Организация групп управления и подписокManagement group and subscription organization

Схема: иерархия групп управления

Рис. 1. иерархия групп управления.Figure 1: Management group hierarchy.

Определение иерархии групп управленияDefine a management group hierarchy

Структуры группы управления в клиенте Azure Active Directory (Azure AD) поддерживают сопоставление организаций и должны быть тщательно учтены, когда Организация планирует переход Azure в масштабе.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and should be considered thoroughly when an organization plans Azure adoption at scale.

Рекомендации по проектированию:Design considerations:

  • Группы управления можно использовать для объединения политик и назначений инициатив с помощью политики Azure.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.

  • Дерево группы управления может поддерживать до шести уровней глубины.A management group tree can support up to six levels of depth. Данное ограничение не включает корневой уровень клиента или уровень подписки.This limit doesn't include the tenant root level or the subscription level.

  • Любой участник (пользователь, субъект-служба) в клиенте Azure AD может создавать новые группы управления, так как авторизация управления доступом на основе ролей (RBAC) Azure для операций группы управления не включена по умолчанию.Any principal (user, service principal) within an Azure AD tenant can create new management groups since Azure role-based access control (RBAC) authorization for management group operations isn't enabled by default.

  • По умолчанию все новые подписки будут помещены в корневую группу управления.All new subscriptions will be placed under the root management group by default.

Рекомендации по проектированию:Design recommendations:

  • Разстарайтесь, чтобы иерархия группы управления была достаточно простой, не более чем с трех до четырех уровней, в идеале.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Это ограничение снижает затраты на управление и сложность.This restriction reduces management overhead and complexity.

  • Избегайте дублирования организационной структуры в иерархию групп управления с глубокой вложенностью.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. Группы управления следует использовать для назначения политик и выставления счетов.Management groups should be used for policy assignment versus billing purposes. Этот подход требует использования групп управления в архитектуре корпоративного уровня, которая предоставляет политики Azure для рабочих нагрузок, для которых требуется такой же тип безопасности и соответствия, что и на одном уровне группы управления.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.

  • Создавайте группы управления в группе управления корневого уровня, чтобы представить типы рабочих нагрузок (архетипы), которые будут размещены, и делайте это на основе требований к безопасности, соответствию, подключению и функциональности.Create management groups under your root-level management group to represent the types of workloads (archetypes) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Такая структура группирования позволяет использовать набор политик Azure, применяемых на уровне группы управления для всех рабочих нагрузок, которым требуются одинаковые параметры безопасности, соответствия, подключения и функции.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.

  • Используйте теги ресурсов, которые можно принудительно применять или добавлять с помощью политики Azure, для запроса и горизонтального перехода по иерархии группы управления.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. Затем можно сгруппировать ресурсы для нужд поиска, не используя сложную иерархию групп управления.Then you can group resources for search needs without having to use a complex management group hierarchy.

  • Создайте "песочницу" — группу управления верхнего уровня, чтобы позволить пользователям сразу же приступить к экспериментам с Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Пользователи могут поэкспериментировать с ресурсами, которые могут быть еще не разрешены в рабочих средах.Users can then experiment with resources that might not yet be allowed in production environments. Песочница обеспечивает изоляцию от сред разработки, тестирования и рабочей среды.The sandbox provides isolation from your development, test, and production environments. Дополнительные сведения о группе управления песочницами верхнего уровня см. в руководстве по реализации.For further guidance about the top-level sandbox management group, review the implementation guidelines.

  • Используйте выделенное имя субъекта-службы для выполнения операций управления группами управления и подписками и для назначения ролей.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. Использование имени субъекта-службы сокращает число пользователей с повышенными правами и соответствует рекомендациям по минимальным правам доступа.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.

  • Назначьте User Access Administrator роль Azure в области корневой группы управления ( / ), чтобы предоставить имени участника-службы только что упомянутый доступ на корневом уровне.Assign the User Access Administrator Azure role at the root management group scope (/) to grant the SPN just mentioned access at the root level. После предоставления имени субъекта-службы User Access Administrator можно безопасно удалить эту роль.After the SPN is granted permissions, the User Access Administrator role can be safely removed. Таким образом, только имя субъекта-службы является частью User Access Administrator роли.In this way, only the SPN is part of the User Access Administrator role.

  • Назначьте Contributor разрешение для имени участника-службы, упомянутое ранее в области корневой группы управления ( / ), что позволяет выполнять операции на уровне клиента.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Этот уровень разрешений гарантирует, что имя субъекта-службы можно использовать для развертывания ресурсов и управления ими в любой подписке в организации.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.

  • Создайте Platform группу управления в корневой группе управления для поддержки общей политики платформы и назначения ролей Azure.Create a Platform management group under the root management group to support common platform policy and Azure role assignment. Такая структура группирования гарантирует, что к подпискам, используемым в основе Azure, можно применить различные политики.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. Это также гарантирует, что выставление счетов за общие ресурсы централизовано в одном наборе основных подписок.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.

  • Ограничьте число назначений политики Azure, сделанных в корневой области группы управления ( / ).Limit the number of Azure Policy assignments made at the root management group scope (/). Это ограничение сводит к минимуму отладку унаследованных политик в группах управления нижнего уровня.This limitation minimizes debugging inherited policies in lower-level management groups.

  • Используйте политики, доступные для корпоративных зон корпоративного уровня, чтобы обеспечить соответствие требованиям в группе управления или области действия подписки.Use the policies available for enterprise-scale landing zones to enforce compliance requirements either at management group or subscription scope. Дополнительные сведения о требованиях к управлению, которые можно решить, см. в разделе Руководство по управлению политиками .Refer to guidance in the policy-driven governance section to learn more about the governance requirements that can be addressed.

  • Убедитесь, что только привилегированные пользователи могут управлять группами управления в клиенте, включив авторизацию RBAC Azure в параметрах иерархии группы управления (по умолчанию всем пользователям разрешено создавать собственные группы управления в корневой группе управления).Ensure that only privileged users can operate management groups in the tenant by enabling Azure RBAC authorization in the management group hierarchy settings (by default, all users are authorized to create their own management groups under the root management group).

  • Настройте стандартную выделенную группу управления для новых подписок, чтобы убедиться, что подписки не помещены в корневую группу управления.Configure a default, dedicated management group for new subscriptions to ensure that no subscriptions are placed under the root management group. Это особенно важно, если есть пользователи, которые могут использовать преимущества и подписки MSDN или Visual Studio.This is especially important if there are users eligible for MSDN or Visual Studio benefits and subscriptions. Хорошим кандидатом для этого типа группы управления является Sandbox Группа управления.A good candidate for this type of management group is a Sandbox management group.

Организация и управление подпискойSubscription organization and governance

Подписка — это единица управления, выставления счетов и масштабирования в Azure.Subscriptions are a unit of management, billing, and scale within Azure. Подписки играют важную роль при проектировании для крупномасштабного внедрения Azure.They play a critical role when you're designing for large-scale Azure adoption. Этот раздел поможет вам определить требования к подписке и спроектировать целевые подписки на основе критических факторов.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Такими факторами являются тип среды, модель владения и управления, организационная структура и портфолио приложений.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Рекомендации по проектированию:Design considerations:

  • Подписки служат границами для назначения политик Azure.Subscriptions serve as boundaries for assigning Azure policies. Например, для обеспечения соответствия защищенным рабочим нагрузкам, таким как рабочие нагрузки в индустрии платежных карт, обычно требуются дополнительные политики.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. Вместо использования группы управления для группирования рабочих нагрузок, требующих соответствия требованиям к работе с платежными картами, можно добиться такой же изоляции с помощью подписки.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. Таким образом, у вас нет слишком большого количества групп управления с небольшим количеством подписок.This way, you don't have too many management groups with a small number of subscriptions.

  • Подписки служат в качестве единицы масштабирования, чтобы рабочие нагрузки компонентов могли масштабироваться в пределах подпискиплатформы.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Обязательно учитывайте ограничения ресурсов подписки при проектировании рабочих нагрузок.Make sure to consider subscription resource limits during your workload design sessions.

  • Подписки обеспечивают границу управления и изоляцию, что четко разделяет проблемы.Subscriptions provide a management boundary for governance and isolation, which clearly separates concerns.

  • Существует ручной процесс, запланированный в будущем, который можно использовать для ограничения использования клиентом Azure AD только подписок на регистрацию Соглашение Enterprise.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Этот процесс предотвращает создание сетевых подписок разработчика Microsoft Developer в области корневой группы управления.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Рекомендации по проектированию:Design recommendations:

  • Подписку следует рассматривать как демократичными единицу управления в соответствии с потребностями бизнеса и приоритетами.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.

  • Сообщите владельцам подписки об их ролях и обязанностях.Make subscription owners aware of their roles and responsibilities:

    • Выполняйте проверку доступа в Azure AD Privileged Identity Management ежеквартально или два раза в год, чтобы не допустить увеличения прав по мере перемещения пользователей в организации.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Возьмите на себя полную ответственность за расходование бюджета и использование ресурсов.Take full ownership of budget spending and resource utilization.
    • Обеспечьте соблюдение политик и исправление ошибок при необходимости.Ensure policy compliance and remediate when necessary.
  • При определении требований для новых подписок руководствуйтесь следующими принципами.Use the following principles when identifying requirements for new subscriptions:

    • Ограничения масштабирования: Подписки служат единицей масштабирования для рабочих нагрузок компонентов, чтобы масштабироваться в пределах подписок платформы.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Например, крупные специализированные рабочие нагрузки, такие как высокопроизводительные вычисления, Интернет вещей и SAP, лучше подходят для использования отдельных подписок, чтобы избежать ограничений (например, ограничение в 50 интеграций фабрики данных Azure).For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Граница управления: Подписки обеспечивают разграничение управления и изоляции, что позволяет четко отделить задачи.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Например, различные среды, такие как разработка, тестирование и производство, часто изолируются с точки зрения управления.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Граница политики: Подписки служат в качестве границы для назначения политик Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Например, для обеспечения соответствия защищенным рабочим нагрузкам, таким как рабочие нагрузки в индустрии платежных карт, обычно требуются дополнительные политики.For example, secure workloads such as PCI typically require additional policies to achieve compliance. Эти дополнительные издержки не обязательно рассматривать в целом, если используется отдельная подписка.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Аналогично среды разработки могут иметь более мягкие требования к политике по сравнению с рабочими средами.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Топология целевой сети: Виртуальные сети нельзя совместно использовать в подписках, но они могут подключаться с помощью различных технологий, таких как пиринг виртуальных сетей или Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Определите, какие рабочие нагрузки должны взаимодействовать друг с другом, когда принимаете решение о том, нужна ли новая подписка.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Сгруппируйте подписки вместе в группы управления, согласованные в рамках структуры групп управления и требований политики в масштабе.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. Группирование гарантирует, что подписки с одним и тем же набором политик и назначениями ролей Azure могут наследовать их от группы управления, что позволяет избежать дублирования назначений.Grouping ensures that subscriptions with the same set of policies and Azure role assignments can inherit them from a management group, which avoids duplicate assignments.

  • Создайте выделенную подписку на управление в Platform группе управления для поддержки глобальных возможностей управления, таких как Azure Monitor log Analytics рабочих областей и модулей Runbook службы автоматизации Azure.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.

  • При необходимости установите выделенную подписку на удостоверение в Platform группе управления для размещения контроллеров домена Windows Server Active Directory.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.

  • Установите выделенную подписку на подключение в Platform группе управления, чтобы разместить виртуальный концентратор глобальной сети Azure, службу доменных имен (DNS), цепь ExpressRoute и другие сетевые ресурсы.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Выделенная подписка гарантирует, что все основные сетевые ресурсы будут тарифицироваться вместе и будут изолированы от других рабочих нагрузок.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.

  • Старайтесь не использовать модель жесткой подписки и вместо этого выберите набор гибких критериев для группировки подписок в организации.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. Такая гибкость гарантирует, что по мере изменения структуры организации и состава рабочих нагрузок вы сможете создавать новые группы подписок вместо использования фиксированного набора существующих подписок.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Один размер не подойдет для всех подписок.One size doesn't fit all for subscriptions. То, что работает для одного подразделения, может не работать для другого.What works for one business unit might not work for another. Некоторые приложения могут сосуществовать в одной подписке целевой зоны, а для других может потребоваться собственная подписка.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

Настройка квоты и емкости подпискиConfigure subscription quota and capacity

Каждый регион Azure содержит конечное количество ресурсов.Each Azure region contains a finite number of resources. При рассмотрении технологии внедрения Azure корпоративного уровня, включающей большие объемы ресурсов, убедитесь в доступности достаточного объема и номеров SKU, а также в том, что достижимая емкость может быть понятна и отслеживаться.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and that the attained capacity can be understood and monitored.

Рекомендации по проектированию:Design considerations:

  • Используйте ограничения и квоты на платформе Azure для каждой службы, необходимой для рабочих нагрузок.Consider limits and quotas within the Azure platform for each service that your workloads require.

  • Рассмотрим доступность требуемых номеров SKU в выбранных регионах Azure.Consider the availability of required SKUs within chosen Azure regions. Например, новые функции могут быть доступны только в определенных регионах.For example, new features might be available only in certain regions. Доступность определенных номеров SKU для таких ресурсов, как виртуальные машины, может отличаться в разных регионах.The availability of certain SKUs for given resources such as VMs might be different from one region to another.

  • Учтите, что квоты подписки не гарантируют емкость и применяются для каждого региона.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Рекомендации по проектированию:Design recommendations:

  • Используйте подписки в качестве единиц масштабирования, а также выполняйте масштабирование ресурсов и подписок по мере необходимости.Use subscriptions as scale units, and scale out resources and subscriptions as required. В этом случае рабочая нагрузка сможет при необходимости использовать необходимые ресурсы для масштабирования, не прибегая к ограничениям подписки на платформе Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.

  • Используйте зарезервированные экземпляры для приоритизации зарезервированной емкости в требуемых регионах.Use reserved instances to prioritize reserved capacity in required regions. В этом случае рабочая нагрузка будет иметь необходимую емкость даже при высоком спросе на этот ресурс в определенном регионе.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.

  • Создайте панель мониторинга с настраиваемыми представлениями для наблюдения за уровнем использования емкости.Establish a dashboard with custom views to monitor used capacity levels. Настройте оповещения, если использование емкости приближается к критическим уровням (например, использование ЦП pf 90%).Set up alerts if capacity utilization is reaching critical levels (for example, CPU utilization pf 90 percent).

  • Создавайте запросы на поддержку для увеличения квоты в рамках подготовки подписки (например, общее количество доступных ядер виртуальных машин в подписке).Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Этот подход гарантирует, что квоты будут установлены до того, как рабочие нагрузки превысят ограничения по умолчанию.This approach ensures your quota limits are set before your workloads require going over the default limits.

  • Убедитесь, что необходимые службы и функции доступны в выбранных регионах развертывания.Ensure required services and features are available within the chosen deployment regions.

Настройка управления затратамиEstablish cost management

Прозрачность затрат в технической сфере — важная задача управления, с которой сталкивается каждая крупная корпоративная организация.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. В этом разделе рассматриваются ключевые аспекты, связанные с тем, как можно достичь прозрачности затрат в крупных средах Azure.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Рекомендации по проектированию:Design considerations:

  • Могут возникнуть потребности в моделях беспрецедентных моделей, где используются общие ресурсы платформы как услуга (PaaS), такие как Среда службы приложений Azure и служба Azure Kubernetes, которые могут потребоваться для достижения более высокой плотности.There could be a need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.

  • Используйте график отключения для непроизводственных рабочих нагрузок, чтобы оптимизировать расходы.Use a shutdown schedule for nonproduction workloads to optimize costs.

  • Используйте помощник по Azure для проверки рекомендаций по оптимизации затрат.Use Azure Advisor to check recommendations for optimizing costs.

Рекомендации по проектированию:Design recommendations:

  • Используйте службу управления затратами Azure + выставление счетов для агрегирования затрат.Use Azure Cost Management + Billing to aggregate costs. Сделайте ее доступной для владельцев приложений.Make it available to application owners.

  • Используйте теги ресурсов Azure для классификации затрат и ресурсов группы.Use Azure resource tags categorize costs and group resources. Использование тегов позволяет использовать механизм возвратных платежей для рабочих нагрузок, совместно использующих подписку, или для конкретной рабочей нагрузки, охватывающей несколько подписок.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.

Система управления на основе политикPolicy-driven governance

Организации могут использовать политики Azure корпоративного уровня для соблюдения следующих требований к управлению:Organizations can use enterprise-scale Azure policies to enforce the following governance requirements:

  • Запретить общедоступные службы на основе IP-адресовPrevent Public IP-based services

    Большинство служб платформы Azure "платформа как услуга" (PaaS) создаются с общедоступным IP-адресом, назначенным каждой службе.Most Azure platform-as-a-service (PaaS) services are created with a public IP address assigned to each service. Этот вариант помогает разработчикам быстро приступить к использованию этих служб.This option can help developers who need to start using these services quickly.

    Общедоступная конечная точка ускоряет обучение и поддерживает разработку пилотных и крупномасштабных реализаций экспериментов, но иногда разработчики не могут заключить свои общедоступные IP-адреса при переходе пилотных и POC в готовые корпоративные приложения.Public endpoint accelerates the learning curve and supports developing pilots and small-scale proof-of-concept (POC) implementations, but developers sometimes overlook their public IP addresses when transitioning pilots/POCs to production-ready enterprise applications.

    Риски безопасности могут увеличиваться, если рабочие нагрузки используют общедоступные IP-адреса без надлежащих мер безопасности.Security risks can increase when production workloads use public IPs without proper security measures. Одним из типов угроз является субъект, использующий общедоступный IP-адрес в качестве шлюза для запуска атаки.One type of threat is an actor using a public IP as a gateway to launch an attack. Чтобы снизить риски безопасности, многие политики соответствия требованиям предприятия не разрешают использовать общедоступные IP-адреса.To minimize security risks, many enterprise compliance policies don't allow public IPs.

    Существует настраиваемая политика, которая нацелена на область и предотвращает создание общедоступного IP-адреса.There is a custom policy that targets a scope and prevents a public IP address from being created there. Предприятия также могут использовать эту политику для создания виртуальных машин без общедоступных IP-адресов.Enterprises can also use this policy to create virtual machines (VMs) without public IPs. Аналогично, существует настраиваемая инициатива политики или политика, которая также помогает предприятиям предотвращать создание служб Azure с общедоступными IP-адресами.Similarly, there's a custom policy initiative/policy set that also helps enterprises to prevent Azure services from being created with public IP addresses.

  • Получение сведений о аудите и журналеCollect audit and log information

    Нехватка информации о аудите и диагностике на детализированном уровне может повлиять на эксплуатационные методики.A lack of auditing and diagnostics information at a granular level can affect operational practices. Неполные данные аудита затрудняют корреляцию журналов из нескольких служб Azure и создают единую отладку.Incomplete audit information makes it difficult to correlate logs from multiple Azure services and create cohesive debugging.

    После подготовки служб Azure они должны предоставить подробные сведения о том, как они взаимодействуют с платформой Azure.Once Azure services are provisioned, they should provide detailed information about how they interact with the Azure platform. Эти сведения можно разделить на журналы и метрики, и каждая служба Azure может быть дополнительно сгруппирована в свои подкомпоненты (например, ресурс общедоступного IP-адреса Azure с DDoSProtectionNotifications , DDoSMitigationReports и DDoSMitigationFlowLogs в качестве его подкомпонентов).This information can be broadly divided into logs and metrics, and each Azure service can be further grouped into its subcomponents (for example, an Azure public IP resource with DDoSProtectionNotifications, DDoSMitigationReports, and DDoSMitigationFlowLogs as its subcomponents). Сбор диагностических сведений в этих подкатегориях также может помочь организациям в улучшении аудита и отладки.Collecting diagnostic information at these subcategories can also help organizations to enhance auditing and debugging.

    Предусмотрена настраиваемая инициатива политики Azure, позволяющая предприятиям собирать журналы и метрики на более глубоком уровне для каждой службы Azure.A custom Azure policy initiative is available to help enterprises gather logs and metrics at a deeper level for each Azure service. Эта инициатива включает политику для каждой службы Azure, а политики автоматически собираются категории и метрики журнала ключей.This initiative includes a policy for every Azure service, and the policies collect key log categories and metrics automatically.

  • Обеспечение полной безопасности для баз данных SQLProvide comprehensive security for SQL Databases

    Базы данных SQL — это общая служба Azure в большинстве развертываний Azure.SQL Databases are a common Azure service in most Azure deployments. К сожалению, они также предназначены для вредоносных действий в и вне Организации.Unfortunately, they're also target for malicious activity in and outside of an enterprise. Пользовательская инициатива политики Azure для баз данных SQL помогает организациям применять следующие основные рекомендации по управлению:A custom Azure policy initiative for SQL databases helps organizations to apply the following key governance practices:

    • Шифрование неактивных данных SQLEncrypt SQL data at rest

      Базы данных SQL и их резервные копии уязвимы для вредоносных субъектов.SQL databases and their backups are vulnerable to malicious actors. Поскольку базы данных SQL легко восстановить из файлов базы данных или резервных копий, вредоносные субъекты могут получить доступ к этим данным, если не установлена правильная система защиты.Since it's simple to restore SQL databases from database files or backups, malicious actors can gain access to this data if a proper defense system isn't in place.

      Одним из первых этапов создания стратегии защиты базы данных SQL является обеспечение шифрования базы данных SQL.One of the first steps of building an SQL database defense strategy is ensuring that an SQL database is encrypted at rest. Прозрачное шифрование данных в базе данных SQL Azure (TDE) шифрует неактивных данных базы данных без изменения кода приложения и представляет препятствия для злоумышленников, пытающихся получить доступ к данным, даже если они скомпрометированы.Azure SQL Database transparent data encryption (TDE) encrypts database data at rest without changing an application's code and presents obstacles for malicious actors trying access the data, even if it's compromised. Когда развертывание базы данных SQL увеличится на предприятии, важно создать их с помощью TDE.As SQL database deployments increase within an enterprise, it's important to create them with TDE. Существует настраиваемая политика для обеспечения TDE для баз данных SQL.There's a custom policy to ensure TDE for SQL databases.

    • Оптимизация оповещений для подозрительных действийOptimize alerts for suspicious activity

      Неверные субъекты предназначены для доступа и использования критически важных для бизнеса баз данных SQL.Bad actors aim to access and exploit business-critical SQL databases. Если предприятия не распознают эти попытки, их риск не выявляет и не разрешают эти инциденты.When enterprises don't acknowledge these attempts, their risk of not detecting and resolving these incidents increases. В худшем случае предприятие может не быть уверенным в том, что база данных SQL была скомпрометирована.In a worst-case scenario, an enterprise might not know if its SQL database has been compromised.

      База данных SQL позволяет предприятиям настраивать оповещения системы безопасности, сообщающие о подозрительных действиях Microsoft SQL Server.SQL Database lets enterprises set up security alerts that report suspicious Microsoft SQL Server activity. Эти оповещения достигают предварительно настроенных адресов электронной почты и, при необходимости, администраторов и владельцев подписок Azure.These alerts reach a preconfigured email addresses and optionally, Azure subscription admins and owners. Они могут предоставлять вредоносные действия, такие как атаки путем внедрения кода SQL, атаки методом подбора и многое другое.They can expose malicious activities like SQL injection attacks, brute-force attacks, and more.

      Для включения оповещений системы безопасности в базах данных SQL доступна пользовательская политика Azure.A custom Azure policy is available to enable security alerts on SQL databases. Оповещения системы безопасности предоставляют подробные сведения о каждом инциденте, которые отображаются в портал Azure или сообщениях электронной почты с момента активации оповещений.Security alerts provide detailed information about every incident, which are visible in the Azure portal or emails from when alerts are triggered.

    • Проверка журнала аудита операцийExamine an audit trail of operations

      База данных SQL, важная для бизнеса, может ежедневно обрабатываться с помощью различных команд обработки данных, элементов управления и языка определения.A business-critical SQL database can operate daily with a range of data manipulation, control, and definition language commands. Без четкого контроля и анализа этих операционных операций может быть трудно отличать законные и подозрительные операции.Without clear controls and insights into these operational activities, it can be challenging to distinguish between legitimate and suspicious operations.

      Включение аудита SQL помогает предприятиям собирать важные сведения обо всех операциях с базами данных, а аудит SQL помогает предприятиям создавать и анализировать журналы событий базы данных.Enabling SQL auditing can help enterprises to gather important information about all database activities, and SQL auditing helps enterprises to create and analyze an audit trail of database events. Это также является частью многих отраслевых и региональных нормативных требований.This is also part of many industry/regional regulatory compliance requirements.

      Предприятия могут использовать пользовательскую политику Azure для применения аудита базы данных SQL.Enterprises can use a custom Azure policy to enforce SQL database auditing. Эта политика выполняет аудит и отчеты по основным событиям базы данных, таким как владение, членство в роли или изменения схемы; успешные или неудачные попытки входа; и многое другое.This policy audits and reports on key database events like ownership, role membership, or schema changes; successful/failed logins; and more. Предприятия могут использовать журнал аудита этой политики, чтобы получить ценные сведения об операциях с базой данных и соответствовать отраслевым или региональным нормативным требованиям.Enterprises can use this policy's audit trail to gain insights about database operations and comply with industry or regional regulatory requirements.

  • Оцените проверенные рекомендацииEvaluate proven best practices

    В течение жизненного цикла база данных SQL может столкнуться с множеством изменений в схеме, разрешениях и конфигурациях, и эти изменения могут отклоняться от рекомендаций.An SQL database can experience a lot of of schema, permission, and configuration changes throughout its life cycle, and these changes can deviate from best practices. В свою очередь, вредоносные субъекты могут использовать излишние разрешения, потерянные роли и другие параметры смещения.In turn, excessive permissions, orphaned roles, and other configurational drifts can be exploited by malicious actors.

    Рекомендации корпорации Майкрософт по работе с базами данных SQL помогают предприятиям оценивать свои базы данных SQL, а база данных SQL имеет встроенную службу оценки уязвимостей для оказания помощи.Microsoft best practices for SQL databases can help enterprises to assess their SQL databases, and SQL Database has a built-in vulnerability assessment service to assist. Оценка уязвимостей сканирует и определяет риски безопасности на уровне базы данных и сервера и предлагает задачи исправления, которые могут устранить уязвимости.A vulnerability assessment scans and identifies database- and server-level security risks, and it offers remediation tasks that can fix vulnerabilities.

    Пользовательская политика Azure обеспечивает настройку баз данных SQL с оценкой уязвимостей.A custom Azure policy ensures that SQL databases are configured with vulnerability assessments. Периодическое сканирование выполняется периодически, отчеты хранятся в учетной записи хранения Azure, а стандартные адреса электронной почты совместно используют результаты отчетов.Assessment scans run periodically, reports are stored in an Azure Storage account, and an predefined email address shares the results for reporting.

  • Защита секретов от случайного или случайного удаленияProtect secrets from being deleted intentionally or accidentally

    Azure Key Vault хранит конфиденциальные сведения, такие как ключи, сертификаты, пароли и многое другое.Azure Key Vault stores confidential information like keys, certificates, passwords, and more. Злоумышленник может повредить службу, удалив хранимые здесь секреты, и обычный пользователь может случайно удалить конфиденциальные данные, хранящиеся в.A malicious user can abuse the service by deleting the secrets that it stores, and a standard user could accidentally delete the sensitive stored within. Без соответствующих положений, вредоносные или случайные удаления в Azure Key Vault могут повредить бизнес.Without proper provisions, malicious or accidental deletion in Azure Key Vault could harm the business.

    Функция обратимого удаления в Azure Key Vault может защищать предприятия от намеренных или случайных удалений.The soft-delete feature in Azure Key Vault can protect enterprises against intentional or accidental deletion. Если обратимое удаление включено, удаленные ключи сохраняются в течение заданного периода времени.With soft-delete enabled, deleted keys are retained for a predefined time period. Если была предполагалась операция удаления, содержимое ключа может быть удалено до тех пор, пока не будет выполнена очистка, обычно пользователь с дополнительными правами доступа.If the delete operation was intended, then key content can be deleted until an another purge, typically by a user with more access privileges. Если операция удаления была случайной, удаленные ключи можно восстановить в течение определенного времени.If the delete operation was an accident, then the deleted keys can be restored within the time defined.

    Azure предлагает настраиваемую политику, которая обеспечивает включение обратимого удаления по умолчанию с Azure Key Vault.Azure offers a a custom policy to ensure that soft-delete is enabled by default with Azure Key Vault. Эта политика обеспечивает дополнительный уровень безопасности, если Azure Key Vault содержимое удалено злонамеренно, а предприятия получают больший контроль при случайном удалении содержимого.This policy provides an extra security layer if Azure Key Vault content is deleted maliciously, and enterprises gain more control if content is deleted accidentally.

  • Применение брандмауэра веб-приложения шлюза приложений AzureEnforce Azure Application Gateway Web Application Firewall

    Веб-приложения, работающие в Azure, являются потенциальными целями для атак злоумышленников.Web applications running on Azure are potential targets for malicious attacks. 10 основных угроз безопасности веб-приложений , таких как внедрение, межсайтовые сценарии и другие, могут использовать уязвимости веб-приложений, а успешная атака может стоить организации своих ресурсов и репутации.The top 10 web application security risks like injection, cross-site scripting, and others exploit web application vulnerabilities, and a successful attack can cost an organization its resources and reputation.

    Брандмауэр веб-приложения шлюза приложений Azure (WAF) использует открытый проект безопасности веб-приложений, OWASP, набор основных правил 3,1, 3,0 или 2,2 для защиты веб-приложений от распространенных атак.Azure Application Gateway Web Application Firewall (WAF) uses the Open Web Application Security Project, OWASP, Core Rule Set 3.1, 3.0, or 2.2 to protect web applications from common attacks. Политики WAF в шлюзе приложений доступны в режиме предотвращения или обнаружения .WAF policies in Application Gateway can be accessed Prevention or Detection mode.

    Azure предлагает настраиваемую политику, которая поможет предотвратить возможную нестандартную настройку в шлюзе приложений. Он по умолчанию создает WAF для шлюза приложений.Azure offers a custom policy to help prevent potential misconfiguration in Application Gateway; it creates a WAF for Application Gateway by default. WAF защищает веб-приложения Azure с помощью шлюза приложений.The WAF protects Azure web applications using Application Gateway.

  • Запретить IP-пересылку на виртуальных машинахPrevent IP forwarding on VMs

    IP-пересылка поддерживает виртуальную машину Azure для маршрутизации трафика в другие назначения.IP forwarding supports an Azure VM to route its traffic to other destinations. Если специально не требуется, Эта маршрутизация может предоставить виртуальным машинам и другим нежелательным сетям общедоступный IP-адрес в качестве маршрутизатора.Unless specifically required, this routing can expose a VM and other unintended networks with a public IP address as a router.

    Azure предоставляет возможность настройки IP-пересылки на виртуальных машинах (VM) с помощью таких средств, как брандмауэры, подсистемы балансировки нагрузки и другие, развернутые с помощью Azure Marketplace.Azure provides an option to configure IP forwarding on virtual machines (VMs) with tools like firewalls, load balancers, and others deployed via Azure Marketplace. Любое приложение может использовать эти службы в транзакциях Azure Marketplace.Any application can use these services can use them in Azure Marketplace transactions.

    За пределами конкретных потребностей IP-пересылка на виртуальных машинах может быть обязательством безопасности.Outside of specific needs, IP forwarding on VMs can be a security liability. Azure предлагает настраиваемую политику для предотвращения работы виртуальных машин в качестве маршрутизаторов IP-перенаправления, и эта политика применяется в области размещения зоны.Azure offers a custom policy to prevent VMs acting as IP forwarding routers, and this policy is applied at the landing zone scope. Основное внимание на виртуальных машинах в зонах размещения должно быть конечным местом для запросов пользователей. Все маршруты должны быть реализованы в подписке на подключение.Focusing on VMs in landing zones should be the final destination for user requests; any routing should be implemented in the connectivity subscription.

  • Принудительное централизованное управление записями DNSEnforce centralized DNS record management

    Зоны частных Azure DNS помогают создавать записи DNS для ресурсов Azure и управлять ими.Private Azure DNS zones help to create and manage DNS records for Azure resources. Если не используются элементы управления для распространения этих зон, могут возникать проблемы с отладкой и управлением и сетевыми подключениями.Without controls for how these zones proliferate, management and network connectivity debugging issues can result. В гибридных средах, где локальные сайты должны подключаться к ресурсам Azure, фрагментированные зоны DNS могут создавать дублирующие записи DNS и проблемы обслуживания.In hybrid environments where on-premise sites need to connect to Azure resources, fragmented DNS zones can create duplicate DNS records and maintenance challenges.

    Предприятия могут четко развертывать частные зоны Azure DNS для управления записями DNS.Enterprises can deploy private Azure DNS zones centrally to manage DNS records clearly. Виртуальная сеть Azure может быть связана с частными зонами, чтобы помочь в запуске контроллеров домена, что позволяет оптимизировать подключение с локальных сайтов.Azure Virtual Network can link with private zones to help run domain controllers, which can streamline connectivity from on-premise sites. Службы Azure, которые поддерживают частную связь Azure и конечную точку, могут использовать централизованно управляемые зоны DNS, не создавая их во время развертывания каждого приложения.Azure services that support Azure Private Link/End Point can use centrally managed private DNS zones without creating them during each application deployment.

    Azure предлагает настраиваемую политику, которая может препятствовать созданию частной зоны DNS в области, в которой она применяется.Azure offers a custom policy that can prevent the creation of a private DNS zone in the scope during which its applied. Предприятия могут просматривать состояние соответствия этой политики, даже если применение политики отключено.Enterprises can view this policy's compliance status even when the policy enforcement is disabled. Эта политика позволяет оптимизировать подключение между локальными сайтами и доступом к службам PaaS Azure с помощью частной ссылки или конечной точки.This policy helps to streamline connectivity between on-premise sites and access to Azure PaaS services using Private Link/End Point.

  • Принудительное управление сетевым трафикомEnforce network traffic control

    Виртуальную сеть Azure можно разделить на несколько подсетей.An Azure Virtual Network can be divided into multiple subnets. Так как элементы управления доступом к сети между этими подсетями не существуют по умолчанию, это может привести к незапрошенному сетевому трафику в подсети.Since network access controls between these subnets don't exist by default, this can result in unsolicited network traffic in a subnet.

    Группы безопасности сети Azure (группы безопасности сети) позволяют фильтровать входящий и исходящий трафик подсети, а также проверки пакетов с отслеживанием состояния, разрешающие или запрещающие сетевой трафик.Azure network security groups (NSGs) helps to filter incoming and outgoing subnet traffic, and stateful packet inspections can allow or deny network traffic. Ресурсы внутри подсетей могут принимать трафик только из разрешенных диапазонов IP-адресов.Resources inside subnets can only receive traffic from allowed IP address range(s).

    Azure предлагает настраиваемую политику, которая связывает каждую подсеть с NSG.Azure offers a custom policy that pairs every subnet with an NSG. Сочетание подсети и NSG гарантирует, что набор правил по умолчанию управляет трафиком в подсеть и из нее.A combination of subnet and an NSG ensures that a default set of rules controls traffic to and from a subnet. В зависимости от потребностей предприятия также могут добавлять или изменять правила для дальнейшего управления трафиком.Depending on their needs, enterprises can also add or modify rules to control traffic further.

  • Использование центра безопасности Azure для обнаружения угроз безопасности и защиты от нихUse Azure Security Center to detect and protect against security threats

    Подписка Azure может содержать ряд ресурсов, таких как виртуальные машины, образы контейнеров, больше, и эти ресурсы предоставляются для таких рисков, как установка вредоносных программ и нежелательной программы, неуправляемый доступ к портам управления на виртуальной машине и др.An Azure subscription can hold a range of resources like VMs, container images, an more, and these resources are exposed to risks like malware/unwanted software installation, uncontrolled access to management ports on a VM, and others. Благодаря атакам безопасности становится более сложным и ограниченный набор специалистов по безопасности, обнаружение уязвимостей безопасности и защита рабочих нагрузок чрезвычайно сложны.With security attacks becoming more sophisticated and a limited-supply of experienced security professionals, detecting security vulnerabilities and protecting workloads is extremely challenging.

    Центр безопасности Azure — это собственная система управления безопасностью Azure, которая оценивает безопасность ресурсов Azure в соответствии с рекомендациями по обеспечению безопасности.Azure Security Center is the Azure native security management system that assesses Azure resources' security posture against security best practices. Он помогает обнаруживать и предотвращать угрозы в отношении данных и служб приложений, а также с несколькими точками интеграции, которые можно быстро развернуть.It helps to detect and prevent threats against data and application services, and with multiple integration points, it can be deployed quickly.

    Azure предлагает настраиваемую политику, которая связывает подписки Azure с центром безопасности, помогая подписке быстро приступить к обнаружению и защите угроз центра безопасности.Azure offers a custom policy that pairs Azure subscription(s) with Security Center, helping subscription(s) to quickly start receiving Security Center threat detection and protection. Эта политика автоматически охватывает ключевые службы Azure, такие как виртуальные машины, учетные записи хранения и семь других, с центром безопасности.This policy automatically covers key Azure services like VMs, storage accounts, and seven others with Security Center. Если происходит отклонение от рекомендаций по обеспечению безопасности, предприятия получают преимущества непрерывной оценки безопасности и практические рекомендации.If deviation from security best practice occurs, enterprises benefit from continuous security assessments and actionable recommendations.

  • Защита от атак с использованием атаки злоумышленника и потери данныхProtect against ransomware attacks and data loss

    Увеличение частоты атак с помощью атаки злоумышленников и вторжений представляет еще одну проблему для предприятий.The increasing frequency of ransomware and intrusion attacks present another concern for enterprises. Успешная атака с помощью программы-атаки может нарушить работу критически важных для бизнеса процессов и приложений, а злоумышленники хостаже предприятия для больших объемов денег.A successful ransomware attack can disrupt business-critical processes and applications, and attackers have held enterprises hostage for large amounts of money.

    Azure Backup защищает данные виртуальной машины Azure от вредоносного или случайного уничтожения.Azure Backup protects Azure Virtual Machine data from being destroyed maliciously or accidentally. Резервное копирование легко настраивать и масштабировать, а хранилище восстановления Azure создает резервные копии данных для простого управления и защиты.Backups are easy to configure and scale, and Azure Recovery Vault backs up the data for simple management and protection.

    Azure предлагает настраиваемую политику, которая защищает виртуальные машины путем их настройки с помощью Azure Backup.Azure offers a custom policy that protects Virtual Machines by configuring them with Azure Backup. Эта политика автоматически подготавливает хранилище служб восстановления Azure и создает контейнер резервного копирования для каждой созданной виртуальной машины Azure.This policy automatically provisions an Azure Recovery Services vault and creates backup container for every Azure VM created.

  • Защита от распределенных атак типа "отказ в обслуживании"Protect against distributed denial of service attacks

    Общедоступные ресурсы Azure уязвимы для распределенных атак типа "отказ в обслуживании" (от атак DDoS).Publicly reachable Azure resources are vulnerable to distributed denial-of-service (DDoS) attacks. Эти атаки могут повлиять на доступность приложения до предполагаемых пользователей, а длительные атаки могут привести к исчерпанию всех доступных ресурсов и времени простоя для критически важных для бизнеса приложений.These attacks can affect an application's availability to its intended users, and prolonged attacks can exhaust all available resources and create downtime for business-critical application(s).

    Azure от атак DDoS Protection защищает ресурсы Azure от атак от атак DDoS, постоянно отслеживая входящий трафик для выявления потенциальных угроз.Azure DDoS Protection defends Azure resources against DDoS attacks by continuously monitoring incoming traffic to identify potential threats. При активной атаке предприятия могут воспользоваться преимуществами команды быстрого реагирования Microsoft от атак DDoS.During an active attack, enterprises can benefit from working with the Microsoft DDoS Rapid Response team.

    Azure предлагает настраиваемую политику, которая автоматически подготавливает план Azure от атак DDoS Standard для всех подписок Azure в своей области.Azure offers a custom policy that automatically provisions an Azure DDoS Standard plan on all Azure subscriptions in its scope. Эта политика позволяет предприятиям выбирать регионы Azure, которые будут охватываться службой.This policy allows enterprises to select the Azure regions that will be covered by the service.

  • Автоматическая инициализация частной ссылки или конечной точки с частными зонами DNSAuto-provision Private Link/Endpoint with private DNS zones

    Одна из проблем корпоративного обслуживания — создание частных зон DNS для каждого приложения, которым требуется доступ к службам PaaS Azure.One enterprise maintenance challenge is how to create private DNS zones for every application that needs access to Azure PaaS services. Частная и частная конечные точки Azure используют частные IP-адреса для предоставления доступа к службам платформы как услуги (PaaS) Azure, а частные зоны DNS — для разрешения записей DNS. Частная зона DNS группы зон используют категории служб Azure, таких как BLOB-объекты, очереди, таблицы, SQL и т. д., для группировки соединений с частными ссылками и использования одной частной зоны DNS на каждую службу.Azure Private Link and Private Endpoint use private IP addresses to provide access to Azure platform-as-a-service (PaaS) services, and private DNS zones resolve DNS records.Private DNS zone groups use categorizes from Azure services like blob, queue, table, SQL, etc. to group Private Link connections and use one private DNS zone per service.

    Предприятия также могут создавать центральные частные зоны DNS, а настраиваемые политики Azure могут автоматически подключать закрытые ссылки и конечные точки с частными зонами DNS для служб Azure.Enterprises can also create central private DNS zones, and custom Azure policies can automatically connect Private Link/Endpoint with private DNS zones for Azure services.

  • Централизованное управление правилами брандмауэраManage firewall rules centrally

    Фрагментированные правила брандмауэра могут привести к неуправляемым и неоднозначным путям сетевого трафика.Fragmented firewall rules can lead to uncontrolled and ambiguous network traffic paths. Непрерывные изменения правил брандмауэра для каждого экземпляра брандмауэра затрудняют оценку безопасности сети, а несколько правил затрудняют различение централизованно управляемого набора правил и правил сетевого пути, связанных с рабочей нагрузкой.Continuous changes to firewalls rules for every firewall instance make it difficult to assess network security posture, and multiple rules make it difficult to distinguish between a centrally managed basic set of rules and workload-specific network path rules.

    Политики брандмауэра Azure помогают организациям определить минимальный набор правил, применяемых в рамках Организации.Azure Firewall policies to help organizations define a minimum set of rules that apply throughout their organization. Политики для конкретных приложений могут наследовать базовые правила для создания иерархических правил, соответствующих требованиям брандмауэра, характерным для конкретного предприятия и приложения.Application-specific policies can inherit basic rules to create hierarchical rules that meet enterprise- and application-specific firewall requirements. Если правила настроены с помощью политик, они могут управляться и отслеживаться централизованно.When rules are configured through policies, they can be managed and monitored centrally.

    Azure предлагает настраиваемую политику, которая позволяет предприятиям централизованно определять политики брандмауэра Azure.Azure offers a custom policy that helps enterprises to define Azure Firewall policies centrally. Управление предприятием определяет правила и приоритеты, соответствующие требованиям к маршрутизации сетевого трафика.Enterprises control defining the rules and priorities that to meet their network traffic routing requirements. В зависимости от потребностей предприятия могут централизованно определять политики брандмауэра и применять их к виртуальной глобальной сети Azure или топологии сети типа "звезда".Depending on their needs, enterprises can define firewall policies centrally and apply them to either Azure Virtual WAN or hub-and-spoke network topology.

  • Подготавливает топологию сети "звезда"Provision hub-and-spoke network topology

    По мере того как больше рабочих нагрузок будет развернуто в Azure, они начинают использовать общий набор служб, таких как брандмауэры, VPN-шлюзы и другие.As more workloads start to get deployed in Azure, they begin using a common set of services such as firewalls, VPN gateways, and others. При тщательном планировании общие службы могут реплицировать развертывание приложения, создавая ненужные затраты и операционные издержки.If not carefully planned, common services can replicate per application deployment, creating unnecessary costs and operational overhead. В сценариях, где требуется локальное подключение из Azure и установление подключения для каждого развертывания приложения, топология сети становится труднее для обслуживания.In scenarios where on-premises connectivity is needed from Azure and connectivity is established per application deployment, network topology becomes more difficult to maintain.

    Топология сети Azure hub-and-лучевой помогает упростить требования к сетевому подключению.Azure hub-and-spoke network topology helps to streamline needs for network connectivity. Виртуальная сеть-концентратор (VNet) может размещать общие службы, а также ресурсы Azure, зависящие от ведущего приложения виртуальных сетей.A hub virtual network (VNet) can host shared services while spoke VNets host application-specific Azure resources. Концентраторы и периферийные виртуальных сетей используют пиринг виртуальных сетей для связи друг с другом, и топология сети способствует четкому проектированию сети, упрощению управления и оптимизированным затратам.Hub-and-spoke VNets use VNet peering to connected with each other, and the network topology promotes clean network design, easier management, and optimized costs.

    Azure предлагает настраиваемую политику, которая использует брандмауэр и шлюзы Azure из VPN и ExpressRoute для подготавливает виртуальных сетей центра.Azure offers a custom policy that uses Azure Firewall and gateways from VPNs and ExpressRoute to provisions hub VNets. В рамках назначения политики предприятия могут настроить все параметры для брандмауэров и шлюзов.Enterprises can configure all options for firewalls and gateways as part of the policy assignment. Эта политика упрощает процесс развертывания топологии сети концентратора и звезды Azure.This policy simplifies the process to deploy Azure hub-and-spoke network topology.

    Другая пользовательская политика Azure не позволяет двум виртуальных сетейам, которые обмениваются друг с другом, обмениваться данными друг с другом через виртуальную сеть концентратора.Another custom Azure policy prevents two VNets from peering with each other to instead communicate with each other via a hub VNet. Настройка виртуальных сетей для взаимодействия друг с другом через концентраторы позволяет управлять сетевыми подключениями и отслеживать их.Configuring VNets to communicate with each other through with hubs makes it possible to control and monitor network connections. Топология сети упрощается и с точки зрения обслуживания.Network topology is simplified from a maintenance perspective as well.

  • Подготавливает конфигурации по умолчанию для Azure MonitorProvision default configurations for Azure Monitor

    Невозможность определения и визуализации связи между платформой Azure, ее службами и приложениями может привести к сбою или незамеченному снижению производительности.The inability to identify and visualize the relationship between the Azure platform, its service(s), and application(s) can lead to an outage or undetected and degraded performance. Операции или команды поддержки могут пропускать определенные условия, и приложение Azure может не масштабировать себя для реагирования на всплеск или слумп в спросе.Operations or support teams could miss opportunity to correct specific conditions, and an Azure application might not scale itself to respond to a surge or slump in the demand.

    Azure Monitor журналов и Log Analytics рабочих областей используют предупреждения, чтобы помочь предприятиям понять и устранить критические условия.Azure Monitor Logs and Log Analytics workspaces use alerts to help enterprises understand and resolve critical conditions. Они используют панели мониторинга, книги и Power BI Майкрософт для поддержки предприятий, которые позволяют визуализировать и взаимодействовать с надежным набором данных журнала.They use dashboards, workbooks, and Microsoft Power BI to support enterprises to visualize and interact with a robust set of log information. Предприятия могут использовать журналы Azure Monitor и Log Analytics рабочие области для настройки автомасштабирования виртуальных машин и автоматического добавления или удаления дополнительных экземпляров.Enterprises can use Azure Monitor Logs and Log Analytics workspaces together to configure VM autoscaling and automatically add or remove extra instances.

    Azure предлагает настраиваемую политику для настройки журналов Azure Monitor с Log Analytics рабочими областями.Azure offers a custom policy to configure Azure Monitor Logs with Log Analytics workspaces. Эта политика развертывает отчеты с предупакованными панелями мониторинга из Azure Monitor решений для конкретных служб Azure, таких как база данных SQL Azure или Azure AD.This policy deploys prepackaged dashboard reports from Azure Monitor solutions for specific Azure services like Azure SQL Database or Azure AD. Он также настраивает источники данных из метрик производительности Linux или Windows с Azure Monitor.It also configures data sources from Linux or Windows VM performance metrics with Azure Monitor.

  • Включение хранилища журналов и запросовEnable log storage and queries

    Если не планировать тщательную обработку, данные журналов из нескольких источников Azure могут стать неуправляемыми, так как запись, хранение и управление журналами могут потреблять ресурсы, время и затраты.If not carefully planned, log information from multiple Azure sources can become unmanageable, as capturing, storing, and managing logs can consume resources, time, and costs. Выявление тенденций или шаблонов в течение длительного периода времени и большой объем журналов также может стать непростой задачей.Identifying trends or patterns over a long period of time and a large amount of logs can also become challenging. Log Analytics запросы используют оповещения и интерактивные отчеты, чтобы помочь предприятиям эффективно хранить журналы и управлять ими из нескольких источников.Log Analytics queries use alerts and interactive reports to help enterprises to efficiently store and manage logs from multiple sources.

    Azure предлагает настраиваемую политику, которая создает рабочую область Log Analytics, которая служит репозиторием, в котором хранятся журналы данных.Azure offers a custom policy that creates a Log Analytics workspace to serve as a repository that stores data logs. Создается учетная запись службы автоматизации Azure, которая связывается с Log Analytics рабочей областью для автоматизации задач или развертывания Azure Monitor решений, которые могут зависеть от этих рабочих областей.An Azure Automation account is created, and it links to a Log Analytics workspace to automate tasks or deploy Azure Monitor solutions that could depend on those workspaces. Политика также помогает настроить сроки хранения журналов, регионы Azure и другие свойства.The policy also helps to configure log retention periods, Azure regions, and other properties.

  • Ведение журнала для серверов с поддержкой дуги AzureProvision logging for Azure-Arc-enabled servers

    Благодаря ИТ-разрешениям, охватывающим несколько облаков, локальных сайтов и граничных расположений, предприятия могут испытывать трудности в управлении серверами, которые разбросаны между средами и географическими расположениями, и управляют ими.With IT estates spanning across multiple clouds, on-premises sites, and edge locations, enterprises could struggle to manage and govern servers that are scattered across environments and geographic locations. Идея использования ряда продуктов для наблюдения за этими серверами может быть перегруженной, и назначение серверов нескольким средам в одном решении для управления удостоверениями может оказаться сложной задачей и управлять ими.The idea of using a range of products to monitor these servers could be overwhelming, and assigning servers to multiple environments under one unified access and identity management solution can be challenging to set up and manage.

    Дуга Azure упрощает управление ресурсами, такими как серверы, кластеры kubernetes и службы данных, и управляет ими в разнородных средах.Azure Arc simplifies how resources like servers, kubernetes clusters, and data services are governed and managed across heterogeneous. Предоставляя гибридные ресурсы в качестве собственных ресурсов Azure, служба Arc Azure предоставляет единую панель управления для управления собственными и гибридными ресурсами, а также позволяет использовать собственные и гибридные ресурсы в рамках единого решения для управления доступом на основе ролей.By projecting hybrid resources as native Azure resources, Azure Arc provides a single control pane for managing native and hybrid resources, bringing native and hybrid resources under a unified role-based-access-control solution.

    Azure предлагает две пользовательские политики, которые могут помочь предприятиям настроить агенты Log Analytics на серверах Linux и Windows на базе Azure с поддержкой ARC.Azure offers two custom policies that can help enterprises to set up Log Analytics agents on Azure-Arc-enabled Linux and Windows servers. Log Analytics Рабочая область также настроена для хранения журналов и управления ими.A Log Analytics workspace is also configured to store and manage logs. При успешном назначении политика определяет имена серверов в области и назначает ее агенту Log Analytics.When assigned successfully, the policy identifies the name of server(s) within its scope and assigns it to a Log Analytics agent.

  • Принудительное выполнение сбора журналов сетевого трафикаEnforce collecting network traffic logs

    Хотя виртуальная сеть и подсети обеспечивают границы логической частной сети, по-прежнему необходимо отслеживать сетевой трафик в Azure.Even though Virtual Network and subnets provide logical private network boundaries, it's still necessary to monitor network traffic in Azure. Без правильного мониторинга корпоративные сети уязвимы для вредоносного или неизвестного трафика от скомпрометированных IP-адресов.Without proper monitoring, enterprise networks are vulnerable to malicious or unknown traffic from compromised IP addresses. Без понимания текущего трафика может быть сложно подготавливать дополнительную емкость для увеличения объема сетевого трафика.Without an understanding of the current traffic, it can be challenging to provision extra capacity for increasing in network traffic.

    Наблюдатель за сетями Azure помогает предприятиям отслеживать и устранять неполадки в сети для служб IaaS в Azure.Azure Network Watcher helps enterprises to monitor and repair network issue for infrastructure-as-a-service (IaaS) services in Azure. С помощью этой службы журналы потоков NSG позволяют собирать сведения о сетевом трафике.With this service, NSG flow logs provides a way to capture information about network traffic. Предприятия могут использовать преимущества анализа трафика и шаблонов, прогнозировать будущие потребности в производственных мощностях и обеспечивать соответствие политикам корпоративного управления.Enterprises can benefit from traffic analysis and patterns, forecast future capacity needs, and enforce compliance with corporate governance policies.

    Azure предлагает настраиваемую политику для настройки журналов потоков NSG в наблюдателе за сетями. здесь учетная запись хранения подготавливается в качестве репозитория для хранения журналов потоков NSG.Azure offers a custom policy for setting up NSG flow logs in Network Watcher; here, a Storage account is provisioned as repository to store NSG flow logs. Эта политика также позволяет настроить срок хранения журналов потоков NSG.This policy also configuring the retention period to store the NSG flow logs.

  • Подготавливает Сетевое решение масштабного подключенияProvision an at-scale network connectivity solution

    Требования к сетевому подключению к корпоративной сети могут быть сложными.Enterprise network connectivity requirements can be complex. Постоянные запросы на добавление новых сайтов, устройств и пользователей в постоянно развернутую сеть трудно подготавливать и контролировать, а также пропускную способность сети и пропускную способность из нескольких таучпоинтс на предприятии.Constant requests for adding new sites, devices, and users to an ever-expanding network are challenging to provision and manage, and network bandwidth and throughput demands from multiple touchpoints in an enterprise can be demanding.

    Виртуальная глобальная сеть Azure — это сетевая служба корпоративного уровня, которая помогает организациям устранять проблемы с подключением.Azure Virtual WAN is an enterprise-level network service that helps organizations to resolve connectivity challenges. Служба обеспечивает более высокую общую пропускную способность с подключением к сети, оптимальную маршрутизацию по магистрали Azure и единую среду управления Azure.The service provides higher aggregate throughput with network connectivity, optimal routing over the Azure backbone, and a unified Azure management experience.

    Azure предлагает настраиваемую политику для настройки виртуальной глобальной сети и подготавливает виртуальный концентратор в службе.Azure offers a custom policy to set up Virtual WAN and provision a virtual hub within the service. Предприятия могут развертывать виртуальные концентраторы, чтобы играть в качестве центральной точки для подключений из нескольких источников и назначений.Enterprises can deploy virtual hubs to act as a central point for connections from multiple sources and destinations. ExpressRoute, VPN-шлюзы и брандмауэр Azure также подготавливаются для устранения требований к сетевым подключениям.ExpressRoute, VPN gateways, and Azure Firewall are also provisioned to address network connectivity requirements.

  • Настройка виртуальных машинBack up virtual machines

    По мере роста облачных технологий корпоративный выпуск гарантирует резервное копирование рабочих нагрузок Azure.As cloud adoption increases, enterprise face ensuring that Azure workloads are backed up. В традиционных моделях ИТ, где разработка приложений и ИТ управляются отдельными группами, владение резервными копиями виртуальных машин может стать неясным.In conventional IT support models where app development and IT operations are managed by separate teams, the ownership of VM backups can become unclear. Отсутствие процесса резервного копирования может также создать дорогостоящие последствия во время предполагаемых или непредвиденных ситуаций, требующих резервного копирования виртуальных машин для восстановления рабочих нагрузок.Missing backup process can also create costly consequences during intended or unintended scenarios that need VM backups for restoring workloads.

    Azure Backup предоставляет простой и удобный способ резервного копирования виртуальных машин, работающих в Azure или на локальных сайтах.Azure Backup provides a seamless, simple, and integrated option for backing up VMs running in Azure or on-premise sites. Azure Backup использует облачное хранилище и освобождает предприятия от постоянного приобретение и управления хранилищем для резервного копирования.Azure Backup uses cloud-scale storage and frees enterprises from constantly procuring and managing storage for backups. Azure Backup предоставляет репозиторий для безопасного хранения неактивных и переходных данных.Azure Backup provides a repository to store at-rest and transitional data securely.

    Azure предлагает настраиваемую политику, которая автоматически настраивает защиту службы архивации Azure для виртуальных машин Windows и Linux.Azure offers a custom policy that automatically configures Azure backup protection for Windows and Linux VMs. Хранилище служб восстановления Azure настроено для хранения резервных копий, безопасного хранения данных и использования обратимого удаления для защиты резервных копий от вредоносного удаления.An Azure Recovery Services vault is configured for storing backups, securely storing data and using soft-delete to protect backups from being deleted maliciously. Политика резервного копирования по умолчанию создается и назначается предварительно настроенным значениям для расписаний резервного копирования, периодов хранения и т. д.A default backup policy is created and assigned with preconfigured values for backup schedules, retention periods, and more.

  • Подготавливает подключение между виртуальных сетейProvision connectivity between VNets

    Обычно предприятиям разбросаны рабочие нагрузки в нескольких подписках или виртуальных сетей.It is common for enterprises to scatter workloads across multiple subscriptions or VNets. В свою очередь, критически важные бизнес-приложения могут испытывать трудности при обмене данными без выделенного и безопасного сетевого подключения.In turn, critical business applications can struggle with exchanging data without dedicated and secure network connectivity. Сетевое подключение на основе Интернета может привести к нестабильной пропускной способности сети и производительности, и потенциально высокая задержка в сети может негативно сказаться на работе пользователей.An internet-based network connection will can offer inconsistent network bandwidth and performance, and potentially high network latency can negatively impact the user experience.

    Пиринг виртуальных сетей обеспечивает подключение двух виртуальных сетей по магистральной сети Майкрософт.Virtual Network peering provides connects two VNets over the Microsoft backbone network. Пиринг Azure поддерживает сетевое подключение с высокой пропускной способностью и низкой задержкой, где можно безопасно обмениваться данными между отдельными подписками Azure, клиентами или регионами Azure.Azure peering supports high-bandwidth, low-latency network connectivity where data between separate Azure subscriptions, tenants, or Azure regions can be exchanged securely.

    Azure предлагает настраиваемую политику, которая предоставляет шаблон для настройки пиринга виртуальных сетей.Azure offers a custom policy provides with a template for setting up Virtual Network peering. В качестве параметра можно передать сетевой макет в определении шаблона Azure Resource Manager.A network layout in an Azure Resource Manager template definition can be passed as a parameter. Эта политика позволяет развернуть виртуальных сетей и настроить пиринг виртуальных сетей между ними, а также такие зависимости, как группы безопасности сети, маршрутизация пользователя и другие.This policy will spin up VNets and configure VNet peering between them, plus dependencies like NSGs, user-define routing, and others.

  • Принудительное присоединение виртуальных машин Windows к доменам Azure ADEnforce Windows VMs to join Azure AD domains

    Предприятия применяют виртуальные машины, присоединенные к домену, для единообразного управления.Enterprises have been using domain joined VMs for a consistent management experience. Если такие операции, как корпоративные политики паролей, централизованная проверка подлинности и другие, создаются в рамках политик домена, то виртуальная машина, которая не присоединяется к домену, подвергается угрозам, таким как ненадежные пароли, и невозможности подключения к корпоративным устройствам, приложениям и другим ограничениям.When operations like corporate password policies, central authentication, and others are created as part of domain policies, a VM that doesn't join the domain is exposed to risks like weak passwords and an inability to connect with corporate devices, applications, and other limitations. При развертывании на виртуальных машинах, которые не присоединены к домену, устаревшие приложения полагаются на такие протоколы проверки подлинности, как Microsoft New Technology LAN Manager или Kerberos.When deployed on VMs that aren't joined to the domain, legacy applications relying on authentication protocols like Microsoft New technology LAN Manager or Kerberos could face authentication issues.

    Azure предоставляет управляемые и неуправляемые решения для реализации доменных служб.Azure provides managed and unmanaged solutions for implementing domain services. Благодаря самостоятельно управляемым службам AD DS Azure предприятия получают один и тот же полный контроль над настройками, конфигурациями и операциями в локальной среде.With self-managed Azure AD DS services, enterprises gain the same complete control of setups, configurations, and operations as with on-premises environment. Служба освобождает предприятия от затрат на управление и предоставляет базовые службы домена.The service frees enterprises of management overhead while providing essential domain services.

    Azure предлагает настраиваемую политику, которая позволяет новым виртуальным машинам Windows автоматически присоединяться к доменам.Azure offers a custom policy that helps new Windows VMs to automatically join domains. Расширение "JsonADDomainExtension", развернутое на виртуальной машине, использует параметры конфигурации, такие как имя пользователя, домен, Аупас и другие, чтобы гарантировать, что виртуальная машина присоединяется к указанному домену.The 'JsonADDomainExtension' extension deployed on the VM uses configuration settings like the username, domain, OUPath, and more to ensure that the VM joins the specified domain. Эта политика использует Azure KeyVault для управления конфиденциальными данными пользователя домена и пароля.This policy uses Azure KeyVault to manage confidential domain username and password information.