Стандартное руководство по корпоративному управлению: повышение согласованности ресурсовStandard enterprise governance guide: Improve the Resource Consistency discipline

В этой статье описывается добавление элементов управления согласованностью ресурсов для поддержки критически важных приложений.This article advances the narrative by adding resource consistency controls to support mission-critical applications.

Будущие описанияAdvancing the narrative

Решения клиентов, инструменты прогнозирования и перенесенная инфраструктура продолжают развиваться.New customer experiences, new prediction tools, and migrated infrastructure continue to progress. Сейчас бизнес готов начать использовать эти ресурсы в производственных емкостях.The business is now ready to begin using those assets in a production capacity.

Изменения в текущем состоянииChanges in the current state

На предыдущем этапе этого цикла статей команды разработчиков приложений и бизнес-аналитики были практически готовы интегрировать данные о клиентах и финансовые данные в производственные рабочие нагрузки.In the previous phase of this narrative, the application development and BI teams were nearly ready to integrate customer and financial data into production workloads. ИТ-отдел был в процессе прекращения использования центра обработки данных аварийного восстановления.The IT team was in the process of retiring the DR datacenter.

С того времени изменились некоторые факторы, влияющие на систему управления.Since then, some things have changed that will affect governance:

  • ИТ-отдел досрочно полностью прекратил использование центра обработки данных аварийного восстановления.IT has retired 100% of the DR datacenter, ahead of schedule. В процессе набор ресурсов в рабочем центре данных был идентифицирован как кандидаты на миграцию в облако.In the process, a set of assets in the production datacenter were identified as cloud migration candidates.
  • Команды по разработке приложений теперь готовы к рабочему трафику.The application development teams are now ready for production traffic.
  • Группа бизнес-аналитики готова к передаче прогнозов и аналитических сведений в операционные системы в рабочем центре обработки данных.The BI team is ready to feed predictions and insights back into operation systems in the production datacenter.

Постепенно улучшайте будущее состояниеIncrementally improve the future state

Перед началом использования развертываний Azure в производственных бизнес-процессах необходимо завершить работу над облачными операциями.Before using Azure deployments in production business processes, cloud operations must mature. В сочетании с этим необходимо внести дополнительные изменения в систему управления, чтобы обеспечить правильную работу активов.In conjunction, additional governance changes is required to ensure assets can be operated properly.

Изменения в текущем и будущем состояниях представляют новые риски, требующие новых положений политики.The changes to current and future state expose new risks that will require new policy statements.

Изменения в материальных рискахChanges in tangible risks

Прерывание бизнеса: Существует важный риск любой новой платформы, вызывающей прерывания критически важных бизнес-процессов.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. Группа эксплуатации ИТ и команды, выполняемые в различных облачных операциях, относительно неопытны при работе с облаком.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Это повышает риск прерывания и должен быть исправлен и регулируется.This increases the risk of interruption and must be remediated and governed.

Бизнес-риск можно разделить на несколько технических рисков:This business risk can be expanded into several technical risks:

  1. В результате внешнего вторжения или атак типа "отказ в обслуживании" бизнес-процессы могут быть прерваны.External intrusion or denial of service attacks might cause a business interruption.
  2. Критически важные ресурсы могут быть неправильно обнаружены, поэтому они могут быть некорректно работать.Mission-critical assets may not be properly discovered, and therefore might not be properly operated.
  3. Необнаруженные или неправильно помеченные ресурсы могут не поддерживаться имеющимися процессами операционного управления.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  4. Конфигурация развернутых ресурсов может не соответствовать ожиданиям производительности.The configuration of deployed assets may not meet performance expectations.
  5. Журналы могут записываться ненадлежащим образом и сохраняться нецентрализовано, что не позволит устранять проблемы с производительностью.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  6. Политики восстановления могут завершиться ошибкой или выполняться дольше, чем ожидается.Recovery policies may fail or take longer than expected.
  7. Несогласованные процессы развертывания могут привести к возникновению брешей в системе безопасности с последующими утечками данных и прерываниями работы.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  8. Изменения конфигурации и отсутствие требуемых обновлений могут привести к возникновению брешей в системе безопасности с последующими утечками данных и прерываниями работы.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  9. Конфигурация может не обеспечивать выполнение требований определенных Соглашений об уровне обслуживания или применения восстановления.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  10. Развернутые операционные системы или приложения могут не соответствовать требованиям к укреплению безопасности.Deployed operating systems or applications might fail to meet hardening requirements.
  11. Так как в облаке работает так много команд, существует риск возникновения несогласованности.With so many teams working in the cloud, there is a risk of inconsistency.

Добавочное улучшение операторов политикиIncremental improvement of the policy statements

Следующие изменения в политике помогут устранить новые риски и пошаговое внедрение.The following changes to policy will help remediate the new risks and guide implementation. Список выглядит длинным, но внедрять эти политики проще, чем кажется.The list looks long, but adopting these policies may be easier than it appears.

  1. Все развернутые ресурсы необходимо классифицировать по важности и типу данных.All deployed assets must be categorized by criticality and data classification. Классификации должны быть проверены командой управления облаком и владельцем приложения перед развертыванием в облаке.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Подсети, содержащие критически важные приложения, должны быть защищены с помощью решения брандмауэра, которое может обнаруживать вторжения и реагировать на атаки.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. Средства управления должны проверять требования сетевой конфигурации, определенные командой по управлению безопасностью, и обеспечивать их соблюдение.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  4. Средства управления должны проверять, что все ресурсы, связанные с критически важными приложениями или защищенными данными, включены в мониторинг для оптимизации и наблюдения за истощением ресурсов.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. Средства управления должны проверять, что данные журнала соответствующего уровня собираются для всех критически важных приложений или защищенных данных.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. Процесс управления должен проверять правильную реализацию резервного копирования, восстановления и соблюдения Соглашения об уровне обслуживания для критически важных приложений и защищенных данных.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. Средства управления должны ограничивать развертывания виртуальных машин, разрешая использование только утвержденных образов.Governance tooling must limit virtual machine deployments to approved images only.
  8. Средства управления должны предотвращать автоматические обновления во всех развернутых ресурсах, поддерживающих критически важные приложения.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. Нарушения следует рассмотреть с привлечением команд операционного управления и устранить в соответствии с операционными политиками.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Ресурсы, которые не обновляются автоматически, необходимо включить в процессы, которые выполняет отдел ИТ-операций.Assets that are not automatically updated must be included in processes owned by IT operations.
  9. Средства управления должны проверять теги, относящиеся к классификации затрат, уровню важности, Соглашений об уровне обслуживания, приложений и данных.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Все значения должны совпадать с предустановленными значениями, управляемыми командой управления.All values must align to predefined values managed by the governance team.
  10. Процессы управления предполагают проведение аудита во время развертывания и дальнейших регулярных проверок для обеспечения согласованности всех ресурсов.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Тенденции и уязвимости, которые могут повлиять на облачные развертывания, должны регулярно проверяться командой по обеспечению безопасности для подготовки обновлений средств по управлению безопасностью, используемых в облаке.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  12. Перед выпуском в рабочей среде необходимо добавить все критически важные приложения и защищенные данные в назначенное решение для наблюдения за работоспособностью.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Ресурсы, которые невозможно обнаружить в выбранном средстве ИТ-операций, нельзя освобождать для использования в рабочей среде.Assets that cannot be discovered by the chosen IT operations tooling, cannot be released for production use. Чтобы обеспечить возможность обнаружения ресурсов в будущих развертываниях, любые изменения, которые нужны для обеспечения такой возможности, должны быть внесены в соответствующие процессы развертывания.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. При обнаружении рабочие группы управления будут масштабировать ресурсы, чтобы обеспечить соответствие активов требованиям к производительности.When discovered, operational management teams will size assets, to ensure that assets meet performance requirements.
  14. Чтобы обеспечить текущее управление развернутыми ресурсами, группа разработчиков Cloud должна утвердить средства развертывания.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Сценарии развертывания должны поддерживаться в центральном репозитории, доступном группе управления облаком для периодической проверки и аудита.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. В рамках процессов проверки управления необходимо проверять, чтобы развернутые ресурсы были настроены в соответствии с Соглашением об уровне обслуживания и требованиями к восстановлению.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Поэтапное улучшение методик управленияIncremental improvement of governance practices

В этом разделе статьи будет изменен проект MVP по управлению, включающий новые политики Azure и реализацию службы "Управление затратами Azure".This section of the article will change the governance MVP design to include new Azure policies and an implementation of Azure Cost Management. Совокупно эти изменения проекта позволят внедрить новые правила корпоративной политики.Together, these two design changes will fulfill the new corporate policy statements.

  1. Группа облачных операций будет определять средства наблюдения и средства автоматического исправления.The cloud operations team will define operational monitoring tooling and automated remediation tooling. Группа управления облаком будет поддерживать эти процессы обнаружения.The cloud governance team will support those discovery processes. В этом случае Группа облачных операций выбрала Azure Monitor в качестве основного средства для мониторинга критически важных приложений.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
  2. Создайте репозиторий в Azure DevOps для хранения и отслеживания версий всех актуальных шаблонов Resource Manager и конфигураций на основе сценариев.Create a repository in Azure DevOps to store and version all relevant Resource Manager templates and scripted configurations.
  3. Реализация хранилища служб восстановления Azure:Azure Recovery Services vault implementation:
    1. Определение и развертывание хранилища служб восстановления Azure для процессов резервного копирования и восстановления.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    2. Создайте шаблон Resource Manager для создания хранилища в каждой подписке.Create a Resource Manager template for creation of a vault in each subscription.
  4. Обновляйте Политику Azure для всех подписок.Update Azure Policy for all subscriptions:
    1. Выполняйте аудит и обеспечение классификации критичности и данных во всех подписках для идентификации любых подписок с критически важными ресурсами.Audit and enforce criticality and data classification across all subscriptions to identify any subscriptions with mission-critical assets.
    2. Выполните аудит использования только утвержденных изображений и примените такую политику.Audit and enforce the use of approved images only.
  5. Реализация Azure Monitor.Azure Monitor implementation:
    1. После определения критической рабочей нагрузки создайте рабочую область Azure Monitor Log Analytics.Once a mission-critical workload is identified, create an Azure Monitor Log Analytics workspace.
    2. Во время тестирования развертывания группа облачных операций развертывает необходимые агенты и обнаружение тестов.During deployment testing, the cloud operations team deploys the necessary agents and tests discovery.
  6. Обновите Политику Azure для всех подписок с критически важными приложениями.Update Azure Policy for all subscriptions that contain mission-critical applications.
    1. Выполните аудит использования группы безопасности сети для всех сетевых адаптеров и подсетей и примените такую политику.Audit and enforce the application of an NSG to all NICs and subnets. Сеть и ИТ – безопасность определяют NSG.Networking and IT security define the NSG.
    2. Аудит и принудительное использование утвержденных сетевых подсетей и виртуальных сетей для каждого сетевого интерфейса.Audit and enforce the use of approved network subnets and virtual networks for each network interface.
    3. Выполните аудит и примените ограничения определяемых пользователем таблиц маршрутизации.Audit and enforce the limitation of user-defined routing tables.
    4. Выполняйте аудит и обеспечивайте развертывание агентов Azure Monitor для всех виртуальных машин.Audit and enforce deployment of Azure Monitor agents for all virtual machines.
    5. Аудит и обеспечение того, что хранилища служб восстановления Azure существуют в подписке.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  7. Настройка брандмауэра:Firewall configuration:
    1. Определите конфигурацию Брандмауэра Azure, которая удовлетворяет требования к безопасности.Identify a configuration of Azure Firewall that meets security requirements. Или определите совместимое с Azure стороннее устройство.Alternatively, identify a third-party appliance that is compatible with Azure.
    2. Создайте шаблон Resource Manager, чтобы развернуть брандмауэр с необходимыми конфигурациями.Create a Resource Manager template to deploy the firewall with required configurations.
  8. Схема Azure.Azure blueprint:
    1. Создайте схему Azure с именем protected-data.Create a new Azure blueprint named protected-data.
    2. Добавьте шаблоны "брандмауэр" и "хранилище служб восстановления Azure" в проект.Add the firewall and Azure Recovery Services vault templates to the blueprint.
    3. Добавьте новые политики для подписок, содержащих защищенные данные.Add the new policies for protected data subscriptions.
    4. Опубликуйте проект в любой группе управления, в которой будут размещаться критически важные приложения.Publish the blueprint to any management group that will host mission-critical applications.
    5. Примените новую схему к каждой задействованной подписке так же, как и к имеющимся схемам.Apply the new blueprint to each affected subscription as well as existing blueprints.

ЗаключениеConclusion

Эти дополнительные процессы и изменения в MVP по управлению ресурсами помогают исправлять многие риски, связанные с системой контроля ресурсов.These additional processes and changes to the governance MVP help remediate many of the risks associated with resource governance. Вместе они добавляют элементы управления восстановлением, масштабированием и мониторингом, которые расширяют возможности облачных операций.Together they add recovery, sizing, and monitoring controls that empower cloud-aware operations.

Дальнейшие действияNext steps

По мере того как внедрение в облако продолжится и обеспечивает дополнительную ценность для бизнеса, риски и потребности в управлении облаком тоже изменятся.As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. Для вымышленной компании в этом пошаговом окне следующий триггер — когда масштаб развертывания превышает 100 ресурсов в облако или ежемесячные затраты превышают $1 000 в месяц.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 100 assets to the cloud or monthly spending exceeds $1,000 per month. На этом этапе группа управления облаком добавляет элементы управления затратами.At this point, the cloud governance team adds cost management controls.