Azure Integration Services ランディング ゾーン アクセラレータのガバナンスに関する考慮事項
ガバナンスには、設定しているポリシーが遵守されていることの確認と、アプリケーションが対象となる法的、財務、規制、または内部の要件に準拠していることを示せることが含まれます。 小規模なアプリケーションの場合、ガバナンスは手動プロセスである場合がありますが、大規模なアプリケーションでは、自動化が不可欠です。 Azure には、コンプライアンスおよびガバナンス プロセスを容易にするために設計されているいくつかのオファリングが含まれています。
この記事ではコントロール プレーンのみを、つまり Azure で (通常は Azure Resource Manager を介して) どのようにリソースを作成、管理、構成するかを扱います。 この記事では、データ プレーンのガバナンス、つまりリソースのエンドポイントがどのように管理され、セキュリティ保護され、監視されるかは扱いません。
設計上の考慮事項
リソースを扱うすべての個人の役割と責任を定義しましたか?
ディザスター リカバリー (DR) 計画を定義済みで、復旧アクティビティを自動化する必要がありますか? たとえば、地理的に異なるリージョンで冗長リソースを自動的にプロビジョニングする必要がありますか?
遵守する必要がある特定の復旧時間の目標 (RTO) ポリシーと復旧ポイントの目標 (RPO) ポリシーはありますか?
実装する必要があるアラートまたはエスカレーション計画はありますか?
リソースはどのような業界、法律、または財務の規制の対象であり、どのように準拠していることを保証しますか?
すべてのリソースを管理するためにどのようなツールを持っていますか? 手動修復を実行する必要がありますか、それともそれは自動化できますか? 資産の一部がコンプライアンスに準拠していない場合、どのように警告されますか?
設計の推奨事項
Azure Policy を使用して組織の標準を適用して、コンプライアンスを評価するのに役立てます。 Azure Policy は、環境の全体的な状態の評価を可能にし、リソースごと、ポリシーごとの細分性までドリルダウンできる機能を備えた集計ビューを提供できます。 たとえば、承認されていないリソースや費用のかかるリソースを探したり、十分なセキュリティなしでプロビジョニングされているリソースを探すポリシーを設定できます。
Azure DevOps や Terraform などの継続的インテグレーション/継続的デプロイ (CI/CD) ツールを使用して、デプロイを自動化します。 これは、手動の構成の必要なしで、設定したすべてのポリシーが遵守されていることを確かめるのに役立ちます。
自動化タスクを使用して、リソースに対する週ごとまたは月ごとの支出に関するアラートの送信などのタスクを自動化したり、古いデータのアーカイブ化または削除を行います。 自動化タスクは、Logic Apps (従量課金) ワークフローを使用してタスクを実行します。
ロールベースのアクセス制御 (RBAC) を使用して、ユーザーとアプリケーションのアクセスを異なるスコープ レベルに制限します。
Azure Monitor などの監視ツールを使用して、リソースがポリシーに違反している場所を特定したり、あと少しでポリシーを違反する危険があるリソースを特定したりします。
Microsoft Defender for Cloud を有効にして、エンドポイント ポリシーのセキュリティに違反しているリソースの特定に役立てます。