共用方式為

Azure 上 SaaS 工作負載的治理

  • 發行項

治理是一組控件、做法和工具,可用來組織、控制及協助規範雲端服務的使用。 您可以將治理視為一系列防護措施,以設定可接受的使用標準、防止未經授權的存取和修改,以及讓雲端活動與您的整體雲端策略保持一致。 有效的治理可降低風險、協助確保合規性,並支援貴組織的商務目標。 當您建置軟體即服務 (SaaS) 解決方案時,請務必從頭開始優先處理治理。 這種方法為安全、符合成本效益且有效率的解決方案奠定了基礎。

成本治理

為了協助確保業務成功,請務必瞭解執行解決方案的成本。 您需要有效地分析、管理及優化這些成本,同時維持對這些成本的控制。 當您開始在 Azure 上建置解決方案時,您可以使用定價計算機和成本分析器等工具來預估成本。

如需如何追蹤及控制 SaaS 成本以及如何向您的客戶收費的詳細資訊,請參閱 Azure 上 SaaS 工作負載的計費和成本管理。

設計考量

  • 開發命名慣例和標記策略。 名稱和標籤提供元數據,可讓您用來控管資源,並快速判斷擁有權。 一致的資源命名可協助您管理和管理 Azure 資源。 Azure 資源標籤是您套用至資源的元數據索引鍵/值組,並用來識別它們。

    請考慮使用元資料來協助您追蹤資訊,例如:

    • 資源的類型。
    • 相關聯的工作負載。
    • 其所使用的環境,例如生產環境、預備或開發環境。
    • 資源的位置。
    • 使用資源的客戶或客戶群組,進行客戶特定的部署。

    顯示 Azure 資源的圖表,其中包含標記,指出他們指派給哪個客戶。

    如需資源命名的策略,請參閱 雲端採用架構:資源命名

  • 透過原則實作自動化治理。 原則有助於定義組織標準,並評估工作負載和資源合規性。 這是一種治理工具,可用來達到資源一致性、法規合規性、安全性、管理和成本效益。

    使用 Azure 原則 來建立針對工作負載需求自定義之允許服務和服務類型的服務類別目錄。 此目錄可藉由協助確保只使用已核准的服務,以防止意外超支。 例如,在您判斷所需的虛擬機類型、系列和大小之後,您可以實作只允許部署這些 VM 的原則。 不論其許可權等級為何,在所有用戶和主體上統一強制執行原則。

    取捨:安全性和作業效率。 實作太多原則可以降低小組的生產力。 努力在最基本元素上實作自動化控制件。

  • 使用成本管理工具。 Microsoft成本管理提供數個工具來支援成本治理,例如:

    • 成本分析 是一種工具,可用來存取雲端支出的分析與深入解析。 您可以透過不同的智慧型手機和可自定義檢視來檢視這些成本。 這些檢視會詳細說明資源群組、服務和訂用帳戶的成本等深入解析。 藉由使用成本分析,您可以分析累積和每日成本,並檢閱發票的詳細數據。

    • 成本管理中的預算是一種工具,可用來在 Azure 內的不同範圍內建立支出防護欄和警示。 您可以根據實際支出或預測支出來設定預算警示。 您也可以在各種層級指派預算,包括管理群組、訂用帳戶或資源群組。

    • 成本警示 可協助您透過三種不同的警示類型來監視雲端支出。

設計建議

建議 優點
啟用 成本管理

這些工具可在 Azure 入口網站 內取得,以及任何可存取計費帳戶、訂用帳戶、資源群組或管理群組的人員。		 您可以存取分析、監視及優化您在雲端Microsoft支出的工具。
建立 Azure 原則 以協助強制執行成本控制,例如允許的資源類型和位置。 此策略可協助您強制執行一致的標準、控制可部署的資源,以及追蹤資源與雲端支出的合規性。
啟用適當的 成本警示 成本警示會通知您非預期的雲端支出,或接近預先定義的限制時。
使用一致的命名慣例和資源標記。 套用 Azure 資源標籤 ,以指出哪些資源專用於特定客戶。 一致的元數據可協助您追蹤哪些資源屬於哪個客戶。 當您部署專用給客戶的資源時,這種做法特別重要。

安全性與合規性

安全性與合規性是雲端工作負載的基本設計原則,也是適當雲端治理的重要元件。 安全性控制,例如角色型訪問控制,可協助判斷用戶可以在您的環境中執行的動作。 透過原則的控制可協助您達到已部署工作負載的特定法規合規性標準。

如需詳細資訊,請參閱 Azure 角色型存取控制 (RBAC)Azure 原則

當您開發 SaaS 解決方案時,您的客戶需仰賴您保護其數據,並支援其商務營運。 若要代表客戶操作 SaaS 解決方案,您必須符合或超過其安全性期望。 您可能也需要符合客戶所強加的特定合規性需求。 這項需求與醫療保健和金融服務等受管制產業的客戶以及許多企業客戶共同。

設計考量

  • 定義Microsoft Entra 租使用者。 Microsoft Entra 租用戶會定義可管理 Azure 資源的身分識別界限。 對大多數組織而言,最好在所有資源之間使用單一Microsoft Entra 租使用者。 當您建置 SaaS 時,您可以使用不同的方法來結合或區隔Microsoft Entra 租使用者,視您的需求而定。

    當您決定是否要使用 SaaS 時,請務必考慮三種不同類型的使用案例:

    • 內部 SaaS 有時稱為 企業公司,是您裝載您自己的組織資源時,包括Microsoft 365 和其他您自己使用的工具。

    • 生產 SaaS 是當您為客戶連線和使用之 SaaS 解決方案裝載 Azure 資源時。

    • 非生產 SaaS 是當您為 SaaS 解決方案的任何非生產環境裝載 Azure 資源時,例如開發、測試和預備環境。

    大部分的獨立軟體供應商 (ISV) 會針對上述清單中的所有用途,使用單一Microsoft Entra 租使用者。

    有時候,您可能會有特定的商務理由,將某些用途分隔到多個Microsoft Entra 租使用者。 例如,如果您與高安全性政府客戶合作,則可能需要您將不同的目錄用於內部應用程式和生產和非生產 SaaS 工作負載。 這些需求並不常見。

    重要

    管理多個Microsoft Entra 租使用者可能很困難。 管理多個租使用者會增加管理額外負荷和成本。 如果您不小心,多個租使用者可能會增加安全性風險。 只有在絕對必要的情況下,才使用多個Microsoft Entra 租使用者。

    如需如何在部署 SaaS 時設定 Microsoft Entra 租使用者的詳細資訊,請參閱 Azure 登陸區域的 ISV 考慮。

  • 管理您的身分識別。 身分識別是雲端安全性的基石,可形成存取管理的基礎。 當您開發 SaaS 時,您有不同類型的身分識別需要考慮。 如需 SaaS 解決方案中身分識別的詳細資訊,請參閱 Azure 上 SaaS 工作負載的身分識別和存取管理。

  • 控制對 Azure 資源的存取。 您的 Azure 資源是您解決方案的重要元件。 Azure 提供多種方式來保護您的資源。

    • Azure RBAC 是控制 Azure 控制平面存取權的授權系統,以及您環境中的資源。 Azure RBAC 是預先定義和自定義角色的集合,可決定您可以對 Azure 資源採取的動作。 角色會分類為 具特殊許可權的系統管理員角色作業功能角色。 這些角色會將您可以執行的動作限制為您定義範圍中的一組資源。 Azure RBAC 可以將最低許可權存取權授與任何管理工作負載的人員。

    • Azure 鎖定 有助於防止意外刪除和修改 Azure 資源。 當您將鎖定套用至資源時,即使具有特殊許可權系統管理員角色的使用者也無法刪除資源,除非他們先明確刪除鎖定。

    取捨:安全性和作業效率。 RBAC 和鎖定是雲端安全性和治理策略的重要元素。 不過,請考慮當您嚴重限制誰可執行一般作業時可能發生的作業複雜度。 嘗試平衡您的安全性和功能需求。 如果發生緊急狀況,或關鍵人員無法使用,請明確計劃將責任呈報。

  • 符合法規標準。 許多客戶需要對其資源進行嚴格的控制,以符合特定的合規性法規。 Azure 提供多個工具,可協助您的組織在符合合規性需求的 Azure 上建置解決方案。

    • Azure 原則 可協助您定義組織標準,並評估並強制執行工作負載和資源合規性。 您可以實作預先定義的標準或您自己的自定義合規性標準。 Azure 原則 包含許多內建原則計劃或原則群組,適用於常見的法規標準。 這些原則包括 FedRAMP High、HIPAA、HITRUST、PCI DSS 和 ISO 27001。 當您將原則套用至環境時,合規性儀錶板會提供整體合規性的詳細分數。 當您建立補救計劃來讓您的環境達到標準時,可以使用此儀錶板。 您可以使用 Azure 原則 來:

      • 拒絕根據原則中定義的準則部署資源。 例如,您可以防止數據資源部署在違反數據落地需求的 Azure 區域中。

      • 稽核資源的部署或設定,以判斷資源是否已部署符合您合規性標準的組態。 例如,您可以稽核 VM 以確認它們已設定備份,並列出未設定的 VM。

      • 補救資源的部署。 您可以藉由部署擴充功能或變更新資源或現有資源的設定,來設定原則來補救不相容的資源。 例如,您可以使用補救工作自動將 適用於端點的 Microsoft Defender 部署到 VM。

    • 適用於雲端的 Microsoft Defender 會針對您在訂用帳戶中套用的標準和基準中的合規性控制和最佳做法,持續評估資源的設定。 適用於雲端的 Defender 計算整體合規性分數,以協助您判斷您需要進行的變更。

      根據預設,適用於雲端的 Defender 會使用 Microsoft 雲端安全性效能評定 (MCSB) 作為安全性與合規性做法的基準標準。 MCSB 是Microsoft所提供的一組合規性控制措施,我們建議在 Azure 上大部分的工作負載使用。 如果您需要符合另一個標準,您可以使用其他可用的合規性供應專案。

    提示

    即使您不需要立即遵守法規標準,您還是應該這麼做。 當您開始部署解決方案時,遵循類似 MCSB 的標準會比稍後回溯套用更輕鬆。

    您可以將合規性標準套用至各種範圍。 例如,您可以將特定 Azure 訂用帳戶定義為特定標準的範圍。 您也可以使用 適用於雲端的 Defender 來評估裝載在其他雲端提供者中的資源設定。

設計建議

建議 優點
授與使用者和群組完成其作業功能所需的最少存取權。

限制特殊許可權角色指派的數目。 判斷您是否可以使用作業函式特定角色,而不是特殊許可權的系統管理員角色。		 如果認證遭到入侵,您可以降低暴露程度。
限制 Azure 訂用帳戶擁有者的數目。 太多訂用帳戶擁有者會增加遭入侵認證的風險。
將角色指派給群組,而不是使用者。 此方法可減少所需的角色指派數目,以減少系統管理額外負荷。
在設計程式中早期採用安全性基準。 請考慮MCSB作為起點。 MCSB 提供清楚、可採取動作的建議,可改善 Azure 上應用程式的安全性,以及跨其他雲端和內部部署環境的安全性。 MCSB 專注於雲端特定控件,可協助您加強整體安全性狀態。
使用 Azure 鎖定來防止意外變更您的環境。 鎖定有助於防止意外修改和刪除資源、資源群組和訂用帳戶。
使用 Azure 原則 或 適用於雲端的 Defender 來評估合規性。 原則可協助強制執行組織標準,並滿足法規合規性。

其他資源

多租用戶是設計 SaaS 工作負載的核心商務方法。 這些文章提供有關治理考慮的詳細資訊:

後續步驟

瞭解如何為您的資源選擇正確的 Azure 區域,並開發資源組織策略,以支援 SaaS 解決方案的成長和演進。

設計區域:Azure 上 SaaS 工作負載的資源組織