Стандартное руководство по корпоративному управлению: рекомендацииStandard enterprise governance guide: Best practices explained

Руководство по управлению начинается с набора начальных корпоративных политик.The governance guide starts with a set of initial corporate policies. Эти политики используются для создания MVP (продукт с минимальным функционалом) управления, который соответствует лучшим методикам.These policies are used to establish a governance MVP that reflects best practices.

В этой статье мы обсудим общие стратегии, необходимые для создания MVP управления.In this article, we discuss the high-level strategies that are required to create a governance MVP. Основой MVP по управлению является ускорение развертывания.The core of the governance MVP is the Deployment Acceleration discipline. Средства и шаблоны, применяемые на этом этапе, позволяют выполнять добавочные улучшения, необходимые для расширения системы управления в будущем.The tools and patterns applied at this stage will enable the incremental improvements needed to expand governance in the future.

MVP по управлению (начальная система управления)Governance MVP (initial governance foundation)

Быстрое внедрение системы управления и корпоративной политики возможно благодаря нескольким простым принципам и инструментам управления в облаке.Rapid adoption of governance and corporate policy is achievable, thanks to a few simple principles and cloud-based governance tooling. Это первые три дисциплины для подхода в любом процессе управления.These are the first three disciplines to approach in any governance process. Каждое дисциплина будет рассмотрено далее в этой статье.Each discipline will be further described in this article.

Чтобы установить начальную точку, в этой статье обсуждаются высокоуровневые стратегии, лежащие в основе планов безопасности, базовых показателей и ускорения развертывания, которые необходимы для создания специалиста MVP по управлению, который будет служить основой для внедрения.To establish the starting point, this article discusses the high-level strategies behind the Security Baseline, Identity Baseline, and Deployment Acceleration disciplines that are required to create a governance MVP, which will serve as the foundation for all adoption.

Схема с примером минимально жизнеспособного продукта для системы управления инкрементальной модели.

Процесс реализацииImplementation process

Реализация MVP по управлению зависит от удостоверений, безопасности и сети.The implementation of the governance MVP has dependencies on identity, security, and networking. После разрешения зависимостей группа управления облаком будет решать несколько аспектов управления.Once the dependencies are resolved, the cloud governance team will decide a few aspects of governance. Решения из группы по управлению облаком и из вспомогательных групп будут реализованы с помощью одного пакета средств обеспечения безопасности.The decisions from the cloud governance team and from supporting teams will be implemented through a single package of enforcement assets.

Схема, на которой показан процесс реализации MVP по управлению.

Эту реализацию также можно описать с помощью простого контрольного списка:This implementation can also be described using a simple checklist:

  1. Запрос решений о ключевых зависимостях: идентификация, сеть, мониторинг и шифрование.Solicit decisions regarding core dependencies: identity, networking, monitoring, and encryption.
  2. Определите шаблон, который будет использоваться при применении корпоративной политики.Determine the pattern to be used during corporate policy enforcement.
  3. Определите соответствующие шаблоны управления для согласованности ресурсов, тегов ресурсов, а также дисциплин ведения журнала и отчетности.Determine the appropriate governance patterns for the resource consistency, resource tagging, and logging and reporting disciplines.
  4. Реализуйте средства управления, согласованные с выбранным шаблоном применения политик, чтобы применить зависимые решения и решения по управлению.Implement the governance tools aligned to the chosen policy enforcement pattern to apply the dependent decisions and governance decisions.

Зависимые решенияDependent decisions

Следующие решения приходят от команд за пределами группы управления облаком.The following decisions come from teams outside of the cloud governance team. Реализация каждого из них выполняется теми же командами.The implementation of each will come from those same teams. Однако Группа управления облаком отвечает за реализацию решения для проверки того, что эти реализации постоянно применяются.However, the cloud governance team is responsible for implementing a solution to validate that those implementations are consistently applied.

Основные способы идентификацииIdentity Baseline

Основные способы идентификации служат фундаментальной отправной точкой для всех систем управления.Identity Baseline is the fundamental starting point for all governance. Прежде чем применять систему управления, необходимо создать систему идентификации.Before attempting to apply governance, identity must be established. Созданная стратегия идентификации будет применяться во всех решениях для управления.The established identity strategy will then be enforced by the governance solutions. В этом руководство по управлению группой управления удостоверениями реализован шаблон синхронизации службы каталогов :In this governance guide, the Identity Management team implements the Directory Synchronization pattern:

  • RBAC будет предоставляться Azure Active Directory (Azure AD) с помощью синхронизации каталогов или "единого входа", реализованного во время миграции компании в Microsoft 365.RBAC will be provided by Azure Active Directory (Azure AD), using the directory synchronization or "Same Sign-On" that was implemented during company's migration to Microsoft 365. Руководство по реализации см. в описании эталонной архитектуры для интеграции с Azure AD.For implementation guidance, see Reference Architecture for Azure AD Integration.
  • Арендатор Azure AD будет управлять аутентификацией и доступом к ресурсам, развернутым в Azure.The Azure AD tenant will also govern authentication and access for assets deployed to Azure.

На этапе MVP системы управления группа управления применяет для реплицированного клиента инструментарий управления подписками, который обсуждается далее в этой статье.In the governance MVP, the governance team will enforce application of the replicated tenant through subscription governance tooling, discussed later in this article. В будущих итерациях группа управления также может применять расширенные средства в Azure AD для расширения этой возможности.In future iterations, the governance team could also enforce rich tooling in Azure AD to extend this capability.

Базовые показатели безопасности: Сетевые подключенияSecurity Baseline: Networking

Программно-конфигурируемая сеть является важным начальным аспектом для основных способов защиты.Software Defined Network is an important initial aspect of the Security Baseline. Создание MVP управления зависит от решений команды управления безопасностью на раннем этапе, позволяющих безопасно настраивать сети.Establishing the governance MVP depends on early decisions from the Security Management team to define how networks can be safely configured.

Учитывая отсутствие требований, ИТ-безопасность воспроизводится в надежном месте и требует шаблона сети периметра.Given the lack of requirements, IT security is playing it safe and requires a Cloud DMZ pattern. Это означает, что управление развертываниями Azure будет минимальным.That means governance of the Azure deployments themselves will be very light.

  • Подписки Azure могут подключаться к существующему центру обработки данных через VPN, но должны соответствовать всем существующим локальным политикам управления ИТ-ресурсами в отношении подключения сети периметра к защищенным ресурсам.Azure subscriptions may connect to an existing datacenter via VPN, but must follow all existing on-premises IT governance policies regarding connection of a perimeter network to protected resources. Рекомендации по реализации в отношении VPN-подключения см. в статье локальная сеть, подключенная к Azure с помощью VPN-шлюза.For implementation guidance regarding VPN connectivity, see On-premises network connected to Azure using a VPN gateway.
  • Решения по поводу подсети, брандмауэра и маршрутизации в настоящее время доверяются руководителям, ответственным за конкретное приложение или рабочую нагрузку.Decisions regarding subnet, firewall, and routing are currently being deferred to each application/workload lead.
  • Перед предоставлением доступа к любым защищенным данным или критически важным рабочим нагрузкам требуется дополнительный анализ.Additional analysis is required before releasing of any protected data or mission-critical workloads.

В этом шаблоне облачные сети могут подключаться только к локальным ресурсам через существующую VPN-подключение, совместимое с Azure.In this pattern, cloud networks can only connect to on-premises resources over an existing VPN that is compatible with Azure. Трафик по этому подключению будет рассматриваться как трафик, поступающий из сети периметра.Traffic over that connection will be treated like any traffic coming from a perimeter network. Возможно, на пограничном устройстве локальной сети потребуются дополнительные настройки для безопасной обработки трафика из Azure.Additional considerations may be required on the on-premises edge device to securely handle traffic from Azure.

Группа управления облачными клиентами заранее пригласила участников групп по сетям и ИТ – безопасности на регулярные собрания, чтобы свести к вам требования к сети и риски.The cloud governance team has proactively invited members of the networking and IT security teams to regular meetings, in order to stay ahead of networking demands and risks.

Базовые показатели безопасности: шифрованиеSecurity Baseline: Encryption

Шифрование — это еще один фундаментальный аспект, требующий решений в дисциплине основных способов защиты.Encryption is another fundamental decision within the Security Baseline discipline. Так как сейчас компания не хранит в облаке защищенные данные, команда безопасности решила выбрать менее строгий алгоритм шифрования.Because the company currently does not yet store any protected data in the cloud, the Security Team has decided on a less aggressive pattern for encryption. На этом этапе предпочтительнее, но не требуется облачный шаблон для шифрования .At this point, a cloud-native pattern for encryption is suggested but not required of any development team.

  • Требования системы управления в отношении использования шифрования пока отсутствуют, так как действующая корпоративная политика запрещает размещение критически важных или защищенных данных в облаке.No governance requirements have been set regarding the use of encryption, because the current corporate policy does not permit mission-critical or protected data in the cloud.
  • Перед освобождением защищенных данных или критически важных рабочих нагрузок потребуется дополнительный анализ.Additional analysis will be required before releasing any protected data or mission-critical workloads.

Принудительное применение политикPolicy enforcement

Для ускорения развертывания первым делом необходимо выбрать шаблон применения.The first decision to make regarding Deployment Acceleration is the pattern for enforcement. В нашем примере команда управления решила реализовать шаблон автоматического применения.In this narrative, the governance team decided to implement the Automated Enforcement pattern.

  • Специалистам по безопасности и идентификации будет предоставлен доступ к Центру безопасности Azure для мониторинга угроз безопасности.Azure Security Center will be made available to the security and identity teams to monitor security risks. Обе команды также могут использовать центр безопасности для обнаружения новых рисков и улучшения корпоративной политики.Both teams are also likely to use Security Center to identify new risks and improve corporate policy.
  • Механизм RBAC является обязательным для всех подписок, чтобы управлять применением аутентификации.RBAC is required in all subscriptions to govern authentication enforcement.
  • Служба "Политика Azure" будет опубликована для каждой группы управления и применяться ко всем подпискам.Azure Policy will be published to each management group and applied to all subscriptions. Но при этом уровень применяемых политик в начальной версии MVP управления будет крайне ограниченным.However, the level of policies being enforced will be very limited in this initial Governance MVP.
  • Несмотря на применение групп управления Azure иерархия будет относительно простой.Although Azure management groups are being used, a relatively simple hierarchy is expected.
  • Azure Blueprints будет использоваться для развертывания и обновления подписок с применением требований RBAC, шаблонов Resource Manager и Политики Azure в группах управления.Azure Blueprints will be used to deploy and update subscriptions by applying RBAC requirements, Resource Manager Templates, and Azure Policy across management groups.

Применение зависимых шаблоновApply the dependent patterns

Следующие решения определяют, какие шаблоны будут применяться в описанной выше стратегии применения политики.The following decisions represent the patterns to be enforced through the policy enforcement strategy above:

Базовый уровень удостоверений.Identity Baseline. Azure Blueprints будет определять требования RBAC на уровне подписки, чтобы удостоверения были единообразно настроены для всех подписок.Azure Blueprints will set RBAC requirements at a subscription level to ensure that consistent identity is configured for all subscriptions.

Базовые показатели безопасности: Сетевые подключения.Security Baseline: Networking. Группа по управлению облаком поддерживает шаблон диспетчер ресурсов для установления VPN-шлюза между Azure и локальным VPN-устройством.The cloud governance team maintains a Resource Manager template for establishing a VPN gateway between Azure and the on-premises VPN device. Если группе приложений требуется VPN-подключение, Группа управления облаком применит шаблон диспетчер ресурсов шлюза с помощью чертежей Azure.When an application team requires a VPN connection, the cloud governance team will apply the gateway Resource Manager template via Azure Blueprints.

Базовые показатели безопасности: шифрование.Security Baseline: Encryption. На этом этапе в этой области не требуется применение политики.At this point, no policy enforcement is required in this area. Это будет просмотрено в последующих итерациях.This will be revisited during later iterations.

Применение шаблонов, определяемых системой управленияApplication of governance-defined patterns

Группа по управлению облаком отвечает за следующие решения и реализации.The cloud governance team is responsible for the following decisions and implementations. Многие из них нуждаются в вводе из других команд, но группа управления облаком, скорее всего, будет владеть как решением, так и реализацией.Many require inputs from other teams, but the cloud governance team is likely to own both the decision and the implementation. В следующих разделах изложены решения, принятые для данного варианта использования, и подробные сведения о каждом решении.The following sections outline the decisions made for this use case and details of each decision.

Разработка подпискиSubscription design

Решение о том, какая структура подписки будет использоваться, определяет, как организованы подписки Azure и как группы управления Azure будут использоваться для эффективного управления доступом, политиками и соответствием подписок.The decision on what subscription design to use determines how Azure subscriptions get structured and how Azure management groups will be used to efficiently manage access, policies, and compliance of these subscription. В этом руководства группа управления установила подписки для рабочих нагрузок рабочей и непроизводственной подписке " производство-и непроизводство".In this narrative, the governance team has established subscriptions for production and nonproduction workloads production-and-nonproduction subscription design pattern.

  • Подразделения вряд ли потребуются, учитывая нынешнюю направленность.Departments are not likely to be required given the current focus. Предполагается, что развертывания будут выполняться в пределах одной единицы выставления счетов.Deployments are expected to be constrained within a single billing unit. На этапе внедрения может быть даже неСоглашение Enterprise для централизации выставления счетов.At the stage of adoption, there may not even be an Enterprise Agreement to centralize billing. Этот уровень внедрения может управляться с помощью одной подписки Azure с оплатой по мере использования.It's likely that this level of adoption is being managed by a single pay-as-you-go Azure subscription.
  • Независимо от использования портала EA или существования Соглашение Enterprise модель подписки по-прежнему должна быть определена и согласована, чтобы не только выплатить администратора.Regardless of the use of the EA portal or the existence of an Enterprise Agreement, a subscription model should still be defined and agreed on to minimize administrative overheard beyond just billing.
  • Общее соглашение об именовании должно быть согласовано в рамках проекта подписки на основе двух предыдущих пунктов.A common naming convention should be agreed on as part of the subscription design, based on the previous two points.

Согласованность ресурсовResource consistency

Решения согласованности ресурсов определяют средства, процессы и усилия, необходимые для обеспечения согласованного развертывания, настройки и управления ресурсами Azure в рамках подписки.Resource consistency decisions determine the tools, processes, and effort required to ensure Azure resources are deployed, configured, and managed consistently within a subscription. В этом описании в качестве шаблона согласованности основного ресурса выбрана согласованность развертывания .In this narrative, deployment consistency has been chosen as the primary resource consistency pattern.

  • Группы ресурсов создаются для приложений, использующих подход с жизненным циклом.Resource groups are created for applications using the lifecycle approach. Все, что было создано, сохранено и удалено вместе, должно находиться в одной группе ресурсов.Everything that is created, maintained, and retired together should reside a single resource group. Дополнительные сведения см. в разделе рекомендации по решению согласованности ресурсов.For more information, see the resource consistency decision guide.
  • Политика Azure должна применяться ко всем подпискам из связанной группы управления.Azure Policy should be applied to all subscriptions from the associated management group.
  • В рамках процесса развертывания шаблоны согласованности ресурсов Azure для группы ресурсов должны храниться в системе управления версиями.As part of the deployment process, Azure resource consistency templates for the resource group should be stored in source control.
  • Каждая группа ресурсов связана с определенной рабочей нагрузкой или приложением на основе описанного выше подхода к жизненному циклу.Each resource group is associated with a specific workload or application based on the lifecycle approach described above.
  • Группы управления Azure позволяют обновлять проекты управления по мере развития корпоративной политики.Azure management groups enable updating governance designs as corporate policy matures.
  • Обширная реализация политики Azure может превысить обязательства по времени команды, и в настоящее время может не дать большой ценности.Extensive implementation of Azure Policy could exceed the team's time commitments and may not provide a great deal of value at this time. Для каждой группы управления необходимо создать и применить простую политику по умолчанию, чтобы обеспечить небольшое количество текущих операторов политики управления облаком.A simple default policy should be created and applied to each management group to enforce the small number of current cloud governance policy statements. Эта политика будет определять реализацию определенных требований к управлению.This policy will define the implementation of specific governance requirements. Затем эти реализации могут быть применены ко всем развернутым ресурсам.Those implementations can then be applied across all deployed assets.

Важно!

Каждый раз, когда ресурс в группе ресурсов больше не использует тот же жизненный цикл, он должен быть перемещен в другую группу ресурсов.Any time a resource in a resource group no longer shares the same lifecycle, it should be moved to another resource group. Примеры включают в себя общие базы данных и сетевые компоненты.Examples include common databases and networking components. Хотя они могут обслуживать разрабатываемое приложение, они также могут использовать другие цели, поэтому они должны существовать в других группах ресурсов.While they may serve the application being developed, they may also serve other purposes and should therefore exist in other resource groups.

Добавление тегов к ресурсамResource tagging

Решения по разметке ресурсов определяют, как метаданные применяются к ресурсам Azure в рамках подписки для поддержки операций, управления и учета.Resource tagging decisions determine how metadata is applied to Azure resources within a subscription to support operations, management, and accounting purposes. В этом предложении шаблон классификации выбран в качестве модели по умолчанию для тегов ресурсов.In this narrative, the classification pattern has been chosen as the default model for resource tagging.

  • Развернутые ресурсы следует помечать следующим образом:Deployed assets should be tagged with:
    • Классификация данныхData classification
    • ВажностиCriticality
    • Соглашение об уровне обслуживанияSLA
    • СредаEnvironment
  • Эти четыре значения будут определять решения относительно управления, эксплуатации и безопасности.These four values will drive governance, operations, and security decisions.
  • Если это руководство по управлению реализуется для подразделения или группы в рамках более крупного предприятия, добавление тегов также должно включать в себя метаданные для единицы выставления счетов.If this governance guide is being implemented for a business unit or team within a larger corporation, tagging should also include metadata for the billing unit.

Ведение журналов и создание отчетовLogging and reporting

Решения для ведения журналов и создания отчетов определяют структуру данных журнала магазина и средства мониторинга и создания отчетов, которые сообщают ИТ-специалистам об операционной работоспособности.Logging and reporting decisions determine how your store log data and how the monitoring and reporting tools that keep IT staff informed on operational health are structured. В этом предложении предлагается шаблон для собственного облака* * для ведения журналов и создания отчетов.In this narrative, a cloud-native pattern** for logging and reporting is suggested.

Добавочное улучшение процессов управленияIncremental improvement of governance processes

По мере изменения управления некоторые инструкции политики не могут управляться автоматизированными инструментами.As governance changes, some policy statements can't or shouldn't be controlled by automated tooling. Другие политики приведут к усилиям группы ИТ-безопасности и локальной группы управления удостоверениями по времени.Other policies will result in effort by the IT security team and the on-premises identity management team over time. Чтобы помочь в управлении новыми рисками по мере их возникновения, Группа управления облаком будет следить за следующими процессами.To help manage new risks as they arise, the cloud governance team will oversee the following processes.

Ускорение внедрения: Команда по управлению облаком просматривает сценарии развертывания в нескольких командах.Adoption acceleration: The cloud governance team has been reviewing deployment scripts across multiple teams. Они поддерживают набор сценариев, которые служат шаблонами развертывания.They maintain a set of scripts that serve as deployment templates. Эти шаблоны используются командами внедрения облачной среды и DevOps для более быстрого определения развертываний.Those templates are used by the cloud adoption and DevOps teams to define deployments more quickly. Каждый из этих сценариев содержит необходимые требования для применения набора политик управления без дополнительных усилий от инженеров по внедрению в облако.Each of those scripts contains the necessary requirements to enforce a set of governance policies with no additional effort from cloud adoption engineers. Как кураторс эти сценарии, Группа управления облаком может быстрее реализовать изменения политик.As the curators of these scripts, the cloud governance team can more quickly implement policy changes. В результате выполнения сценария контроль группа управления облаком рассматривается как источник ускорения внедрения.As a result of script curation, the cloud governance team is seen as a source of adoption acceleration. Это обеспечивает согласованность между развертываниями без строгого принудительного соблюдения.This creates consistency among deployments, without strictly forcing adherence.

Инженерное обучение: Группа управления облаком предлагает учебные семинары бимонсли и создала два видео для инженеров.Engineer training: The cloud governance team offers bimonthly training sessions and has created two videos for engineers. Эти материалы помогают специалистам быстро изучить культуру управления и методы работы во время развертывания.These materials help engineers quickly learn the governance culture and how things are done during deployments. Группа добавляет обучающие материалы, показывающие разницу между производственными и непроизводствми развертываниями, чтобы инженеры понимали, как новые политики влияют на внедрение.The team is adding training assets that show the difference between production and nonproduction deployments, so that engineers will understand how the new policies will affect adoption. Это обеспечивает согласованность между развертываниями без строгого принудительного соблюдения.This creates consistency among deployments, without strictly forcing adherence.

Планирование развертывания: Перед развертыванием любого ресурса, содержащего защищенные данные, Группа управления облаком будет проверять сценарии развертывания для проверки выравнивания управления.Deployment planning: Before deploying any asset containing protected data, the cloud governance team will review deployment scripts to validate governance alignment. Существующие команды с ранее утвержденными развертываниями будут проверяться с помощью программных средств.Existing teams with previously approved deployments will be audited using programmatic tooling.

Ежемесячный аудит и отчетность: Каждый месяц группа управления облаком выполняет аудит всех облачных развертываний для проверки непрерывного выравнивания политики.Monthly audit and reporting: Each month, the cloud governance team runs an audit of all cloud deployments to validate continued alignment to policy. При обнаружении отклонения они задокументированы и предоставляются совместно с командами по внедрению в облако.When deviations are discovered, they're documented and shared with the cloud adoption teams. Если принудительное применение не грозит прерыванием работы бизнес-процессов или утечкой данных, политики применяются автоматически.When enforcement doesn't risk a business interruption or data leak, the policies are automatically enforced. По завершении аудита группа управления облаком компилирует отчет для команды облачной стратегии и каждую группу внедрения в облако, чтобы передавать общее соответствие политике.At the end of the audit, the cloud governance team compiles a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Отчет сохраняется также в целях аудита и соблюдения правовых условий.The report is also stored for auditing and legal purposes.

Квартальная проверка политики: Каждый квартал группа управления облаком и группа по стратегии облака будут просматривать результаты аудита и предлагать изменения в корпоративной политике.Quarterly policy review: Each quarter, the cloud governance team and the cloud strategy team will review audit results and suggest changes to corporate policy. Многие из этих предложений являются результатом постоянного поиска улучшений и наблюдения моделей потребления.Many of those suggestions are the result of continuous improvements and the observation of usage patterns. Утвержденные изменения политики интегрируются в средства системы управления в ходе последующих циклов аудита.Approved policy changes are integrated into governance tooling during subsequent audit cycles.

Альтернативные шаблоныAlternative patterns

Если ни один из шаблонов, выбранных в этом руководство по управлению, не соответствует требованиям читателя, то доступны альтернативные варианты для каждого шаблона:If any of the patterns selected in this governance guide don't align with the reader's requirements, alternatives to each pattern are available:

Дальнейшие действияNext steps

После того как это руководство будет реализовано, каждая команда внедрения облачной среды может продолжить работу, имея прочную базу системы управления.Once this guide is implemented, each cloud adoption team can go forth with a sound governance foundation. В то же время Группа управления облаком будет работать, чтобы постоянно обновлять корпоративные политики и дисциплины управления.At the same time, the cloud governance team will work to continuously update the corporate policies and governance disciplines.

Две команды будут использовать индикаторы отклонения для поиска следующего набора усовершенствований, необходимых для продолжения поддержки внедрения в облако.The two teams will use the tolerance indicators to identify the next set of improvements needed to continue supporting cloud adoption. Для вымышленной компании в этом пошаговом окне следующий шаг — повышение уровня безопасности для поддержки перемещения защищенных данных в облако.For the fictional company in this guide, the next step is improving the security baseline to support moving protected data to the cloud.