Руководство по организации системы управления для стандартных предприятийStandard enterprise governance guide

Обзор рекомендацийOverview of best practices

Руководство по организации системы управления построено на примере вымышленной компании на различных этапах развития системы управления.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Сведения основаны на реальных сценариях взаимодействия с клиентом.It is based on real customer experiences. Рекомендации основаны на ограничениях и потребностях вымышленной компании.The best practices are based on the constraints and needs of the fictional company.

Чтобы предоставить вам быструю отправную точку, в этом обзоре определен минимально жизнеспособный продукт (MVP) системы управления, основанный на рекомендациях.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Здесь также содержатся ссылки на данные об улучшении системы управления, которые позволяют получить рекомендации по мере возникновения новых бизнес-рисков или технических рисков.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Warning

Этот MVP — это базовая начальная точка, для которой учитываются определенные допущения.This MVP is a baseline starting point, based on a set of assumptions. Даже этот минимальный набор рекомендаций основывается на корпоративных политиках, созданных с учетом уникальных бизнес-рисков и допустимых рисков.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Чтобы понять, относятся ли эти предположения к вам, ознакомьтесь с подробным описанием, относящимся к этой статье.To see if these assumptions apply to you, read the longer narrative that follows this article.

Рекомендации по реализации системы управленияGovernance best practices

Эти рекомендации помогут организациям быстро и согласованно добавлять в подписки Azure средства защиты, предлагаемые системой управления.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across your subscriptions.

Организация ресурсовResource organization

В примере ниже показана иерархия MVP системы управления для организации ресурсов.The following diagram shows the governance MVP hierarchy for organizing resources.

Схема организации ресурсов

Каждое приложение необходимо развернуть в соответствующей области иерархии группы управления, подписки и группы ресурсов.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Во время планирования развертывания команда по управлению облачными решениями создаст в иерархии необходимые узлы для работы команд по внедрению облачных решений.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Группа управления для каждого типа среды (например, рабочая среда, среда разработки и тестирования).One management group for each type of environment (such as production, development, and test).
  2. Две подписки: для рабочей и нерабочей рабочих нагрузок.Two subscriptions, one for production workloads and another for nonproduction workloads.
  3. На каждом уровне иерархии группирования должна применяться согласованная номенклатура.Consistent nomenclature should be applied at each level of this grouping hierarchy.
  4. Группы ресурсов следует развертывать способом, который учитывает особенности жизненного цикла ее содержимого: развертывание активов, управление ими и прекращение использования должно осуществляться в комплексе.Resource groups should be deployed in a manner that considers its contents lifecycle: everything that is developed together, is managed together, and retires together goes together. Рекомендации по использованию групп ресурсов можно найти здесь.For more information about resource group best practices, see here.
  5. Очень важно выбрать правильный регион. Мы рекомендуем выбирать регион так, чтобы вы имели доступ к сетевым ресурсам, средствам мониторинга и аудита в процессе отработки отказа или восстановления размещения, а также чтобы нужные SKU были доступны в предпочтительных регионах.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Ниже приведен пример использования этого шаблона:Here is an example of this pattern in use:

Пример организации ресурсов в компании среднего размера

Эти шаблоны предоставляют пространство для роста без лишних усложнений иерархии.These patterns provide room for growth without complicating the hierarchy unnecessarily.

Note

Если бизнес-требования вашей организации изменятся, группы управления Azure помогут вам без усилий реогранизовать иерархию управления и назначения групп подписок.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Но при этом имейте в виду, что назначенные группе управления роли и политики наследуются всеми дочерними подписками этой группы в иерархии.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Если вы планируете переназначить подписки другим группам управления, тщательно изучите все возможные изменения политик и ролей.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Дополнительные сведения см. в документации по группам управления Azure.See the Azure management groups documentation for more information.

Система управления ресурсамиGovernance of resources

Набор глобальных политик и ролей RBAC предоставит минимальный уровень контроля за системой управления.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Для реализации MVP системы управления нужно выполнить ряд задач в соответствии с требованиями политик, определяемых командой облачного управления.To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Задайте пользовательские определения Политики Azure, требуемые для соблюдения бизнес-требований.Identify the Azure Policy definitions needed to enforce business requirements. Вы можете использовать встроенные определения или создать новые пользовательские определения.This can include using built-in definitions and creating new custom definitions.
  2. Создайте определение схемы на основе этих встроенных и пользовательских политик и назначений ролей в соответствии с требованиями MVP системы управления.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Примените политики и конфигурации глобально, назначив определение схемы всем подпискам.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Использование определений политикIdentify policy definitions

Azure предлагает несколько встроенных определений для политик и ролей, которые можно назначить любой группе управления, подписке или группе ресурсов.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Многие распространенные требования к системе управления могут обрабатываться с использованием встроенных определений.Many common governance requirements can be handled using built-in definitions. При этом вполне вероятно, что вам также нужно будет создать пользовательские определения политик для обработки своих требований.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Пользовательские определения политик сохраняются в группе управления или в подписке, а затем наследуются по иерархии групп управления.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Если определение политики сохранено в группе управления, это определение политики можно назначить любой из групп управления или подписок, дочерних для этой группы.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Так как политики, требуемые для поддержки MVP системы управления, должны применяться ко всем текущим подпискам, с использованием комбинации встроенных и пользовательских определений, созданных в корневой группе управления, будут реализованы приведенные ниже бизнес-требования.Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Ограничение списка доступных назначений ролей набором встроенных ролей Azure, утвержденных командой управления облаком.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. Для этого требуется определение пользовательской политики.This requires a custom policy definition.
  2. Обязательное использование следующих тегов для всех ресурсов: отдел и единица измерения для выставления счетов, географический регион, тип классификации данных, уровень важности, соглашение об уровне обслуживания, тип среды, архетип приложения, имя приложения и владелец приложения.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Это можно сделать, используя встроенное определение Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Обязательное использование одного имени для тега ресурсов Application и соответствующей группы ресурсов.Require that the Application tag for resources should match the name of the relevant resource group. Это можно сделать, используя встроенное определение, требующее использовать указанный тег и его значение.This can be handled using the "Require tag and its value" built-in definition.

Подробные сведения об определении пользовательских политик см. в документации по Политике Azure.For information on defining custom policies see the Azure Policy documentation. Рекомендации и примеры использования пользовательских политик вы найдете на сайте примеров Политик Azure и в соответствующем репозитории GitHub.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Назначение ролей Политики Azure и RBAC с помощью Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

Политики Azure можно назначить на уровне группы ресурсов, подписки и группы управления, а также включить в определения Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Хотя требования политик, определенные в этой системе управления с минимальной функциональностью, применяются для всех текущих подписок, для будущих развертываний, скорее всего, потребуются исключения или альтернативные политики.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. То есть назначение политики с помощью группы управления, в которой все дочерние подписки наследуют это назначение, может оказаться недостаточно гибким для новых сценариев.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Служба Azure Blueprints помогает согласованно назначать политики и роли, применять шаблоны Resource Manager и развертывать группы ресурсов в нескольких подписках.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Как и определения политик, определения схем сохраняются в группах управления или подписках.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. Определения политик доступны путем наследования любыми дочерними элементами в иерархии группы управления.The policy definitions are available through inheritance to any children in the management group hierarchy.

Команда управления облаком постановила, что применение требуемых назначений Политики Azure и RBAC для подписок будет выполняться через Azure Blueprints и связанные артефакты:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. В корневой группе управления создайте определение схемы с именем governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Добавьте в это определение схемы следующие артефакты схемы:Add the following blueprint artifacts to the blueprint definition:
    1. Назначения политик для пользовательских определений Политики Azure, определенные в корневой группе управления.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Определения всех групп ресурсов, которые потребуются в подписках, созданных или управляемых через систему управления с минимальной функциональностью.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Стандартные назначения ролей, которые потребуются в подписках, созданных или управляемых через систему управления с минимальной функциональностью.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Опубликуйте определение схемы.Publish the blueprint definition.
  4. Назначьте определения схемы governance-baseline всем подпискам.Assign the governance-baseline blueprint definition to all subscriptions.

Подробные сведения о создании и использовании определений схем вы найдете в документации по Azure Blueprints.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Использование защищенной гибридной виртуальной сетиSecure hybrid VNet

Определенные подписки часто требуют определенный уровень доступа к локальным ресурсам.Specific subscriptions often require some level of access to on-premises resources. Это типично для сценариев миграции или разработки, в которых зависимые ресурсы находятся в локальном центре обработки данных.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Пока не установлено отношение доверия в облачной среде, важно строго контролировать и отслеживать все допустимые взаимодействия между локальной средой и облачными рабочими нагрузками, а также обеспечить защиту локальной сети от потенциального несанкционированного доступа облачных ресурсов.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Чтобы реализовать поддержку таких сценариев, система управления с минимальной функциональностью включает следующие рекомендации:To support these scenarios, the governance MVP adds the following best practices:

  1. Настройте защищенную гибридную облачную виртуальную сеть.Establish a cloud secure hybrid VNet.
    1. Эталонная архитектура VPN определяет шаблон и модель развертывания для создания VPN-шлюза в Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Убедитесь, что локальные механизмы управления безопасностью и трафиком не распознают подключенные облачные сети как ненадежные.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Размещенные в облаке ресурсы и службы должны иметь доступ только к утвержденным локальным службам.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Убедитесь, что пограничное устройство в локальном центре обработки данных совместимо с требованиями для VPN-шлюза Azure и имеет выход в общедоступный Интернет.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Обратите внимание, что туннели VPN можно использовать в качестве рабочих каналов только с самыми простыми рабочими нагрузками.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Если в вашей среде выполняются не только простые рабочие нагрузки с локальными подключениями, используйте Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. В корневой группе управления создайте второе определение схемы с именем secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Добавьте шаблон Resource Manager для VPN-шлюза в качестве артефакта к такому определению схемы.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Добавьте шаблон Resource Manager для виртуальной сети в качестве артефакта к такому определению схемы.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Опубликуйте определение схемы.Publish the blueprint definition.
  3. Назначьте определение схемы secure-hybrid-vnet всем подпискам, которым нужно подключение к локальной среде.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Это определение назначается в дополнение к определению схемы governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Одной из самых больших проблем, с которой сталкиваются специалисты по ИТ-безопасности и команды традиционного управления, является риск компрометации существующих ресурсов на ранних этапах миграции.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. Вышеуказанный подход позволяет группам по внедрению облачных технологий создавать и переносить гибридные решения с меньшим риском для локальных ресурсов.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. По мере роста доверия в облачной среде вы можете позднее отказаться от этого временного решения.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Note

Вышесказанное является отправной точкой для быстрого создания базового MVP системы управления.The above is a starting point to quickly create a baseline governance MVP. Это только начало пути системы управления.This is only the beginning of the governance journey. Необходима дальнейшая эволюция, так как компания продолжает внедрять облако и берет на себя больший риск в следующих областях:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • критически важные рабочие нагрузки;Mission-critical workloads
  • защищенные данные;Protected data
  • управления затратами;Cost management
  • сценарии с несколькими облаками.Multicloud scenarios

Более того, конкретные детали этого продукта с минимальной функциональностью основаны на примере вымышленной компании, путь который описан в следующих статьях.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Мы настоятельно рекомендуем ознакомиться с другими статьями этой серии перед реализацией этой рекомендации.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Итеративное улучшение системы управленияIterative governance improvements

После развертывания MVP в среду можно быстро интегрировать дополнительные уровни управления.Once this MVP has been deployed, additional layers of governance can be incorporated into the environment quickly. Ниже описаны некоторые способы улучшения MVP в соответствии с потребностями конкретной организации:Here are some ways to improve the MVP to meet specific business needs:

Что предоставляет это руководство?What does this guidance provide?

В MVP устанавливаются рекомендации и средства дисциплины ускорения развертывания, которые позволяют быстро применять корпоративную политику.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. В частности MVP использует Azure Blueprints, Политику Azure и группы управления Azure для применения нескольких основных корпоративных политик, как определено в описании этой вымышленной компании.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Эти корпоративные политики применяются с использованием шаблонов Resource Manager и политик Azure для определения основных минимальных показателей идентификации и безопасности.Those corporate policies are applied using Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Пример минимально жизнеспособного продукта для системы управления инкрементальной модели

Поэтапное улучшение методик управленияIncremental improvement of governance practices

Со временем MVP системы управления будет использоваться для усовершенствования рекомендаций по ее организации.Over time, this governance MVP will be used to improve governance practices. По мере внедрения растут риски для бизнеса.As adoption advances, business risk grows. Для снижения этих рисков мы будем вносить изменения в разные аспекты моделей системы управления Cloud Adoption Framework.Various disciplines within the Cloud Adoption Framework governance model will change to manage those risks. В более поздних статьях этой серии рассматривается добавочное улучшение корпоративной политики, влияющей на вымышленную компанию.Later articles in this series discuss the incremental improvement of corporate policy affecting the fictional company. Это улучшение осуществляется в трех различных дисциплинах:These improvements happen across three disciplines:

  • "Управление затратами" по мере масштабирования внедрения.Cost management, as adoption scales.
  • "Базовые средства безопасности" по мере развертывания защищенных данных.Security baseline, as protected data is deployed.
  • "Согласованность ресурсов" по мере поддержки критически важных рабочих нагрузок отделом ИТ-операций.Resource consistency, as IT operations begins supporting mission-critical workloads.

Пример минимально жизнеспособного продукта для системы управления инкрементальной модели

Дальнейшие действияNext steps

Теперь, когда вы знакомы с минимально жизнеспособным продуктом для системы управления и имеете представление об улучшении системы управления, ознакомьтесь с контекстуальными сведениями в дополнительной статье.Now that you're familiar with the governance MVP and have an idea of the governance improvements to follow, read the supporting narrative for additional context.