Поделиться через

Администрирование облачного имущества Azure

  • Статья

В этой статье объясняется, как администрировать облачные ресурсы Azure для обеспечения работоспособности операций. Вам нужен строгий административный контроль над облачными операциями, чтобы обеспечить соответствие облака бизнес-целям.

Схема, показывающая процесс управления CAF: готовый, администрирование, мониторинг и защита (RAMP).

Определение области управления

Обязанности по управлению зависят от модели развертывания. Используйте следующую таблицу, чтобы определить обязанности по управлению инфраструктурой (IaaS), платформой (PaaS), программным обеспечением (SaaS) и локальными развертываниями.

Области администрирования Локальное размещение IaaS (Azure) PaaS (Azure) SaaS
Изменение ✔️ ✔️ ✔️ ✔️
Безопасность ✔️ ✔️ ✔️ ✔️
Соблюдение закона ✔️ ✔️ ✔️ ✔️
Данные ✔️ ✔️ ✔️ ✔️
Код и среда выполнения ✔️ ✔️ ✔️
Облачные ресурсы ✔️ ✔️ ✔️
Перемещение ✔️ ✔️ ✔️
Операционная система ✔️ ✔️
Уровень виртуализации ✔️
Физическое оборудование ✔️

Управление изменением

Изменение является наиболее распространенным источником проблем в облаке. В результате вам нужен подход к управлению изменениями, который отслеживает изменения и их утверждения. Он также должен обнаруживать неутвержденные изменения и возвращаться к требуемому состоянию. Выполните следующие действия.

  1. Разработайте процесс запроса на изменение. Используйте официальную систему, например систему управления заявками, pull request (GitHub или Azure DevOps) или назначенные формы. Процесс запроса на изменение должен записывать ключевые сведения, такие как тип изменения, удостоверение запрашивающего пользователя, целевая среда, область и причина. Сохраняйте отдельные процедуры для стандартных запросов служб, таких как сброс паролей.

  2. Оценить риск, связанный с изменением. Назначать четкие категории рисков (высокий, средний, низкий) для балансировки скорости развертывания с помощью управления рисками. Оцените каждое изменение в соответствии с критериями, такими как отказоустойчивость простоя (бюджет ошибок) и критичность рабочей нагрузки. Чтобы определить соответствующий рабочий процесс утверждения, используйте следующую таблицу в качестве примера:

    Уровень риска Пособие по простою Критичность рабочей нагрузки Процесс утверждения Примеры изменений
    Высокий Время простоя не разрешено Эти изменения влияют на критически важные системы, требующие непрерывной доступности с нулевой отказоустойчивостью для любого простоя. Обзоры нескольких старших инженеров, автоматизированные оповещения конвейера, быстрый выпуск канарейкии активный мониторинг. Критически важные обновления инфраструктуры
    Средний Допускается короткий простой Эти изменения влияют на важные системы с ограниченной терпимостью к простою. Автоматический конвейер помечает изменение. Быстрая проверка инженерами, если мониторинг вызывает оповещение. Некритические обновления системы, улучшения компонентов во время коротких периодов обслуживания
    Низкий Достаточное время простоя разрешено Эти изменения влияют на некритические системы, где расширенное время простоя приемлемо, не влияя на общие операции. Полностью автоматизированное развертывание с помощью CI/CD выполняет предварительные тесты и мониторинг. Стандартные обновления, незначительные обновления политики

  3. четко стандартизировать утверждение. определить критерии утверждения и полномочия, необходимые на каждом уровне риска. Укажите, кто должен проверять каждое изменение, будь то один одобритель или совет рецензирования, и уточните, как рецензенты должны предоставлять и разрешать обратную связь.

  4. Стандартизируйте процесс развертывания. Четко опишите процедуры создания, тестирования и развертывания утверждённых изменений в рабочей среде. Дополнительные сведения см. в статье Управление облачными ресурсами.

  5. Стандартизируйте процесс после развертывания. Чтобы подтвердить успешные изменения, реализуйте шаги мониторинга и проверки. Включите четкую стратегию отката для быстрого восстановления услуги, если изменение создает проблемы.

  6. Предотвратить и обнаружить несанкционированные изменения. использовать анализ изменений для обнаружения изменений конфигурации и объяснения их основных причин. Используйте политику Azure для запрета и аудита изменений с помощью таких эффектов, как Запретить, ЗапретитьДействие, Аудити АудитЕслиНеСуществует. При использовании Bicep рассмотрите возможность использования стеков развертывания Bicep, чтобы предотвратить несанкционированные изменения.

Управление безопасностью

Удостоверение — это периметр безопасности. Необходимо проверить удостоверения, ограничить разрешения и поддерживать безопасные конфигурации ресурсов. Выполните следующие действия.

  1. Управляйте удостоверениями. Используйте Microsoft Entra ID как единое решение для управления удостоверениями. Четко определить разрешения путем применения управления доступом на основе ролей (RBAC). Используйте Microsoft Entra ID Governance для управления запросами на доступ, проверками доступа и управлением жизненным циклом идентичности. Включите управление привилегированной идентификацией для предоставления привилегированного доступа в режиме just-in-time. Эта стратегия сокращает ненужный повышенный доступ. Последовательно управляйте всеми тремя типами удостоверений (пользователем, приложением, устройством), чтобы обеспечить правильную проверку подлинности и авторизацию.

  2. Управление доступом. Использовать управление доступом на основе ролей Azure (RBAC) и управление доступом на основе атрибутов (ABAC), чтобы предоставить наименьшее разрешение для выполнения задания. Чтобы ограничить затраты на управление, предпочитайте назначения ролей на основе групп. Предоставляйте разрешения на минимальные необходимые области, такие как подписки, группы ресурсов или отдельные ресурсы. Избегайте чрезмерно широких областей разрешений, чтобы предотвратить непреднамеренное повышение привилегий. Назначьте только необходимые разрешения для каждой роли пользователя.

  3. Управление конфигурациями ресурсов. использовать инфраструктуру в качестве кода (IaC) для обеспечения согласованной и воспроизводимой конфигурации ресурсов. Затем используйте политику Azure для применения стандартов организации и оценки соответствия требованиям. Затем используйте политику Azure, чтобы применять безопасные конфигурации для определённых служб Azure. Дополнительные сведения о доступных возможностях безопасности и оптимальных конфигурациях безопасности см. в базовых показателях безопасности . В качестве дополнительной функции используйте политики безопасности в Defender для облака для соответствия общим стандартам безопасности.

  4. ru-RU: Управляйте проверкой подлинности. Убедитесь, что пользователи используют надежную проверку подлинности через многофакторную аутентификацию (MFA) и применяют многофакторную аутентификацию Microsoft Entra . Всегда требуйте условный доступ для обеспечения проверки подлинности на основе удостоверения пользователя, работоспособности устройств и контекста доступа. Настройте самостоятельный сброс пароля и устранение слабых паролей.

  5. Управление сведениями о безопасности. Использовать Microsoft Sentinel для управления сведениями о безопасности (SIEM), а также для оркестрации, автоматизации и реагирования на инциденты (SOAR).

  6. Контролируйте безопасность рабочей нагрузки. Рекомендации по безопасности рабочей нагрузки см. в контрольном списке Well-Architected системы безопасности и в руководствах по службе Azure (начните с раздела "Безопасность").

Управление соответствием

Управление соответствием гарантирует, что операции Azure остаются в соответствии с установленными политиками управления и нормативными стандартами. Необходимо снизить риск, защитив среду от потенциальных нарушений и неправильно настроенных конфигураций. Выполните следующие действия.

  1. Поймите ваши политики управления. Политики управления определяют высокоуровневые ограничения, которым должны следовать ваши команды, чтобы соблюдать требования. Просмотрите политики вашей организации и сопоставляйте все требования к рабочим процессам. Если у вас нет политик управления, сначала задокументируйте политики управления.

  2. Управление соответствием. Обеспечение соответствия требованиям гарантирует соответствие вашей среде как организационным, так и нормативным стандартам. См. следующую таблицу рекомендаций по политике.

    Рекомендация Подробности
    Начните с определения общей политики Начните с общих определений политики Azure, включая разрешенные расположения, запрещенные типы ресурсов и аудит пользовательских ролей RBAC.
    Соответствие нормативным стандартам Используйте бесплатные встроенные определения политики Azure, соответствующие нормативным стандартам, таким как ISO 27001, NIST SP 800-53, PCI DSS, GDPR

Дополнительные сведения см. в статье Обеспечение соответствия требованиям в Azure.

Управление данными

Управление данными в облачных операциях включает активное классификацию, сегментирование, защиту доступа и защиту от удаления. Необходимо защитить конфиденциальную информацию, поддерживать соответствие требованиям и обеспечивать надежность данных во время операционных изменений. Выполните следующие действия.

  1. Обнаруживать и классифицировать данные. Определять и классифицировать данные в соответствии с конфиденциальностью и важностью. Эта классификация позволяет настроить элементы управления для каждого типа данных. Используйте Microsoft Purview для управления данными. Дополнительные сведения см. в источниках данных, подключающихся ккарте данных Microsoft Purview.

  2. Управление размещением данных. Выберите регионы в пределах вашей географии, например, США или Европу, чтобы соответствовать требованиям к месту размещения данных. Проверьте все исключения, так как некоторые службы Azure могут хранить данные за пределами выбранного региона. Регулярно просматривайте параметры расположения данных Azure и требования к соответствию требованиям, чтобы обеспечить полный контроль над данными клиента.

  3. Изолировать внутренние рабочие нагрузки (Corp) и интернет-нагрузки (Online). Использовать группы управления для разделения внутренних и внешних рабочих нагрузок. Для внутренних рабочих нагрузок обычно требуется подключение или гибридное подключение к корпоративной сети. Внешние рабочие нагрузки обычно не требуют подключения к корпоративной сети и могут потребовать прямого входящего или исходящего доступа к Интернету. Например, просмотрите группы управления "Corp" (внутренний) и "Online" (обращённые к интернету) в целевой зоне Azure.

  4. Принудительное управление доступом. Реализуйте надежные средства управления доступом, такие как azure RBAC и Azure ABAC, чтобы обеспечить доступ только авторизованных сотрудников к конфиденциальным данным на основе определенных классификаций.

  5. защитить данные от удаления. Использовать такие функции, как обратимое удаление, управление версиями данных и неизменяемость, где она доступна. Реализуйте контроль версий базы данных и подготовьте процедуры отката. Используйте политику Azure, чтобы запретить удаление хранилищ данных с действиями Запретить и DenyAction, или для аудита изменений с помощью эффектов Audit и auditIfNotExists. При использовании Bicep рассмотрите возможность использования стеков развертывания Bicep, чтобы предотвратить несанкционированные изменения. Используйте только блокировки ресурсов строго для предотвращения непредвиденных изменений или удаления критически важных данных. Избегайте использования блокировок ресурсов для защиты конфигураций, так как блокировки ресурсов усложняют развертывание IaC.

  6. Управляйте данными рабочей нагрузки. Посмотрите рекомендации Well-Architected фреймворка по классификации данных.

Дополнительные сведения см. в разделе Принудительное управление данными.

Управление затратами

Управление затратами в облачных операциях означает активное отслеживание расходов как централизованно, так и на рабочую нагрузку. Контроль затрат должен обеспечить видимость расходов и поощрять ответственные расходы. Выполните следующие действия.

  1. Управлять и анализировать затраты. Используйте средства Майкрософт для управления затратами, чтобы отслеживать облачные расходы. Azure не имеет механизма на уровне подписки для ограничения расходов на определенное пороговое значение. Некоторые службы, такие как рабочее пространство Azure Log Analytics, имеют ограничения на расходы. Стратегия мониторинга затрат служит основным инструментом для управления затратами.

  2. Управление затратами на рабочую нагрузку. Предоставление доступа к выставлению счетов для команд, работающих с нагрузкой. Пусть эти команды используют контрольный список из Well-Architected платформы оптимизации затрат.

Управление кодом и средой выполнения

Управление кодом и средой выполнения — это обязанности рабочих процессов. Предложите командам по рабочей нагрузке использовать контрольный список Операционного превосходства в рамках Well-Architected Framework, в котором описано 12 рекомендаций по управлению кодом и выполнением.

Управление облачными ресурсами

Определите четкие протоколы развертывания и проактивные стратегии обнаружения дрейфа и распространения для поддержания согласованности в разных средах. В этом разделе рассматриваются:

Управление развертываниями портала

Определите протоколы и ограничения для развертываний портала, чтобы свести к минимуму потенциал рабочих проблем. Выполните следующие действия.

  1. Определение политики развертывания портала. Убедитесь, что значительные изменения на портале соответствуют установленным процессам управления изменениями. Используйте развертывания портала в основном для быстрого создания прототипов, устранения неполадок или незначительных изменений в средах разработки и тестирования. Избегайте неструктурированных изменений портала, так как эти изменения приводят к смещениям, неправильной настройке и проблемам соответствия требованиям. Вместо этого следует полагаться на шаблоны инфраструктуры как кода (IaC) с управлением версиями для согласованности. Дополнительные сведения см. в управление развертыванием кода.

  2. Дифференцировать среды. Ограничить изменения на портале строго в непроизводственных средах. Разрешить быстрое создание прототипов исключительно в выделенных средах разработки или тестирования и применять строгие элементы управления в рабочей среде.

  3. Ограничить разрешения портала. Ограничить возможности развертывания на портале с помощью управления доступом на основе ролей (RBAC). Назначение разрешений только для чтения по умолчанию и повышение привилегий только при необходимости.

    • Предоставить JIT-доступ. Использовать Privileged Identity Management (PIM) для доступа к ресурсам Azure и Microsoft Entra. Для активации PIM требуются последовательные утверждения от нескольких отдельных лиц или групп. Резервировать привилегированные роли ("A0" суперадминистратор) исключительно для чрезвычайных ситуаций.

    • структура RBAC на основе операционной модели. разработка политик RBAC, предназначенных для операционных групп, включая уровни поддержки, операции безопасности, платформы, сети и рабочие нагрузки.

    • Провести аудит всех действий. Отслеживайте и записывайте все действия в вашей системе. Используйте Политику Azure для проверки изменений (Audit или auditIfNotExists). Кроме того, настройте оповещение в Azure Monitor, чтобы уведомить заинтересованных лиц об удалении ресурса Azure. При использовании Bicep рассмотрите возможность использования стеков развертывания Bicep, чтобы предотвратить несанкционированные изменения.

  4. Использовать управляемые версиями шаблоны. Ограничить использование портала для чрезвычайных ситуаций при использовании развертываний IaC. Изменения портала приводят к смещению конфигурации с шаблонов IaC. Реплицируйте все изменения, сделанные через портал, сразу же в IaC-шаблонах с управлением версиями, таких как шаблоны Bicep, Terraformили ARM. Регулярно экспортируйте конфигурации ресурсов Azure и храните их как IaC для поддержания рабочих сред, согласованных с утвержденными, трассируемыми конфигурациями. См. руководство по экспорту конфигураций Azure в виде Bicep, Terraformили шаблонов ARM. Учтите спецификации шаблонов при использовании шаблонов ARM.

    Инструмент Вариант использования
    Бицепс Удобный в управлении и читаемый IaC для Azure
    Terraform Решение Multicloud, более широкая поддержка сообщества
    шаблоны ARM Полный контроль, удобство работы с JSON

Управление развертываниями кода

Применяйте лучшие практики для автоматизации и контроля изменений в коде и инфраструктуре. Выполните следующие действия.

  1. Стандартизация инструментов. Использовать согласованный набор инструментов для минимизации переключения контекста. Выберите средства разработчика (VS Code, Visual Studio), репозиторий кода (GitHub, Azure DevOps), конвейер CI/CD (GitHub Actions, Azure Pipelines) и решение IaC (Bicep, Terraformили шаблоны ARM).

  2. Использовать управление версиями. Поддерживать один источник истины для кода. Используйте систему управления версиями для уменьшения отклонения конфигурации и упрощения процедур отката.

  3. Используйте конвейеры развертывания. Конвейер CI/CD автоматизирует процесс сборки, выполняет тесты и проверяет код на наличие проблем с качеством и безопасностью с каждым pull request. Используйте GitHub Actions или Azure Pipelines для создания и развертывания кода приложения и файлов IaC. Применяйте преподготовочные хуки и автоматические сканирования, чтобы выявить несанкционированные или потенциально рискованные изменения на ранних этапах.

  4. тестовые развертывания. утверждение этапов в конвейерах CI/CD для пошаговой проверки развертываний. Следуйте этой последовательности: разработка, проверка сборки, тесты интеграции, тесты производительности, приемочное тестирование пользователей (UAT), промежуточные выпуски, канареечные релизы, предварительная версия и, наконец, продакшн.

  5. использовать инфраструктуру в качестве кода (IaC). Использовать IaC для обеспечения согласованности и управления развертываниями с помощью управления версиями. Переход с портала Azure на основе проверки концепции в IaC для рабочих сред. Используйте шаблоны Bicep, Terraformили ARM для определения ресурсов. Для Bicep используйте модули и рассмотрите возможность использования стеков развертывания. Для шаблона ARM рекомендуется использовать спецификации шаблонов для развертывания по версиям.

  6. Применить рекомендации по репозиторию кода. В соответствии с этими стандартами уменьшается количество ошибок, упрощается проверка кода и не возникает проблем с интеграцией. Для производственных сред с высоким приоритетом:

    Требование Описание
    Отключение прямых push-уведомлений Блокировать прямые коммиты в главной ветке
    Требовать пулл-реквесты Требовать, чтобы все изменения проходили через пул-реквест.
    Требовать проверки кода Следите, чтобы каждый pull-запрос проверял кто-то другой, кроме автора
    Применение пороговых значений покрытия кода Убедитесь, что минимальный процент кода проходит автоматические тесты для всех запросов на слияние.
    Использование конвейеров проверки Настройка правил защиты ветки для запуска пайплайна валидации для пул-реквестов

  7. Обеспечьте проверки введения команды в рабочий процесс. Убедитесь, что новые кодовые базы и команды должны соответствовать бизнес-целям, стандартам и передовым практикам. Используйте контрольный список для подтверждения структуры репозитория кода, стандартов именования, стандартов программирования и конфигураций конвейера CI/CD.

Управление изменениями конфигурации

Управление смещением конфигурации путем выявления и исправления несоответствий между предполагаемой конфигурацией и динамической средой. Следуйте приведенным ниже рекомендациям.

  1. Предотвратить и обнаружить изменения. использовать анализ изменений для обнаружения изменений конфигурации и объяснения их основных причин. Используйте политику Azure для запрета и аудита изменений с помощью таких эффектов, как Запретить, ЗапретитьДействие, Аудити АудитЕслиНеСуществует. При использовании Bicep рассмотрите возможность использования стеков развертывания Bicep, чтобы предотвратить несанкционированные изменения.

  2. Выявите смещение конфигурации IaC. Drift возникает при преднамеренном или непреднамеренном обновлении файла IaC или изменении в портале Azure. Регулярно сравнивайте динамическую среду с требуемой конфигурацией для обнаружения смещения:

    • Сохраняйте требуемые и последние известные рабочие конфигурации. Сохраните требуемый файл конфигурации в системе контроля версий. В этом файле показана исходная, предназначенная конфигурация. Сохраняйте последнюю известную конфигурацию как надежную точку отката и базу для обнаружения отклонений.

    • Обнаружьте конфигурационный дрейф перед развертыванием. Просмотрите потенциальные изменения перед развертыванием с помощью плана Terraform, Bicep what-if или шаблона ARM what-if. Тщательно изучите несоответствия, чтобы убедиться, что предлагаемые изменения соответствуют требуемому состоянию.

    • Обнаружение смещения после развертывания. Регулярно сравнивайте рабочие среды с требуемыми конфигурациями с помощью проверок на смещение. Интегрируйте эти проверки в конвейеры CI/CD или проводите их вручную для обеспечения согласованности. См. пример с Azure Policy и Azure Pipelines.

    • Откат к последней известной исправной конфигурации. Разработайте четкие стратегии отката, использующие автоматизированные процедуры в конвейере CI/CD. Используйте последнюю хорошую конфигурацию, чтобы быстро восстановить нежелательные изменения и свести к минимуму время простоя.

    • свести к минимуму производимые порталом изменения. Свести к минимуму изменения, не относящиеся к IaC, оставляя только для чрезвычайных ситуаций. Применение строгих элементов управления доступом, таких как управление привилегированными пользователями. Немедленно обновите файлы IaC, если требуются ручные корректировки, чтобы сохранить точность желаемой конфигурации.

Управление разрастаниями ресурсов

Расползание ресурсов описывает неконтролируемый рост облачных ресурсов. Этот рост увеличивает затраты, риски безопасности и сложность управления. Выполните следующие действия.

  1. Реализуйте политики управления.Используйте политику Azure для применения стандартов для подготовки ресурсов и добавления тегов в организации. Создайте стратегию четкого именования для упрощения видимости ресурсов.

  2. Эффективно организуйте ресурсы. Структурируйте ресурсы иерархически с группами управления и подписками, соответствующими потребностям вашей организации. Эта структура улучшает видимость и управление ресурсами. Обратитесь к руководству по зоне посадки Azure для проверенных лучших практик.

  3. Ограничение разрешений развертывания. Реализуйте рекомендации по управлению доступом на основе ролей (RBAC), описанные в Azure RBAC и Microsoft Entra RBAC. Назначьте пользователям соответствующие разрешения. Использование ролей читателя для минимизации рисков несанкционированного создания ресурсов.

  4. Проводите регулярные аудиты. Используйте Помощник по Azure для идентификации неиспользуемых или недоиспользуемых ресурсов Azure. Используйте управление затратами для анализа расходов в облаке и удаления потерянных ресурсов, вызывающих ненужные затраты. Имейте в виду, что не все ресурсы Azure влекут за собой расходы. Выполните запросы в Azure Resource Graph для обеспечения точной инвентаризации ресурсов.

Управление перемещением

Периодически оцените текущие регионы Azure, чтобы определить, повышает ли перемещение рабочих нагрузок в другое место, повышает эффективность, снижает затраты или повышает производительность.

  • Общие сведения о драйверах перемещения. Понимание параметров перемещения гарантирует, что каждый перемещение имеет допустимое бизнес-обоснование, учитывая, что перемещение включает в себя риск и затраты. Распространенные бизнес-обоснование для перемещений включают расширение бизнеса, требования соответствия нормативным требованиям и близость к конечным пользователям.

  • Управление рисками перемещений. Управление рисками перемещений предотвращает нарушение работы и обеспечивает соответствие требованиям. Определение допустимых окон простоя, взаимодействие с заинтересованными лицами и обеспечение соблюдения политик организации и отраслевых правил.

  • Управление затратами на перемещение. Управление затратами на перемещение предотвращает ненужные расходы во время миграции. Передача данных один раз, удаление повторяющихся сред и сравнение региональных цен Azure. Просмотрите цены на пропускную способность Azure.

  • Управление проектами перемещений. Небольшие команды должны переносить рабочие нагрузки по одному за раз с фокусным выполнением. Крупные команды должны одновременно перемещать несколько рабочих нагрузок, чтобы обеспечить эффективность с помощью скоординированного планирования.

Управление операционными системами

Где вы используете виртуальные машины, необходимо также управлять операционной системой. Выполните следующие действия.

  1. Автоматизация обслуживания виртуальных машин. в Azure используйте средства автоматизации для создания виртуальных машин Azure и управления ими. Используйте конфигурацию машины Azure для аудита или настройки параметров операционной системы в виде кода для машин, работающих в Azure и гибридных средах.

  2. обновить операционные системы. необходимо управлять гостевыми обновлениями и обслуживанием узлов, чтобы обеспечить актуальность операционных систем в целях безопасности.

  3. Мониторинг операций в гостевой среде. Использовать службу отслеживания изменений и инвентаризации Azure для улучшения аудита и управления для операций в гостевой среде. Он отслеживает изменения и предоставляет подробные журналы инвентаризации для серверов в Azure, локальной среде и других облачных средах.

Средства управления Azure

Категория Инструмент Описание
Управление изменением Анализ изменений Обнаруживает изменения конфигурации и объясняет их основные причины
Управление изменением Azure Policy Принудительное применение, аудит или предотвращение изменений в облачных ресурсах
Управление изменением стеки развертывания Bicep Запрещает несанкционированные изменения.
Управление безопасностью базовые показатели безопасности Azure Предоставляет рекомендации по доступным возможностям безопасности и оптимальным конфигурациям безопасности.
Управление безопасностью столп безопасности Well-Architected Framework Руководство по безопасности для проектирования рабочей нагрузки
Управление безопасностью руководства по службе Azure (начнем с раздела "Безопасность") Рекомендации по настройке безопасности для служб Azure
Управление безопасностью Microsoft Entra ID Предоставляет единое управление удостоверениями
Управление безопасностью Defender для облака Настройка конфигураций ресурсов в соответствии со стандартами безопасности
Управление безопасностью Microsoft Sentinel Предоставляет информацию о безопасности, а также управление событиями безопасности (SIEM) и оркестрацию, автоматизацию и реагирование на угрозы безопасности (SOAR).
Управление безопасностью Azure RBAC Предоставляет безопасный доступ с назначениями на основе ролей
Управление безопасностью Azure ABAC Предоставляет безопасный доступ на основе условий атрибута
Управление безопасностью Управление идентификаторами в Microsoft Entra ID Управление рабочими процессами доступа и жизненным циклом удостоверений
Управление безопасностью Управление привилегированными идентификациями Предлагает привилегированный JIT-доступ
Управление безопасностью Microsoft Entra многофакторной проверки подлинности (MFA) Принудительное применение строгой многофакторной проверки подлинности
Управление безопасностью условный доступ Обеспечивает проверку подлинности на основе контекста
Управление безопасностью самостоятельный сброс пароля Обеспечивает безопасную замену паролей пользователей
Управление соответствием Azure Policy Применение стандартов и защита конфигураций ресурсов
Управление данными Microsoft Purview Управляет конфиденциальными данными и классифицирует их
Управление данными Azure Policy Предотвращение или аудит непреднамеренных изменений или удалений ресурсов
Управление данными блокировки ресурсов Предотвращение непреднамеренных изменений или удалений
Управление затратами контроль затрат Мониторинг является важным для управления облачными затратами
Управление облачными ресурсами Azure Policy Принудительное применение, аудит или предотвращение изменений в облачных ресурсах
Управление облачными ресурсами (развертывания портала) экспорт шаблона ARM Экспорт конфигураций ресурсов в виде шаблонов IaC
Управление облачными ресурсами (развертывания портала) оповещения в Azure Monitor Уведомляет заинтересованных лиц об изменениях ресурсов
Управление облачными ресурсами (развертывания кода) Бицепс Управление инфраструктурой в виде кода для ресурсов Azure
Управление облачными ресурсами (развертывания кода) стеки развертывания Bicep Поддерживает управляемые версиями развертывания и предотвращает несанкционированные изменения
Управление облачными ресурсами (развертывания кода) Terraform Управление многооблачной инфраструктурой в виде кода
Управление облачными ресурсами (развертывания кода) шаблоны ARM Определяет и развертывает ресурсы Azure с помощью шаблонов
Управление облачными ресурсами (развертывания кода) Спецификации шаблонов ARM Управляет версиями и шаблонами ARM для обеспечения согласованности
Управление облачными ресурсами (развертывания кода) GitHub Actions Автоматизация конвейеров сборки, тестирования и развертывания
Управление облачными ресурсами (развертывания кода) Azure Pipelines Автоматизация процессов сборки и развертывания
Управление смещением Azure Policy Принудительное применение, аудит или предотвращение изменений в облачных ресурсах
Управление смещением Анализ изменений Обнаруживает и объясняет изменения конфигурации
Управление смещением Bicep что-если Предварительный просмотр потенциальных изменений конфигурации
Управление смещением План Terraform Предварительный просмотр потенциальных изменений до развертывания Terraform
Управление смещением шаблон ARM "что если" Предварительный просмотр потенциальных изменений конфигурации
Управление операционными системами конфигурация виртуальной машины Azure Аудит и конфигурация параметров операционной системы как кода
Управление операционными системами служба Azure для отслеживания изменений и инвентаризации Мониторинг и ведение журнала изменений для операционных систем
Управление операционными системами средства автоматизации Автоматизация обслуживания виртуальных машин

Дальнейшие действия

Мониторинг облачных объектов Azure

контрольный список CAF Manage