Руководство по принудительному применению политикPolicy enforcement decision guide

Определение корпоративной политики — это неэффективный процесс, если вы не можете применить ее в организации.Defining organizational policy is not effective unless it can be enforced across your organization. При планировании любой миграции в облако крайне важно определить оптимальное сочетание средств, предоставляемых облачной платформой, и существующих ИТ-процессов для обеспечения максимального соответствия политике во всем облаке.A key aspect of planning any cloud migration is determining how best to combine tools provided by the cloud platform with your existing IT processes to maximize policy compliance across your entire cloud estate.

Схема вариантов принудительного использования политик, отсортированных в порядке увеличения сложности, со ссылками для быстрого перехода

Перейти к разделу: Рекомендуемая практика по базовым показателям | Мониторинг соблюдения политики | Применение политик | Политика для совместной работы между организациями | Автоматическое применениеJump to: Baseline best practices | Policy compliance monitoring | Policy enforcement | Cross-organization policy | Automated enforcement

По мере роста облачных ресурсов возникает необходимость поддерживать и применять политику в отношении большего числа ресурсов и подписок.As your cloud estate grows, you will be faced with a corresponding need to maintain and enforce policy across a larger array of resources, and subscriptions. Увеличение числа активов и усложнение требований в организации требует расширять область действия процессов применения политик, чтобы гарантировать согласованное применение политики и быстрое обнаружение нарушений.As your estate gets larger and your organization's policy requirements increase, the scope of your policy enforcement processes needs to expand to ensure consistent policy adherence and fast violation detection.

Предоставленных платформой механизмов применения политик на уровне ресурсов или подписок обычно хватает для небольших облачных активов.Platform-provided policy enforcement mechanisms at the resource or subscription level are usually sufficient for smaller cloud estates. Для более крупных развертываний с более широкой областью применения могут потребоваться более сложные механизмы, включающие стандарты развертывания, группировку и организацию ресурсов, а также интеграцию применения политик с системами ведения журналов и отчетности.Larger deployments justify a larger enforcement scope and may need to take advantage of more sophisticated enforcement mechanisms involving deployment standards, resource grouping and organization, and integrating policy enforcement with your logging and reporting systems.

Основные факторы при определении области действия для процессов применения политики — это действующие для организации нормативные требования к облаку, размер и характер облачных активов, а также зависимость схемы подписок от структуры организации.The primary factors in determining the scope of your policy enforcement processes is your organization's cloud governance requirements, the size and nature of your cloud estate, and how your organization is reflected in your subscription design. Увеличение размера активов или повышение необходимости в централизованном управлении применением политик могут стать основанием для увеличения области применения.An increase in size of your estate or a greater need to centrally manage policy enforcement can both justify an increase in enforcement scope.

Рекомендуемая практика по базовым показателямBaseline best practices

Для одиночной подписки и простых облачных развертываний многие корпоративные политики можно реализовать на основе встроенных возможностей ресурсов и подписок Azure.For single subscription and simple cloud deployments, many corporate policies can be enforced using features that are native to resources and subscriptions in Azure. Единообразное использование шаблонов, которые обсуждаются в руководствах по принятию решений Cloud Adoption Framework, поможет создать базовый уровень соответствия политикам без определенных инвестиций.The consistent use of the patterns discussed throughout the Cloud Adoption Framework decision guides can help establish a baseline level of policy compliance without specific investment in policy enforcement. Эти функции включают в себя следующие:These features include:

Начните планирование применения облачной политики, изучив, как применение стандартных шаблонов, описанных в этих руководствах, может помочь удовлетворить требования организации.Start your cloud policy enforcement planning by examining how the application of the standard patterns discussed throughout these guides can help meet your organizational requirements.

Отслеживание соответствия нормативным требованиямPolicy compliance monitoring

Первым шагом, выходящим за пределы стандартных возможностей платформы Azure по применению политик, будет возможность проверки соблюдения политики организации для облачных приложений и служб.A first step beyond simply relying on the policy enforcement mechanisms provided by the Azure platform is ensuring ability to verify cloud-based applications and services comply with organizational policy. Сюда входят возможности уведомления ответственных лиц о нарушении политик для некоторого ресурса.This includes implementing notification capabilities for alerting responsible parties if a resource becomes noncompliant. Эффективное ведение журнала и отчетность о состоянии соответствия облачных рабочих нагрузок является важной частью стратегии применения корпоративной политики.Effective logging and reporting of the compliance status of your cloud workloads is a critical part of a corporate policy enforcement strategy.

По мере роста облачных ресурсов дополнительные средства, такие как Центр безопасности Azure, могут обеспечивать интегрированную безопасность и обнаружение угроз, а также применять централизованное управление политиками и оповещения для локальных и облачных ресурсов.As your cloud estate grows, additional tools such as Azure Security Center can provide integrated security and threat detection, and help apply centralized policy management and alerting for both your on-premises and cloud assets.

Принудительное применение политикиPolicy enforcement

Чтобы обеспечить соблюдение политики, в Azure можно применить параметры конфигурации и правила создания ресурсов на уровне группы управления, подписки или группы ресурсов.In Azure, you can apply configuration settings and resource creation rules at the management group, subscription, or resource group level to help ensure policy alignment.

Политика Azure — это служба Azure для создания, назначения политик и управления ими.Azure Policy is an Azure service for creating, assigning, and managing policies. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, что обеспечивает соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания.These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements. Служба "Политика Azure" оценивает ресурсы на предмет несоответствия назначенным политикам.Azure Policy evaluates your resources for noncompliance with assigned policies. Например, может потребоваться ограничить размер SKU виртуальных машин в среде.For example, you might want to limit the SKU size of virtual machines in your environment. После реализации этой политики новые и имеющиеся ресурсы будут оцениваться на предмет соответствия.After implementing a corresponding policy, new and existing resources are evaluated for compliance. При правильном типе политики имеющиеся ресурсы могут быть приведены в соответствие.With the right policy, existing resources can be brought into compliance.

Политики между организациямиCross-organization policy

Когда для облачных активов потребуется большое число подписок, для применения политик ко всем этим подпискам потребуется единая стратегия в масштабе всей облачной системы.As your cloud estate grows to span many subscriptions that require enforcement, you will need to focus on a cloud-estate-wide enforcement strategy to ensure policy consistency.

Схема подписок должна учитывать политику в отношении структуры организации.Your subscription design must account for policy in relation to your organizational structure. Помимо поддержки сложной организации в рамках проекта подписки группы управления Azure можно использовать для назначения правил политики Azure нескольким подпискам.In addition to helping support complex organization within your subscription design, Azure management groups can be used to assign Azure Policy rules across multiple subscriptions.

Автоматизированное принудительное выполнениеAutomated enforcement

Хотя стандартизированные шаблоны развертывания эффективны в меньших масштабах, Azure Blueprints позволяет выполнять крупномасштабную стандартизированную подготовку и оркестрацию развертывания решений Azure.While standardized deployment templates are effective at a smaller scale, Azure Blueprints allows large-scale standardized provisioning and deployment orchestration of Azure solutions. Рабочие нагрузки в нескольких подписках можно развертывать с согласованными параметрами политики для любых созданных ресурсов.Workloads across multiple subscriptions can be deployed with consistent policy settings for any resources created.

Для ИТ-сред, интегрирующих облачные и локальные ресурсы, может потребоваться использование систем ведения журналов и создания отчетов, чтобы обеспечить гибридные возможности мониторинга.For IT environments integrating cloud and on-premises resources, you may need use logging and reporting systems to provide hybrid monitoring capabilities. Ваши сторонние или пользовательские системы оперативного мониторинга могут предложить дополнительные возможности применения политик.Your third-party or custom operational monitoring systems may offer additional policy enforcement capabilities. Для более крупных и развитых облачных систем рассмотрите возможности интегрировать эти системы с облачными ресурсами.For larger or more mature cloud estates, consider how best to integrate these systems with your cloud assets.

Дальнейшие действияNext steps

Применение политики — один из базовых компонентов инфраструктуры, решение о котором необходимо принять на этапе внедрения облачных решений.Policy enforcement is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. См. обзор руководств по принятию решений об архитектуре, чтобы узнать об альтернативных шаблонах или моделях, используемых с другими типами инфраструктуры.Visit the architectural decision guides overview to learn about alternative patterns or models used when making design decisions for other types of infrastructure.