Przewodnik po ładzie dla małych i średnich przedsiębiorstwSmall-to-medium enterprise governance guide

Omówienie najlepszych rozwiązańOverview of best practices

Ten przewodnik po ładzie śledzi doświadczenia fikcyjnej firmy na różnych etapach dojrzałości ładu.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Jest ona oparta na doświadczeniach prawdziwych klientów.It is based on real customer experiences. Zalecane najlepsze rozwiązania są oparte na ograniczeniach i potrzebach fikcyjnej firmy.The recommended practices are based on the constraints and needs of the fictional company.

To omówienie jest szybkim punktem startowym i jako takie definiuje minimalną konieczną funkcjonalność (MVP) dla ładu na podstawie nakazowych wskazówek.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on prescriptive guidance. Zawiera także linki do pewnych etapów rozwoju ładu, które wprowadzają kolejne zalecane rozwiązania w miarę pojawiania się nowego ryzyka biznesowego lub technicznego.It also provides links to some governance improvements that add further recommended practices as new business or technical risks emerge.

Ostrzeżenie

Ten program MVP jest punktem startowym planu bazowego opartego na zestawie założeń.This MVP is a baseline starting point, based on a set of assumptions. Nawet ten minimalny zestaw najlepszych rozwiązań jest oparty na zasadach firmowych opracowanych na podstawie unikatowego ryzyka biznesowego i tolerancji ryzyka.Even this minimal set of best practices is based on corporate policies driven by unique business risks and risk tolerances. Aby sprawdzić, czy te założenia mają zastosowanie do Twojego przypadku, przeczytaj dłuższy opis dla tego artykułu.To see if these assumptions apply to you, read the longer narrative that follows this article.

Najlepsze rozwiązania dotyczące ładuGovernance best practices

Te najlepsze rozwiązania stanowią podstawę, przy użyciu której organizacja może szybko i spójnie dodać zabezpieczenia ładu w wielu subskrypcjach platformy Azure.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

Organizacja zasobówResource organization

Poniższy diagram przedstawia hierarchię MVP ładu na potrzeby organizowania zasobów.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagram organizacji zasobów

Każda aplikacja powinna zostać wdrożona w odpowiednim obszarze grupy zarządzania, subskrypcji i hierarchii grupy zasobów.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Podczas planowania wdrożenia zespół ds. zapewnienia ładu w chmurze utworzy w hierarchii niezbędne węzły, aby pomóc zespołom wdrażania chmury.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Grupa zarządzania dla każdego typu środowiska (np. produkcyjne, deweloperskie i testowe).A management group for each type of environment (such as Production, Development, and Test).
  2. Subskrypcja dla każdej „kategoryzacji aplikacji”.A subscription for each "application categorization".
  3. Oddzielna grupa zasobów dla każdej aplikacji.A separate resource group for each application.
  4. Na każdym poziomie tej hierarchii grupowania należy stosować spójną nomenklaturę.Consistent nomenclature should be applied at each level of this grouping hierarchy.

Oto przykład zastosowania tego wzorca:Here is an example of this pattern in use:

Przykład organizacji zasobów dla średniej firmy

Te wzorce pozostawiają przestrzeń na rozwój bez niepotrzebnego komplikowania hierarchii.These patterns provide room for growth without complicating the hierarchy unnecessarily.

Uwaga

W przypadku zmian wymagań biznesowych funkcja grup zarządzania platformy Azure umożliwia łatwą zmianę organizacji hierarchii zarządzania i przypisań grup subskrypcji.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Należy jednak pamiętać, że przypisania zasad i ról zastosowane do grupy zarządzania są dziedziczone przez wszystkie subskrypcje poniżej tej grupy w hierarchii.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Jeśli planujesz ponowne przypisywanie subskrypcji między grupami zarządzania, upewnij się, że masz świadomość zmian dotyczących przypisań zasad i ról, które może to powodować.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Więcej informacji zawiera dokumentacja grup zarządzania platformy Azure.See the Azure management groups documentation for more information.

Zarządzanie zasobamiGovernance of resources

Zestaw zasad globalnych i ról RBAC zapewni poziom odniesienia dotyczący wymuszania ładu.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. W celu spełnienia wymagań dotyczących zasad zespołu ds. zarządzania chmurą wdrożenie produktu o minimalnej wymaganej funkcjonalności utrzymania ładu wymaga wykonania następujących zadań:To meet the Cloud Governance team's policy requirements, implementation of the governance MVP requires completing the following tasks:

  1. Zidentyfikowanie definicji usługi Azure Policy niezbędnych do wymuszenia wymagań biznesowychIdentify the Azure Policy definitions needed to enforce business requirements. Może to obejmować używanie definicji wbudowanych i tworzenie nowych definicji niestandardowychThis can include using built-in definitions and creating new custom definitions.
  2. Utworzenie definicji strategii przy użyciu tych zasad wbudowanych i niestandardowych oraz przypisań ról wymaganych przez produkt o minimalnej wymaganej funkcjonalności utrzymania ładuCreate a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Globalne zastosowanie zasad i konfiguracji przez przypisanie definicji strategii do wszystkich subskrypcjiApply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identyfikowanie definicji zasadIdentify policy definitions

Platforma Azure udostępnia kilka wbudowanych zasad i definicji ról, które można przypisać do dowolnej grupy zarządzania, subskrypcji lub grupy zasobów.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Wiele typowych wymagań dotyczących ładu można spełnić za pomocą wbudowanych definicji.Many common governance requirements can be handled using built-in definitions. Jednak prawdopodobnie będzie też trzeba utworzyć definicje zasad niestandardowych na potrzeby obsługi konkretnych wymagań.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Definicje zasad niestandardowych są zapisywane w grupie zarządzania lub subskrypcji i są dziedziczone w hierarchii grupy zarządzania.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Jeśli lokalizacją zapisywania definicji zasad jest grupa zarządzania, definicję zasad można przypisać do dowolnej z podrzędnych grup zarządzania lub subskrypcji tej grupy.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Ponieważ zasady wymagane do obsługi produktu o minimalnej wymaganej funkcjonalności utrzymania ładu mają zastosowanie do wszystkich bieżących subskrypcji, następujące wymagania biznesowe zostaną zaimplementowane przy użyciu połączenia definicji wbudowanych i definicji niestandardowych utworzonych w głównej grupie zarządzania:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Ogranicz listę dostępnych przypisań ról do zestawu wbudowanych ról platformy Azure autoryzowanego przez zespół ds. zarządzania chmurą.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your Cloud Governance team. Będzie to wymagało definicji zasad niestandardowych.This will require a custom policy definition.
  2. Wymagaj użycia jednego z następujących tagów dla wszystkich zasobów: Dział/jednostka rozliczeniowa, Lokalizacja geograficzna, Klasyfikacja danych, Krytyczność, SLA, Środowisko, Archetyp aplikacji, Aplikacja i Właściciel aplikacji.Require the use of the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Można to zrealizować za pomocą definicji wbudowanej „Wymagaj określonego tagu”.This can be handled using the "Require specified tag" built-in definition.
  3. Wymagaj, aby tag Aplikacja zasobów był zgodny z nazwą odpowiedniej grupy zasobów.Require that the Application tag for resources should match the name of the relevant resource group. Można to zrealizować za pomocą definicji wbudowanej „Wymagaj tagu i jego wartości”.This can be handled using the "Require tag and its value" built-in definition.

Informacje na temat definiowania zasad niestandardowych zawiera dokumentacja usługi Azure Policy.For information on defining custom policies see the Azure Policy documentation. Aby uzyskać wskazówki i przykłady zasad niestandardowych, skorzystaj z witryny przykładów usługi Azure Policy i powiązanego repozytorium GitHub.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Przypisywanie zasad usługi Azure Policy i ról RBAC przy użyciu usługi Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

Zasady platformy Azure można przypisywać na poziomie grupy zasobów, subskrypcji i grupy zarządzania. Można je też uwzględniać w definicjach Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Mimo że wymagania dotyczące zasad zdefiniowane w tym produkcie o minimalnej wymaganej funkcjonalności utrzymania ładu mają zastosowanie do wszystkich bieżących subskrypcji, bardzo prawdopodobne jest, że przyszłe wdrożenia będą wymagać wyjątków lub alternatywnych zasad.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. W efekcie przypisanie zasad przy użyciu grup zarządzania, co powoduje dziedziczenie tych przypisań przez wszystkie subskrypcje podrzędne, może nie zapewniać elastyczności wystarczającej do obsługi tych scenariuszy.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Usługa Azure Blueprints umożliwia spójne przypisywanie zasad i ról, stosowanie szablonów usługi Resource Manager oraz wdrażanie grup zasobów w wielu subskrypcjach.Azure Blueprints allow the consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Tak jak w przypadku definicji zasad, definicje strategii są zapisywane w grupach zarządzania lub subskrypcji i są dostępne za pośrednictwem dziedziczenia dla wszystkich elementów podrzędnych w hierarchii grupy zarządzania.As with policy definitions, blueprint definitions are saved to management groups or subscriptions, and are available through inheritance to any children in the management group hierarchy.

Zespół ds. zarządzania chmurą zdecydował, że wymuszanie wymaganych zasad usługi Azure Policy i przypisań RBAC w subskrypcjach zostanie wdrożone przy użyciu usługi Azure Blueprints i powiązanych artefaktów:The Cloud Governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. W głównej grupie zarządzania utwórz definicję strategii o nazwie governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Dodaj następujące artefakty strategii do definicji strategii:Add the following blueprint artifacts to the blueprint definition:
    1. Przypisania zasad dla niestandardowych definicji usługi Azure Policy na najwyższym poziomie grupy zarządzaniaPolicy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Definicje grup zasobów dla wszystkich grup wymaganych w subskrypcjach tworzonych lub zarządzanych przez produkt o minimalnej wymaganej funkcjonalności utrzymania ładuResource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Standardowe przypisania ról dla wszystkich grup wymaganych w subskrypcjach tworzonych lub zarządzanych przez produkt o minimalnej wymaganej funkcjonalności utrzymania ładuStandard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Opublikuj definicję strategii.Publish the blueprint definition.
  4. Przypisz definicję strategii governance-baseline do wszystkich subskrypcji.Assign the governance-baseline blueprint definition to all subscriptions.

Więcej informacji na temat tworzenia definicji strategii i korzystania z nich zawiera dokumentacja usługi Azure Blueprints.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Bezpieczna hybrydowa sieć wirtualnaSecure hybrid VNet

Określone subskrypcje często wymagają pewnego poziomu dostępu do zasobów lokalnych.Specific subscriptions often require some level of access to on-premises resources. Jest to typowe dla scenariuszy migracji lub scenariuszy programowania, w których zależne zasoby znajdują się w lokalnym centrum danych.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Dopóki nie zostanie w pełni ustanowiona relacja zaufania w środowisku chmury, należy ściśle kontrolować i monitorować całą dozwoloną komunikację między obciążeniami w środowisku lokalnym i w chmurze oraz zabezpieczyć sieć lokalną przed potencjalnym nieautoryzowanym dostępem z zasobów opartych na chmurze.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. W celu zapewnienia obsługi tych scenariuszy do produktu o minimalnej wymaganej funkcjonalności utrzymania ładu dodano następujące najlepsze rozwiązania:To support these scenarios, the governance MVP adds the following best practices:

  1. Ustanów bezpieczną hybrydową sieć wirtualną w chmurze.Establish a cloud secure hybrid VNet.
    1. Architektura referencyjna sieci VPN określa wzorzec i model wdrożenia na potrzeby tworzenia usługi VPN Gateway na platformie VPN.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Upewnij się, że lokalne mechanizmy zabezpieczeń i zarządzania ruchem traktują połączone sieci w chmurze jako niezaufane.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Zasoby i usługi hostowane w chmurze powinny mieć dostęp tylko do autoryzowanych usług lokalnych.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Upewnij się, że lokalne urządzenie brzegowe w lokalnym centrum danych jest zgodne z wymaganiami usługi Azure VPN Gateway i jest skonfigurowane do uzyskiwania dostępu do publicznej sieci Internet.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
  2. W głównej grupie zarządzania utwórz drugą definicję strategii o nazwie secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Dodaj szablon usługi Resource Manager dla usługi VPN Gateway jako artefakt definicji strategii.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Dodaj szablon usługi Resource Manager dla sieci wirtualnej jako artefakt definicji strategii.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Opublikuj definicję strategii.Publish the blueprint definition.
  3. Przypisz definicję strategii secure-hybrid-vnet do wszystkich subskrypcji wymagających łączności lokalnej.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Tę definicję należy dodatkowo przypisać do definicji strategii governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Jedną z najważniejszych wątpliwości wskazywanych przez zespoły ds. zabezpieczeń IT i zespoły ds. tradycyjnego zarządzania jest ryzyko, że bezpieczeństwo istniejących zasobów zostanie naruszone na wczesnym etapie wdrożenia chmury.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. Powyższe podejście umożliwia zespołom ds. wdrażania chmury tworzenie i migrowanie rozwiązań hybrydowych przy mniejszym ryzyku dla zasobów lokalnych.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. Wraz ze wzrostem zaufania do środowiska w chmurze na kolejnych etapach można usunąć to tymczasowe rozwiązanie.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Uwaga

Powyższe wskazówki stanowią punkt początkowy umożliwiający szybkie utworzenie bazowego produktu o minimalnej wymaganej funkcjonalności utrzymania ładu.The above is a starting point to quickly create a baseline governance MVP. Jest to dopiero początek drogi dotyczącej ładu.This is only the beginning of the governance journey. Dodatkowe zmiany będą potrzebne podczas dalszego wdrażania chmury w firmie związanego z podejmowaniem większego ryzyka w następujących obszarach:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Obciążenia o krytycznym znaczeniu dla działalnościMission-critical workloads
  • Zabezpieczone daneProtected data
  • Zarządzanie kosztamiCost management
  • Scenariusze z wieloma chmuramiMulticloud scenarios

Ponadto szczegóły tego produktu o minimalnej wymaganej funkcjonalności są oparte na przykładowej drodze fikcyjnej firmy opisanej w kolejnych artykułach.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Zdecydowanie zalecamy zapoznanie się z pozostałymi artykułami w tej serii przed zastosowaniem tych najlepszych rozwiązań.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Iteracyjne ulepszenia ładuIterative governance improvements

Po wdrożeniu tego programu MVP można szybko włączyć do środowiska dodatkowe warstwy ładu.Once this MVP has been deployed, additional layers of governance can be incorporated into the environment quickly. Oto kilka sposobów ulepszenia programu MVP w celu zaspokojenia określonych potrzeb firmy:Here are some ways to improve the MVP to meet specific business needs:

Co zapewniają te wskazówki?What does this guidance provide?

W programie MVP ustanawiane są praktyki i narzędzia z dyscypliny Przyspieszanie wdrażania w celu szybkiego zastosowania zasad firmowych.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. W szczególności w programie MVP są używane usługi Azure Blueprints i Azure Policy oraz grupy zarządzania platformy Azure w celu zastosowania kilku podstawowych zasad firmowych, jak zdefiniowano w opisie dla tej fikcyjnej firmy.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Te zasady firmowe są stosowane przy użyciu szablonów usługi Azure Resource Manager i zasad platformy Azure w celu ustanowienia małego planu bazowego dla tożsamości i zabezpieczeń.Those corporate policies are applied using Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Przykład programu MVP ładu przyrostowego

Przyrostowe ulepszanie praktyk w zakresie zapewniania ładuIncremental improvement of governance practices

Wraz z upływem czasu ten program MVP ładu będzie używany do ulepszania praktyk w zakresie zapewniania ładu.Over time, this governance MVP will be used to improve governance practices. Wraz z postępem wdrażania rośnie ryzyko biznesowe.As adoption advances, business risk grows. W ramach modelu zapewniania ładu przewodnika Cloud Adoption Framework będą zmieniane różnorodne dyscypliny do zarządzania tym ryzykiem.Various disciplines within the Cloud Adoption Framework governance model will change to manage those risks. W kolejnych artykułach z tej serii omówiono przyrostowe ulepszanie zasad firmowych wpływających na fikcyjną firmę.Later articles in this series discuss the incremental improvement of corporate policy affecting the fictional company. Te ulepszenia mają miejsce w ramach trzech dyscyplin:These improvements happen across three disciplines:

  • Usługa Cost Management — w miarę zwiększania skali wdrożenia.Cost Management, as adoption scales.
  • Punkt odniesienia zabezpieczeń — w miarę wdrażania chronionych danych.Security Baseline, as protected data is deployed.
  • Spójność zasobów — gdy zespół ds. operacji IT zaczyna obsługiwać obciążenia o znaczeniu krytycznym.Resource Consistency, as IT Operations begins supporting mission-critical workloads.

Przykład programu MVP ładu przyrostowego

Następne krokiNext steps

Teraz, kiedy znasz już program MVP ładu i wiesz, jakie są etapy ulepszania ładu, które można śledzić, przeczytaj opis pomocniczy, aby uzyskać dodatkowy kontekst.Now that you’re familiar with the governance MVP and have an idea of the governance improvements to follow, read the supporting narrative for additional context.