你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
治理涉及确保遵循任何策略,并表明应用程序符合他们所遵守的任何法律、财务、法规或内部要求。 对于较小的应用程序,治理可能是一个手动过程;对于较大的应用程序,自动化至关重要。 Azure 包含多个产品/服务,旨在简化合规性和治理过程。
本文仅处理 控制平面 - 这意味着我们如何在 Azure 中创建、管理和配置资源(通常通过 Azure 资源管理器)。 本文不涉及数据平面的治理 - 这意味着如何管理、保护或监视资源的端点。
设计注意事项
是否为与资源交互的所有个人定义了角色和责任?
是否已定义灾难恢复(DR)计划,是否需要自动执行恢复活动? 例如,是否需要在地理上不同的区域中自动预配冗余资源?
是否具有需要遵守的特定 恢复时间目标 (RTO)和 恢复点目标 (RPO)策略?
是否有需要实施的警报或升级计划?
哪些行业、法律或财务法规受制于你的资源,以及如何确保你合规?
用于管理所有资源的工具是什么? 是否需要执行手动修正,或者是否可以自动执行? 如果资产的任何部分不符合要求,如何发出警报?
设计建议
使用 Azure Policy 强制实施组织标准并帮助你评估合规性。 Azure Policy 可以提供聚合视图,使你能够评估环境的总体状态,并能够向下钻取到每个资源的每策略粒度。 例如,可以有一个策略来查找未经授权的或昂贵的资源;或查找未经充分安全措施预配的资源。
使用 持续集成/持续部署 (CI/CD)工具(例如 GitHub Actions 或 Azure DevOps Pipelines)自动执行部署。 使用基础结构即代码工具(如 Bicep 或 Terraform)。 这有助于确保已实施的任何策略都遵循,而无需手动配置。
使用 自动化任务 自动执行任务,例如对资源每周或每月支出发送警报;或存档或删除旧数据。 自动化任务使用逻辑应用(消耗)工作流来执行任务。
使用 基于角色的访问控制 (RBAC)限制用户和应用程序对不同范围级别的访问。
使用 Azure Monitor 等监视工具或确定资源违反策略的位置,或识别即将违反策略的资源。
启用 Microsoft Defender for Cloud 以帮助识别违反终结点策略安全性的资源。