SaaS-számítási feladatok szabályozása az Azure-ban
A szabályozás olyan vezérlők, eljárások és eszközök készlete, amelyekkel rendszerezheti, szabályozhatja és szabályozhatja a felhőszolgáltatások használatát. A szabályozást olyan védőkorlátok sorozataként tekintheti, amelyek elfogadható használatra vonatkozó szabványokat határoznak meg, megakadályozzák a jogosulatlan hozzáférést és módosításokat, és összehangolják a felhőtevékenységeket a teljes felhőstratégiával. A hatékony irányítás csökkenti a kockázatokat, segít biztosítani a megfelelőséget, és támogatja a szervezet üzleti célkitűzéseit. Amikor szolgáltatásként (SaaS) készít szoftvermegoldást, elengedhetetlen, hogy a rendszerirányítást a kezdetektől előnyben részesítse. Ez a megközelítés a biztonságos, költséghatékony és hatékony megoldás alapjait fekteti le.
Költségszabályozás
A vállalkozás sikerességének biztosítása érdekében fontos tisztában lenni a megoldás futtatásának költségeival. Ezeket a költségeket hatékonyan kell elemeznie, kezelnie és optimalizálnia, miközben fenn kell tartania felettük az irányítást. Amikor elkezdi felépíteni a megoldást az Azure-ban, a költségek becsléséhez használhat olyan eszközöket, mint a díjkalkulátorok és a költségelemzők.
Az SaaS költségeinek nyomon követéséről és szabályozásáról, valamint az ügyfelek számlázásáról további információt az Azure-beli SaaS-számítási feladatok számlázása és költségkezelése című témakörben talál.
Kialakítási szempontok
Elnevezési konvenció és címkézési stratégia kidolgozása. A nevek és címkék olyan metaadatokat biztosítanak, amelyekkel szabályozhatja az erőforrásokat, és gyorsan meghatározhatja a tulajdonjogot. A konzisztens erőforrás-elnevezés segíthet az Azure-erőforrások kezelésében és szabályozásában. Az Azure-erőforráscímkék olyan metaadatkulcs-érték párok, amelyeket ön alkalmaz az erőforrásokra, és amelyeket az erőforrások azonosítására használ.
Fontolja meg a metaadatok használatát az olyan információk nyomon követéséhez, mint például:
- Az erőforrás típusa.
- A társított számítási feladat.
- A környezet, amelyben használják, például az éles környezet, az előkészítés vagy a fejlesztés.
- Az erőforrás helye.
- Az erőforrást használó ügyfél vagy ügyfélcsoport az ügyfélspecifikus üzemelő példányokhoz.
Az erőforrás-elnevezési stratégiákat az felhőadaptálási keretrendszer: Erőforrás elnevezése című témakörben talál.
Automatizált szabályozás implementálása szabályzatokkal. A szabályzatok a szervezeti szabványok meghatározásában és a számítási feladatok és erőforrások megfelelőségének értékelésében felelnek meg. Ez egy szabályozási eszköz, amellyel erőforrás-konzisztenciát, jogszabályi megfelelőséget, biztonságot, felügyeletet és költséghatékonyságot érhet el.
Az Azure Policy használatával létrehozhat egy szolgáltatáskatalógust az engedélyezett szolgáltatásokról és szolgáltatástípusokról, amelyek a számítási feladatokra vonatkozó követelményekhez igazodnak. Ez a katalógus megakadályozhatja a véletlen túlköltekezést azáltal, hogy biztosítja, hogy csak a jóváhagyott szolgáltatások legyenek használatban. Miután meghatározta például a szükséges virtuális gépek típusát, sorozatát és méretét, implementálhat egy szabályzatot, amely csak ezeknek a virtuális gépeknek az üzembe helyezését teszi lehetővé. A szabályzatok egységes kényszerítése az összes felhasználó és egyszerű felhasználó számára, a jogosultsági szinttől függetlenül.
Kompromisszum: Biztonság és működési hatékonyság. Ha túl sok szabályzatot vezet be, az csökkentheti a csapat termelékenységét. Törekedjen automatizált vezérlők implementálására a leglényegesebb elemeken.Költségkezelési eszközkészlet használata. A Microsoft Cost Management számos eszközt kínál a költségszabályozás támogatására, például:
A költségelemzés olyan eszköz, amellyel elemzéseket és elemzéseket érhet el a felhőbeli kiadásokról. Ezeket a költségeket különböző intelligens és testre szabható nézetekkel tekintheti át. Ezek a nézetek olyan elemzéseket részleteznek, mint például az erőforráscsoportok, szolgáltatások és előfizetések költségei. A költségelemzéssel elemezheti a halmozott és a napi költségeket, és áttekintheti a számlák részleteit.
A Cost Management költségvetései egy olyan eszköz, amellyel költségkorlátokat és riasztásokat hozhat létre az Azure különböző hatóköreiben. A költségvetési riasztásokat a tényleges kiadások vagy az előre jelzett kiadások alapján konfigurálhatja. A költségvetéseket különböző szinteken is hozzárendelheti, például felügyeleti csoportokat, előfizetéseket vagy erőforráscsoportokat.
A költségriasztások három különböző riasztástípuson keresztül segítenek a felhőbeli kiadások monitorozásában.
A költségvetési riasztások értesítik a címzetteket, ha eléri a költségvetési küszöbértékeket, vagy ha hamarosan eléri az előrejelzett küszöbértékeket.
Az anomáliariasztások értesítik a címzetteket, ha váratlan változások történnek a felhőbeli kiadásokban.
Az ütemezett riasztások naponta, hetente vagy havonta küldenek jelentést a címzetteknek a teljes felhőköltségekről.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| Engedélyezze a Cost Managementet. Az eszközök elérhetők az Azure Portalon, valamint bárki számára, aki hozzáfér egy számlázási fiókhoz, előfizetéshez, erőforráscsoporthoz vagy felügyeleti csoporthoz. |
Hozzáférhet azokhoz az eszközökhöz, amelyek elemzik, monitorozzák és optimalizálják a kiadásait a Microsoft Cloudban. |
| Hozzon létre Azure Policyt a költségvezérlők, például az engedélyezett erőforrástípusok és helyek kikényszerítéséhez. | Ez a stratégia segít konzisztens szabványok érvényesítésében, az üzembe helyezhető erőforrások szabályozásában, valamint az erőforrások és a felhőbeli kiadások megfelelőségének nyomon követésében. |
| Engedélyezze a megfelelő költségriasztásokat. | A költségriasztások értesítést küldenek a váratlan felhőköltségekről, vagy ha megközelíti az előre meghatározott korlátokat. |
| Konzisztens elnevezési konvenciók és erőforráscímkék használata. Azure-erőforráscímkék alkalmazásával jelezheti, hogy mely erőforrások dedikáltak egy adott ügyfél számára. | A konzisztens metaadatok segítségével nyomon követheti, hogy mely erőforrások melyik ügyfélhez tartoznak. Ez a gyakorlat különösen fontos az ügyfelek számára dedikált erőforrások üzembe helyezésekor. |
Biztonság és megfelelőség
A biztonság és a megfelelőség a felhőbeli számítási feladatok alapvető tervezési alapelvei, és a megfelelő felhőszabályozás kulcsfontosságú összetevője. A biztonsági vezérlők, például a szerepköralapú hozzáférés-vezérlők segítenek meghatározni, hogy a felhasználók milyen műveleteket hajthatnak végre a környezetben. A szabályzatokon keresztüli vezérlésekkel konkrét szabályozási megfelelőségi szabványokat érhet el az üzembe helyezett számítási feladatokhoz.
További információ: Azure szerepköralapú hozzáférés-vezérlés (RBAC) és Azure Policy.
SaaS-megoldás fejlesztésekor az ügyfelek az adataik védelmétől és üzleti tevékenységük támogatásától függenek. Ahhoz, hogy az ügyfelek nevében SaaS-megoldást lehessen üzemeltetni, meg kell felelnie vagy meg kell haladnia a biztonsági elvárásaikat. Előfordulhat, hogy az ügyfelek által meghatározott megfelelőségi követelményeknek is meg kell felelnie. Ez a követelmény gyakori a szabályozott iparágakban, például az egészségügyi és pénzügyi szolgáltatásokban, valamint számos nagyvállalati ügyfélnél.
Kialakítási szempontok
Microsoft Entra-bérlők definiálása. A Microsoft Entra-bérlő határozza meg az Azure-erőforrások kezelésére alkalmas identitások határát. A legtöbb szervezet esetében ajánlott egyetlen Microsoft Entra-bérlőt használni az összes erőforráshoz. Az SaaS létrehozásakor különböző módokon kombinálhatja vagy elkülönítheti a Microsoft Entra-bérlőket az igényeitől függően.
Amikor eldönti, hogy használja-e az SaaS-t, fontos három különböző használati esetet figyelembe venni:
A belső SaaS, más néven nagyvállalati vagy céges, amikor saját szervezet erőforrásait üzemelteti, beleértve a Microsoft 365-öt és az ön által használt egyéb eszközöket is.
Az éles SaaS az, amikor az Ügyfelek által használt SaaS-megoldáshoz tartozó Azure-erőforrásokat üzemelteti.
A nem gyártási SaaS az, amikor az Azure-erőforrásokat az SaaS-megoldás nem gyártási környezeteihez, például fejlesztési, tesztelési és előkészítési környezetekhez üzemelteti.
A legtöbb független szoftverszállító (ISV) egyetlen Microsoft Entra-bérlőt használ az előző lista összes céljára.
Esetenként előfordulhat, hogy bizonyos üzleti indokokkal rendelkezik a célok egy részének több Microsoft Entra-bérlőre való elkülönítésére. Ha például magas biztonsági szintű kormányzati ügyfelekkel dolgozik, előfordulhat, hogy külön könyvtárakat kell használnia a belső alkalmazásokhoz, valamint az éles és nem termelési SaaS-számítási feladatokhoz. Ezek a követelmények nem gyakoriak.
Fontos
Nehéz lehet több Microsoft Entra-bérlőt kezelni. Több bérlő kezelése növeli a felügyeleti többletterhelést és a költségeket. Ha nem körültekintő, több bérlő növelheti a biztonsági kockázatokat. Csak akkor használjon több Microsoft Entra-bérlőt, ha feltétlenül szükséges.
A Microsoft Entra-bérlők SaaS-telepítésekor történő konfigurálásáról további információt az Azure-beli kezdőzónákkal kapcsolatos ISV-szempontokban talál.
Az identitások kezelése. Az identitás a felhőbiztonság sarokköve, amely a hozzáférés-kezelés alapja. Az SaaS fejlesztésekor különböző identitástípusokat kell figyelembe vennie. Az SaaS-megoldások identitásával kapcsolatos további információkért tekintse meg az Azure-beli SaaS-számítási feladatok identitás- és hozzáférés-kezelését ismertető cikket.
Az Azure-erőforrásokhoz való hozzáférés szabályozása. Az Azure-erőforrások a megoldás kritikus összetevői. Az Azure többféle módszert kínál az erőforrások védelmére.
Az Azure RBAC az az engedélyezési rendszer, amely szabályozza az Azure vezérlősíkhoz és a környezet erőforrásaihoz való hozzáférést. Az Azure RBAC előre definiált és egyéni szerepkörök gyűjteménye, amelyek meghatározzák, hogy milyen műveleteket hajthat végre az Azure-erőforrásokon. A szerepkörök kiemelt rendszergazdai szerepkörökként és feladatfüggvény-szerepkörökként vannak kategorizálva. Ezek a szerepkörök korlátozzák, hogy mit tehet egy ön által definiált hatókörben lévő erőforráskészlettel. Az Azure RBAC a legkevésbé kiemelt hozzáférést biztosíthat bárkinek, aki a számítási feladatot kezeli.
Az Azure-zárolások segíthetnek megelőzni az Azure-erőforrások véletlen törlését és módosítását. Amikor zárolást alkalmaz egy erőforrásra, még a kiemelt rendszergazdai szerepkörrel rendelkező felhasználók sem tudják törölni az erőforrást, hacsak nem törlik először a zárolást.
Kompromisszum: Biztonság és működési hatékonyság. Az RBAC és a zárolások a felhőbiztonsági és szabályozási stratégia fontos elemei. Vegye figyelembe azonban azokat az üzemeltetési összetettségeket, amelyek akkor fordulhatnak elő, ha szigorúan korlátozza, hogy ki hajthat végre gyakori műveleteket. Próbálja kiegyensúlyozni a biztonsági és funkcionális igényeket. Legyen világos terve a felelősségek eszkalálására, ha vészhelyzet van, vagy ha a kulcsemberek nem érhetők el.A jogszabályi előírásoknak való megfelelés. Sok ügyfélnek szigorú ellenőrzéseket kell elvégeznie az erőforrásain, hogy megfeleljenek a konkrét megfelelőségi előírásoknak. Az Azure több eszközt is kínál, amelyekkel szervezete olyan megoldást hozhat létre az Azure-ban, amely megfelel az Ön megfelelőségi igényeinek.
Az Azure Policy segíthet meghatározni a szervezeti szabványokat, valamint kiértékelni és kikényszeríteni a számítási feladatok és erőforrások megfelelőségét. Előre meghatározott szabványokat vagy saját egyéni megfelelőségi szabványokat is implementálhat. Az Azure Policy számos beépített szabályzatkezdeményezményt vagy szabályzatcsoportot tartalmaz a közös szabályozási szabványokhoz. Ezek a szabályzatok közé tartozik a FedRAMP High, a HIPAA, a HITRUST, a PCI DSS és az ISO 27001. Amikor a szabályzatokat a környezetére alkalmazza, a megfelelőségi irányítópult részletes pontszámot ad az általános megfelelőségről. Ezt az irányítópultot akkor használhatja, amikor szervizelési tervet hoz létre, hogy a környezet megfeleljen a szabványoknak. Az Azure Policy használatával:
Tiltsa le az erőforrások üzembe helyezését a szabályzatban meghatározott feltételek alapján. Megakadályozhatja például, hogy az adaterőforrások olyan Azure-régiókban legyenek üzembe helyezve, ahol az adattárolási követelmények sérülnének.
Az erőforrások üzembe helyezésének vagy konfigurációjának naplózásával megállapíthatja, hogy azok a megfelelőségi szabványoknak megfelelő konfigurációkkal vannak-e üzembe helyezve. Például naplózhatja a virtuális gépeket annak ellenőrzéséhez, hogy a biztonsági mentés konfigurálva van-e, és hogy felsorolja a nem használt virtuális gépeket.
Erőforrás üzembe helyezésének szervizelése. A szabályzatokat úgy konfigurálhatja, hogy a bővítmények üzembe helyezésével vagy az új vagy meglévő erőforrások konfigurációjának módosításával elhárítsa a megfelelő erőforrásokat. Egy szervizelési feladat használatával például automatikusan üzembe helyezheti a Végponthoz készült Microsoft Defender a virtuális gépeken.
Felhőhöz készült Microsoft Defender folyamatosan értékeli az erőforrások konfigurálását az előfizetéseiben alkalmazott szabványok és teljesítménymutatók megfelelőségi ellenőrzései és ajánlott eljárásai alapján. Felhőhöz készült Defender kiszámítja a teljes megfelelőségi pontszámot, amely segít meghatározni a szükséges módosításokat.
Alapértelmezés szerint a Felhőhöz készült Defender a Microsoft felhőbiztonsági teljesítménytesztet (MCSB) használja a biztonsági és megfelelőségi alapú eljárások alapkonfigurációjaként. Az MCSB a Microsoft által biztosított megfelelőségi vezérlők készlete, amelyeket a legtöbb Azure-beli számítási feladathoz ajánlunk. Ha egy másik szabványnak kell megfelelnie, más elérhető megfelelőségi ajánlatokat is használhat.
Tipp.
Még ha nem is kell azonnal megfelelnie egy jogszabályi szabványnak, akkor is érdemes. Sokkal könnyebb betartani egy olyan szabványt, mint az MCSB, amikor elkezdi üzembe helyezni a megoldást, mint később visszamenőlegesen alkalmazni.
A megfelelőségi szabványokat különböző hatókörökre alkalmazhatja. Meghatározhat például egy adott Azure-előfizetést egy adott szabvány hatókörében. A Felhőhöz készült Defender használatával is kiértékelheti a más felhőszolgáltatókban üzemeltetett erőforrások konfigurációját.
Tervezési javaslatok
| Ajánlás | Juttatás |
|---|---|
| A felhasználók és csoportok számára a feladatfüggvények elvégzéséhez szükséges minimális hozzáférés biztosítása. A kiemelt szerepkör-hozzárendelések számának korlátozása. Határozza meg, hogy a kiemelt rendszergazdai szerepkör helyett használhat-e feladatfüggvény-specifikus szerepkört. |
Csökkentheti az expozíciót, ha a hitelesítő adatok biztonsága sérül. |
| Korlátozza az Azure-előfizetések tulajdonosainak számát. | Túl sok előfizetés-tulajdonos növeli a hitelesítő adatok sérülésének kockázatát. |
| Szerepkörök hozzárendelése csoportokhoz felhasználók helyett. | Ez a megközelítés csökkenti a szerepkör-hozzárendelések szükséges számát, ami csökkenti az adminisztrációs többletterhelést. |
| A tervezési folyamat korai szakaszában fogadja el a biztonsági alapkonfigurációt. Tekintsük kiindulópontként az MCSB-t. Az MCSB egyértelmű, végrehajtható tanácsokat nyújt az Alkalmazások biztonságának javításához az Azure-ban és más felhőkben és a helyszíni környezetekben. | A felhőspecifikus vezérlőkre összpontosítva az MCSB segít az általános biztonsági helyzet megerősítésében. |
| Az Azure-zárolások használatával megelőzheti a környezet véletlen változásait. | A zárolások segíthetnek megelőzni az erőforrások, erőforráscsoportok és előfizetések véletlen módosítását és törlését. |
| A megfelelőség felméréséhez használja az Azure Policyt vagy a Felhőhöz készült Defender. | A szabályzatok segíthetnek kikényszeríteni a szervezeti szabványokat és kielégíteni a jogszabályi megfelelőséget. |
További erőforrások
A több-bérlősség az SaaS-számítási feladatok tervezésének alapvető üzleti módszertana. Ezek a cikkek további információt nyújtanak az irányítási szempontokról:
Következő lépés
Megtudhatja, hogyan választhatja ki az erőforrásokhoz megfelelő Azure-régiókat, és hogyan fejleszthet erőforrás-szervezési stratégiát az SaaS-megoldás növekedésének és fejlődésének támogatására.