Управление рабочими нагрузками SaaS в Azure
Управление — это набор элементов управления, практики и средства, которые можно использовать для упорядочивания, контроля и регулирования использования облачных служб. Вы можете рассматривать управление как ряд охранников, которые устанавливают стандарты для приемлемого использования, предотвращают несанкционированный доступ и изменения, а также согласовывают облачные действия с общей облачной стратегией. Эффективное управление снижает риски, помогает обеспечить соответствие требованиям и поддерживать бизнес-цели вашей организации. При создании программного обеспечения как службы (SaaS) важно определить приоритеты системы управления с самого начала. Этот подход лежит в основе безопасного, экономичного и эффективного решения.
Управление затратами
Чтобы обеспечить успех вашего бизнеса, важно понимать затраты на запуск решения. Необходимо эффективно анализировать, управлять и оптимизировать эти затраты, сохраняя контроль над ними. При создании решения в Azure можно использовать такие средства, как калькуляторы цен и анализаторы затрат для оценки затрат.
Дополнительные сведения о том, как отслеживать затраты на SaaS и как выставлять счета клиентам, см. в статье "Управление выставлением счетов и затратами" для рабочих нагрузок SaaS в Azure.
Рекомендации по проектированию
Разработка соглашения об именовании и стратегия добавления тегов. Имена и теги предоставляют метаданные, которые можно использовать для управления ресурсами и быстрого определения владения. Согласованное именование ресурсов помогает управлять ресурсами Azure и управлять ими. Теги ресурсов Azure — это пары "ключ-значение метаданных", которые применяются к ресурсам и используются для их идентификации.
Рассмотрите возможность использования метаданных для отслеживания таких сведений, как:
- Тип ресурса.
- Связанная рабочая нагрузка.
- Среда, в которой она используется, например в рабочей среде, промежуточной или разработке.
- Расположение ресурса.
- Клиент или группа клиентов, использующих ресурс, для развертываний, относящихся к клиенту.
Стратегии именования ресурсов см. в статье Cloud Adoption Framework: именование ресурсов.
Реализуйте автоматизированное управление с помощью политик. Политики играют важную роль в определении стандартов организации и оценке соответствия рабочих нагрузок и ресурсов. Это средство управления, которое можно использовать для обеспечения согласованности ресурсов, соответствия нормативным требованиям, безопасности, управления и экономичности.
Используйте Политика Azure для создания каталога служб разрешенных служб и типов служб, настроенных для ваших требований к рабочей нагрузке. Этот каталог может предотвратить случайное перераспределения, помогая обеспечить использование только утвержденных служб. Например, после определения типа, ряда и размера необходимых виртуальных машин можно реализовать политику, которая позволяет развертывать только эти виртуальные машины. Применение политик равномерно для всех пользователей и субъектов независимо от их уровня разрешений.
Компромисс: безопасность и эффективность работы. Реализация слишком большого количества политик может снизить производительность вашей команды. Старайтесь реализовать автоматизированные элементы управления на наиболее важных элементах.Используйте средства управления затратами. Microsoft Cost Management предоставляет несколько средств для поддержки управления затратами, таких как:
Анализ затрат — это средство, которое можно использовать для доступа к аналитике и аналитическим сведениям о расходах в облаке. Эти затраты можно просмотреть с помощью различных интеллектуальных и настраиваемых представлений. Эти представления подробно описывают такие аналитические сведения, как затраты по группам ресурсов, службам и подпискам. С помощью анализа затрат можно анализировать накопленные и ежедневные затраты и просматривать сведения о счетах.
Бюджеты в службе "Управление затратами " — это средство, которое можно использовать для установления ограничений расходов и оповещений в различных областях в Azure. Вы можете настроить оповещения бюджета на основе фактических расходов или прогнозируемых расходов. Вы также можете назначать бюджеты на различных уровнях, включая группы управления, подписки или группы ресурсов.
Оповещения о затратах помогают отслеживать расходы в облаке с помощью трех отдельных типов оповещений.
Оповещения о бюджете уведомляют получателей о достижении пороговых значений бюджета или о достижении прогнозируемых пороговых значений в ближайшее время.
Оповещения аномалий уведомляют получателей о непредвиденных изменениях в облаке.
Запланированные оповещения отправляют получателей ежедневно, еженедельно или ежемесячные отчеты по общему объему расходов на облако.
Рекомендации по проектированию
| Рекомендация | Преимущества |
|---|---|
| Включение управления затратами. Средства доступны в портал Azure и всем, у кого есть доступ к учетной записи выставления счетов, подписке, группе ресурсов или группе управления. |
Вы получаете доступ к средствам, которые анализируют, отслеживают и оптимизируют расходы в Microsoft Cloud. |
| Создайте Политика Azure для применения элементов управления затратами, таких как разрешенные типы ресурсов и расположения. | Эта стратегия помогает применять согласованные стандарты, контролировать ресурсы, которые можно развернуть, и отслеживать соответствие ресурсов и облачных расходов. |
| Включите соответствующие оповещения о затратах. | Оповещения о затратах уведомляют вас о непредвиденных расходах в облаке или при подходе к предопределенным ограничениям. |
| Используйте согласованное соглашение об именовании и теги ресурсов. Примените теги ресурсов Azure, чтобы указать, какие ресурсы выделены конкретному клиенту. | Согласованные метаданные помогают отслеживать, какие ресурсы принадлежат клиенту. Эта практика особенно важна при развертывании ресурсов, предназначенных для клиентов. |
Безопасность и соответствие требованиям
Безопасность и соответствие являются основными принципами проектирования облачной рабочей нагрузки и ключевым компонентом правильного управления облаком. Элементы управления безопасностью, такие как элементы управления доступом на основе ролей, помогают определить действия, которые пользователи могут выполнять в вашей среде. Элементы управления с помощью политик помогают достичь конкретных стандартов соответствия нормативным требованиям для развернутых рабочих нагрузок.
Дополнительные сведения см. в статье "Управление доступом на основе ролей Azure" (RBAC) и Политика Azure.
При разработке решения SaaS клиенты зависят от защиты данных и поддержки бизнес-операций. Чтобы управлять решением SaaS от имени клиентов, необходимо соответствовать или превышать их ожидания безопасности. Вам также может потребоваться выполнить определенные требования соответствия, введенные вашими клиентами. Это требование распространено с клиентами в регулируемых отраслях, таких как здравоохранение и финансовые услуги, и для многих корпоративных клиентов.
Рекомендации по проектированию
Определение клиентов Microsoft Entra. Клиент Microsoft Entra определяет границу для удостоверений, которые могут управлять ресурсами Azure. Для большинства организаций рекомендуется использовать один клиент Microsoft Entra во всех ваших ресурсах. При сборке SaaS существуют различные подходы, которые можно использовать для объединения или разделения клиентов Microsoft Entra в зависимости от ваших потребностей.
При принятии решения о том, следует ли использовать SaaS, важно рассмотреть три различных типа вариантов использования:
Внутренний SaaS, иногда называемый корпоративным или корпоративным, — это при размещении ресурсов вашей организации, включая Microsoft 365 и другие средства, которые вы используете самостоятельно.
В рабочей среде SaaS размещаются ресурсы Azure для решения SaaS, к которым клиенты подключаются и используются.
Непроизводство SaaS — это размещение ресурсов Azure для любых непроизводственных сред решения SaaS, таких как разработка, тестирование и промежуточные среды.
Большинство независимых поставщиков программного обеспечения (ISVs) используют один клиент Microsoft Entra для всех целей в предыдущем списке.
Иногда у вас может быть определенное бизнес-обоснование для разделения некоторых целей между несколькими клиентами Microsoft Entra. Например, если вы работаете с клиентами с высоким уровнем безопасности для государственных организаций, им может потребоваться использовать различные каталоги для внутренних приложений, а также для рабочих нагрузок SaaS и непроизводственных рабочих нагрузок SaaS. Эти требования являются редкими.
Внимание
Управлять несколькими клиентами Microsoft Entra может быть сложно. Управление несколькими клиентами увеличивает затраты и затраты на управление. Если вы не осторожны, несколько клиентов могут увеличить риски безопасности. При необходимости используйте только несколько клиентов Microsoft Entra.
Дополнительные сведения о настройке клиентов Microsoft Entra при развертывании SaaS см . в рекомендациях по настройке виртуальных машин Azure для целевых зон Azure.
Управление удостоверениями. Удостоверение является краеугольным камнем облачной безопасности, которая формирует основу управления доступом. При разработке SaaS необходимо учитывать различные типы удостоверений. Дополнительные сведения об удостоверениях в решениях SaaS см. в статье "Управление удостоверениями и доступом" для рабочих нагрузок SaaS в Azure.
Управление доступом к ресурсам Azure. Ресурсы Azure являются критически важными компонентами решения. Azure предоставляет несколько способов защиты ресурсов.
Azure RBAC — это система авторизации, которая управляет доступом к плоскости управления Azure и ресурсам в вашей среде. Azure RBAC — это коллекция предопределенных и настраиваемых ролей, определяющих действия, которые можно предпринять против ресурсов Azure. Роли классифицируются как привилегированные роли администратора и роли функции задания. Эти роли ограничивают то, что можно сделать с набором ресурсов в определенной области. Azure RBAC может предоставить пользователю, управляющему рабочей нагрузкой, доступ к наименее привилегированным пользователям.
Блокировки Azure могут помочь предотвратить случайное удаление и изменение ресурсов Azure. При применении блокировки к ресурсу даже пользователи, имеющие привилегированные роли администратора, не могут удалить ресурс, если они явно не удаляют блокировку.
Компромисс: безопасность и эффективность работы. RBAC и блокировки являются важными элементами стратегии облачной безопасности и управления. Однако рассмотрим операционные сложности, которые могут возникнуть при серьезном ограничении того, кто может выполнять распространенные операции. Попробуйте сбалансировать свои потребности в безопасности и функциональных потребностях. Иметь четкий план для эскалации обязанностей, если есть чрезвычайные ситуации или если ключевые люди недоступны.Соблюдайте нормативные стандарты. Многие клиенты должны размещать строгие контрольы над ресурсами, чтобы соответствовать определенным нормативным требованиям. Azure предоставляет несколько средств, которые помогут вашей организации создать решение в Azure, соответствующее вашим потребностям в соответствии с требованиями.
Политика Azure поможет вам определить организационные стандарты и оценить и обеспечить соответствие рабочих нагрузок и ресурсов. Вы можете реализовать стандартные стандарты или собственные пользовательские стандарты соответствия. Политика Azure включает множество встроенных инициатив политики или групп политик для общих нормативных стандартов. К этим политикам относятся FedRAMP High, HIPAA, HITRUST, PCI DSS и ISO 27001. При применении политик к вашей среде панель мониторинга соответствия предоставляет подробную оценку общего соответствия требованиям. Эту панель мониторинга можно использовать при создании плана исправления для создания среды до стандартов. Вы можете использовать Политика Azure для:
Запретить развертывание ресурсов на основе условий, определенных в политике. Например, можно предотвратить развертывание ресурсов данных в регионах Azure, где будут нарушены требования к месту размещения данных.
Проверьте развертывание или конфигурацию ресурсов, чтобы определить, развертываются ли они с конфигурациями, которые соответствуют вашим стандартам соответствия. Например, можно выполнить аудит виртуальных машин, чтобы убедиться, что у них настроена резервная копия, и вывести список виртуальных машин, которые этого не делают.
Исправьте развертывание ресурса. Политики можно настроить для исправления несовместимых ресурсов, развернув расширения или изменив конфигурацию новых или существующих ресурсов. Например, можно использовать задачу исправления для автоматического развертывания Microsoft Defender для конечной точки на виртуальных машинах.
Microsoft Defender для облака обеспечивает непрерывную оценку конфигурации ресурсов в соответствии с элементами управления соответствием и рекомендациями в стандартах и тестах, применяемых в подписках. Defender для облака вычисляет общую оценку соответствия требованиям, которая помогает определить необходимые изменения.
По умолчанию Defender для облака использует microsoft cloud security benchmark (MCSB) в качестве базового стандарта для методик безопасности и соответствия требованиям. MCSB — это набор элементов управления соответствием, предоставляемых корпорацией Майкрософт, которые мы рекомендуем для большинства рабочих нагрузок в Azure. Если вам нужно соответствовать другому стандарту, вы можете использовать другие доступные предложения по соответствию требованиям.
Совет
Даже если вам не нужно немедленно соответствовать нормативным стандартам, вы все равно должны. Гораздо проще придерживаться стандарта, например MCSB, с момента начала развертывания решения, чем ретроактивно применить его позже.
Стандарты соответствия можно применять к различным областям. Например, можно определить определенную подписку Azure как область действия для определенного стандарта. Вы также можете использовать Defender для облака для оценки конфигурации ресурсов, размещенных в других поставщиках облачных служб.
Рекомендации по проектированию
| Рекомендация | Преимущества |
|---|---|
| Предоставьте наименьший объем доступа, необходимый пользователям и группам для выполнения своих функций задания. Ограничить количество назначений привилегированных ролей. Определите, можно ли использовать роль для конкретной функции задания вместо роли привилегированного администратора. |
Если учетные данные скомпрометируются, можно уменьшить уровень воздействия. |
| Ограничение количества владельцев подписок Azure. | Слишком много владельцев подписок повышают риск скомпрометированных учетных данных. |
| Назначение ролей группам вместо пользователей. | Этот подход сокращает требуемое количество назначений ролей, что снижает административные издержки. |
| Внедрение базовых показателей безопасности в начале процесса разработки. Рассмотрим MCSB как отправную точку. MCSB предоставляет четкие практические советы по повышению безопасности приложений в Azure и в других средах и в других облаках и локальной среде. | Фокусируясь на облачных элементах управления, MCSB помогает укрепить общую позицию безопасности. |
| Используйте блокировки Azure, чтобы предотвратить случайные изменения в вашей среде. | Блокировки могут помочь предотвратить случайное изменение и удаление ресурсов, групп ресурсов и подписок. |
| Используйте Политика Azure или Defender для облака для оценки соответствия требованиям. | Политики могут помочь обеспечить соблюдение стандартов организации и обеспечить соответствие нормативным требованиям. |
Дополнительные ресурсы
Мультитенантность — это основная бизнес-методология разработки рабочих нагрузок SaaS. В этих статьях содержатся дополнительные сведения о рекомендациях по управлению:
- Архитектурные подходы к управлению и обеспечению соответствия требованиям в мультитенантных решениях
Следующий шаг
Узнайте о стратегиях выбора подходящих регионов Azure для ресурсов и разработки стратегии организации ресурсов для поддержки роста и развития решения SaaS.