Governancehandleiding voor complexe ondernemingenGovernance guide for complex enterprises

Overzicht van aanbevolen proceduresOverview of best practices

Deze governancehandleiding volgt de ervaringen van een fictief bedrijf langs de diverse fasen van het tot wasdom komen van de governance.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Het is gebaseerd op handleidingen van echte klanten.It is based on real customer experiences. De voorgestelde best practices zijn gebaseerd op de beperkingen en behoeften van het fictieve bedrijf.The suggested best practices are based on the constraints and needs of the fictional company.

Als een snel startpunt wordt in dit overzicht een minimum viable product (MVP) gedefinieerd voor governance op basis van best practices.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Het biedt tevens koppelingen naar enkele governanceverbeteringen die nog meer best practices toevoegen naarmate zich nieuwe bedrijfs- of technische risico's voordoen.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Waarschuwing

Deze MVP is een startpunt op basisniveau, gebaseerd op een reeks aannamen.This MVP is a baseline starting point, based on a set of assumptions. Zelfs deze minimale reeks best practices is gebaseerd op zakelijk beleid dat voortvloeit uit unieke bedrijfsrisico's en risicotoleranties.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Lees het langere verhaal na dit artikel om te zien of deze aannamen op u van toepassing zijn.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Aanbevolen procedures voor governanceGovernance best practices

Deze aanbevolen procedures dient als een basis voor organisaties om op snelle en consistente wijze governancebeveiliging toe te voegen aan meerdere Azure-abonnementen.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

Organisatie van resourcesResource organization

In het volgende diagram wordt de hiërarchie van de governance-MVP voor organiserende resources getoond.The following diagram shows the governance MVP hierarchy for organizing resources.

Organigram van resources

Elke toepassing moet worden geïmplementeerd op de juiste plek van de beheergroep, het abonnement en de hiërarchie van de resourcegroep.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Tijdens de implementatieplanning maakt het cloudgovernanceteam de benodigde knooppunten in de hiërarchie om de cloudmigratieteams te ondersteunen.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Definieer eerst een beheergroep voor elk bedrijfsonderdeel met een uitgebreide hiërarchie waarin de geografie en het omgevingstype (bijvoorbeeld productie of niet-productie) naar voren komen.Define a management group for each business unit with a detailed hierarchy that reflects geography first, then environment type (for example, production or nonproduction environments).

  2. Maak een abonnement voor productie en niet-productie voor elke unieke combinatie van bedrijfsonderdeel of geografie.Create a production subscription and a nonproduction subscription for each unique combination of discrete business unit or geography. Meerdere abonnementen maken moet zorgvuldig worden overwogen.Creating multiple subscriptions requires careful consideration. Zie voor meer informatie de handleiding voor beslissingen over abonnementen.For more information, see the subscription decision guide.

  3. Zorg ervoor dat er een consistente naamgeving wordt toegepast op elk niveau van deze groeperingshiërarchie.Apply consistent nomenclature at each level of this grouping hierarchy.

  4. Resourcegroepen moeten worden geïmplementeerd op een manier waarop rekening wordt gehouden met de inhoud en levenscyclus.Resource groups should be deployed in a manner that considers its contents lifecycle. Resources die samen worden ontwikkeld, beheerd en buiten gebruik gesteld, horen in dezelfde resourcegroep.Resources that are developed together, managed together, and retired together belong in the same resource group. Raadpleeg de Handleiding voor beslissingen over resourceconsistentie voor meer informatie over best practices voor het gebruik van resourcegroepen.For more information about best practices for using resource groups, see the resource consistency decision guide.

  5. Regioselectie is zeer belangrijk om ervoor te zorgen dat netwerken, bewaking en audits beschikbaar zijn voor het uitvoeren van failover/failback en om bevestiging te krijgen dat de benodigde SKU's beschikbaar zijn in de voorkeursregio's.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Organigram van grote zakelijke resources

Deze patronen bieden ruimte voor groei zonder de hiërarchie onnodig complex te maken.These patterns provide room for growth without making the hierarchy needlessly complicated.

Notitie

In het geval van wijzigingen in uw bedrijfsvereisten, kunt u met Azure-beheergroepen eenvoudig uw beheerhiërarchie en toewijzingen van uw abonnementsgroepen opnieuw indelen.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Houd er echter rekening mee dat op een beheergroep toegepaste beleids- en roltoewijzingen worden overgenomen door alle abonnementen onder die groep in de hiërarchie.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Als u abonnementen tussen beheergroepen opnieuw wilt toewijzen, houd dan rekening met eventuele wijzigingen in de beleids- en roltoewijzing die hiervan het gevolg kunnen zijn.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Zie de documentatie voor Azure-beheergroepen voor meer informatie.See the Azure management groups documentation for more information.

Governance van resourcesGovernance of resources

Een set globale beleidsregels en RBAC-rollen voorziet in een afgedwongen governance op basisniveau.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Als u wilt voldoen aan de beleidsvereisten van het Cloud Governance-team, moeten voor de implementatie van de governance-MVP de volgende taken worden uitgevoerd:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identificeren van de Azure Policy-definities die nodig zijn voor het afdwingen van bedrijfsvereisten.Identify the Azure Policy definitions needed to enforce business requirements. Dit kan met behulp van ingebouwde definities en door het maken van nieuwe, aangepaste definities.This might include using built-in definitions and creating new custom definitions. Er is een atoomfeed van alle doorvoeringen voor ingebouwd beleid die u kunt gebruiken voor een RSS-feed, zodat u de nieuw uitgebrachte ingebouwde definities kunt bijhouden.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. U kunt ook AzAdvertizer controleren.Alternatively, you can check AzAdvertizer.
  2. Maken van een blauwdrukdefinitie op basis van deze ingebouwde en aangepaste beleidsregels en de roltoewijzingen die door de governance-MVP worden vereist.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Globaal toepassen van beleidsregels en configuratie door de blauwdrukdefinitie op alle abonnementen toe te passen.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Beleidsdefinities identificerenIdentify policy definitions

Azure biedt diverse ingebouwde beleidsregels en roldefinities die u kunt toewijzen aan elke beheergroep, elke resourcegroep of elk abonnement.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. U kunt ingebouwde definities gebruiken om te voldoen aan een groot aantal algemene governance-vereisten.Many common governance requirements can be handled using built-in definitions. De kans is echter groot dat u ook aangepaste beleidsdefinities moet maken om tegemoet te komen aan specifieke vereisten.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Aangepaste beleidsdefinities worden opgeslagen in een beheergroep of een abonnement en worden overgenomen door de hiërarchie van de beheergroep.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Als de opslaglocatie van een beleidsdefinitie een beheergroep is, is die beleidsdefinitie beschikbaar om te worden toegewezen aan een van de onderliggende beheergroepen of abonnementen van die groep.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Aangezien de beleidsregels die vereist zijn ter ondersteuning van de governance-MVP bedoeld zijn om te worden toegepast op alle huidige abonnementen, worden de volgende bedrijfsvereisten gerealiseerd door middel van een combinatie van ingebouwde definities en aangepaste definities die zijn gemaakt in de hoofdbeheergroep:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Beperk de lijst met beschikbare roltoewijzingen tot een set ingebouwde Azure-rollen die door uw cloudgovernanceteam zijn geautoriseerd.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. Hiervoor is een aangepaste beleidsdefinitie nodig.This requires a custom policy definition.
  2. Het gebruik van de volgende tags moet voor alle resources zijn vereist: Afdeling/Factureringseenheid, Geografie, Gegevensclassificatie, Ernst, SLA, Omgeving, Archetype van toepassing, Toepassing en Eigenaar van de toepassing.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Dit kan met behulp van de ingebouwde definitie Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Vereisen dat de tag Application voor resources overeen moet komen met de naam van de desbetreffende resourcegroep.Require that the Application tag for resources should match the name of the relevant resource group. Dit kan met behulp van de ingebouwde definitie 'Tag met bijbehorende waarde vereisen'.This can be handled using the "Require tag and its value" built-in definition.

Zie de documentatie over Azure Policy voor informatie over het definiëren van aangepaste beleidsregels.For information on defining custom policies see the Azure Policy documentation. Raadpleeg de site met voorbeelden van Azure Policy en de eraan gekoppelde (Engelstalige) GitHub-opslagplaats voor richtlijnen en voorbeelden van aangepaste beleidsregels.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Azure Policy en RBAC-regels toewijzen met behulp van Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

Azure-beleid kan worden toegewezen op het niveau van resourcegroep, abonnement en beheergroep, en kan worden opgenomen in definities van Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Hoewel de in deze governance-MVP gedefinieerde beleidsvereisten van toepassing zijn op alle huidige abonnementen, zullen er voor toekomstige implementaties waarschijnlijk uitzonderingen of alternatieve beleidsregels vereist zijn.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Het gevolg is dat het toewijzen van beleid met behulp van beheergroepen, waarbij alle onderliggende abonnementen deze toewijzingen overnemen, mogelijk niet flexibel genoeg om deze scenario's te ondersteunen.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Met Azure Blueprints wordt het consistent toewijzen van beleidsregels en rollen mogelijk gemaakt, evenals de toepassing van Resource Manager-sjablonen en de implementatie van resourcegroepen voor meerdere abonnementen.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Net als beleidsdefinities worden blauwdrukdefinities opgeslagen in beheergroepen of abonnementen.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. De beleidsdefinities zijn beschikbaar via overname voor alle onderliggende items in de hiërarchie van de beheergroep.The policy definitions are available through inheritance to any children in the management group hierarchy.

Het cloudgovernanceteam heeft besloten dat het afdwingen van vereiste Azure Policy- en RBAC-toewijzingen voor abonnementen wordt geïmplementeerd via Azure Blueprints en eraan gekoppelde artefacten:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. Maak in de hoofdbeheergroep een blauwdrukdefinitie met de naam governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Voeg de volgende blauwdrukartefacten toe aan de blauwdrukdefinitie:Add the following blueprint artifacts to the blueprint definition:
    1. Beleidstoewijzingen voor de aangepaste Azure Policy-definities die in de hoofdmap van de beheergroep zijn gedefinieerd.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Resourcegroepdefinities voor groepen die zijn vereist in abonnementen die door de governance-MVP worden gemaakt of beheerd.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Standaardroltoewijzingen die zijn vereist in abonnementen die door de governance-MVP worden gemaakt of beheerd.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Publiceer de blauwdrukdefinitie.Publish the blueprint definition.
  4. Wijs de blauwdrukdefinitie governance-baseline toe aan alle abonnementen.Assign the governance-baseline blueprint definition to all subscriptions.

Zie de documentatie over Azure Blueprints voor meer informatie over het maken en gebruiken van blauwdrukdefinities.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Beveiligd hybride VNetSecure hybrid VNet

Voor bepaalde abonnementen is vaak een bepaald niveau van toegang vereist voor on-premises resources.Specific subscriptions often require some level of access to on-premises resources. Dit is gebruikelijk bij migratiescenario's of ontwikkelscenario's waar afhankelijke resources in het on-premises datacenter zijn ondergebracht.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Totdat vertrouwen in de cloudomgeving volledig is vastgesteld, is het van belang alle toegestane communicatie tussen de on-premises omgeving en cloudworkloads strikt te controleren en bewaken, en ervoor te zorgen dat het on-premises netwerk wordt beveiligd tegen mogelijke niet-geautoriseerde toegang van cloudresources.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Ter ondersteuning van deze scenario's voegt de governance-MVP de volgende best practices toe:To support these scenarios, the governance MVP adds the following best practices:

  1. Definieer een beveiligd hybride VNet in de cloud.Establish a cloud secure hybrid VNet.
    1. De VPN-referentiearchitectuur brengt een patroon en een implementatiemodel tot stand voor het maken van een VPN Gateway in Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Controleer of on-premises mechanismen voor beveiliging en verkeerbeheer verbonden cloudnetwerken als niet-vertrouwd beschouwen.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. In de cloud gehoste resources en services mogen alleen toegang hebben tot geautoriseerde, on-premises services.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Valideer of het lokale randapparaat in het on-premises datacenter compatibel is met Azure VPN Gateway-vereisten en wordt geconfigureerd om toegang te krijgen met het openbare internet.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Houd er rekening mee dat VPN-tunnels niet moeten worden gezien als circuits die geschikt zijn voor productie, tenzij het om zeer eenvoudige workloads gaat.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Voor alles dat uitstijgt boven eenvoudige workloads waarvoor on-premises connectiviteit nodig is, moet gebruik worden gemaakt van Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. Maak in de hoofdbeheergroep een tweede blauwdrukdefinitie met de naam secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Voeg de Resource Manager-sjabloon voor de VPN Gateway als een artefact toe aan de blauwdrukdefinitie.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Voeg de Resource Manager-sjabloon voor het virtuele netwerk als een artefact toe aan de blauwdrukdefinitie.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Publiceer de blauwdrukdefinitie.Publish the blueprint definition.
  3. Wijs blauwdrukdefinitie secure-hybrid-vnet toe aan abonnementen waarvoor on-premises connectiviteit vereist is.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Deze definitie moet worden toegewezen naast blauwdrukdefinitie governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Een van de grootste uitdagingen waarvoor de IT-beveiliging en traditionele governanceteams komen te staan, is het risico dat cloudimplementatie in een vroeg stadium bestaande assets in gevaar brengt.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. Met de bovenstaande benadering kunnen teams die overstappen op de cloud hybride oplossingen bouwen en migreren met een kleiner risico voor on-premises assets.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. Naarmate het vertrouwen in de cloudomgeving toeneemt, kan deze tijdelijke oplossing door latere ontwikkelingen worden weggenomen.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Notitie

Het bovenstaande is een startpunt om een governance-MVP op basisniveau snel te kunnen maken.The above is a starting point to quickly create a baseline governance MVP. Dit is slechts het begin van de het governancetraject.This is only the beginning of the governance journey. Er is meer ontwikkeling nodig naarmate het bedrijf meer en meer gebruik gaat maken van de cloud en meer risico zal moeten aanvaarden op de volgende gebieden:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Essentiële werkbelastingenMission-critical workloads
  • Beveiligde gegevensProtected data
  • KostenbeheerCost management
  • Scenario's met meerdere cloudsMulticloud scenarios

Bovendien zijn de specifieke details van deze MVP gebaseerd op het voorbeeldtraject van een fictief bedrijf, zoals beschreven in de volgende artikelen.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. U wordt sterk aangeraden vertrouwd te raken met de andere artikelen in deze reeks voordat u deze best practice gaat implementeren.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Incrementele verbeteringen in governanceIncremental governance improvements

Zodra deze MVP is geïmplementeerd, kunnen aanvullende governancelagen snel in de omgeving worden geïncorporeerd.Once this MVP has been deployed, additional layers of governance can be quickly incorporated into the environment. Hier volgen enkele manieren om de MVP te verbeteren om aan bedrijfsspecifieke behoeften te voldoen:Here are some ways to improve the MVP to meet specific business needs:

Wat biedt deze richtlijn?What does this guidance provide?

In de MVP worden practices en hulpprogramma's van de Implementatieversnelling-discipline tot stand gebracht om zakelijk beleid snel te kunnen toepassen.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. Met name de MVP maakt gebruik van Azure Blueprints, Azure Policy en Azure-beheergroepen om enkele eenvoudige zakelijke beleidsregels toe te passen, zoals gedefinieerd in het verhaal voor dit fictieve bedrijf.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Deze zakelijke beleidsregels worden toegepast met behulp van Azure Resource Manager-sjablonen en Azure-beleidsregels om een kleine basislijn voor identiteit en beveiliging tot stand te brengen.Those corporate policies are applied using Azure Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagram met een voorbeeld van een incrementele governance-MVP.

Incrementele verbeteringen in governancepraktijkenIncremental improvements to governance practices

In de loop der tijd wordt deze governance-MVP gebruikt om governance-practices incrementeel te verbeteren.Over time, this governance MVP will be used to incrementally improve governance practices. Naarmate de overname voortschrijdt, neemt het bedrijfsrisico toe.As adoption advances, business risk grows. Diverse disciplines binnen het governancemodel van het Cloud Adoption Frame passen zich aan om deze risico's te beheersen.Various disciplines within the Cloud Adoption Framework governance model will adapt to manage those risks. In latere artikelen in deze reeks worden de wijzigingen beschreven van de invloed van zakelijk beleid op het fictieve bedrijf.Later articles in this series discuss the changes in corporate policy affecting the fictional company. Deze wijzigingen vinden in vier disciplines plaats:These changes happen across four disciplines:

  • De discipline Identiteitsbasislijn, naarmate migratieafhankelijkheden in het verhaal veranderen.The Identity Baseline discipline, as migration dependencies change in the narrative.
  • De discipline Kostenbeheer, naarmate de acceptatie schaalt.The Cost Management discipline, as adoption scales.
  • De discipline Beveiligingsbasislijn, naarmate beveiligde gegevens worden geïmplementeerd.The Security Baseline discipline, as protected data is deployed.
  • De discipline Consistentie van resources, naarmate IT-activiteiten bedrijfskritische workloads gaan ondersteunen.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagram met een voorbeeld van incrementele verbeteringen in governanceprocessen.

Volgende stappenNext steps

Nu u bekend bent met de governance-MVP en de aanstaande governancewijzigingen, kunt u het ondersteunende verhaal doorlezen voor aanvullende context.Now that you're familiar with the governance MVP and the forthcoming governance changes, read the supporting narrative for additional context.