今天我们将主要围绕“云治理”这个目标,更深入地谈谈 CAF(Azure 云采用框架)能为上云企业提供的帮助。
何为 Azure 云采用框架?
Azure 云采用框架(Cloud Adoption Framework,下文简称 CAF)是一个包含文档、实施指南、最佳做法和工具的集合,所有内容均由微软提供,并经历了实践检验,可用来帮助云架构师、IT 专业人员和业务决策者成功实现短期和长期目标,进而加速云采用旅程。
CAF 涵盖了云采用全生命周期内完整的战略定义、规划、就绪、采用、治理和管理等不同环节,可帮助大家在执行云采用工作时,将技术、业务和人员策略用于推动所需的业务成果,借此轻松地在正确的时间,以正确的方法执行正确的工作。
上云是过程,而非终点
云采用是一个过程,而非终点。在支持业务转型的技术方面,云开创了全新的模式,而这些新模式也会改变治理方式。
举例来说,当几乎整个数据中心都可以通过一个无人值守进程所执行的一行代码来销毁和重新创建时,我们就必须反思传统 IT 治理方法。对于具有治理本地 IT 策略经验的组织,云治理应对这些策略进行补充。本地 IT 环境和云之间的治理策略会有差异。随着云资产的逐渐变化,云治理流程和策略也随之变化。而 Azure 云采用框架治理原则和 Azure 云平台提供的丰富的治理服务工具可以帮助企业成功实现治理策略有效执行。
然而没有目标的旅程只是盲目漫游。如何制定有效的 Azure 治理策略?CAF 中的治理部分从以下五个方面的规则来指导企业云治理策略,每个规则都可帮助公司避免潜在陷阱。
- 成本管理 :成本是云用户最关心的问题。制定适用于所有云平台成本控制的策略。
- 安全基线 :安全性是一个复杂的主题,每个公司都是唯一的。建立安全要求后,云治理策略和实施将跨网络、数据和资产配置应用这些要求。
- 身份管理基线 :应用程序中标识要求的不一致性可能会增加泄露的风险。身份基线规则重点确保在云采用工作上一致地应用标识。
- 资源一致性 :云操作依赖于一致的资源配置。通过治理工具,可以一致地配置资源,以管理与加入、偏移、可发现性和恢复相关的风险。
- 部署加速 :部署和配置方法的集中化、标准化和一致性改进了治理做法。在通过基于云的治理工具提供时,它们会创建可加速部署活动的云因素。
通过丰富的工具服务让治理策略顺利落地
那么企业制定的治理策略如何落地执行?Azure 提供了丰富的工具服务。
通过工具分析优化成本
建立安全基线
安全基线需要从统一安全管理、网络安全、数据安全、业务容灾、合规性等多方面建立规则策略。Azure 安全中心提供统一的安全管理和高级威胁防护,定义各种应用安全策略,保护资源和响应安全事件。从云基础架构设计上就要使用 Azure 虚拟网络,确保受保护数据的网络子网必须与其他子网隔离。并且定期审核受保护数据子网之间的网络流量。通过 Azure Backup、Azure Site Recovery 确保任务关键型应用程序和受保护数据正确实现了备份、恢复和 SLA 遵从性。基于 Azure 上十几种常用的安全服务,可以制定数十种关键性安全基线。
身份管理基线
身份管理基线是所有治理的基本起始点。尝试应用治理前,必须先确立身份管理策略。然后治理解决方案将强制执行确立的标识策略。Azure Active Directory(Azure AD)是微软基于云的身份和访问管理服务,可帮助用户安全登录和访问 Azure 中的资源,满足安全性和合规性要求。系统的采用基于角色的访问控制 Azure RBAC,可以将客户 IT 及运维团队中的职责权限细粒度分开,并仅向用户授予其执行工作所需的最小访问权限。
保持资源一致性
不一致的部署流程可能会导致安全漏洞,从而导致数据泄露或中断。所有已部署的资产必须按照重要程度和数据分类进行分类。在部署到云之前,将由云调控团队和应用程序所有者查看分类。治理流程必须包括部署时的审核和周期性审核,通过使用 Azure Policy、Azure Resource Manager、Azure Resource Graph 以确保所有资产的一致性。
实现部署加速
使用 Azure Tag(标记)对 Azure 资源和管理层次结构进行组织,实现必须根据定义的 Tag 策略对所有资产进行分组和标记。使用 Azure Policy 可以执行所有资产都必须使用已批准的部署模型。Azure 自动化提供基于云的自动化和配置服务,用于支持 Azure 环境和非 Azure 环境之间的一致管理。Azure Automation 包括流程自动化、配置管理、更新管理、共享功能等。在部署、操作期间,自动化可以提供全面的控制,从而加速部署周期。
为帮助客户评估当前治理水平,CAF 也提供了治理评估分析服务,为客户提供个性化的评估报告,并且与客户所在行业平均水平做对比(参考下图)。帮助企业正确指定治理策略的起点和未来目标。
最后同样需要强调,别忘了 持续改进!随着企业云资产的逐渐变化,云治理流程和策略也随之变化。在实现云采用计划的整个过程中,以迭代方式添加治理控制,从以上讲述的五个方面阶段性的制定新策略,使用 Azure 提供的治理工具有效执行治理策略,帮助企业降低云采用过程风险。
Azure云采用框架:
https://docs.microsoft.com/zh-cn/azure/cloud-adoption-framework/
Azure企业门户:
https://ea.azure.cn/
Azure Policy:
https://docs.azure.cn/zh-cn/governance/policy/
Azure Monitor:
https://docs.azure.cn/zh-cn/azure-monitor/
Azure Advisor:
https://docs.azure.cn/zh-cn/advisor/
Azure安全中心:
https://docs.azure.cn/zh-cn/security-center/
Azure虚拟网络:
https://docs.azure.cn/zh-cn/virtual-network/
Azure Backup:
https://docs.azure.cn/zh-cn/backup/backup-overview
Azure Site Recovery:
https://docs.azure.cn/zh-cn/site-recovery/
数十种关键性安全基线:
https://docs.microsoft.com/zh-cn/azure/cloud-adoption
framework/govern/guides/standard/security-baseline-improvement
Azure Active Directory(Azure AD):
https://docs.azure.cn/zh-cn/active-directory/
Azure RBAC:
https://docs.azure.cn/zh-cn/role-based-access-control/
Azure Policy:
https://docs.azure.cn/zh-cn/governance/policy/
Azure Resource Manager:
https://docs.azure.cn/zh-cn/azure-resource-manager/management/overview
Azure Resource Graph:
https://docs.azure.cn/zh-cn/governance/resource-graph/overview
Azure Tag:
https://docs.azure.cn/zh-cn/azure-resource-manager/management/tag-resources
Azure Policy:
https://docs.azure.cn/zh-cn/governance/policy/
Azure Automation:
https://docs.azure.cn/zh-cn/automation/automation-intro
治理评估分析服务:
https://cafbaseline.com/
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/153616.html