Grupo de gerenciamento e organização de assinaturasManagement group and subscription organization

Diagrama mostrando a hierarquia de grupos de gerenciamento.

Figura 1: hierarquia do grupo de gerenciamento.Figure 1: Management group hierarchy.

Definir uma hierarquia de grupos de gerenciamentoDefine a management group hierarchy

As estruturas de grupos de gerenciamento em um locatário do Azure AD (Azure Active Directory) dão suporte ao mapeamento organizacional e precisam ser cuidadosamente consideradas quando uma organização planeja adotar o Azure em escala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale.

Considerações de design:Design considerations:

  • Os grupos de gerenciamento podem ser usados para agregar as atribuições de política e iniciativa por meio de Azure Policy.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.
  • Uma árvore de grupo de gerenciamento pode dar suporte a até seis níveis de profundidade.A management group tree can support up to six levels of depth. Esse limite não inclui o nível raiz do locatário nem o nível de assinatura.This limit doesn't include the tenant root level or the subscription level.
  • Qualquer entidade de segurança (usuário, entidade de serviço) em um locatário do Azure AD pode criar novos grupos de gerenciamento, pois a autorização do Azure RBAC (controle de acesso baseado em função) para operações do grupo de gerenciamento não está habilitada por padrão.Any principal (user, service principal) within an Azure AD tenant can create new management groups as Azure role-based access control (Azure RBAC) authorization for management group operations is not enabled by default.
  • Todas as novas assinaturas serão colocadas sob o grupo de gerenciamento raiz por padrão.All new subscription will be placed under the root management group by default.

Recomendações de design:Design recommendations:

  • Mantenha a hierarquia do grupo de gerenciamento razoavelmente simples, com não mais do que três a quatro níveis, idealmente.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Essa restrição reduz a sobrecarga e a complexidade do gerenciamento.This restriction reduces management overhead and complexity.
  • Evite duplicar sua estrutura organizacional em uma hierarquia de grupos de gerenciamento profundamente aninhada.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. Os grupos de gerenciamento devem ser usados para atribuição de política versus fins de cobrança.Management groups should be used for policy assignment versus billing purposes. Essa abordagem exige o uso de grupos de gerenciamento para a finalidade pretendida na arquitetura de escala empresarial, que está fornecendo políticas do Azure para cargas de trabalho que exigem o mesmo tipo de segurança e conformidade no mesmo nível de grupo de gerenciamento.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.
  • Crie grupos de gerenciamento em seu grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho (arquétipo) que você hospedará e com base em suas necessidades de segurança, conformidade, conectividade e recursos.Create management groups under your root-level management group to represent the types of workloads (archetype) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Essa estrutura de agrupamento permite que você aplique um conjunto de políticas do Azure no nível do grupo de gerenciamento a todas as cargas de trabalho que exigem as mesmas configurações de segurança, conformidade, conectividade e recursos.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.
  • Use marcas de recurso, que podem ser impostas ou acrescentadas por meio do Azure Policy, para consultar e navegar horizontalmente pela hierarquia de grupos de gerenciamento.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. Em seguida, agrupe os recursos para as necessidades de pesquisa sem precisar usar uma hierarquia complexa de grupos de gerenciamento.Then you can group resources for search needs without having to use a complex management group hierarchy.
  • Crie um grupo de gerenciamento de área restrita de nível superior para permitir que os usuários façam experimentos imediatamente com o Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Os usuários podem experimentar os recursos que ainda não podem ser permitidos em ambientes de produção.Users can then experiment with resources that might not yet be allowed in production environments. A área restrita fornece isolamento dos ambientes de desenvolvimento, teste e produção.The sandbox provides isolation from your development, test, and production environments.
  • Use um SPN (nome da entidade de serviço) dedicado para executar operações de gerenciamento de grupo de gerenciamento, operações de gerenciamento de assinatura e atribuição de função.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. O uso de um SPN reduz o número de usuários com direitos elevados e segue as diretrizes de privilégios mínimos.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.
  • Atribua a User Access Administrator função do Azure no escopo do grupo de gerenciamento raiz ( / ) para conceder ao SPN apenas o acesso mencionado no nível raiz.Assign the User Access Administrator Azure role at the root management group scope (/) to grant the SPN just mentioned access at the root level. Depois que o SPN recebe permissões, a User Access Administrator função pode ser removida com segurança.After the SPN is granted permissions, the User Access Administrator role can be safely removed. Dessa forma, somente o SPN faz parte da User Access Administrator função.In this way, only the SPN is part of the User Access Administrator role.
  • Atribua Contributor permissão ao SPN mencionado anteriormente no escopo do grupo de gerenciamento raiz ( / ), que permite operações em nível de locatário.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Esse nível de permissão garante que o SPN possa ser usado para implantar e gerenciar recursos para qualquer assinatura na sua organização.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.
  • Crie um Platform grupo de gerenciamento no grupo de gerenciamento raiz para dar suporte à política de plataforma comum e à atribuição de função do Azure.Create a Platform management group under the root management group to support common platform policy and Azure role assignment. Essa estrutura de agrupamento garante que políticas diferentes possam ser aplicadas às assinaturas usadas para sua base do Azure.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. Ela também garante que a cobrança de recursos comuns seja centralizada em um conjunto de assinaturas básicas.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.
  • Limite o número de atribuições de Azure Policy feitas no escopo do grupo de gerenciamento raiz ( / ).Limit the number of Azure Policy assignments made at the root management group scope (/). Essa limitação minimiza a depuração de políticas herdadas em grupos de gerenciamento de nível inferior.This limitation minimizes debugging inherited policies in lower-level management groups.
  • Use as políticas disponíveis para zonas de aterrissagem de escala empresarial para impor os requisitos de conformidade em um grupo de gerenciamento ou escopo de assinatura.Use the policies available for enterprise-scale landing zones to enforce compliance requirements either at management group or subscription scope. Consulte as diretrizes na seção governança orientada por políticas para saber mais sobre os requisitos de governança que podem ser resolvidos.Refer to guidance in the policy-driven governance section to learn more about the governance requirements that can be addressed.
  • Certifique-se de que somente os usuários privilegiados possam operar grupos de gerenciamento no locatário habilitando a autorização do RBAC do Azure nas configurações da hierarquia do grupo de gerenciamento (por padrão, todos os usuários estão autorizados a criar seus próprios grupos de gerenciamento no grupo de gerenciamento raiz).Ensure that only privileged users can operate management groups in the tenant by enabling Azure RBAC authorization in the management group hierarchy settings (by default, all users are authorized to create their own Management Groups under the root management group).
  • Configure um grupo de gerenciamento padrão dedicado para novas assinaturas para garantir que nenhuma assinatura seja colocada no grupo de gerenciamento raiz.Configure a default, dedicated management group for new subscriptions to ensure no subscriptions are placed under the root management group. Isso é especialmente importante se houver usuários qualificados para os benefícios e assinaturas do MSDN ou do Visual Studio.This is especially important if there are users eligible for MSDN or Visual Studio benefits and subscriptions. Um bom candidato para esse grupo de gerenciamento é um Sandbox grupo de gerenciamento.A good candidate for such management group is a Sandbox management group.

Organização e governança de assinaturasSubscription organization and governance

As assinaturas são uma unidade de gerenciamento, cobrança e escala no Azure.Subscriptions are a unit of management, billing, and scale within Azure. Elas desempenham uma função crítica quando você está projetando a adoção do Azure em larga escala.They play a critical role when you're designing for large-scale Azure adoption. Esta seção ajuda você a capturar os requisitos de assinatura e projetar assinaturas de destino com base em fatores críticos.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Esses fatores são tipo de ambiente, propriedade e modelo de governança, estrutura organizacional e portfólios de aplicativos.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Considerações de design:Design considerations:

  • As assinaturas servem como limites para atribuir políticas do Azure.Subscriptions serve as boundaries for assigning Azure policies. Por exemplo, cargas de trabalho seguras, como cargas de trabalho do PCI (Payment Card Industry), normalmente exigem políticas adicionais para alcançar a conformidade.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. Em vez de usar um grupo de gerenciamento para agrupar cargas de trabalho que exigem conformidade com o PCI, você pode obter o mesmo isolamento com uma assinatura.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. Dessa forma, você não tem muitos grupos de gerenciamento com um pequeno número de assinaturas.This way, you don't have too many management groups with a small number of subscriptions.
  • As assinaturas servem como uma unidade de escala para que as cargas de trabalho do componente possam ser dimensionadas nos limites de assinaturada plataforma.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Lembre-se de considerar os limites de recursos de assinatura durante as sessões de design da carga de trabalho.Make sure to consider subscription resource limits during your workload design sessions.
  • As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que cria uma separação clara de preocupações.Subscriptions provide a management boundary for governance and isolation, which creates a clear separation of concerns.
  • Há um processo manual, uma automação futura planejada, que pode ser realizada para limitar um locatário do Azure AD a usar apenas Contrato Enterprise assinaturas de registro.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Esse processo impede a criação de assinaturas do Microsoft Developer Network no escopo do grupo de gerenciamento raiz.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Recomendações de design:Design recommendations:

  • Trate as assinaturas como uma unidade democratizado de gerenciamento alinhada às necessidades e prioridades dos negócios.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.
  • Conscientize os proprietários da assinatura das respectivas funções e responsabilidades:Make subscription owners aware of their roles and responsibilities:
    • Execute uma revisão de acesso no Azure AD Privileged Identity Management trimestralmente ou duas vezes por ano para garantir que os privilégios não sejam proliferados à medida que os usuários se moverem na organização do cliente.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Assuma propriedade total dos gastos de orçamento e da utilização de recursos.Take full ownership of budget spending and resource utilization.
    • Garanta a conformidade da política e corrija-a quando necessário.Ensure policy compliance and remediate when necessary.
  • Use os seguintes princípios ao identificar requisitos para novas assinaturas:Use the following principles when identifying requirements for new subscriptions:
    • Limites de escala: As assinaturas servem como uma unidade de escala para cargas de trabalho de componente para dimensionar em limites de assinatura de plataforma.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Por exemplo, cargas de trabalho grandes e especializadas, como computação de alto desempenho, IoT e SAP, são todas mais adequadas para uso de assinaturas separadas, a fim de evitar limites (como um limite de 50 integrações do Azure Data Factory).For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Limite de gerenciamento: As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que permite uma separação clara das preocupações.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Por exemplo, ambientes diferentes, como desenvolvimento, teste e produção, são geralmente isolados da perspectiva de gerenciamento.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Limite de política: As assinaturas servem como um limite para a atribuição de políticas do Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Por exemplo, cargas de trabalho seguras, como o PCI, normalmente exigem políticas adicionais para alcançar a conformidade.For example, secure workloads such as PCI typically require additional policies to achieve compliance. Essa sobrecarga adicional não precisará ser considerada holisticamente se uma assinatura separada for usada.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Da mesma forma, os ambientes de desenvolvimento podem ter requisitos de política mais flexíveis em relação aos ambientes de produção.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Topologia de rede de destino: As redes virtuais não podem ser compartilhadas entre assinaturas, mas podem se conectar com tecnologias diferentes, como o emparelhamento de rede virtual ou o Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Considere quais cargas de trabalho precisam se comunicar entre si quando você decidir se uma nova assinatura é necessária.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Agrupe as assinaturas em grupos de gerenciamento alinhados à estrutura do grupo de gerenciamento e aos requisitos de política em escala.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. O agrupamento garante que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure possam herdá-las de um grupo de gerenciamento, o que evita atribuições duplicadas.Grouping ensures that subscriptions with the same set of policies and Azure role assignments can inherit them from a management group, which avoids duplicate assignments.
  • Estabeleça uma assinatura de gerenciamento dedicada no Platform grupo de gerenciamento para dar suporte a recursos de gerenciamento global, como Azure monitor espaços de trabalho log Analytics e runbooks de automação do Azure.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.
  • Estabeleça uma assinatura de identidade dedicada no Platform grupo de gerenciamento para hospedar controladores de domínio Active Directory do Windows Server, quando necessário.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.
  • Estabeleça uma assinatura de conectividade dedicada no Platform grupo de gerenciamento para hospedar um hub de WAN virtual do Azure, o sistema de nome de domínio privado (DNS), o circuito de ExpressRoute e outros recursos de rede.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Uma assinatura dedicada garante que todos os recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.
  • Evite um modelo de assinatura rígido e opte por um conjunto de critérios flexíveis para agrupar as assinaturas em toda a organização.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. Essa flexibilidade garante que, à medida que a estrutura da sua organização e a composição da carga de trabalho forem alteradas, você poderá criar grupos de assinaturas em vez de usar um conjunto fixo de assinaturas existentes.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Um modelo não serve para todas as assinaturas.One size doesn't fit all for subscriptions. O que funciona para uma unidade de negócios pode não funcionar para outra.What works for one business unit might not work for another. Alguns aplicativos podem coexistir na mesma assinatura da zona de destino, enquanto outros podem exigir a própria assinatura.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

Configurar a cota e a capacidade da assinaturaConfigure subscription quota and capacity

Cada região do Azure contém um número finito de recursos.Each Azure region contains a finite number of resources. Quando você considera uma adoção do Azure de escala empresarial que envolva grandes quantidades de recursos, verifique se há capacidade e SKUs suficientes disponíveis e se a capacidade alcançada pode ser entendida e monitorada.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and the attained capacity can be understood and monitored.

Considerações de design:Design considerations:

  • Considere os limites e as cotas na plataforma Azure para cada serviço necessário para as suas cargas de trabalho.Consider limits and quotas within the Azure platform for each service that your workloads require.
  • Considere a disponibilidade dos SKUs necessários nas regiões do Azure escolhidas.Consider the availability of required SKUs within chosen Azure regions. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões.For example, new features might be available only in certain regions. A disponibilidade de determinados SKUs para recursos especificados, como VMs, pode ser diferente de uma região para outra.The availability of certain SKUs for given resources such as VMs might be different from one region to another.
  • Considere que as cotas de assinatura não são garantias de capacidade e são aplicadas em uma base por região.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Recomendações de design:Design recommendations:

  • Use assinaturas como unidades de escala e escale horizontalmente recursos e assinaturas, conforme necessário.Use subscriptions as scale units, and scale out resources and subscriptions as required. Depois, sua carga de trabalho poderá usar os recursos necessários para a escala horizontal, quando necessário, sem atingir os limites de assinatura na plataforma Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.
  • Use instâncias reservadas para priorizar a capacidade reservada nas regiões necessárias.Use reserved instances to prioritize reserved capacity in required regions. Em seguida, sua carga de trabalho terá a capacidade necessária mesmo quando houver uma alta demanda para esse recurso em uma região específica.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.
  • Estabeleça um painel com exibições personalizadas para monitorar os níveis de capacidade usados.Establish a dashboard with custom views to monitor used capacity levels. Configure alertas se a utilização da capacidade estiver atingindo níveis críticos (por exemplo, 90% de utilização da CPU).Set up alerts if capacity utilization is reaching critical levels (for example, 90 percent CPU utilization).
  • Acione solicitações de suporte para o aumento de cota como parte do provisionamento de assinatura (por exemplo, total de núcleos de VM disponíveis em uma assinatura).Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Essa abordagem garante que os limites de cota sejam definidos antes que as cargas de trabalho precisem exceder os limites padrão.This approach ensures your quota limits are set before your workloads require going over the default limits.
  • Verifique se os serviços e os recursos necessários estão disponíveis nas regiões de implantação escolhidas.Ensure required services and features are available within the chosen deployment regions.

Estabelecer o gerenciamento de custosEstablish cost management

A transparência de custo em uma propriedade técnica é um desafio de gerenciamento crítico enfrentado por todas as organizações empresariais de grande porte.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. Esta seção explora os principais aspectos associados à forma como a transparência de custo pode ser obtida em ambientes amplos do Azure.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Considerações de design:Design considerations:

  • Necessidade potencial de modelos de estorno em que os recursos de PaaS (plataforma como serviço) compartilhados estão preocupados, como Ambiente do Serviço de Aplicativo do Azure e o serviço kubernetes do Azure, que talvez precisem ser compartilhados para alcançar uma densidade maior.Potential need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.
  • Use um agendamento de desligamento para cargas de trabalho de não produção a fim de otimizar os custos.Use a shutdown schedule for nonproduction workloads to optimize costs.
  • Use o Assistente do Azure para verificar as recomendações de otimização de custos.Use Azure Advisor to check cost optimization recommendations.

Recomendações de design:Design recommendations:

  • Use o gerenciamento de custos do Azure + cobrança para agregação de custo.Use Azure Cost Management + Billing for cost aggregation. Disponibilize-o para os proprietários dos aplicativos.Make it available to application owners.
  • Use marcas de recursos do Azure para categorização de custos e agrupamento de recursos.Use Azure resource tags for cost categorization and resource grouping. O uso de marcas permite que você tenha um mecanismo de estorno para cargas de trabalho que compartilham uma assinatura ou para determinada carga de trabalho que se estende por várias assinaturas.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.

Governança controlada por políticasPolicy-driven Governance

As políticas do Azure de escala empresarial podem ser usadas para impor os seguintes requisitos de governança.Enterprise-scale Azure policies can be used to enforce following governance requirements.

  • Impedir serviços públicos baseados em IPPrevent Public IP-based services

    A maioria dos serviços de PaaS (plataforma como serviço) do Azure são criados com um endereço IP público atribuído a eles.Most of the Azure Platform-as-a-service (PaaS) services are created with a public IP address assigned to them. Essa opção é boa para os desenvolvedores que desejam começar rapidamente com esses serviços.This option is good for developers who want to quickly get started with these services. O ponto de extremidade público acelera a curva de aprendizado e é ideal ao desenvolver pilotos e implementações de PoC (prova de conceito) de pequena escala.Public endpoint accelerates learning curve and is ideal when developing pilots and small-scale Proof Of Concept (PoC) implementations.

    No entanto, quando esses pilotos/PoCs fazem a transição para aplicativos corporativos prontos para produção, o uso de endereços IP públicos, às vezes, é ignorado.However, when these pilots/PoCs make transition to production-ready enterprise applications, their use of public IP addresses is sometimes overlooked.

    As cargas de trabalho de produção que usam IPs públicos sem as medidas de segurança adequadas podem aumentar os riscos de segurança.Production workloads using public IPs without proper security measures in place can increase security risks. Os atores mal-intencionados podem potencialmente usar o IP público como um gateway para iniciar um ataque.Malicious actors can potentially use public IP as a gateway to launch an attack. Muitas políticas de conformidade corporativas não permitem o uso de IP público apenas para evitar a exposição a tais riscos de segurança.Many enterprise compliance policies do not allow use of public IP just to avoid exposure to such security risks.

    Há uma política personalizada ao negar a criação de endereço IP público, o que impede que o IP público seja criado em um escopo direcionado pela política.There's a custom policy on denying creation of public IP address, which prevents public IP getting created in a scope targeted by policy. As empresas podem impedir facilmente que máquinas virtuais (VMs) sejam criadas com o IP público usando essa política.Enterprises can easily prevent Virtual Machines (VMs) getting created with public IP using this policy.

    Da mesma forma, há uma iniciativa de política personalizada/Policyset, que ajuda as empresas a impedir que os serviços do Azure sejam criados com um endereço IP público em primeiro lugar.Similarly there's a custom Policy Initiative / PolicySet, which helps enterprises prevent Azure services getting created with a public IP address in the first place.

  • Impor coleta de informações de log e auditoriaEnforce audit and log information collection

    A falta de informações de auditoria e diagnóstico no nível granular pode afetar as práticas operacionais.Lack of auditing and diagnostics information at granular level can affect operational practices. Informações de auditoria incompletas dificultam a correlação de logs de vários serviços do Azure e a criação de uma experiência de depuração coerente.Incomplete audit information makes it difficult to correlate logs from multiple Azure services and create a coherent debugging experience.

    Depois que os serviços do Azure são provisionados, eles devem fornecer informações detalhadas sobre a plataforma do Azure com a qual interagem.Once Azure services are provisioned, they should provide detailed information about Azure platform they interact with. Essas informações podem ser divididas em larga escala em logs e métricas.Such information can be broadly divided into logs and metrics. Cada serviço do Azure pode ser categorizado ainda mais em seus subcomponentes (por exemplo, um recurso de IP público do Azure tem DDoSProtectionNotifications , DDoSMitigationReports e DDoSMitigationFlowLogs como seus subcomponentes.Each Azure service can be further categorized into its sub-components (e.g. An Azure Public IP resource has DDoSProtectionNotifications, DDoSMitigationReports, and DDoSMitigationFlowLogs as its sub-components. Coletar informações de diagnóstico nessas subcategorias pode aprimorar muito a experiência de auditoria e depuração.Collecting diagnostic information at these sub-categories can greatly enhance auditing and debugging experience.

    Uma iniciativa de política personalizada está disponível para impor logs e coleta de métricas em um nível mais profundo, o que ajuda as empresas a coletar logs e métricas por serviço do Azure.A custom Policy Initiative is available to enforce logs and metrics collection at a deeper level, which helps enterprises gather logs and metrics per Azure Service. Essa iniciativa inclui uma política para cada serviço do Azure.This initiative includes a policy for every Azure service. As principais categorias de log para cada serviço do Azure e todas as métricas são coletadas automaticamente por meio dessas políticas.Key log categories for each Azure service and all metrics are collected automatically through these policies.

  • Fornecer segurança abrangente para bancos de dados SQLProvide comprehensive security for SQL Databases

    Os bancos de dados SQL são um serviço comum do Azure na maioria das implantações do Azure.SQL databases are a common Azure service in most Azure deployments. Infelizmente, eles também são alvos primos de atividades mal-intencionadas de dentro e fora de uma empresa.Unfortunately, they are also prime target for malicious activities from within and outside of an enterprise.

    Uma iniciativa de política personalizada especificamente para os bancos de dados SQL ajuda a implementar as seguintes práticas de governança de chave.A custom Policy Initiative specifically fo SQL Databases helps implement following key governance practices.

    • Criptografar dados SQL em repousoEncrypt SQL data at rest

      O banco de dados SQL e seus backups estão sujeitos a riscos de entrar em mãos de atores mal-intencionados.SQL database and its backups are prone to risks of getting into hands of malicious actors. É fácil restaurar o banco de dados SQL de arquivos de banco de dados ou backup.It's easy to restore SQL database from either database files or backup. Sem o sistema de defesa adequado em vigor, os atores mal-intencionados podem ter acesso a todos os dados.Without proper defense system in place, malicious actors can have access to all the data.

      Garantir que o banco de dados SQL seja criptografado em repouso é uma das primeiras etapas para a criação da estratégia de defesa do banco de dados SQL.Ensuring that SQL database is encrypted at rest is one of the first steps towards building SQL database defense strategy. O Transparent Data Encryption do banco de dados SQL do Azure (TDE) garante a criptografia do dado em repouso sem a necessidade de nenhuma alteração no nível do código do aplicativo.Azure SQL database Transparent Data Encryption (TDE) ensures that data is encrypted at rest without needing any application code level change.

      Um banco de dados SQL com TDE habilitado torna difícil para que os atores mal-intencionados obtenham acesso aos dados que ele mantém, mesmo se estiverem comprometidos.A SQL database with TDE enabled makes it hard for malicious actors to get access to data it holds even if its compromised.

      À medida que as implantações de banco de dados SQL do Azure em uma empresa aumentam, é importante que elas sejam criadas com o TDE habilitado.As Azure SQL database deployments within an enterprise increases, it is important they are created with TDE enabled.

      Há uma política personalizada para garantir que os bancos de dados SQL do Azure tenham o TDE habilitado.There's a custom policy to ensure that Azure SQL databases have TDE enabled.

    • Impor alertas para atividades suspeitasEnforce alerts for suspicious activity

      Atores inválidos estão na procura constante de acessar e explorar bancos de dados SQL do Azure críticos para os negócios.Bad actors are on the constant lookout to access and exploit business-critical Azure SQL databases. O risco de tais tentativas não notadas pode reduzir a capacidade da empresa de detectar e responder a elas.Risk of such attempts going unnoticed can reduce an enterprise's ability to detect and respond to them. No pior cenário, uma empresa pode nunca saber se o banco de dados SQL foi comprometido.In worst case scenario, an enterprise may never know if its SQL database has been compromised.

      O banco de dados SQL do Azure fornece uma maneira de configurar alertas de segurança que podem relatar atividades suspeitas no SQL Server.Azure SQL database provides way to set up security alerts that can report suspicious activities on SQL server. Esse alerta envia um email para um endereço de email pré-configurado e, opcionalmente, para administradores e proprietários de assinatura do Azure.Such alert sends email to a pre-configured email addresses and optionally to Azure subscription admins and owners.

      Há uma política personalizada para impor a habilitação de alertas de segurança em bancos de dados SQL do Azure.There's a custom policy to enforce enabling of security alerts on Azure SQL databases. A empresa pode se beneficiar com a identificação de atividades mal-intencionadas, como ataque de injeção de SQL, ataque de força bruta, etc., embora esses alertas.Enterprise can benefit from identifying malicious activities such as SQL injection attack, brute force attack, etc. though these alerts. Alertas de segurança fornecem informações detalhadas sobre cada incidente.Security alerts provide detailed information about every incident. Essas informações detalhadas são apresentadas em portal do Azure e também uma mensagem de email é disparada.This detailed information is surfaced in Azure portal and also an email message is triggered.

    • Impor a trilha de auditoria das operaçõesEnforce audit trail of operations

      Um banco de dados SQL do Azure crítico para os negócios pode estar sujeito a um grande número de DML (linguagem de manipulação de conteúdo), de comandos DCL (linguagem de controle de dados) e de linguagem de definição de dados (DDL) como parte das operações diárias.A business-critical Azure SQL database can be subject to large number of Data Manipulation Language (DML), Data Control Language (DCL) and Data Definition Language (DDL) commands as part of day to day operations. Sem um controle claro e informações sobre essas atividades operacionais, é desafiador distinguir entre operações legítimas e suspeitas.Without a clear control and insight into these operational activities, it's challenging to distinguish between legitimate and suspicious operations.

      Habilitar a auditoria do SQL pode ajudar a coletar informações importantes sobre todas as atividades do banco de dados.Enabling SQL Auditing can help in gathering important information about all database activities. Também é um requisito para muitos requisitos de conformidade regulatória do setor/regional.It's also a requirement for many industry/regional regulatory compliance requirements. A auditoria do SQL ajuda a gerar e relatar a trilha de auditoria de eventos de banco de dados.SQL Auditing helps generating and reporting audit trail of database events.

      As empresas podem usar uma política personalizada para impor a auditoria do banco de dados SQL do Azure.Enterprises can use a custom policy to enforce Azure SQL Database Auditing. Essa política audita e relata eventos de banco de dados-chave como alterações de propriedade, logons com falha/com êxito, alterações de associação de função, alterações de esquema, etc. As empresas podem usar essa política e a trilha de auditoria que ela gera para obter informações detalhadas sobre as operações de banco de dados e cumprir os requisitos regulatórios do setor ou da região.This policy audits and reports key database events like ownership changes, successful/failed logins, role membership changes, schema changes, etc. Enterprises can use this policy and audit trail it generates to gain rich insights into database operations and comply with industry or regional regulatory requirements.

  • Impor avaliação contra práticas recomendadas comprovadasEnforce evaluation against proven best practices

    Durante todo o ciclo de vida, o banco de dados SQL do Azure passa por um grande número de alterações de esquema, permissão e configuração.Throughout its lifecycle, Azure SQL database undergoes large number of schema, permission, and configuration changes. Há sempre um risco de tais alterações, resultando em um desvio das práticas recomendadas.There's always a risk of such changes resulting in deviation from best practices. Permissões excessivas, funções órfãs e muitas dessas descompassos de configuração podem ser exploradas por atores mal-intencionados.Excessive permissions, orphaned roles, and many such configurational drifts can be exploited by malicious actors.

    O banco de dados SQL do Azure tem serviço de avaliação de vulnerabilidades interno.Azure SQL database has built-in vulnerability assessment service. O estado do banco de dados SQL do Azure através da lente de práticas recomendadas da Microsoft para o banco de dados SQL pode ser avaliado usando a avaliação de vulnerabilidade.State of Azure SQL database through the lens of Microsoft's best practices for SQL database can be evaluated using vulnerability assessment. Uma verificação de avaliação de vulnerabilidade identifica os riscos de segurança de nível de banco de dados e servidor.A vulnerability assessment scan identifies database and server level security risks. Uma tarefa de correção no cenário aplicável também pode ser gerada para corrigir a vulnerabilidade.A remediation task in applicable scenario may be also generated to fix the vulnerability.

    Uma política personalizada implantada no garante que os bancos de dados SQL do Azure estejam configurados com a avaliação de vulnerabilidade.A custom policy deployed in ensures that Azure SQL databases are configured with vulnerability assessment. As verificações de avaliação são feitas periodicamente e os relatórios são armazenados na conta de armazenamento do Azure.The assessment scans are done periodically and reports are stored in Azure storage account. O endereço de email predefinido é usado para compartilhar os resultados de resultados de verificação periódicos para fins de relatório.Pre-defined email address is used to share the results of periodic scan results for reporting purposes.

  • Proteger contra exclusão de segredo intencional/não intencionalProtect against intentional/unintentional secret deletion

    Azure Key Vault é um serviço para armazenar informações confidenciais, como chaves, certificados, senhas, etc. Um usuário mal-intencionado pode potencialmente abuso Azure Key Vault serviço excluindo segredos armazenados nele.Azure Key Vault is a service to store confidential information such as keys, certificates, passwords, etc. A malicious user can potentially abuse Azure Key Vault service by deleting secrets stored inside it. Também é bem provável que um usuário possa excluir acidentalmente informações confidenciais armazenadas em Azure Key Vault.It's also quite likely that a user may accidentally delete sensitive information stored in Azure Key Vault. Sem as disposições adequadas em vigor, a exclusão mal-intencionada ou acidental no Azure Key Vault pode causar um dano significativo nos negócios.Without proper provisions in place, either malicious or accidental deletion in Azure Key Vault can cause significant business harm.

    Azure Key Vault fornece proteção contra exclusão intencional ou não intencional de conteúdo armazenado dentro dele por meio do recurso de exclusão reversível.Azure Key Vault provides protection against intentional or unintentional deletion of contents stored inside it through soft-delete feature. Quando a exclusão reversível estiver habilitada, as chaves excluídas serão retidas por um período de tempo pré-configurado.When soft-delete is enabled, deleted keys will be retained for a pre-configured time period. Se a operação de exclusão não tiver sido intencional, a chave excluída poderá ser restaurada na janela de tempo pré-configurada.If the delete operation was unintentional then deleted key can be restored within pre-configured time window. Se a operação de exclusão for intencional, o conteúdo da chave poderá ser excluído até que outra operação de limpeza seja feita-normalmente por alguém com privilégios mais altos.If the delete operation was intentional then key content can be deleted until an another purge operation is done - typically by someone with higher privileges.

    Há uma política personalizada para garantir que o cofre de chaves do Azure esteja habilitado com o recurso de exclusão reversível por padrão.There's a custom policy to ensure Azure Key vault is enabled with soft-delete feature by default. As empresas obtêm melhor controle sobre a exclusão de conteúdo de Azure Key Vault para operações não intencionais.Enterprises get better control on deletion of Azure Key Vault content for unintentional operations. Essa política também fornece uma camada de segurança extra para exclusão mal-intencionada de conteúdo de Azure Key Vault.This policy also provides an extra security layer for malicious deletion of Azure Key Vault content.

  • Impor o Firewall do aplicativo Web (WAF)Enforce Web Application Firewall (WAF)

    Os aplicativos Web em execução no Azure são alvos potenciais de número de ataques mal-intencionados.Web applications running on Azure are potential targets of number of malicious attacks. Os 10 principais ataques comuns , como injeção, script entre sites, etc., tentam explorar vulnerabilidades conhecidas normalmente associadas a aplicativos Web.Top 10 common attacks - such as - injection, cross-site scripting, etc. try to exploit known vulnerabilities typically associated with web applications. As consequências de um ataque bem-sucedido podem ser dispendiosas e podem afetar negativamente o valor da marca.Consequences of a successful attack can be costly and may impact brand value negatively.

    O WAF (firewall do aplicativo Web) Aplicativo Azure Gateway fornece proteção contra ataques comuns em aplicativos Web.Azure Application Gateway Web Application Firewall (WAF) provides protection against common attacks on web applications. Ele implementa o CRS (Core Rule Set) 3,1, 3,0 ou 2.2.9, conforme recomendado pelo OWASP (Open Web Application Security Project).It implements Core Rule Set (CRS) 3.1, 3.0 or 2.2.9 as recommended by the Open Web Application Security Project (OWASP). As políticas de WAF podem ser associadas ao gateway Aplicativo Azure no modo de prevenção ou detecção .WAF policies can be associated with Azure Application Gateway either in Prevention or Detection mode.

    Há uma política personalizada para ajudar a evitar possíveis configurações incorretas no gateway de Aplicativo Azure.There's a custom policy to help in preventing potential misconfiguration on Azure Application Gateway. Ele impõe Aplicativo Azure gateway não pode ser criado sem um WAF (firewall do aplicativo Web).It enforces Azure Application Gateway can't be created without a Web Application Firewall (WAF). Os aplicativos Web em execução no Azure e usando Aplicativo Azure gateway são protegidos pelo WAF (firewall do aplicativo Web) no gateway Aplicativo Azure.Web Applications running on Azure and using Azure Application Gateway are protected by Web Application Firewall (WAF) on Azure Application Gateway.

  • Impedir o encaminhamento de IP em VMsPrevent IP forwarding on VMs

    O encaminhamento de IP permite que a VM do Azure roteie o tráfego que recebe para outros destinos.IP forwarding enables Azure VM to route traffic it receives to other destinations. A menos que seja explicitamente necessário, esse roteamento pode expor potencialmente uma VM com o endereço IP público como um roteador.Unless explicitly required, such routing may potentially expose a VM with public IP address as a router. Outras redes não intencionais podem ser acessadas por meio do roteador-ativado por VM com encaminhamento de IP.Other unintended networks can be reached via VM-turned-router with IP forwarding.

    O Azure fornece uma opção para configurar o encaminhamento de IP em VMs (máquinas virtuais).Azure provides an option to configure IP forwarding on Virtual Machines (VMs). Essa opção permite que softwares especializados, como firewalls, balanceadores de carga, etc. sejam implantados por meio do Azure Marketplace.This option enables specialized software such as firewalls, load balancers, etc. to be deployed via Azure Marketplace. Qualquer aplicativo que possa precisar usar esses serviços pode usá-los por meio da transação do Azure Marketplace.Any application that may need to use these services, can use them via Azure Marketplace transaction.

    No entanto, fora das necessidades específicas, o encaminhamento de IP em VMs pode se tornar uma responsabilidade de segurança.However, outside of specific needs, IP forwarding on VMs may become a security liability. Há uma política personalizada para impedir que as VMs atuem como roteadores de encaminhamento de IP.There's a custom policy to prevent VMs acting as IP forwarding routers. Essa política é aplicada explicitamente no escopo da zona de aterrissagem.This policy is explicitly applied at landing zone scope. As VMs na zona de aterrissagem devem ser destinos finais para solicitações do usuário.VMs in landing zone should be final destinations for user requests. Qualquer roteamento deve ser implementado na assinatura de conectividade.Any routing should be implemented in the connectivity subscription.

  • Impor o gerenciamento de registros DNS centralizadoEnforce centralized DNS record management

    As zonas do Azure DNS privado ajudam a criar e gerenciar registros DNS para recursos do Azure.Azure Private DNS Zones help create and manage DNS records for Azure resources. A proliferação não controlada de zonas privadas do Azure pode resultar em gerenciamento & problemas de depuração de conectividade de rede.Uncontrolled proliferation of Azure Private Zones can result in management & network connectivity debugging issues. Em ambientes híbridos em que a conectividade de sites locais para recursos do Azure é necessária, as zonas DNS fragmentadas podem resultar em duplicação de registros DNS e desafios de manutenção associados.In hybrid environments where connectivity from on-premise sites to Azure resources is needed, fragmented DNS zones can result in duplication of DNS records and associated maintenance challenges.

    A zona de DNS privado do Azure pode ser implantada centralmente para facilitar o gerenciamento de registros DNS.Azure Private DNS Zone can be deployed centrally for easier management of DNS records. A rede virtual do Azure vinculada à zona privada do Azure pode potencialmente executar controladores de domínio, o que ajuda a simplificar a conectividade de sites locais.Azure Virtual Network linked with Azure Private Zone can potentially run domain controllers, which helps streamlined connectivity from on-premise sites. Os serviços do Azure, que dão suporte ao link/ponto de extremidade privado, podem usar a zona privada do Azure gerenciada centralmente e impedir a criação deles por implantação de aplicativo.Azure services, which support Private Link/Endpoint can use centrally managed Azure Private Zone and prevent having to create them per application deployment.

    Uma política personalizada pode ser implantada para impedir a criação da zona de DNS privado do Azure no escopo no qual sua aplicação.A custom policy can be deployed to prevent creation of Azure Private DNS Zone in the scope over which its applied. As empresas podem exibir o status de conformidade em relação a essa política, mesmo quando a imposição de política está desabilitada.Enterprises can view compliance status against this policy even when the policy enforcement is disabled. Essa política ajuda a simplificar a conectividade de sites locais e o acesso aos serviços de PaaS do Azure usando o link/ponto de extremidade privado.This policy helps in streamlining connectivity from on-premise sites and access to Azure PaaS services using Private Link/Endpoint.

  • Impor o controle de tráfego de redeEnforce network traffic control

    Uma VNet (rede virtual) do Azure pode ser segmentada em várias sub-redes.An Azure Virtual Network (VNet) can be segmented into multiple Subnets. Por padrão, não há nenhum controle de acesso à rede entre essas sub-redes.By default, there's no network access control between these subnets. A falta de controle de acesso à rede pode resultar em tráfego de rede não solicitado que chega dentro de uma sub-rede.Lack of network access control can result in unsolicited network traffic arriving inside a subnet.

    O NSG (grupo de segurança de rede) do Azure ajuda a filtrar o tráfego de entrada de e para uma sub-rede.Azure Network Security Group (NSG) helps is filtering incoming traffic to and from a subnet. NSGs pode permitir ou negar o tráfego de rede com base na inspeção de pacotes com estado.NSGs can allow or deny network traffic based on stateful packet inspection. Todos os recursos dentro da sub-rede podem receber tráfego somente de intervalo (s) de endereços IP permitidos.Any resources inside subnet can receive traffic from only allowed IP address range(s).

    Há uma política personalizada para impor cada sub-rede tem um NSG associado a ela.There's a custom policy to enforce every subnet has a NSG associated with it. Uma combinação de sub-rede e NSG garante que um conjunto padrão de regras controle o tráfego de e para uma sub-rede.A combination of subnet and NSG ensures that a default set of rules controls traffic to and from a subnet. As empresas podem adicionar/modificar regras para controlar o tráfego com base nas necessidades.Enterprises can add/modify rules to control traffic further based on the needs.

  • Detectar e proteger contra ameaças à segurança usando a central de segurança do AzureDetect and protect against security threats by using Azure Security Center

    Uma assinatura do Azure pode conter vários tipos de recursos, como VMs, imagens de contêiner, etc. Esses recursos são expostos a riscos como instalação de malware/software indesejado, acesso não controlado a portas de gerenciamento em uma VM, etc. Com ataques de segurança sendo sofisticados e um fornecimento limitado de profissionais de segurança experientes, a detecção de vulnerabilidades de segurança e proteção de cargas de trabalho é extremamente desafiadora.An Azure subscription can hold multiple types of resource like VMs, Container Images, etc. These resources are exposed to risks such as malware/unwanted software installation, uncontrolled access to management ports on a VM, etc. With security attacks getting ever sophisticated and a limited-supply of experienced security professionals, detecting security vulnerabilities and protecting workloads is extremely challenging.

    A central de segurança do Azure é o sistema de gerenciamento de segurança nativo do Azure, que avalia os recursos do Azure para sua postura de segurança em relação às práticas recomendadas de segurança.Azure Security Center is Azure's native security management system, which assesses Azure resources for their security posture against security best practices. A central de segurança do Azure ajuda a detectar e prevenir ameaças contra dados e serviços de aplicativos.Azure security center helps to detect and prevent threats against data and application services. Com vários pontos de integração, a central de segurança do Azure pode ser implantada rapidamente.With multiple integration points, Azure Security center can be deployed quickly.

    Uma política personalizada ajuda a registrar as assinaturas do Azure com o modo padrão da central de segurança do Azure, que permite que as assinaturas do Azure comecem a obter proteção e detecção de ameaças à segurança que são oferecidas pela central de segurança do Azure.A custom policy helps in enrolling Azure subscription(s) with Azure Security Center Standard mode, which enables Azure subscription(s) to start getting security threat detection and protection which are offered by Azure Security Center. Essa política garante que os principais serviços do Azure, como VMs, contas de armazenamento e sete outros serviços, sejam automaticamente cobertos pela central de segurança do Azure.This policy ensures key Azure services such as VMs, Storage Accounts and seven other services are automatically covered by Azure Security Center. As empresas se beneficiam da avaliação de segurança contínua e das recomendações acionáveis caso haja qualquer desvio da prática recomendada de segurança.Enterprises benefits from continuous security assessment and actionable recommendations should there be any deviation from security best practice.

  • Proteger contra ataques de ransomware e outros problemas relacionados à perda de dadosProtect against ransomware attacks and other data-loss related issues

    Aumentar a frequência de ransomware & ataques de invasão se representam outra preocupação para as empresas.Increasing frequency of ransomware & intrusion attacks pose yet another concern for enterprises. Um ataque de ransomware bem-sucedido pode interromper aplicativos e processos críticos para os negócios.A successful ransomware attack can disrupt business-critical processes and applications. Os invasores são conhecidos por manter as empresas como Hostages por grandes quantidades de dinheiro.Attackers are known to hold enterprises as hostage for huge amounts of money.

    O backup do Azure fornece proteção para VMs do Azure contra destruição de dados acidental ou intencional.Azure Backup provides protection for Azure VMs against accidental or intentional data destruction. Os backups do Azure são fáceis de configurar e dimensionar.Azure Backups are easy to configure and scale. O backup dos dados é feito no cofre de recuperação do Azure para facilitar o gerenciamento e a proteção.Data is backed up in Azure Recovery Vault for easy management and protection.

    Há uma política personalizada que protege as VMs do Azure Configurando o backup do Azure para elas.There's a custom policy that protects Azure VMs by configuring Azure Backup for them. Essa política provisiona automaticamente o cofre dos serviços de recuperação do Azure e cria o contêiner de backup para cada VM do Azure que é criada.This policy automatically provisions Azure Recovery Services Vault and creates backup container for every Azure VM that gets created.

  • Proteger contra ataques de DDoSProtect against DDoS attacks

    Qualquer recurso do Azure acessível publicamente é exposto à ameaça de ataque de DDoS (negação de serviço distribuído).Any publically reachable Azure resource is exposed to threat of Distributed Denial of Service (DDoS) attack. Um ataque de DDoS bem-sucedido pode afetar a disponibilidade do aplicativo para os usuários pretendidos.A successful DDoS attack can affect the application's availability to it's intended users. Um ataque de DDoS prolongado pode esgotar todos os recursos disponíveis e resultar em tempo de inatividade para aplicativos críticos para os negócios.A prolonged DDoS attack can exhaust all available resources and result in downtime for business-critical application(s).

    O serviço de proteção contra DDoS do Azure defende os recursos do Azure contra ataques de DDoS.Azure DDoS Protection service defends Azure resources against DDoS attacks. A proteção contra DDoS do Azure monitora continuamente o tráfego de entrada para identificar possíveis indicações de um ataque de DDoS.Azure DDoS Protection continuously monitors incoming traffic to identify potential indications of a DDoS attack. As empresas se beneficiam do trabalho com a equipe de reação rápida a DDoS da Microsoft (DRR) durante um ataque ativo.Enterprises benefit from working with Microsoft's DDoS Rapid Response (DRR) team during an active attack.

    Há uma política personalizada que provisiona automaticamente o plano padrão de DDoS do Azure em todas as assinaturas do Azure em seu escopo.There's a custom policy that automatically provisions Azure DDoS Standard plan on all Azure subscriptions under its scope. A mesma política também permite que as empresas selecionem as regiões do Azure a serem cobertas como parte da atribuição.Same policy also enables enterprises to select the Azure regions to be covered as part of the assignment.

  • Provisionar automaticamente link/ponto de extremidade privado com zona DNS privadoAuto-provision Private Link/Endpoint with Private DNS Zone

    O link privado do Azure e o ponto de extremidade privado do Azure fornecem acesso aos serviços de PaaS (plataforma como serviço) do Azure usando endereços IP privados.Azure Private Link and Azure Private Endpoint provide access to Azure Platform-as-a-service (PaaS) services using private IP addresses. No entanto, a zona de DNS privado do Azure é necessária para a resolução de registro de DNS.However, Azure Private DNS Zone is needed for DNS record resolution. A criação de zonas privadas do Azure para cada aplicativo que precisa acessar os serviços de PaaS do Azure é um desafio de gerenciamento e manutenção.Creation of Azure Private Zones for every application that needs to access Azure PaaS services is a management and maintenance challenge.

    O grupo de zonas do Azure DNS privado ajuda a agrupar as conexões de link privado por serviços do Azure, como BLOB, fila, tabela, SQL, etc.Azure Private DNS Zone Group helps is grouping the Private Link connections by Azure Services like blob, queue, table, sql, etc. usando uma zona privada do Azure por serviço.using an Azure Private Zone per service.

    As empresas podem criar zonas privadas centrais do Azure e as políticas personalizadas irão provisionar automaticamente as conexões entre o link/ponto de extremidade privado e a zona de DNS privado para os serviços do Azure.Enterprises can create central Azure Private Zones and custom policies will auto-provision connections between Private Link/Endpoint and Private DNS Zone for Azure services.

  • Gerenciar as regras de firewall centralmenteCentrally manage firewall rules

    As regras de firewall fragmentadas podem levar a caminhos de tráfego de rede não controlados e ambíguos.Fragmented firewall rules can lead to uncontrolled and ambiguous network traffic paths. As alterações contínuas nas regras de firewalls para cada instância do firewall dificultam a avaliação da postura de segurança de rede.Continuous changes in the firewalls rules for every instance of firewall makes it difficult to assess the network security posture. Várias regras tornam impossível distinguir entre o conjunto básico gerenciado centralmente de regras e regras de caminho de rede específicas da carga de trabalho.Multiple rules make it impossible to distinguish between centrally managed basic set of rules and workload-specific network path rules.

    A política de firewall do Azure ajuda a definir um conjunto mínimo básico de regras aplicáveis em toda a empresa.Azure Firewall Policy helps to define basic minimum set of rules applicable throughout an enterprise. A política específica do aplicativo pode herdar de regras básicas para permitir a criação de regras hierárquicas para atender aos requisitos de regra de firewall específicos do aplicativo e corporativo.Application-specific policy can inherit from basic rules to allow creation of hierarchical rules to meet both enterprise and application-specific firewall rule requirements. Quando as regras são configuradas por meio de políticas, elas podem ser gerenciadas e monitoradas centralmente.When rules are configured through policies then they can be centrally managed and monitored.

    Uma política personalizada permite que as empresas definam as políticas de firewall do Azure de forma centralizada.A custom policy enables enterprises to define Azure Firewall policies centrally. As empresas estão no controle da definição de regras e prioridade para atender aos seus requisitos de roteamento de tráfego de rede.Enterprises are in control of defining rules and priority to meet their network traffic routing requirements. Ao definir as políticas de firewall centralmente, as empresas podem aplicá-las à WAN virtual do Azure ou ao Hub do Azure e à topologia de rede do spoke dependendo das necessidades.By defining firewall policies centrally, enterprises can apply them to either Azure Virtual WAN or Azure Hub and Spoke Networking topology depending upon needs.

  • Provisionar a topologia de rede de Hub e spokeProvision Hub and Spoke Network topology

    À medida que mais cargas de trabalho começam a ser implantadas no Azure, elas começam a usar um conjunto comum de serviços, como firewall, gateways de VPN, etc. Se não for cuidadosamente planejado, a implantação de serviços comuns será replicada por implantação de aplicativo, resultando não apenas em custos desnecessários, mas também na sobrecarga operacional.As more workloads start to get deployed in Azure, they start to use a common set of services such as Firewall, VPN gateways, etc. If not carefully planned, common services deployment gets replicated per application deployment resulting not only in unnecessary costs but also operational overhead. Em cenários em que a conectividade local é necessária no Azure, a topologia de rede torna-se difícil de manter, pois essa conectividade é estabelecida por implantação de aplicativo.In scenarios where on-premise connectivity is needed from Azure, network topology becomes difficult to maintain as this connectivity is established per application deployment.

    A topologia de rede de Hub e spoke do Azure simplifica as necessidades de conectividade de rede.Azure Hub and Spoke network topology streamlines the network connectivity needs. Uma rede virtual de Hub (VNet) pode hospedar os serviços compartilhados enquanto o spoke VNets pode hospedar recursos do Azure específicos do aplicativo.A Hub Virtual Network (VNet) can host the shared services while spoke VNets can host application-specific Azure resources. Os VNets Hub e spoke são conectados entre si por meio do emparelhamento VNet.Hub and Spoke VNets are connected with each other via VNet Peering. A topologia de rede hub e spoke promove a limpeza de design de rede, gerenciamento mais fácil e otimização de custos.Hub and Spoke network topology promotes clean network design, easier management, and cost optimization.

    Há uma política personalizada que provisiona VNet de Hub com o Firewall do Azure, o gateway de VPN e o gateway de ExpressRoute (ER).There's a custom policy that provisions Hub VNet with Azure Firewall, VPN Gateway, and ExpressRoute (ER) Gateway. As empresas podem configurar todas as opções de firewall, VPN e gateway de ER como parte da atribuição de política.Enterprises can configure all the options for Firewall, VPN, and ER gateway as part of the policy assignment. Essa política simplifica o processo de implantação do Hub do Azure e da topologia de rede do spoke.This policy simplifies the process to deploy Azure Hub and Spoke network topology.

    Outra política personalizada impede que duas redes virtuais (VNets) fiquem emparelhadas umas com as outras, pois podem se comunicar entre si por meio do Hub VNet.Another custom policy prevents two Virtual Networks (VNets) getting peered with each other as they can communicate with each other via Hub VNet. Ao forçar o VNets a se comunicar entre si por meio do Hub, o torna possível controlar e monitorar as conexões de rede.When forcing VNets to communicate with each other through Hub, makes it possible to control and monitor network connections. A topologia de rede é simplificada da perspectiva de manutenção geral também.Network topology is simplified from overall maintenance perspective as well.

  • Provisionar a configuração padrão para Azure MonitorProvision default configuration for Azure Monitor

    Incapacidade de identificar e visualizar a relação entre a plataforma do Azure, os serviços do Azure e os aplicativos do Azure podem resultar em uma interrupção ou o desempenho degradado não será detectado.Inability to identify and visualize relationship between Azure platform, Azure service(s), and Azure application(s) may result into an outage or degraded performance going undetected. A equipe de operações ou suporte pode perder a oportunidade de tomar uma ação corretiva para uma condição específica.Operations or Support team may miss an opportunity to take corrective action to a specific condition. Um aplicativo do Azure pode não se dimensionar para responder a um surto ou Slump na demanda.An Azure application may not scale itself to respond to either surge or slump in the demand.

    Azure Monitor logs junto com o Azure Log Analytics o espaço de trabalho ajudam as empresas a lidar com condições críticas usando alertas.Azure Monitor Logs along with Azure Log Analytics Workspace help enterprises in dealing with critical conditions using Alerts. Azure Monitor logs e Log Analytics espaço de trabalho juntos, capacitar as empresas a visualizar e interagir com um rico conjunto de informações de log por meio de dashboards, pastas de trabalho e Power BI.Azure Monitor Logs and Log Analytics Workspace together, empower enterprises to visualize and interact with rich set of log information through dashboards, workbooks, and Power BI. As empresas podem usar logs de Azure Monitor e Log Analytics espaço de trabalho em conjunto para configurar o dimensionamento automático em VMs para adicionar ou remover instâncias extras automaticamente.Enterprises can use Azure Monitor Logs and Log Analytics Workspace together to configure auto-scaling on VMs to automatically adding or removing extra instances.

    Uma política personalizada ajuda a configurar Log Analytics espaço de trabalho com Azure Monitor.A custom policy helps in configuring Log Analytics Workspace with Azure Monitor. Esta política implanta relatórios de painel predefinidos referidos como Azure Monitor soluções para serviços específicos do Azure, como o banco de dados SQL do Azure ou Azure Active Directory.This policy deploys pre-packaged dashboard reports referred as Azure Monitor Solutions for specific Azure services such as Azure SQL Database or Azure Active Directory. Ele também configura fontes de dados, como métricas de desempenho de VM do Windows e Linux com Azure Monitor.It also configures data sources such as Linux and Windows VM Performance metrics with Azure Monitor.

  • Habilitar o armazenamento e a consulta de logEnable Log Storage and Querying

    Se não for cuidadosamente planejado, as informações de log provenientes de várias fontes são o Azure podem facilmente se tornar difíceis.If not carefully planned, log information coming from multiple sources is Azure can easily become unwieldy. Capturar, armazenar e gerenciar logs pode consumir muitos recursos, tempo e custos.Capturing, storing, and managing logs can consume plenty of resources, time, and costs. A identificação de tendências ou padrões em um longo período de tempo e a grande quantidade de logs podem se tornar desafiadoras.Identifying trends or patterns over a long period of time and over huge amount of logs can become challenging.

    O Azure Log Analytics permite que as empresas armazenem e gerenciem logs de várias fontes com eficiência.Azure Log Analytics enables enterprises to store and manage logs from multiple sources efficiently. Consultar os dados armazenados no Azure Log Analytics para análise de tendências ou de padrões é fácil com o Azure Log Analytics.Querying the data stored in Azure Log Analytics for trend or pattern analysis is easy with Azure Log Analytics. Alertas ou relatórios interativos podem ser criados usando consultas de Log Analytics do Azure.Alerts or interactive reports can be created using Azure Log Analytics queries.

    Há uma política personalizada, que cria o espaço de trabalho Log Analytics do Azure que atua como um repositório para armazenar dados de log.There's a custom policy, which creates Azure Log Analytics Workspace that acts as a repository to store log data. Uma conta de automação do Azure também é criada e vinculada ao espaço de trabalho Log Analytics para automatizar tarefas ou implantar soluções de Azure Monitor, que podem ter dependência no espaço de trabalho Log Analytics.An Azure Automation Account is also created and linked with Log Analytics Workspace for automating tasks or deploying Azure Monitor Solutions, which may have dependency on Log Analytics Workspace. Ele também ajuda na configuração de propriedades, como período de retenção de log, região do Azure, etc.It also helps in configuring properties such as log retention period, Azure region, etc.

  • Provisionar log para servidores Azure-Arc habilitadosProvision logging for Azure-Arc enabled servers

    Com os imóveis de ti abrangendo várias nuvens, sites locais e escritórios de borda, muitas empresas podem estar lutando para gerenciar e administrar servidores, que estão espalhados entre ambientes e locais geográficos.With IT estates spanning multiple clouds, on-premise sites and edge locations, many enterprises may be struggling to manage and govern servers, which are scattered across environments and geographic locations. O uso de inúmeros produtos para monitorar servidores pode ser uma experiência dissonante.Using multitude of products to monitor servers can be a jarring experience. A colocação de servidores em vários ambientes em uma única solução de gerenciamento de identidade e acesso unificada pode ser desafiadora para ser configurada e gerenciada.Putting servers in multiple environments under a single unified access and identity management solution can be challenging to set up and manage.

    O arco do Azure simplifica a governança e o gerenciamento de recursos, como servidores, clusters kubernetes e serviços de dados em ambientes heterogêneos.Azure Arc simplifies governance and management of resources such as servers, kubernetes clusters, and data services across heterogeneous environments. Ao projetar recursos híbridos como recursos nativos do Azure, o Arc do Azure fornece um único painel de controle para o gerenciamento de recursos nativos e híbridos.By projecting hybrid resources as native Azure resources, Azure Arc provides a single pane of control for management of native and hybrid resources. O Arc do Azure traz recursos nativos e híbridos em uma única solução RBAC unificada.Azure Arc brings native and hybrid resources under a single unified RBAC solution.

    Um par de políticas personalizadas ajuda as empresas a configurar o agente de Log Analytics no Azure com o Linux & servidores Windows habilitados.A pair of custom policies helps enterprises setting up Log Analytics agent on Azure Arc enabled Linux & Windows servers. Um espaço de trabalho Log Analytics também é configurado para armazenar e gerenciar logs.A Log Analytics Workspace is also configured to store and manage logs. Quando atribuído com êxito, a política retorna o nome do (s) servidor (es) dentro do escopo da política, que é configurado com Log Analytics agente.When assigned successfully, policy returns the name of server(s) within the scope of policy, which is configured with Log Analytics agent on it.

  • Impor coleta de log de tráfego de redeEnforce Network Traffic Log collection

    Enquanto a rede virtual do Azure (VNet) e a sub-rede fornecem um limite de rede privada lógica, ainda é essencial monitorar o tráfego de rede no Azure.While Azure Virtual Network (VNet) and Subnet provide a logical private network boundary, it is still essential to monitor the network traffic in Azure. Sem o monitoramento adequado da rede, as empresas são expostas ao risco de tráfego indesejado ou desconhecido vindo às redes do Azure de endereços IP comprometidos.Without proper network monitoring, enterprises are exposed to the risk of undesired or unknown traffic coming to Azure networks from compromised IP addresses. Torna-se desafiador provisionar capacidade extra para qualquer aumento no tráfego de rede sem compreender o tráfego atual.It becomes challenging to provision extra capacity for any increase in the network traffic without understanding the current traffic.

    O observador de rede do Azure fornece uma maneira de monitorar e, se necessário, reparar qualquer problema de rede relacionado aos serviços de IaaS no Azure.Azure Network Watcher provides a way to monitor and if necessary repair any network issue related to IaaS services in Azure. Os logs de fluxo do NSG (grupo de segurança de rede) fornecem uma maneira de capturar informações sobre o tráfego de rede atravessando o NSG.Network Security Group (NSG) flow logs provides a way to capture information about network traffic traversing through NSG. As empresas podem se beneficiar da análise de tráfego & padrões, prever necessidades de capacidade futuras e impor a conformidade com as políticas de governança corporativa.Enterprises can benefit from traffic analysis & patterns, forecast future capacity needs and enforce compliance against corporate governance policies.

    Há uma política personalizada, que ajuda a configurar logs de fluxo NSG do observador de rede do Azure.There is a custom policy, which helps in setting up Azure Network Watcher NSG flow logs. Uma conta de armazenamento do Azure é provisionada como repositório para armazenar logs de fluxo de NSG.An Azure Storage Account is provisioned as repository to store NSG flow logs. Essa política também configura o período de retenção para armazenar os logs de fluxo do NSG.This policy also configuring the retention period to store the NSG flow logs.

  • Provisionar solução de conectividade de rede em escalaProvision at-scale network connectivity solution

    Os requisitos de conectividade de rede para uma empresa podem ser complexos.Network connectivity requirements for an enterprise can be complex. As solicitações constantes para adicionar novos sites, dispositivos e usuários à rede em constante expansão são muito desafiadoras de provisionar e gerenciar.Constant requests for adding New sites, devices, and users to ever-expanding network are very challenging to provision and manage. A largura de banda de rede e as demandas de taxa de transferência por vários pontos de toque em uma empresa podem ser muito exigentes.Network bandwidth and throughput demands by multiple touch-points within an enterprise can be very demanding.

    A WAN virtual do Azure (vWAN) é um serviço de rede de nível empresarial destinado a resolver desafios de conectividade de qualquer para qualquer.Azure Virtual WAN (vWAN) is an enterprise-grade network service aimed towards addressing any-to-any connectivity challenges. O Azure vWAN fornece maior taxa de transferência agregada com conectividade de rede.Azure vWAN provides higher aggregate throughput with network connectivity. Ele fornece roteamento ideal sobre o backbone do Azure e uma experiência de gerenciamento unificada do Azure.It provides optimal routing over Azure backbone and a unified management experience from Azure.

    Uma política personalizada permite configurar um vWAN do Azure.A custom policy enables setting up an Azure vWAN. Essa política ajuda a provisionar o Hub vWAN do Azure dentro do vWAN.This policy helps in provisioning Azure vWAN hub inside vWAN. As empresas podem implantar um hub virtual, que atua como um ponto central para conexões de várias origens e destinos.Enterprises can deploy a Virtual Hub, which acts as a central point for connections from multiple sources and destinations. O ExpressRoute, gateways de VPN e o Firewall do Azure também são provisionados para resolver requisitos de conectividade de rede para qualquer um.ExpressRoute, VPN gateways and Azure Firewall is also provisioned to address any-to-any network connectivity requirements.

  • Provisionar backup para VMs do AzureProvision backup for Azure VMs

    À medida que a adoção de nuvem aumenta, os desafios empresariais enfrentam a garantia de que as cargas de trabalho em execução no Azure sejam submetidas a backup.As cloud adoption increases, enterprise face challenges of ensuring that workloads running in Azure are backed up. O modelo de suporte de ti convencional em que o desenvolvimento de aplicativos e as operações de ti são gerenciados por equipes separadas, às vezes deixa a porta aberta para uma propriedade inclara dos backups de VM.Conventional IT support model where app development and IT operations are managed by separate Teams, sometimes leaves the door open for unclear ownership of VM backups. Em um cenário intencional ou não intencional, que exige backups de VM para a restauração de carga de trabalho, o processo de backup ausente pode resultar em consequências dispendiosas.In either intentional or unintentional scenario, which requires VM backups for workload restoration, missing backup process can result in costly consequences.

    O backup do Azure fornece uma opção direta, fácil e integrada para fazer backup de VMs em execução no Azure ou em sites locais.Azure Backup provides a seamless, easy, and integrated option for backing up VMs running either in Azure or in on-premise sites. O backup do Azure usa o armazenamento de escala de nuvem e libera as empresas de ter que adquirir e gerenciar constantemente o armazenamento necessário para backups.Azure Backup uses cloud scale storage and frees enterprises from having to constantly procure and manage storage needed for backups. O backup do Azure fornece um repositório para armazenar dados com segurança em trânsito e em repouso.Azure Backup provides a repository to store data securely in transit and at-rest.

    Há uma política personalizada que configura automaticamente a proteção de backup do Azure para VMs Windows e Linux.There is a custom policy that automatically configures Azure backup protection for Windows and Linux VMs. Um cofre do serviço de recuperação está configurado para armazenar o backup, que armazena dados com segurança e fornece proteção contra exclusão mal-intencionada de backup por meio de exclusão reversível.A Recovery Service Vault is configured for storing backup, which securely stores data and provides protection against malicious deletion of backup through soft delete. Uma política de backup padrão é criada e atribuída com valores pré-configurados para agendamento de backup, período de retenção de backup, etc.A default backup policy is created and assigned with pre-configured values for backup schedule, backup retention period, etc.

  • Provisionar conectividade entre redes virtuais (VNets)Provision connectivity between Virtual Networks (VNets)

    É comum ter cargas de trabalho espalhadas por várias assinaturas ou redes virtuais (VNets) em uma empresa.It is common to have workloads scattered across multiple subscriptions or virtual networks (VNets) in an enterprise. Sem uma conectividade de rede dedicada e segura entre eles, os aplicativos de negócios críticos terão dificuldades com a troca de dados.Without a dedicated and secure network connectivity between them, critical business applications will struggle with data exchange. Uma conectividade de rede baseada na Internet irá representar desempenho e largura de banda de rede inconsistente.An internet-based network connectivity will pose inconsistent network bandwidth and performance. Uma possível latência de rede alta pode afetar a experiência do usuário de forma adversa.Potential high network latency may impact user experience adversely.

    O emparelhamento de rede virtual do Azure fornece conectividade de rede entre duas redes virtuais (VNets) pela rede de backbone da Microsoft.Azure Virtual Network Peering provides network connectivity between two virtual networks (VNets) over Microsoft backbone network. O emparelhamento do Azure permite conectividade de rede de baixa latência e alta largura de banda.Azure Peering enables high-bandwidth low-latency network connectivity. Os dados podem ser trocados com segurança entre assinaturas do Azure, locatários ou regiões do Azure separados.Data can be exchanged securely between separate Azure subscriptions, tenants, or Azure regions.

    Uma política personalizada fornece um modelo para configurar o emparelhamento de rede virtual.A custom policy provides a template for setting up Virtual Network Peering. Um layout de rede expresso na definição de modelo ARM pode ser passado como um parâmetro.A network layout expressed in ARM template definition can be passed as a parameter. Essa política criará redes virtuais e configurará o emparelhamento VNet entre eles juntamente com dependências como NSG, UDR, etc.This policy will spin up Virtual Networks and configure VNet Peering between them along with dependencies such as NSG, UDR, etc.

  • Impor VMs do Windows para ingressar no domínio do ADEnforce Windows VMs to join AD Domain

    As empresas têm usado VMs ingressadas no domínio para uma experiência de gerenciamento consistente.Enterprises have been using domain joined VMs for a consistent management experience. Quando operações como política de senha corporativa, autenticação central, etc. são criadas como parte das políticas de domínio, uma VM que não ingressa no domínio, é exposta a riscos como senha fraca, incapacidade de se conectar a dispositivos corporativos, aplicativos etc.When operations such as corporate password policy, central authentication, etc. are created as part of domain policies, a VM that does not join the domain, is exposed to risks such as weak password, inability to connect with corporate devices, applications, etc. Aplicativos herdados que dependem de protocolos de autenticação como NTLM, Kerberos podem enfrentar problemas de autenticação quando implantados em VMs que não ingressaram no domínio.Legacy applications that rely upon authentication protocols such as NTLM, Kerberos may face authentication issues when deployed on VMs that are not domain joined.

    O Azure fornece soluções gerenciadas e não gerenciadas para a implementação de serviços de domínio.Azure provides managed as well as unmanaged solutions for implementing domain services. Com o autogerenciado Active Directory Domain Services (AD DS) no Azure, as empresas obtêm controle total sobre a configuração, a configuração e as operações, como em um ambiente local.With self-managed Active Directory Domain Services (AD DS) in Azure, enterprises get complete control on the setup, configuration, and operations same as in an on-premise environment. O AAD DS (Azure Active Directory Domain Service) retira toda a sobrecarga de gerenciamento das empresas e ainda fornece serviços de domínio essenciais.Azure Active Directory Domain Service (AAD DS) takes away all the management overhead away from enterprises while still providing essential domain services.

    Uma política personalizada que garante que qualquer VM do Windows recém-criada ingresse automaticamente no domínio.A custom policy that ensures any newly created Windows VM automatically joins the domain. Uma extensão- JsonADDomainExtension -é implantada na VM que usa outras definições de configuração, como username, Domain, OUPath, etc., para garantir que a VM ingresse no domínio especificado.An extension - JsonADDomainExtension - is deployed on the VM that uses other configuration settings such as username, domain, OUPath, etc. to ensure that VM joins the specified domain. Essa política usa o Azure keyvault para gerenciar informações confidenciais, como nome de usuário e senha de domínio.This policy uses Azure KeyVault to manage confidential information such as domain username and password.