Governance gids voor complexe ondernemingen: Verbeter de bron consistentie disciplineGovernance guide for complex enterprises: Improve the Resource Consistency discipline

In dit artikel wordt een voor uitgang geboden aan het toevoegen van bron consistentie controles aan de MVP van het governance-systeem ter ondersteuning van bedrijfsspecifieke toepassingen.This article advances the narrative by adding resource consistency controls to the governance MVP to support mission-critical applications.

De verhalendeAdvancing the narrative

De Cloud acceptatie teams hebben voldaan aan alle vereisten voor het verplaatsen van beveiligde gegevens.The cloud adoption teams have met all requirements to move protected data. Met deze toepassingen zijn SLA-toezeg gingen voor het bedrijf en moet ondersteuning worden geboden voor IT-activiteiten.With those applications come SLA commitments to the business and need for support from IT operations. Met de rechter kant van het team dat de twee data centers migreert, zijn meerdere toepassings ontwikkeling en BI-teams klaar om nieuwe oplossingen te starten in de productie omgeving.Right behind the team migrating the two datacenters, multiple application development and BI teams are ready to begin launching new solutions into production. IT-activiteiten zijn nieuw voor Cloud bewerkingen en moeten snel bestaande operationele processen integreren.IT operations is new to cloud operations and needs to quickly integrate existing operational processes.

Wijzigingen in de huidige statusChanges in the current state

  • Er worden momenteel productie werkbelastingen met beveiligde gegevens naar Azure verplaatst.IT is actively moving production workloads with protected data into Azure. Sommige workloads met een lage prioriteit leveren productie verkeer.Some low-priority workloads are serving production traffic. Meer kan worden geknipt zodra de IT-activiteiten zich op gereedheid afmelden om de werk belastingen te ondersteunen.More can be cut over as soon as IT operations signs off on readiness to support the workloads.
  • De ontwikkel teams van de toepassing zijn gereed voor productie verkeer.The application development teams are ready for production traffic.
  • Het BI-team is klaar voor het integreren van voor spellingen en inzichten in de systemen waarop bewerkingen voor de drie business units worden uitgevoerd.The BI team is ready to integrate predictions and insights into the systems that run operations for the three business units.

Incrementeel de toekomstige status verbeterenIncrementally improve the future state

  • IT-activiteiten zijn nieuw voor Cloud bewerkingen en moeten snel bestaande operationele processen integreren.IT operations is new to cloud operations and needs to quickly integrate existing operational processes.
  • De wijzigingen in de huidige en toekomstige status tonen nieuwe Risico's waarvoor nieuwe beleids verklaringen zijn vereist.The changes to current and future state expose new risks that will require new policy statements.

Wijzigingen in tast bare Risico'sChanges in tangible risks

Bedrijfs onderbreking: Er is een inherent risico van een nieuw platform dat zorgt voor onderbrekingen van bedrijfskritische bedrijfs processen.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. Het IT-team en de teams die op verschillende Cloud-acceptaties worden uitgevoerd, zijn relatief onervaring met Cloud bewerkingen.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Dit verhoogt het risico van onderbreking en moet worden hersteld en geregeld.This increases the risk of interruption and must be remediated and governed.

Dit bedrijfs risico kan worden uitgebreid naar verschillende technische Risico's:This business risk can be expanded into several technical risks:

  1. Onjuist uitgelijnde operationele processen kunnen leiden tot storingen die niet snel kunnen worden gedetecteerd of gereduceerd.Misaligned operational processes might lead to outages that can't be detected or mitigated quickly.
  2. Externe inbreuk of denial of service-aanvallen kunnen een bedrijfs onderbreking veroorzaken.External intrusion or denial of service attacks might cause a business interruption.
  3. Bedrijfs kritieke assets zijn mogelijk niet correct gedetecteerd en daarom niet goed.Mission-critical assets might not be properly discovered and therefore not properly operated.
  4. Niet-gedetecteerde of niet-gelabelde assets worden mogelijk niet ondersteund door bestaande operationele beheer processen.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  5. De configuratie van geïmplementeerde assets voldoet mogelijk niet aan de prestatie verwachtingen.Configuration of deployed assets might not meet performance expectations.
  6. Logboek registratie is mogelijk niet juist vastgelegd en gecentraliseerd, zodat prestatie problemen kunnen worden opgelost.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  7. Herstel beleid kan mislukken of langer duren dan verwacht.Recovery policies may fail or take longer than expected.
  8. Inconsistente implementatie processen kunnen leiden tot beveiligings hiaten die kunnen leiden tot gegevens lekken of-onderbrekingen.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  9. Configuratie-drift of gemiste patches kunnen leiden tot onbedoelde beveiligings hiaten die kunnen leiden tot gegevens lekken of-onderbrekingen.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  10. Configuratie kan de vereisten van gedefinieerde Sla's of vastgelegde herstel vereisten mogelijk niet afdwingen.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  11. Geïmplementeerde besturings systemen of toepassingen voldoen mogelijk niet aan de vereisten voor de beveiliging van het besturings systeem en de toepassing.Deployed operating systems or applications might not meet OS and application hardening requirements.
  12. Er is sprake van een risico op inconsistentie omdat er meerdere teams werken in de Cloud.There is a risk of inconsistency due to multiple teams working in the cloud.

Incrementele verbetering van de beleids instructiesIncremental improvement of the policy statements

De volgende wijzigingen in het beleid helpen de nieuwe Risico's en de implementatie van de hand leiding te herstellen.The following changes to policy will help remediate the new risks and guide implementation. De lijst lijkt lang, maar het is mogelijk dat deze beleids regels gemakkelijker worden weer gegeven.The list looks long, but the adoption of these policies may be easier than it would appear.

  1. Alle geïmplementeerde activa moeten worden gecategoriseerd op basis van de ernst en de gegevens classificatie.All deployed assets must be categorized by criticality and data classification. Classificaties moeten door het Cloud governance-team en de eigenaar van de toepassing worden gecontroleerd voordat ze naar de cloud worden geïmplementeerd.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Subnetten die essentiële toepassingen bevatten, moeten worden beveiligd met een firewall oplossing waarmee indringingen kunnen worden gedetecteerd en op aanvallen kan worden gereageerd.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. Beheer hulpprogramma's moeten netwerk configuratie vereisten controleren en afdwingen die zijn gedefinieerd door het beveiligings basislijn team.Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.
  4. Hulpprogram ma's voor beheer moeten valideren dat alle assets die betrekking hebben op essentiële toepassingen of beveiligde gegevens, worden opgenomen in de bewaking voor de uitputting en Optima Lise ring van resources.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. Hulpprogram ma's voor beheer moeten controleren of het juiste niveau van logboek registratie gegevens wordt verzameld voor alle essentiële toepassingen of beveiligde gegevens.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. In het governance-proces moet worden gecontroleerd of de naleving van back-ups, herstel en SLA goed is geïmplementeerd voor essentiële toepassingen en beveiligde gegevens.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. Het beheer programma moet de implementatie van de virtuele machine beperken tot alleen goedgekeurde installatie kopieën.Governance tooling must limit virtual machine deployment to approved images only.
  8. Hulpprogram ma's voor beheer moeten afdwingen dat automatische updates worden voor komen op alle geïmplementeerde assets die essentiële toepassingen ondersteunen.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. Schendingen moeten worden gecontroleerd met operationele beheer teams en worden hersteld in overeenstemming met het beleid voor bewerkingen.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Activa die niet automatisch worden bijgewerkt, moeten worden opgenomen in processen die eigendom zijn van IT-bewerkingen om deze servers snel en effectief bij te werken.Assets that are not automatically updated must be included in processes owned by IT operations to quickly and effectively update those servers.
  9. Hulpprogram ma's voor beheer moeten labels valideren die betrekking hebben op kosten, kritiekheid, SLA, toepassing en gegevens classificatie.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Alle waarden moeten worden uitgelijnd op vooraf gedefinieerde waarden die worden beheerd door het Cloud governance-team.All values must align to predefined values managed by the cloud governance team.
  10. Beheer processen moeten audits op het moment van implementatie en regel matige cyclussen bevatten om consistentie tussen alle assets te garanderen.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Trends en aanvallen die van invloed kunnen zijn op Cloud implementaties, moeten regel matig door het beveiligings team worden gecontroleerd om updates te bieden voor hulpprogram ma's voor beveiligings basislijn die in de cloud worden gebruikt.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.
  12. Voordat de productie wordt vrijgegeven, moeten alle essentiële toepassingen en beveiligde gegevens worden toegevoegd aan de aangewezen operationele bewakings oplossing.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Activa die niet kunnen worden gedetecteerd door het gekozen hulp programma voor IT-bewerkingen, kunnen niet worden vrijgegeven voor productie gebruik.Assets that cannot be discovered by the chosen IT operations tooling cannot be released for production use. Alle wijzigingen die nodig zijn om de activa detecteerbaar te maken, moeten worden aangebracht in de relevante implementatie processen om ervoor te zorgen dat activa detecteerbaar zijn in toekomstige implementaties.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. Wanneer de bedrijfs grootte wordt gedetecteerd, moet deze worden gevalideerd door operationele beheer teams om te valideren dat het activum voldoet aan de prestatie vereisten.When discovered, asset sizing is to be validated by operational management teams to validate that the asset meets performance requirements.
  14. Het beheer programma voor implementatie moet worden goedgekeurd door het Cloud governance-team om te zorgen voor een voortdurende governance van geïmplementeerde activa.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Implementatie scripts moeten worden beheerd in een centrale opslag plaats die toegankelijk is voor het Cloud governance-team voor periodieke controle en controle.Deployment scripts must be maintained in central repository accessible by the cloud governance team for periodic review and auditing.
  16. Controle processen van governance moeten controleren of geïmplementeerde assets correct zijn geconfigureerd in overeenstemming met SLA-en herstel vereisten.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Incrementele verbetering van best practicesIncremental improvement of best practices

In deze sectie van het artikel wordt het ontwerp van de governance-MVP verbeterd om nieuwe Azure-beleids regels en een implementatie van Azure Cost Management en facturering toe te voegen.This section of the article will improve the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. Samen met deze twee ontwerp wijzigingen wordt voldaan aan de nieuwe instructies van het bedrijfs beleid.Together, these two design changes will fulfill the new corporate policy statements.

Na de ervaring van dit fictieve voor beeld wordt ervan uitgegaan dat de beveiligde gegevens wijzigingen al hebben plaatsgevonden.Following the experience of this fictional example, it is assumed that the protected data changes have already occurred. Op basis van die best practice worden de vereisten voor operationele bewaking toegevoegd, waarbij een abonnement voor essentiële toepassingen kan worden gemaakt.Building on that best practice, the following will add operational monitoring requirements, readying a subscription for mission-critical applications.

Zakelijke IT-abonnement: Voeg het volgende toe aan het zakelijke IT-abonnement, dat fungeert als een hub.Corporate IT subscription: Add the following to the corporate IT subscription, which acts as a hub.

  1. Als externe afhankelijkheid moet het Cloud Operations-team operationele bewaking, hulp programma voor bedrijfs continuïteit en herstel na nood gevallen (BCDR) en het hulp programma voor automatisch herstellen definiëren.As an external dependency, the cloud operations team will need to define operational monitoring tooling, business continuity and disaster recovery (BCDR) tooling, and automated remediation tooling. Het Cloud governance-team kan vervolgens de benodigde detectie processen ondersteunen.The cloud governance team can then support necessary discovery processes.
    1. In dit geval kiest het Cloud Operations-team Azure Monitor als primair hulp programma voor het bewaken van essentiële toepassingen.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
    2. Het team heeft ook Azure Site Recovery gekozen als primair BCDR-hulp programma.The team also chose Azure Site Recovery as the primary BCDR tooling.
  2. Azure Site Recovery-implementatie.Azure Site Recovery implementation.
    1. Definieer en implementeer Azure Site Recovery kluis voor back-up-en herstel processen.Define and deploy Azure Site Recovery vault for backup and recovery processes.
    2. Maak een Azure resource management-sjabloon voor het maken van een kluis in elk abonnement.Create an Azure resource management template for creation of a vault in each subscription.
  3. Azure Monitor-implementatie.Azure Monitor implementation.
    1. Zodra een bedrijfs kritieke abonnement is geïdentificeerd, kan een Log Analytics-werk ruimte worden gemaakt.Once a mission-critical subscription is identified, a Log Analytics workspace can be created.

Individueel abonnement voor Cloud acceptatie: Op de volgende manier zorgt u ervoor dat elk abonnement kan worden gedetecteerd door de bewakings oplossing en in BCDR-procedures kan worden opgenomen.Individual cloud adoption subscription: The following will ensure that each subscription is discoverable by the monitoring solution and ready to be included in BCDR practices.

  1. Azure Policy voor essentiële knoop punten:Azure Policy for mission-critical nodes:
    1. Het gebruik van standaard rollen alleen controleren en afdwingen.Audit and enforce use of standard roles only.
    2. De toepassing van versleuteling controleren en afdwingen voor alle opslag accounts.Audit and enforce application of encryption for all storage accounts.
    3. Het gebruik van een goedgekeurd netwerk subnet en een virtueel netwerk controleren en afdwingen per netwerk interface.Audit and enforce use of approved network subnet and virtual network per network interface.
    4. De beperking van door de gebruiker gedefinieerde routerings tabellen controleren en afdwingen.Audit and enforce the limitation of user-defined routing tables.
    5. De implementatie van Log Analytics agents voor virtuele Windows-en Linux-machines controleren en afdwingen.Audit and enforce the deployment of Log Analytics agents for Windows and Linux virtual machines.
  2. Azure-blauw drukken:Azure Blueprints:
    1. Maak een blauw druk met de naam mission-critical-workloads-and-protected-data .Create a blueprint named mission-critical-workloads-and-protected-data. Met deze blauw druk worden naast de blauw druk op de beveiligde gegevens ook activa toegepast.This blueprint will apply assets in addition to the protected data blueprint.
    2. Voeg de nieuwe Azure-beleids regels toe aan de blauw druk.Add the new Azure policies to the blueprint.
    3. De blauw druk Toep assen op elk abonnement waarvan wordt verwacht dat deze een bedrijfs kritieke toepassing host.Apply the blueprint to any subscription that is expected to host a mission-critical application.

ConclusieConclusion

Door deze processen en wijzigingen aan de beheer MVP toe te voegen, kunt u veel van de Risico's voor resource governance herstellen.Adding these processes and changes to the governance MVP helps remediate many of the risks associated with resource governance. Samen voegen ze de besturings elementen herstel, grootte en controle toe die nodig zijn om Cloud bewerkingen te kunnen ondersteunen.Together, they add the recovery, sizing, and monitoring controls necessary to empower cloud-aware operations.

Volgende stappenNext steps

Omdat de implementatie van de Cloud groeit en een extra bedrijfs waarde levert, zullen de Risico's en de vereisten voor Cloud beheer ook veranderen.As cloud adoption grows and delivers additional business value, the risks and cloud governance needs will also change. Voor het fictieve bedrijf in deze hand leiding treedt de volgende trigger op wanneer de schaal van de implementatie groter is dan 1.000 activa naar de Cloud of de maandelijkse uitgaven van meer dan $10.000 USD per maand.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 1,000 assets to the cloud or monthly spending exceeds $10,000 USD per month. Op dit moment voegt het Cloud governance-team besturings elementen voor kosten beheer toe.At this point, the cloud governance team adds cost management controls.