d’administration qui hébergent des applications stratégiques.
    5. Appliquez le nouveau blueprint à chaque abonnement affecté et aux blueprints existants.

Conclusion

Ces processus et modifications supplémentaires du MVP de gouvernance permettent de corriger de nombreux risques associés à la gouvernance des ressources. Ensemble, ils apportent les contrôles de récupération, de taille et de surveillance nécessaires aux opérations orientées cloud.

Étapes suivantes

À mesure que l’adoption du cloud se poursuit et offre davantage de valeur aux activités métier, les risques et les besoins en matière de gouvernance du cloud changent également. Pour l’entreprise fictive dont il est question dans ce guide, la prochaine échéance surviendra lorsque le déploiement comptera plus de 100 ressources sur le cloud, ou lorsque les dépenses mensuelles s’élèveront à plus de 1 000 USD. Une fois ces seuils atteints, l’équipe de gouvernance cloud ajoutera des contrôles de gestion des coûts.