Guida alla governance per aziende complesseGovernance guide for complex enterprises

Panoramica delle procedure consigliateOverview of best practices

Questa guida segue le esperienze di una società fittizia attraverso le diverse fasi di evoluzione della governance.This governance guide follows the experiences of a fictional company through various stages of governance maturity. È basata su esperienze di clienti reali.It is based on real customer experiences. Le procedure consigliate si basano sui vincoli e sulle esigenze della società fittizia.The suggested best practices are based on the constraints and needs of the fictional company.

Come punto di partenza rapido, questa panoramica definisce un prodotto minimo funzionante (MVP) per la governance basato su procedure consigliate.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Fornisce inoltre i collegamenti ad alcuni miglioramenti della governance che offrono altre procedure consigliate in base all'emergere di nuovi rischi tecnici o aziendali.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Avviso

Questo MVP è solo un punto di partenza, fondato su un insieme di ipotesi.This MVP is a baseline starting point, based on a set of assumptions. Anche questa serie minima di procedure consigliate è basata su criteri aziendali determinati da specifici rischi commerciali e tolleranze di rischio.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Per verificare se questi presupposti si applicano alla propria situazione, vedere lo scenario più approfondito che segue questo articolo.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Procedure consigliate per la governanceGovernance best practices

Queste procedure consigliate consentono a un'organizzazione di porre le basi per aggiungere in modo rapido e coerente misure di tutela per la governance tra più sottoscrizioni di Azure.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

Organizzazione delle risorseResource organization

Il diagramma seguente mostra la gerarchia dell'MVP per la governance per organizzare le risorse.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagramma dell'organizzazione delle risorse

Tutte le applicazioni devono essere distribuite nell'area appropriata della gerarchia di gruppi di gestione, sottoscrizioni e gruppi di risorse.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Durante la pianificazione della distribuzione, il team di governance del cloud creerà i nodi necessari nella gerarchia per i team responsabili dell'adozione del cloud.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Definire un gruppo di gestione per ogni business unit, con una gerarchia dettagliata in base ad area geografica e tipo di ambiente, ad esempio ambiente di produzione o non di produzione.Define a management group for each business unit with a detailed hierarchy that reflects geography first, then environment type (for example, production or nonproduction environments).

  2. Creare una sottoscrizione di produzione e una non di produzione per ogni combinazione univoca di business unit o area geografia dedicata.Create a production subscription and a nonproduction subscription for each unique combination of discrete business unit or geography. La creazione di più sottoscrizioni richiede un'attenta considerazione.Creating multiple subscriptions requires careful consideration. Per altre informazioni, vedere la guida alle decisioni relative alle sottoscrizioni.For more information, see the subscription decision guide.

  3. Applicare una nomenclatura coerente a ogni livello di questa gerarchia di gruppi.Apply consistent nomenclature at each level of this grouping hierarchy.

  4. I gruppi di risorse devono essere distribuiti in modo che da considerarne il ciclo di vita del contenuto.Resource groups should be deployed in a manner that considers its contents lifecycle. Le risorse sviluppate insieme, gestite insieme e ritirate insieme appartengono allo stesso gruppo di risorse.Resources that are developed together, managed together, and retired together belong in the same resource group. Per altre informazioni sulle procedure consigliate per i gruppi di risorse, vedere qui.For more information about best practices for using resource groups, see here.

  5. La scelta dell'area è particolarmente importante, perché bisogna considerare la possibilità di implementare procedure di rete, monitoraggio e controllo per il failover/failback, oltre alla disponibilità degli SKU necessari.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Diagramma dell'organizzazione delle risorse per le grandi imprese

Questi modelli lasciano un certo spazio per la crescita senza complicare inutilmente la gerarchia.These patterns provide room for growth without making the hierarchy needlessly complicated.

Nota

In caso di modifiche dei requisiti aziendali, i gruppi di gestione di Azure consentono di riorganizzare facilmente la gerarchia di gestione e le assegnazioni dei gruppi di sottoscrizioni.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Tenere presente, tuttavia, che le assegnazioni di criteri e ruoli applicate a un gruppo di gestione vengono ereditate da tutte le sottoscrizioni al di sotto di tale gruppo nella gerarchia.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Se si prevede di riassegnare le sottoscrizioni tra i gruppi di gestione, assicurarsi di essere a conoscenza di eventuali modifiche di assegnazione dei criteri e dei ruoli che potrebbero derivarne.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Per altre informazioni, vedere la documentazione dei gruppi di gestione di Azure.See the Azure management groups documentation for more information.

Governance delle risorseGovernance of resources

Un set di criteri e ruoli di controllo degli accessi in base al ruolo globali fornirà un livello di base per l'imposizione della governance.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Per soddisfare i requisiti dei criteri del team di governance del cloud, l'implementazione di una soluzione MVP per la governance richiede il completamento delle attività seguenti:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identificare le definizioni personalizzate di Criteri di Azure necessarie per imporre i requisiti aziendali.Identify the Azure Policy definitions needed to enforce business requirements. Tale attività potrebbe includere l'uso di definizioni predefinite e la creazione di nuove definizioni personalizzate.This might include using built-in definitions and creating new custom definitions. Per rimanere al passo con le definizioni predefinite appena rilasciate, è disponibile un feed Atom di tutti i commit per i criteri predefiniti, che è possibile usare per un feed RSS.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. In alternativa, è possibile vedere AzAdvertizer.Alternatively, you can check AzAdvertizer.
  2. Creare una definizione di progetto usando questi criteri predefiniti e personalizzati nonché le assegnazioni di ruolo personalizzate richiede dall'MVP per la governance.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Applicare criteri e configurazione a livello globale assegnando la definizione del progetto a tutte le sottoscrizioni.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identificare le definizioni dei criteriIdentify policy definitions

Azure offre vari criteri e definizioni di ruolo predefiniti che è possibile assegnare a qualsiasi gruppo di gestione, sottoscrizione o gruppo di risorse.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. È possibile gestire molti requisiti di governance comuni con le definizioni predefinite.Many common governance requirements can be handled using built-in definitions. Tuttavia, è probabile che sarà anche necessario creare definizioni di criteri personalizzate per gestire esigenze specifiche.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Le definizioni di criteri personalizzate vengono salvate in un gruppo di gestione o in una sottoscrizione e vengono ereditate tramite la gerarchia dei gruppi di gestione.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Se la posizione di salvataggio di una definizione di criteri è un gruppo di gestione, tale definizione è disponibile per l'assegnazione a qualsiasi gruppo di gestione o sottoscrizione figlio di tale gruppo.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Dal momento che i criteri richiesti per supportare l'MVP per la governance sono progettati per l'applicazione a tutte le sottoscrizioni correnti, i requisiti aziendali seguenti verranno implementati usando una combinazione di definizioni predefinite e definizioni personalizzate create nel gruppo di gestione radice:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Limitare l'elenco delle assegnazioni di ruolo disponibili a un set di ruoli predefiniti di Azure autorizzato dal team di governance del cloud.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. A questo scopo, è necessaria una definizione di criteri personalizzata.This requires a custom policy definition.
  2. Richiedere i tag seguenti per tutte le risorse: reparto/unità di fatturazione, area geografica, classificazione dei dati, criticità, contratto di servizio, ambiente, archetipo di applicazione, applicazione e proprietario dell'applicazione.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Per gestire questa situazione, è possibile usare la definizione predefinita Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. È necessario che il tag Application per le risorse abbia un nome corrispondente a quello del gruppo di risorse pertinente.Require that the Application tag for resources should match the name of the relevant resource group. Per gestire questa situazione, è possibile usare la definizione predefinita "Richiedi tag e relativo valore".This can be handled using the "Require tag and its value" built-in definition.

Per informazioni sulla definizione di criteri personalizzati, vedere la documentazione di Criteri di Azure.For information on defining custom policies see the Azure Policy documentation. Per istruzioni ed esempi di criteri personalizzati, vedere il sito degli esempi di criteri di Azure e il repository di GitHub associato.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Assegnare criteri di Azure e ruoli di controllo degli accessi in base al ruolo tramite Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

È possibile assegnare i criteri di Azure a livello di gruppo di risorse, sottoscrizione e gruppo di gestione e includerli nelle definizioni di Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Anche se i requisiti dei criteri definiti in questo MVP per la governance si applicano a tutte le sottoscrizioni correnti, è molto probabile che le distribuzioni future richiedano eccezioni o criteri alternativi.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Di conseguenza, l'assegnazione di criteri tramite i gruppi di gestione, con tutte le sottoscrizioni figlio che ereditano queste assegnazioni, potrebbe non essere sufficientemente flessibile per supportare questi scenari.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

I progetti Azure Blueprints consentono l'assegnazione coerente di criteri e ruoli, l'applicazione di modelli di Resource Manager e la distribuzione di gruppi di risorse tra più sottoscrizioni.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Analogamente alle definizioni di criteri, le definizioni di progetti vengono salvate in gruppi di gestione o sottoscrizioni.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. Le definizioni di criteri sono disponibili tramite ereditarietà per qualsiasi elemento figlio nella gerarchia del gruppo di gestione.The policy definitions are available through inheritance to any children in the management group hierarchy.

Il team di governance del cloud ha deciso che l'applicazione delle assegnazioni di criteri di Azure e di controllo degli accessi in base al ruolo necessarie tra le sottoscrizioni verrà implementata tramite Azure Blueprints e gli artefatti associati:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. Nel gruppo di gestione radice creare una definizione di progetto denominata governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Aggiungere gli artefatti del progetto seguenti alla definizione di progetto:Add the following blueprint artifacts to the blueprint definition:
    1. Assegnazioni dei criteri per le definizioni di criteri di Azure personalizzate definite a livello della radice del gruppo di gestione.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Definizioni dei gruppi di risorse per tutti i gruppi necessari nelle sottoscrizioni creati o gestiti dall'MVP per la governance.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Assegnazioni di ruolo standard necessarie nelle sottoscrizioni create o gestite dall'MVP per la governance.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Pubblicare la definizione del progetto.Publish the blueprint definition.
  4. Assegnare la definizione del progetto governance-baseline a tutte le sottoscrizioni.Assign the governance-baseline blueprint definition to all subscriptions.

Vedere le documentazione di Azure Blueprints per altre informazioni sulla creazione e l'uso delle definizioni di progetto.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Rete virtuale ibrida protettaSecure hybrid VNet

Accade spesso che specifiche sottoscrizioni richiedano un certo livello di accesso alle risorse locali.Specific subscriptions often require some level of access to on-premises resources. Questo è comune negli scenari di migrazione o sviluppo in cui risorse dipendenti risiedono nel data center locale.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Fino a quando non viene stabilita l'attendibilità completa nell'ambiente cloud, è importante controllare e monitorare con grande attenzione qualsiasi comunicazione tra l'ambiente locale e i carichi di lavoro nel cloud e assicurarsi che la rete locale sia protetta da possibili accessi non autorizzati da risorse basate sul cloud.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Per supportare questi scenari, l'MVP per la governance aggiunge le procedure consigliate seguenti:To support these scenarios, the governance MVP adds the following best practices:

  1. Creare una rete virtuale ibrida protetta cloud.Establish a cloud secure hybrid VNet.
    1. L'architettura di riferimento di una VPN nel cloud definisce un modello di distribuzione per la creazione di un gateway VPN in Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Verificare che i meccanismi di gestione della sicurezza e del traffico locali considerino le reti cloud connesse come non attendibili.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Le risorse e i servizi ospitati nel cloud devono avere accesso solo a servizi locali autorizzati.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Verificare che il dispositivo perimetrale locale nel data center locale sia compatibile con i requisiti del gateway VPN di Azure e sia configurato per l'accesso a Internet pubblico.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Si noti che i tunnel VPN non devono essere considerati circuiti pronti per la produzione per tutto tranne i carichi di lavoro più semplici.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Per qualsiasi esigenza che vada oltre alcuni semplici carichi di lavoro con connettività locale, è consigliabile usare Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. Nel gruppo di gestione radice creare una seconda definizione di progetto denominata secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Aggiungere il modello di Resource Manager per Gateway VPN come artefatto della definizione del progetto.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Aggiungere il modello di Resource Manager per la rete virtuale come artefatto della definizione del progetto.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Pubblicare la definizione del progetto.Publish the blueprint definition.
  3. Assegnare la definizione del progetto secure-hybrid-vnet a tutte le sottoscrizioni che richiedono la connettività locale.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Questa definizione deve essere assegnata in aggiunta alla definizione del progetto governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Una delle principali preoccupazioni espresse dai team di sicurezza IT e di governance tradizionale è il rischio che nella fase iniziale di adozione del cloud vengano compromessi asset esistenti.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. L'approccio sopra descritto consente ai team di adozione del cloud di creare ed eseguire la migrazione di soluzioni ibride, con meno rischi per gli asset locali.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. Evoluzioni successive dell'ambiente cloud che ne migliorano l'attendibilità possono consentire la rimozione di questa soluzione temporanea.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Nota

Questo approccio costituisce un punto di partenza per creare rapidamente un MVP per la governance della baseline,The above is a starting point to quickly create a baseline governance MVP. ma è solo l'inizio del percorso di governance.This is only the beginning of the governance journey. Sarà infatti necessaria un'evoluzione successiva man mano che l'azienda prosegue il processo di adozione del cloud e aumentano i rischi nelle aree seguenti:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Carichi di lavoro di importanza crucialeMission-critical workloads
  • Dati protettiProtected data
  • Gestione dei costiCost management
  • Scenari multi-cloudMulticloud scenarios

I dettagli specifici di questo MVP sono basati inoltre sul percorso di esempio di una società fittizia descritto negli articoli seguenti.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Prima di implementare questa procedura consigliata è opportuno acquisire familiarità con gli altri articoli di questa serie.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Miglioramenti incrementali della governanceIncremental governance improvements

Una volta distribuito l'MVP, è possibile integrare livelli aggiuntivi di governance nell'ambiente.Once this MVP has been deployed, additional layers of governance can be quickly incorporated into the environment. Ecco alcuni modi per trasformare l'MVP e soddisfare specifiche esigenze aziendali:Here are some ways to improve the MVP to meet specific business needs:

Che cosa offrono queste linee guida?What does this guidance provide?

Nell'MVP vengono definiti strumenti e procedure della disciplina Accelerazione della distribuzione per applicare rapidamente criteri aziendali.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. In particolare, l'MVP usa Azure Blueprints, Criteri di Azure e gruppi di gestione di Azure per applicare alcuni criteri aziendali di base, secondo quanto definito nello scenario per questa società fittizia.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Questi criteri aziendali vengono applicati tramite modelli di Azure Resource Manager e criteri di Azure per stabilire una baseline minima per identità e sicurezza.Those corporate policies are applied using Azure Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagramma che mostra un esempio di MVP per la governance incrementale.

Miglioramenti incrementali apportati alle procedure di governanceIncremental improvements to governance practices

Nel corso del tempo, questo MVP per la governance verrà usato per migliorare in modo incrementale le procedure necessarie.Over time, this governance MVP will be used to incrementally improve governance practices. Con il progredire dell'adozione, aumentano i rischi aziendali.As adoption advances, business risk grows. Le varie discipline all'interno del modello di governance Cloud Adoption Framework verranno adattate per mitigare questi rischi.Various disciplines within the Cloud Adoption Framework governance model will adapt to manage those risks. Gli articoli successivi di questa serie illustrano i cambiamenti dei criteri aziendali che interessano la società fittizia.Later articles in this series discuss the changes in corporate policy affecting the fictional company. Questi cambiamenti si verificano in quattro discipline:These changes happen across four disciplines:

  • La disciplina Baseline di identità, con le dipendenze della migrazione che cambiano nello scenario.The Identity Baseline discipline, as migration dependencies change in the narrative.
  • La disciplina Gestione costi, con il diffondersi dell'adozione.The Cost Management discipline, as adoption scales.
  • La disciplina Baseline di sicurezza, con la distribuzione di dati protetti.The Security Baseline discipline, as protected data is deployed.
  • La disciplina Coerenza delle risorse, con il team delle operazioni IT che inizia a supportare carichi di lavoro cruciali.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagramma che mostra un esempio di miglioramenti incrementali delle procedure per la governance.

Passaggi successiviNext steps

Ora che si ha familiarità con l'MVP per la governance e un'idea dei cambiamenti previsti per il futuro, consultare lo scenario associato per altre informazioni sul contesto.Now that you're familiar with the governance MVP and the forthcoming governance changes, read the supporting narrative for additional context.