Styrningsguide för komplexa företagGovernance guide for complex enterprises

Översikt över metodtipsOverview of best practices

Den här styrningsguiden följer ett fiktivt företag under de olika stegen för styrningsmognad.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Den är baserad på verkliga kund upplevelser.It's based on real customer experiences. Föreslagen bästa praxis baseras på det fiktiva företagets begränsningar och behov.The suggested best practices are based on the constraints and needs of the fictional company.

Som en snabb startpunkt definierar den här översikten MVP-kraven (Minimum Viable Product) för styrning baserat på bästa praxis.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Den innehåller även länkar till några styrningsförbättringar som lägger till ytterligare bästa praxis allt eftersom nya affärsrisker eller tekniska risker uppstår.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Varning

Denna MVP är en baslinjestartpunkt som baseras på en uppsättning antaganden.This MVP is a baseline starting point, based on a set of assumptions. Även den här minimala uppsättningen med bästa praxis baseras på företagspolicyer som drivs av unika affärsrisker och risktoleranser.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Om du vill se om dessa antaganden gäller dig kan du läsa den längre berättelsen som efterföljer den här artikeln.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Metodtips för styrningGovernance best practices

Dessa metodtips kan fungera som utgångspunkt för en snabb och konsekvent riskhantering i flera Azure-prenumerationer.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

ResursorganiseringResource organization

Följande diagram visar MVP-styrningshierarkin för att organisera resurser.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagram över resursorganisering

Varje program bör distribueras i korrekt område i hierarkin för hanteringsgrupp, prenumeration och resursgrupp.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Under distributionsplaneringen skapar teamet för molnstyrning nödvändiga noder i hierarkin för att stödja molnimplementeringsteamen.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Definiera en hanteringsgrupp för varje affärsenhet med en detaljerad hierarki som återspeglar det geografiska området först och sedan miljötypen (till exempel produktionsmiljö eller icke-produktionsmiljö).Define a management group for each business unit with a detailed hierarchy that reflects geography first, then environment type (for example, production or nonproduction environments).

  2. Skapa en prenumeration för produktionsmiljön och en som inte är avsedd för produktionsmiljön för varje unik kombination med en diskret affärsenhet eller ett geografiskt område.Create a production subscription and a nonproduction subscription for each unique combination of discrete business unit or geography. Att skapa flera prenumerationer kräver noggrant övervägande.Creating multiple subscriptions requires careful consideration. Mer information finns i guiden Prenumerationsbeslut.For more information, see the subscription decision guide.

  3. Tillämpa konsekvent terminologi på varje nivå i den här grupperingshierarkin.Apply consistent nomenclature at each level of this grouping hierarchy.

  4. Resursgrupper bör distribueras på ett sätt som tar hänsyn till innehållets livslängd.Resource groups should be deployed in a manner that considers its contents lifecycle. Resurser som utvecklas tillsammans, hanteras tillsammans och dras tillbaka tillsammans tillhör samma resursgrupp.Resources that are developed together, managed together, and retired together belong in the same resource group. Mer information om metodtips för att använda resursgrupper finns i beslutsguiden för resurskonsekvens.For more information about best practices for using resource groups, see the resource consistency decision guide.

  5. Valet av region är otroligt viktigt. Du måste se till att nätverk, övervakning och granskning är tillgängligt för redundans/återställning och att nödvändiga SKU:er är tillgängliga i de önskade regionerna.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Diagram över resursorganisering för stort företag

Dessa mönster ger utrymme för tillväxt utan att göra hierarkin onödigt komplicerad.These patterns provide room for growth without making the hierarchy needlessly complicated.

Anteckning

I händelse av större ändringar i dina affärskrav gör Azure-hanteringsgrupper att du enkelt kan omorganisera hanteringshierarkin och tilldelningarna av prenumerationsgrupper.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. Kom dock ihåg att princip- och rolltilldelningar som tillämpas på en hanteringsgrupp ärvs av alla prenumerationer under den gruppen i hierarkin.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Om du planerar att omtilldela prenumerationer mellan hanteringsgrupper bör du vara medveten om ändringar av princip- och rolltilldelning som kan uppstå.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Mer information finns i dokumentationen om Azure-hanteringsgrupper.See the Azure management groups documentation for more information.

Styrning av resurserGovernance of resources

En uppsättning med globala principer och RBAC-roller ger en baslinjenivå av styrningsframtvingande.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. För att uppfylla molnstyrningsteamets principkrav måste följande uppgifter utföras för att implementera styrnings-MVP:n:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identifiera de Azure Policy-definitioner som behövs för att genomdriva affärskrav.Identify the Azure Policy definitions needed to enforce business requirements. Detta kan inkludera användning av inbyggda definitioner och skapandet av nya anpassade definitioner.This might include using built-in definitions and creating new custom definitions. För att du ska kunna hålla takten med nyligen utgivna inbyggda definitioner finns det en Atom-feed av alla incheckningar för inbyggda principer, som du kan använda för en RSS-feed.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. Alternativt kan du använda AzAdvertizer.Alternatively, you can check AzAdvertizer.
  2. Skapa en skissdefinition med hjälp av dessa inbyggda och anpassade principer och rolltilldelningar enligt kraven för styrnings-MVP.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Tillämpa principer och konfiguration globalt genom att tilldela skissdefinitionen till alla prenumerationer.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identifiera principdefinitionerIdentify policy definitions

Azure innehåller flera inbyggda principer och rolldefinitioner som du kan tilldela till valfri hanteringsgrupp, prenumeration eller resursgrupp.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Många vanliga styrningskrav kan hanteras med hjälp av inbyggda definitioner.Many common governance requirements can be handled using built-in definitions. Det är dock troligt att du även måste skapa anpassade principdefinitioner så att du kan hantera dina specifika krav.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Anpassade principdefinitioner sparas till antingen en hanteringsgrupp eller en prenumeration och ärvs via hanteringsgruppshierarkin.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Om sparplatsen för en principdefinition är en hanteringsgrupp så är den principdefinitionen tillgängliga att tilldelas till vilka som helst av den gruppens underordnade hanteringsgrupper eller prenumerationer.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Eftersom de principer som krävs för att stödja styrnings-MVP är avsedda att gälla för alla aktuella prenumerationer implementeras följande affärskrav med hjälp av en kombination av inbyggda definitioner och anpassade definitioner som skapats i rothanteringsgruppen:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Begränsa listan över tillgängliga rolltilldelningar till en uppsättning inbyggda Azure-roller som auktoriserats av teamet för molnstyrning.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. Detta kräver en anpassad principdefinition.This requires a custom policy definition.
  2. Kräv följande taggar för alla resurser: Avdelning/faktureringsenhet, Geografi, Dataklassificering, Allvarlighetsgrad, SLA, Miljö, Programarketyp, Program och Programägare.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Detta kan hanteras med hjälp av den inbyggda definitionen Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Kräv att taggen Application för resurser ska matcha namnet på relevant resursgrupp.Require that the Application tag for resources should match the name of the relevant resource group. Detta kan hanteras med hjälp av den inbyggda definitionen ”Kräv tagg och dess värde”.This can be handled using the "Require tag and its value" built-in definition.

Information om hur du definierar anpassade principer finns i dokumentationen om Azure Policy.For information on defining custom policies see the Azure Policy documentation. Vägledning och exempel på anpassade principer finns på webbplatsen med Azure Policy-exempel och den associerade GitHub-lagringsplatsen.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Tilldela Azure Policy- och RBAC-roller med hjälp av Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

Azure-principer kan tilldelas på resursgrupps-, prenumerations- och hanteringsgruppsnivå och kan tas med i Azure Blueprints-definitioner.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Även om de principkrav som definieras i denna styrnings-MVP gäller för alla aktuella prenumerationer är det mycket troligt att framtida distributioner kommer att kräva undantag eller alternativa principer.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Därför är det inte säkert att tilldelning av principer med hjälp av hanteringsgrupper, där alla underordnade prenumerationer ärver dessa tilldelningar, är flexibelt nog att stödja dessa scenarier.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Azure Blueprints möjliggör konsekvent tilldelning av principer och roller, tillämpning av Resource Manager-mallar och distribution av resursgrupper över flera prenumerationer.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Precis som principdefinitioner sparas skissdefinitioner till hanteringsgrupper eller prenumerationer.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. Principdefinitionerna är tillgängliga genom arv till alla underordnade i hanteringsgruppens hierarki.The policy definitions are available through inheritance to any children in the management group hierarchy.

Teamet för molnstyrning har beslutat att framtvingande av den Azure Policy och de RBAC-tilldelningar som krävs mellan prenumerationer kommer att implementeras via Azure Blueprints och associerade artefakter:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. I rothanteringsgruppen skapar du en skissdefinition som heter governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Lägg till följande skissartefakter i skissdefinitionen:Add the following blueprint artifacts to the blueprint definition:
    1. Principtilldelningar för de anpassade Azure Policy-definitioner som definierats i roten för hanteringsgrupp.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Resursgruppsdefinitioner för alla grupper som krävs i prenumerationer som skapats eller styrs av styrnings-MVP.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Standardmässiga rolltilldelningar som krävs i prenumerationer som skapats eller styrs av styrnings-MVP.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Publicera skissdefinitionen.Publish the blueprint definition.
  4. Tilldela skissdefinitionen governance-baseline till alla prenumerationer.Assign the governance-baseline blueprint definition to all subscriptions.

Mer information om hur du skapar och använder skissdefinitioner finns i dokumentationen om Azure Blueprints.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Säkert virtuellt hybridnätverkSecure hybrid VNet

Specifika prenumerationer kräver ofta en viss åtkomstnivå till lokala resurser.Specific subscriptions often require some level of access to on-premises resources. Detta är vanligt i migrerings- eller utvecklingsscenarier där beroende resurser finns i det lokala datacentret.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Innan förtroendet till molnmiljön är helt fastställd är det viktigt att noggrant kontrollera och övervaka all tillåten kommunikation mellan den lokala miljön och molnarbetsbelastningar samt att skydda det lokala nätverket mot potentiell obehörig åtkomst från molnbaserade resurser.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. För att stödja dessa scenarier lägger styrnings-MVP till följande bästa praxis:To support these scenarios, the governance MVP adds the following best practices:

  1. Upprätta ett molnsäkert virtuellt hybridnätverk.Establish a cloud secure hybrid VNet.
    1. VPN-referensarkitekturen upprättar ett mönster och en distributionsmodell för skapande av en VPN-gateway i Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Verifiera att de lokala mekanismerna för säkerhet och trafikhantering behandlar anslutna molnnätverk som ej betrodda.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Resurser och tjänster som hanteras i molnet ska endast ha åtkomst till auktoriserade lokala tjänster.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Validera att den lokala gränsenheten i det lokala datacentret är kompatibel med kraven för Azure VPN Gateway och har konfigurerats för att få åtkomst till det offentliga Internet.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Observera att VPN-tunnlar endast bör betraktas som produktionsklara kretsar för de allra enklaste arbetsbelastningarna.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Azure ExpressRoute bör användas för allt annat än ett fåtal arbetsbelastningar som kräver lokal anslutning.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. I rothanteringsgruppen skapar du en andra skissdefinition som heter secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Lägg till Resource Manager-mallen för VPN-gatewayen som en artefakt till skissdefinitionen.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Lägg till Resource Manager-mallen för det virtuella nätverket som en artefakt till skissdefinitionen.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Publicera skissdefinitionen.Publish the blueprint definition.
  3. Tilldela skissdefinitionen secure-hybrid-vnet till alla prenumerationer som kräver lokal anslutning.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Den här definitionen bör tilldelas utöver skissdefinitionen governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

En av de största frågorna som IT-säkerhet och traditionella styrningsteam tar upp handlar om risken för att molnimplementeringen i det tidiga skedet komprometterar befintliga tillgångar.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. Med ovanstående tillvägagångssätt kan teamen för molnimplementering skapa och migrera hybridlösningar med reducerad risk för lokala tillgångar.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. När förtroendet för molnmiljön ökar kan den här tillfälliga lösningen tas bort i senare utvecklingar.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Anteckning

Ovanstående är en startpunkt för att snabbt skapa en baslinjestyrnings-MVP.The above is a starting point to quickly create a baseline governance MVP. Det här är bara början på styrningsresan.This is only the beginning of the governance journey. Ytterligare utveckling kommer att behövas allt eftersom företaget fortsätter att implementera molnet och antar större risker inom följande områden:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Verksamhetskritiska arbetsbelastningarMission-critical workloads
  • Skyddade dataProtected data
  • KostnadshanteringCost management
  • Scenarier med flera molnMulticloud scenarios

Dessutom baseras den specifika informationen för denna MVP på exempelresan för ett fiktivt företag, som beskrivs i följande artiklar.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Vi rekommenderar starkt att du bekantar dig med de andra artiklarna i den här serien innan du implementerar denna bästa praxis.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Inkrementella styrningsförbättringarIncremental governance improvements

När denna MVP har distribuerats kan ytterligare styrningslager snabbt införlivas i miljön.Once this MVP has been deployed, additional layers of governance can be quickly incorporated into the environment. Här följer några metoder för att förbättra MVP:n för att uppfylla specifika affärsbehov:Here are some ways to improve the MVP to meet specific business needs:

Vad får jag med den här vägledningen?What does this guidance provide?

I MVP:n etableras metoder och verktyg från området Distributionsacceleration för att snabbt tillämpa företagspolicy.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. I synnerhet använder MVP:n Azure Blueprints, Azure Policy och Azure-hanteringsgrupper för att tillämpa några grundläggande företagspolicyer, enligt definitionen i berättelsen för den här fiktiva företaget.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Dessa företagsprinciper tillämpas med hjälp av Azure Resource Manager-mallar och Azure-principer för att upprätta en liten baslinje för identitet och säkerhet.Those corporate policies are applied using Azure Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagram som visar ett exempel på en MVP för inkrementell styrning.

Inkrementell förbättring av styrningsmetoderIncremental improvements to governance practices

Över tid används den här styrnings-MVP:n för att inkrementellt förbättra styrningsmetoderna.Over time, this governance MVP will be used to incrementally improve governance practices. När implementeringen ökar så ökar även affärsriskerna.As adoption advances, business risk grows. Olika områden i Cloud Adoption Framework-styrningsmodellen kommer att anpassas för att hantera de riskerna.Various disciplines within the Cloud Adoption Framework governance model will adapt to manage those risks. Senare artiklar i den här serien behandlar ändringarna av företagspolicy som påverkar det fiktiva företaget.Later articles in this series discuss the changes in corporate policy affecting the fictional company. Ändringarna gäller fyra områden:These changes happen across four disciplines:

  • Identitetsbaslinjeområdet, när migreringsberoenden ändras i berättelsen.The Identity Baseline discipline, as migration dependencies change in the narrative.
  • Kostnadshanteringsområdet, som implementeringsskala.The Cost Management discipline, as adoption scales.
  • Säkerhetsbaslinjeområdet, när skyddade data distribueras.The Security Baseline discipline, as protected data is deployed.
  • Resurskonsekvensområdet, när IT-avdelningen börjar stödja verksamhetskritiska arbetsbelastningar.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagram som visar ett exempel på inkrementella förbättringar av styrningsmetoder.

Nästa stegNext steps

Nu när du är bekant med styrnings-MVP och de kommande styrningsändringarna kan du läsa den relaterade berättelsen för att få ytterligare sammanhang.Now that you're familiar with the governance MVP and the forthcoming governance changes, read the supporting narrative for additional context.