Správa cloudových aktiv Azure

Tento článek vysvětluje, jak efektivně spravovat cloudová aktiva Azure, abyste zajistili provozní stav. Potřebujete silnou kontrolu nad cloudovými operacemi, abyste zajistili, že cloud bude v souladu s vašimi obchodními cíli. Postupujte podle těchto osvědčených postupů:

Určení rozsahu správy

Určete rozsah správy jasně pro každý model nasazení, aby bylo možné provádět informovaná rozhodnutí o správě cloudových aktiv. Infrastruktura (IaaS) a služby platforem (PaaS) fungují v rámci Azure. Porovnejte tyto odpovědnosti s místními prostředími a softwarovými službami (SaaS). Tato tabulka slouží k identifikaci zodpovědností v jednotlivých modelech nasazení.

Správa změn

Změna je nejběžnějším zdrojem problémů v cloudu. V důsledku toho potřebujete přístup ke správě změn, který sleduje změny a jejich schválení. Měl by také detekovat neschválené změny a vrátit je do požadovaného stavu. Postupujte takto:

1. Vyvinout proces žádosti o změnu Použít formální systém, jako je například nástroj pro vytváření lístků, žádost o přijetí změn (GitHub nebo Azure DevOps) nebo určené formuláře. Proces žádosti o změnu musí zaznamenávat podrobnosti o klíčích, jako je typ změny, identita žadatele, cílové prostředí, obor a důvod. Udržujte samostatné postupy pro rutinní žádosti o služby, jako jsou resetování hesla.

2. Posouzení rizika spojeného se změnou. Přiřaďte jasné kategorie rizik (vysoké, střední, nízké) pro vyrovnávání rychlosti nasazení pomocí řízení rizik. Vyhodnoťte každou změnu podle kritérií, jako je tolerance výpadků (rozpočet chyb) a závažnost úloh. Jako příklad použijte následující tabulku, která vám pomůže určit příslušný pracovní postup schválení:

   Úroveň rizika	Přípustný výpadek	Důležitost úloh	Proces schválení	Ukázkové změny
   Vysoko	Nepovoluje se žádný výpadek.	Tyto změny mají vliv na kritické systémy, které vyžadují nepřetržitou dostupnost s nulovou odolností pro případ výpadků.	Několik recenzí zkušených hlavních inženýrů, automatizovaná upozornění předávacího procesu, rychlé zkušební verzea aktivní monitorování.	Aktualizace kritické infrastruktury
   Středně	Krátký výpadek povolený	Tyto změny ovlivňují důležité systémy s omezenou odolností pro výpadky.	Automatizovaný proces označí změnu. Rychlá kontrola techniků v případě, že monitorování vyvolá výstrahu	Nekritické aktualizace systému, vylepšení funkcí během krátkých časových období údržby
   Nízký	Dostatečné povolené prostoje	Tyto změny mají vliv na nekritické systémy, kde je rozšířený výpadek přijatelný, aniž by to ovlivnilo celkové operace.	Plně automatizované nasazení prostřednictvím CI/CD spouští předběžné testy a monitorování.	Rutinní aktualizace, dílčí aktualizace zásad

3. standardizovat schválení jasně. Definovat kritéria schválení a autoritu vyžadované na každé úrovni rizika. Určete, kdo musí zkontrolovat každou změnu, ať už jde o jednoho schvalovatele nebo revizní komisi, a vyjasněte, jak by měli revidující poskytnout a vyřešit zpětnou vazbu.

4. Standardizovat proces nasazení. Jasně vystihování postupů pro sestavování, testování a nasazování schválených změn do produkčního prostředí. Podrobnosti najdete v tématu Správa cloudových prostředků.

5. Standardizovat proces po nasazení. Implementujte kroky monitorování a ověřování, abyste potvrdili úspěšné změny. Zahrnout jasnou strategii vrácení zpět pro rychlé obnovení služby, pokud změna představuje problémy.

6. Zabraňte a detekujte neoprávněné změny. Použijte analýzu změn k detekci změn konfigurace a vysvětlení jejich základních příčin. Pomocí služby Azure Policy odepřít a auditovat změny pomocí efektů, jako jsouOdepřít, DenyAction), (Audita auditIfNotExists). Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

Správa zabezpečení

Identita je váš bezpečnostní perimetr. K ověření identit, omezení oprávnění a údržbě zabezpečených konfigurací prostředků použijte standardizovanou platformu. Postupujte takto:

1. Správa identit. jako řešení pro správu sjednocených identit použijte Microsoft Entra ID. Jasně definovat oprávnění použitím řízení přístupu na základě role (RBAC). Pomocí zásad správného řízení Microsoft Entra ID řídit pracovní postupy žádostí o přístup, kontroly přístupu a správu životního cyklu identit. Povolte Privileged Identity Management pro udělení privilegovaného přístupu včas. Tato strategie snižuje zbytečný nadměrný přístup. Spravujte všechny tři typy identit (uživatel, aplikace, zařízení) konzistentně, abyste zajistili správné ověřování a autorizaci.

2. Spravujte přístup. Použijte řízení přístupu podle rolí v Azure (RBAC) a řízení přístupu na základě atributů (ABAC) k poskytnutí co nejméně oprávnění potřebných k provedení úlohy. Pokud chcete omezit režii správy, upřednostněte přiřazení rolí na základě skupin . Udělte oprávnění v nejnižším požadovaném rozsahu , jako jsou předplatná, skupiny prostředků nebo jednotlivé prostředky. Vyhněte se příliš rozsáhlým rozsahům oprávnění, abyste zabránili eskalaci nechtěných oprávnění. Přiřaďte pouze potřebná oprávnění pro roli každého uživatele.

3. Správa konfigurací prostředků. Použití infrastruktury jako kódu (IaC) k zajištění konzistentní a reprodukovatelné konfigurace prostředků. Pak pomocí služby Azure Policy vynucujte standardy organizace a vyhodnoťte dodržování předpisů. Pak pomocí Azure Policy vynucujte zabezpečené konfigurace konkrétních služeb Azure. Odkazujte na základní hodnoty zabezpečení pro pokyny k dostupným možnostem zabezpečení a optimálním konfiguracím zabezpečení. Jako doplňková funkce používejte zásady zabezpečení v programu Defender for Cloud, aby byly v souladu s běžnými standardy zabezpečení.

4. Spravovat ověřování. Zajistit, aby uživatelé přijali silné ověřování prostřednictvím vícefaktorového ověřování (MFA) a používali vícefaktorové ověřování Microsoft Entra (MFA) . Vždy vyžadovat podmíněného přístupu k vynucení ověřování na základě identity uživatele, stavu zařízení a kontextu přístupu. Nakonfigurujte samoobslužné resetování hesla a eliminujte slabá hesla.

5. Správa informací o zabezpečení. Používat Microsoft Sentinel pro informace o zabezpečení a dokonce správu (SIEM) a orchestraci zabezpečení, automatizaci a reakci (SOAR).

6. Ovládejte zabezpečení úloh. Doporučení k zabezpečení úloh najdete v bezpečnostním kontrolním seznamu Well-Architected rámce a průvodci službami Azure (začněte částí Zabezpečení).

Správa dodržování předpisů

Správa dodržování předpisů zajišťuje, aby operace Azure zůstaly v souladu se zavedenými zásadami správného řízení a zákonnými standardy. Tento postup snižuje riziko tím, že chrání prostředí před potenciálními porušeními a chybnou konfigurací.

1. porozumět zásadám správného řízení. zásady správného řízení definují omezení vysoké úrovně, která vaše týmy musí dodržovat, aby zůstaly v souladu s předpisy. Zkontrolujte zásady vaší organizace a namapujte každý požadavek na provozní procesy. Pokud nemáte zásady správného řízení, nejprve zdokumentujte zásady správného řízení.

2. Spravovat dodržování předpisů vynucování dodržování předpisů zajišťuje, že vaše prostředí zůstane v souladu s organizačními i regulačními standardy. Doporučení zásad najdete v následující tabulce.

   Doporučení	Podrobnosti
   Začínáme s definicemi obecných zásad	Začněte s obecnými definicemi služby Azure Policy, včetně povolených umístění, nepovolovaných typů prostředků a auditování vlastních rolí RBAC.
   Sladění s regulačními normami	Používejte bezplatné integrované definice služby Azure Policy v souladu s regulačními standardy, jako jsou ISO 27001, NIST SP 800-53, PCI DSS, EU GDPR

Další informace najdete v tématu Vynucování dodržování předpisů v Azure.

Správa dat

Správa dat v cloudových operacích zahrnuje aktivní klasifikaci, segmentování, zabezpečení přístupu a ochranu před odstraněním. Efektivní kontrola dat chrání citlivé informace, udržuje dodržování předpisů a zajišťuje spolehlivost dat během provozních změn.

1. Zjistit a klasifikovat data. Identifikovat a kategorizovat data podle citlivosti a důležitosti. Tato klasifikační vodítka řídí přizpůsobené ovládací prvky pro každý datový typ. Použijte Microsoft Purview pro zásady správného řízení dat. Další informace najdete v tématu Zdroje dat, které se připojují k mapě dat Microsoft Purview.

2. Řízení rezidence dat. Vyberte oblasti v rámci vaší geografické oblasti , například Spojené státy nebo Evropě, aby splňovaly požadavky na rezidenci dat. Ověřte všechny výjimky, protože určité služby Azure můžou ukládat data mimo vybranou oblast. Pravidelně kontrolujte nastavení rezidence dat Azure a požadavky na dodržování předpisů, abyste zachovali plnou kontrolu nad vašimi zákaznickými daty.

3. Izolovat interní úlohy ("Corp") a internetové úlohy ("Online"). Oddělení interních a externích úloh pomocí skupin pro správu. Interní úlohy obvykle vyžadují připojení nebo hybridní připojení k podnikové síti. Externí úlohy obvykle nevyžadují připojení k podnikové síti a můžou potřebovat přímý příchozí nebo odchozí přístup k internetu. Například se podívejte na "Corp" (interní) a "Online" (internětově orientované) skupiny pro správu v rozšiřovací zóně Azure .

4. Vynutit řízení přístupu. Implementovat robustní řízení přístupu, jako je Azure RBAC a ABAC, aby se zajistilo, že na základě definovaných klasifikací budou přistupovat jenom autorizovaní pracovníci k citlivým datům.

5. Chránit data před odstraněním. Používat funkce, jako je obnovitelné odstranění, správa verzí dat a neměnnost, pokud jsou k dispozici. Implementujte správu verzí databáze a připravte postupy vrácení zpět. Pokud chcete pomocí služby Azure Policy explicitně odepřít odstranění datastore (Deny nebo DenyAction) nebo auditovat (Audit nebo auditIfNotExists) jakékoli změny. Pokud používáte Bicep, zvažte použití Bicep nasazovacích zásobníků k zabránění neoprávněným změnám. Zámky prostředků používejte výhradně, abyste předešli nechtěným úpravám nebo smazání kritických dat. Vyhněte se používání zámků prostředků k ochraně konfigurací, protože zámky prostředků komplikují nasazení IaC.

6. Správa dat úloh. Podívejte se na doporučení Well-Architected Frameworku týkající se klasifikace dat .

Další informace najdete v tématu Vynucení zásad správného řízení dat.

Správa nákladů

Správa nákladů v cloudových operacích znamená, že aktivně sledujete útratu centrálně i na každou úlohu. Kontrola nákladů by měla poskytovat přehled o výdajích a podporovat zodpovědné výdaje. Postupujte takto:

1. Správa a kontrola nákladů Pomocí nástrojů Microsoft Cost Management monitorovat náklady na cloud. Azure nemá mechanismus na úrovni celého předplatného, který by omezil útratu na určitou prahovou hodnotu. Některé služby, jako je pracovní prostor služby Azure Log Analytics, mají limit útraty. Strategie monitorování nákladů slouží jako váš primární nástroj pro správu výdajů.

2. Správa nákladů na úlohy Udělení přístupu k fakturaci týmům úloh Nechte tyto týmy využít kontrolní seznam optimalizace nákladů Frameworku Well-Architected.

Správa kódu a modulu runtime

Správa kódu a modulu runtime jsou zodpovědnosti týkající se pracovního zatížení. Nechte týmy úloh používat kontrolní seznam z Frameworku Well-Architected pro Operační Excelenci , který popisuje 12 doporučení k řízení kódu a běhového prostředí.

Správa cloudových prostředků

Správa cloudových prostředků zahrnuje zásady správného řízení, dohled a údržbu všech služeb, nasazení a infrastruktury Azure. Vytvořte jasné protokoly nasazení a proaktivní strategie detekce odchylek, které udržují konzistenci napříč prostředími. Postupujte podle těchto doporučení:

Správa nasazení řízená portálem

Definujte protokoly a omezení pro nasazení založená na portálu, abyste minimalizovali potenciál pro produkční problémy. Postupujte takto:

1. Definovat zásady nasazení portálu Zajistit, aby významné změny založené na portálu dodržovaly zavedené procesy správy změn. Nasazení portálu používejte především pro rychlé vytváření prototypů, řešení potíží nebo menší úpravy ve vývojových a testovacích prostředích. Vyhněte se nestrukturovaným změnám portálu, protože tyto změny vedou k problémům s posunem, chybnou konfigurací a dodržováním předpisů. Místo toho se spoléhat na šablony infrastruktury jako kódu (IaC) řízené verzí pro konzistenci. Další informace najdete v tématu nasazení na základě kódu.

2. rozlišovat prostředí. omezit změny portálu výhradně na neprodukční prostředí. Povolte rychlé vytváření prototypů výhradně ve vyhrazených vývojových nebo testovacích prostředích a vynucujte přísné kontroly v produkčním prostředí.

3. Omezit oprávnění portálu. Omezit možnosti nasazení z portálu pomocí řízení přístupu na základě role (RBAC). Ve výchozím nastavení přiřaďte oprávnění jen pro čtení a eskalujte oprávnění jenom v případě potřeby.

   • Poskytněte přístup na požádání. Použijte Privileged Identity Management (PIM) pro přístup k prostředkům Azure a Microsoft Entra. K aktivaci PIM potřebujete sekvenční schválení více jednotlivců nebo skupin. Vyhraďte privilegované role (role supersprávce A0) výhradně pro scénáře tísňového volání.

   • Struktura RBAC na základě provozního modelu. navrhnout zásady RBAC přizpůsobené provozním týmům, včetně úrovní podpory, operací zabezpečení, platforem, sítí a úloh.

   • Audit všech aktivit. Monitorovat a zaznamenávat všechny akce ve vašem systému. Pomocí služby Azure Policy můžete auditovat (Audit nebo auditIfNotExists) změny. Kromě toho nakonfigurujte výstrahy ve službě Azure Monitor, aby informovaly zainteresované strany, když někdo odstraní prostředek Azure. Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

4. Používejte šablony řízené verzí. Omezte použití portálu na nouzové situace, pokud nasazujete pomocí IaC. Změny portálu vedou k posunu konfigurace od šablon IaC. Okamžitě replikujte všechny změny založené na portálu v šablonách IaC, které jsou řízeny verzemi, jako jsou šablony Bicep, Terraformnebo ARM. Pravidelně exportujte konfigurace prostředků Azure a ukládejte je jako IaC, abyste zachovali produkční prostředí v souladu se schválenými a trasovatelnými konfiguracemi. Pokyny k exportu konfigurací Azure jako Bicep, Terraform, nebo Šablon ARM. Zvažte specifikace šablon , pokud pracujete s šablonami ARM.

   Nástroj	Případ použití
   Bicep	Spravovatelné, čitelné IaC specifické pro Azure
   Terraformu	Multicloudové řešení, širší podpora komunity
   ARM šablony	Úplné řízení, pohodlné s JSON

Spravujte nasazení založená na kódu

Využijte nasazení založená na kódu pro automatizaci a řízení složitých nebo rozsáhlých změn. Postupujte takto:

1. standardizovat nástroje Použití konzistentní sady nástrojů k minimalizaci přepínání kontextu. Zvolte vývojářské nástroje (VS Code, Visual Studio), úložiště kódu (GitHub, Azure DevOps), kanál CI/CD (GitHub Actions, Azure Pipelines) a řešení IaC (Bicep, Terraformnebo šablon ARM).

2. Použít správu verzí. Udržovat jeden zdroj pravdy pro váš kód. Pomocí správy verzí můžete snížit posun konfigurace a zjednodušit postupy vrácení zpět.

3. Používejte kanály nasazení. CI/CD kanál automatizuje proces sestavení, spouští testy a kontroluje kód na problémy s kvalitou a zabezpečením při každé žádosti o sloučení. Pomocí GitHub Actions nebo azure Pipelines sestavte a nasaďte kód aplikace a soubory IaC. Vynucujte předběžné háky a automatizované kontroly, aby bylo možné včas zachytit neoprávněné nebo vysoce rizikové změny.

4. testovací nasazení. schválení fáze v rámci kanálů CI/CD k postupnému ověření nasazení. Postupujte podle této sekvence: vývoj, ověření sestavení, integrační testy, testy výkonnosti, uživatelské akceptační testování (UAT), příprava, kanárské vydání, předprodukční prostředí a nakonec produkční prostředí.

5. Použití infrastruktury jako kódu (IaC). Použití IaC k zajištění konzistence a správy nasazení prostřednictvím správy verzí. Přechod z testování konceptů založených na webu Azure Portal na IaC pro produkční prostředí Použijte šablony Bicep, Terraformnebo ARM k definování prostředků. Pro Bicep použijte moduly a a zvažte nasazovací sady . V případě ARM šablon zvažte použití specifikací šablony pro nasazení verzí.

6. Použijte osvědčené postupy úložiště kódu. Následující standardy snižují chyby, zjednodušují kontroly kódu a vyhýbají se problémům s integrací. Pro produkční prostředí s vysokou prioritou:

   Požadavek	Popis
   Zakázat přímé pushy	Blokovat přímé commity do hlavní větve
   Vyžadování žádostí o přijetí změn	Vyžadování všech změn pro předání žádosti o přijetí změn
   Vyžadujte kontrolu kódu	Ujistěte se, že všechny pull requesty kontroluje někdo jiný než autor.
   Prosazení prahových hodnot pokrytí kódu	Ujistěte se, že minimální procento kódu projde automatizovanými testy pro všechny žádosti o přijetí změn.
   Použití ověřovacích kanálů	Konfigurace pravidel ochrany větví pro spuštění ověřovacího procesu pro žádosti o přijetí změn

7. Vyžadovat kontroly při začleňování týmu odpovědného za úlohy. Ověřte, že nové kódové základny a týmy odpovídají obchodním cílům, standardům a osvědčeným postupům. Kontrolní seznam slouží k potvrzení struktury úložiště kódu, standardů pojmenování, standardů kódování a konfigurací kanálů CI/CD.

Správa odchylek konfigurace

Spravujte odchylky konfigurace tím, že identifikujete a opravíte nesrovnalosti mezi zamýšlenou konfigurací a živým prostředím. Postupujte podle těchto osvědčených postupů:

1. Předcházejte a detekujte změny. Použijte analýzu změn k detekci změn a vysvětlení jejich základních příčin. Pomocí služby Azure Policy odepřít a auditovat změny pomocí efektů, jako jsou (Odepřít, DenyAction), (Audita auditIfNotExists). Pokud používáte Bicep, zvažte použití zásobníků nasazení Bicep, abyste zabránili neoprávněným změnám.

2. Zjistit posun konfigurace IaC Posun nastane, když někdo aktualizuje soubor IaC (úmyslně, neúmyslně) nebo provede změnu na webu Azure Portal. Pravidelně porovnejte živé prostředí s požadovanou konfigurací, abyste zjistili posun:

   • Uložit požadované a poslední známé konfigurace. Uložte požadovaný konfigurační soubor do úložiště řízeného verzí. Tento soubor zobrazuje původní, zamýšlenou konfiguraci. Udržujte poslední známou dobrou konfiguraci jako spolehlivý bod pro návrat a referenční bod pro detekci odchylek.

   • Detekovat odchylku konfigurace před nasazením. Zobrazit náhled potenciálních změn před nasazením pomocí plánu Terraform, Bicep what-ifnebo ARM template what-if. Důkladně prozkoumejte nesrovnalosti, abyste zajistili, že navrhované změny odpovídají požadovanému stavu.

   • Zjistit posun po nasazení Pravidelně porovnávat živá prostředí s požadovanými konfiguracemi prostřednictvím pravidelných kontrol posunu. Tyto kontroly můžete integrovat do kanálů CI/CD nebo je provést ručně, aby se zachovala konzistence.

   • vrácení zpět na poslední známou dobrou konfiguraci. Vyvíjet jasné strategie vrácení zpět, které používají automatizované postupy v rámci kanálu CI/CD. Využijte poslední známou konfiguraci, abyste rychle vrátili nežádoucí změny a minimalizovali výpadky.

   • Minimalizovat změny řízené portálem minimalizovat změny mimo IaC pouze v nouzových scénářích. Vynucujte přísné řízení přístupu, jako je Privileged Identity Management. Pokud jsou k zachování přesnosti požadované konfigurace nutné ruční úpravy, proveďte okamžitou aktualizaci souborů IaC.

Správa operačních systémů

Pokud používáte virtuální počítače, musíte také spravovat operační systém. Postupujte takto:

1. Automatizace údržby virtuálních počítačů. v Azure můžete k vytváření a správě virtuálních počítačů Azure používat nástroje pro automatizaci . Pomocí Konfigurace zařízení Azure auditujte nebo nakonfigurujte nastavení operačního systému pomocí kódu pro počítače spuštěné v Azure a na hybridní systémy.

2. * Aktualizovat operační systémy. Musíte spravovat aktualizace hosta a údržbu hostitele, aby operační systémy byly aktuální pro účely zabezpečení.

3. Monitorujte operace ve virtuálním prostředí. Použijte službu Azure Change Tracking and Inventory k vylepšení auditování a zásad řízení pro operace ve virtuálním prostředí. Monitoruje změny a poskytuje podrobné protokoly inventáře pro servery napříč Azure, místními a dalšími cloudovými prostředími.

Nástroje pro správu Azure