Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come amministrare il cloud Azure per garantire l'integrità operativa. È necessario un forte controllo amministrativo sulle operazioni cloud per garantire che il cloud sia allineato agli obiettivi aziendali.
Identificare l'ambito di gestione
Le responsabilità di gestione variano in base al modello di distribuzione. Usare la tabella seguente per identificare le responsabilità di gestione per l'infrastruttura (IaaS), la piattaforma (PaaS), il software (SaaS) e le distribuzioni locali.
| Aree di amministrazione | In sede | IaaS (Azure) | PaaS (Azure) | SaaS |
|---|---|---|---|---|
| Cambiare | ✔️ | ✔️ | ✔️ | ✔️ |
| sicurezza | ✔️ | ✔️ | ✔️ | ✔️ |
| Conformità | ✔️ | ✔️ | ✔️ | ✔️ |
| Dati | ✔️ | ✔️ | ✔️ | ✔️ |
| Codice e runtime | ✔️ | ✔️ | ✔️ | |
| Risorse cloud | ✔️ | ✔️ | ✔️ | |
| Ricollocazione | ✔️ | ✔️ | ✔️ | |
| Sistema operativo | ✔️ | ✔️ | ||
| Livello di virtualizzazione | ✔️ | |||
| Hardware fisico | ✔️ |
Gestire le modifiche
La modifica è la fonte più comune di problemi nel cloud. Di conseguenza, è necessario un approccio di gestione delle modifiche che tiene traccia delle modifiche e delle relative approvazioni. Dovrebbe anche rilevare le modifiche non approvati e ripristinarle in uno stato desiderato. Seguire questa procedura:
Develop a change request process. Usare un sistema formale, ad esempio uno strumento di creazione ticket, una richiesta pull (GitHub o Azure DevOps) o moduli designati. Il processo di richiesta di modifica deve acquisire i dettagli della chiave, ad esempio il tipo di modifica, l'identità del richiedente, l'ambiente di destinazione, l'ambito e il motivo. Mantenere procedure separate per le richieste di servizio di routine, ad esempio le reimpostazioni delle password.
Valutare il rischio associato alla modifica. Assegnare categorie di rischio chiare (alto, medio, basso) per bilanciare la velocità di distribuzione con la gestione dei rischi. Valutare ogni modifica in base a criteri come la tolleranza di inattività (budget degli errori) e la criticità del carico di lavoro. Per determinare il flusso di lavoro di approvazione appropriato, usare la tabella seguente come esempio:
Livello di rischio Periodo di pausa autorizzata Criticità del carico di lavoro Processo di approvazione Modifiche di esempio Alto Nessun tempo di inattività consentito Queste modifiche influiscono sui sistemi cruciali che richiedono una disponibilità continua con tolleranza zero per qualsiasi tempo di inattività. Più revisioni dei tecnici senior, avvisi di pipeline automatizzati, modello di esposizione progressiva e monitoraggio attivo. Aggiornamenti critici dell'infrastruttura Medio Tempi di inattività brevi consentiti Queste modifiche influiscono su sistemi importanti con tolleranza limitata per i tempi di inattività. La pipeline automatizzata segnala la modifica. Revisione rapida da parte dei tecnici se il monitoraggio genera un avviso. Aggiornamenti di sistema non critici, miglioramenti delle funzionalità durante finestre di manutenzione brevi Basso È consentito ampio tempo di inattività Queste modifiche influiscono sui sistemi non critici in cui il tempo di inattività esteso è accettabile senza influire sulle operazioni complessive. La distribuzione completamente automatizzata tramite CI/CD esegue test di pre-distribuzione e monitoraggio. Aggiornamenti di routine, aggiornamenti secondari dei criteri standardizzare chiaramente l'approvazione. Definire i criteri di approvazione e l'autorità necessari a ogni livello di rischio. Specificare chi deve esaminare ogni modifica, sia che si tratti di un approvatore singolo o di un comitato di revisione, e chiarire in che modo i revisori devono fornire e risolvere il feedback.
Standardizzare il processo di distribuzione. Delineare chiaramente le procedure per la compilazione, il test e la distribuzione delle modifiche approvate nell'ambiente di produzione. Per informazioni dettagliate, vedere Gestire le risorse cloud.
Standardizzare il processo di post-distribuzione. Per confermare le modifiche riuscite, implementare i passaggi di monitoraggio e convalida. Includere una strategia di rollback chiara per ripristinare rapidamente il servizio se una modifica introduce problemi.
Impedire e rilevare modifiche non autorizzate. Usare 'analisi delle modifiche per rilevare le modifiche di configurazione e spiegare le cause sottostanti. Usare Criteri di Azure per negare e controllare le modifiche usando effetti come DenyDenyAction, Audit e auditIfNotExists. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Gestire la sicurezza
L'identità è il perimetro di sicurezza. È necessario verificare le identità, limitare le autorizzazioni e mantenere le configurazioni delle risorse sicure. Seguire questa procedura:
Gestisci identità. Usare Microsoft Entra ID come soluzione unificata di gestione delle identità. Definire chiaramente le autorizzazioni applicando il controllo degli accessi in base al ruolo (RBAC). Usare Microsoft Entra ID Governance per controllare i flussi di lavoro delle richieste di accesso, le verifiche di accesso e la gestione del ciclo di vita delle identità. Abilitare Privileged Identity Management per concedere l'accesso privilegiato just-in-time. Questa strategia riduce l'accesso con privilegi elevati non necessari. Gestire in modo coerente tutti e tre i tipi di identità (utente, applicazione, dispositivo) per garantire l'autenticazione e l'autorizzazione appropriate.
Gestisci l'accesso. Usa il controllo di accesso basato sui ruoli (RBAC) di Azure e il controllo di accesso basato sugli attributi (ABAC) per concedere l'autorizzazione minima necessaria per eseguire l'attività. Per limitare il sovraccarico di gestione, preferire le assegnazioni di ruolo in base ai gruppi. Concedi le autorizzazioni al livello di ambito più basso necessario, come sottoscrizioni, gruppi di risorse o risorse singole. Evitare ambiti di autorizzazione eccessivamente estesi per impedire l'escalation dei privilegi imprevisti. Assegnare solo le autorizzazioni necessarie per il ruolo di ogni utente.
Gestire le configurazioni delle risorse. Usare l'infrastruttura come codice (IaC) per garantire una configurazione coerente e riproducibile delle risorse. Usare quindi Criteri di Azure per applicare configurazioni sicure di servizi di Azure specifici. Fare riferimento ai controlli di sicurezza del benchmark della sicurezza cloud Microsoft v2 per indicazioni sulle funzionalità di sicurezza disponibili e sulle configurazioni di sicurezza ottimali. Come funzionalità del componente aggiuntivo, usare i criteri di sicurezza in Defender per il cloud per allinearsi agli standard di sicurezza comuni.
Manage authentication. Assicurarsi che gli utenti adottino l'autenticazione avanzata tramite l'autenticazione a più fattori (MFA) e usino Microsoft Entra l'autenticazione a più fattori (MFA). Richiedere sempre l'accesso condizionale per applicare l'autenticazione in base all'identità utente, all'integrità dei dispositivi e al contesto di accesso. Configura reimpostazione password self-service ed elimina password deboli.
Gestire le informazioni sulla sicurezza. Usa Microsoft Sentinel per la gestione delle informazioni e degli eventi di sicurezza (SIEM) e per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR).
Controlla la sicurezza del carico di lavoro. Per raccomandazioni sulla sicurezza dei carichi di lavoro, vedere l'elenco di controllo della sicurezza del Well-Architected Framework e le guide sui servizi di Azure (inizia con la sezione Sicurezza).
Gestire la conformità
La gestione della conformità garantisce che le operazioni Azure rimangano allineate ai criteri di governance e agli standard normativi stabiliti. È necessario ridurre i rischi salvaguardando l'ambiente da potenziali violazioni e configurazioni errate. Seguire questa procedura:
Informazioni sui criteri di governance. i criteri di governance definiscono i vincoli di alto livello che i team devono seguire per rimanere conformi. Esaminare i criteri dell'organizzazione ed eseguire il mapping di ogni requisito ai processi operativi. Se non si hanno criteri di governance, documentare prima di tutto i criteri di governance .
Gestire la conformità. L'applicazione della conformità garantisce che l'ambiente rimanga allineato agli standard aziendali e normativi. Per indicazioni sui criteri, vedere la tabella seguente.
Raccomandazione Dettagli Iniziare con definizioni di criteri generali Iniziare con le definizioni generali di Criteri di Azure, incluse le posizioni consentite, i tipi di risorse non consentiti e la verifica dei ruoli personalizzati di controllo degli accessi in base ai ruoli (RBAC). Allinearsi agli standard normativi Usare definizioni predefinite e gratuite di Criteri di Azure allineate agli standard normativi, ad esempio ISO 27001, NIST SP 800-53 e PCI DSS.
Per altre informazioni, vedere Conformità in Azure.
Gestire i dati
La gestione dei dati nelle operazioni cloud comporta la classificazione, la segmentazione, la protezione dell'accesso e la protezione dall'eliminazione. È necessario proteggere le informazioni riservate, mantenere la conformità e garantire l'affidabilità dei dati durante le modifiche operative. Seguire questa procedura:
Individuare e classificare i dati. Identificare e classificare i dati in base alla riservatezza e all'importanza. Questa classificazione guida controlli personalizzati per ogni tipo di dati. Usare Microsoft Purview per la governance dei dati. Per ulteriori informazioni, vedere le origini dati che si connettono alla Mappa dei dati di Microsoft Purview.
Controlla la residenza dei dati. Seleziona le regioni all'interno della propria geografia, ad esempio Stati Uniti o Europa, per soddisfare i requisiti di residenza dei dati. Verificare eventuali eccezioni perché certain Azure services potrebbero archiviare i dati all'esterno dell'area selezionata. Rivedere regolarmente le impostazioni di residenza dei dati di Azure e i requisiti di conformità per mantenere il controllo completo sui dati dei tuoi clienti.
Isolare i carichi di lavoro interni ("Corp") e con connessione Internet ("Online"). Usare i gruppi di gestione per separare i carichi di lavoro interni ed esterni. I carichi di lavoro interni richiedono in genere connettività o connettività ibrida alla rete aziendale. I carichi di lavoro esterni in genere non richiedono la connettività di rete aziendale e potrebbero richiedere l'accesso diretto a Internet in ingresso o in uscita. Ad esempio, è possibile analizzare i gruppi di gestione "Corp" (interno) e "Online" (esposto su Internet) nella Azure landing zone.
Imporre il controllo accessi. Implementare controlli di accesso robusti e affidabili, ad esempio Azure controllo degli accessi in base ai ruoli (RBAC) e Azure ABAC, per garantire l'accesso ai dati sensibili esclusivamente al personale autorizzato in base alle classificazioni definite.
Proteggere i dati dall'eliminazione. Usare funzionalità come l'eliminazione temporanea, il controllo delle versioni dei dati e l'immutabilità, se disponibili. Implementare il controllo delle versioni del database e preparare le procedure di rollback. Usare Criteri di Azure per negare le eliminazioni dell'archivio dati con effetti Deny e/o DenyAction, oppure per controllare le modifiche con Audit e auditIfNotExists di qualsiasi modifica. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate. Usare solo i blocchi delle risorse rigorosamente per evitare modifiche o eliminazioni impreviste di dati critici. Evitare di usare i blocchi delle risorse per proteggere le configurazioni, perché i blocchi delle risorse complicano le distribuzioni IaC.
Gestire i dati del carico di lavoro. Vedere le raccomandazioni di Well-Architected Framework sulla classificazione dei dati .
Per altre informazioni, vedere Applicare la governance dei dati.
Gestire i costi
La gestione dei costi nelle operazioni cloud significa tenere traccia della spesa sia in modo centralizzato che in base al carico di lavoro. Il controllo dei costi deve fornire visibilità sulle spese e incoraggiare la spesa responsabile. Seguire questa procedura:
Gestisci e esamina i costi. Usa gli strumenti di Gestione dei costi Microsoft per monitorare i costi del cloud. Azure manca un meccanismo a livello di sottoscrizione per limitare la spesa a una determinata soglia. Alcuni servizi, ad esempio Log Analytics di Azure'area di lavoro hanno limiti di spesa. La strategia di monitoraggio dei costi funge da strumento principale per la gestione delle spese.
Gestire i costi del carico di lavoro. Concedere l'accesso alla fatturazione ai team del carico di lavoro. Chiedere a questi team di usare l'elenco di controllo Ottimizzazione costi del Framework Well-Architected.
Gestire codice e runtime
La gestione del codice e del runtime sono responsabilità del carico di lavoro. Fai usare ai tuoi team di carico di lavoro il checklist di eccellenza operativa del Well-Architected Framework, che delinea 12 raccomandazioni per controllare il codice e il runtime.
Gestire le risorse cloud
Stabilire protocolli di distribuzione chiari e strategie proattive di rilevamento di deviazioni e espansione incontrollata per mantenere la coerenza tra gli ambienti diversi. Questa sezione descrive queste operazioni:
- Distribuzioni del portale
- Distribuzioni di codice
- Deviazione della configurazione
- Espansione disorganizzata delle risorse
Gestire le distribuzioni del portale
Definire protocolli e limiti per le distribuzioni del portale per ridurre al minimo il potenziale di problemi di produzione. Seguire questa procedura:
Definire i criteri di distribuzione del portale. Assicurarsi che le modifiche significative basate sul portale rispettino i processi di gestione delle modifiche stabiliti. Usare le distribuzioni del portale principalmente per la creazione rapida di prototipi, la risoluzione dei problemi o piccole modifiche negli ambienti di sviluppo e test. Evitare modifiche del portale non strutturate perché queste modifiche causano deviazioni, configurazioni errate e problemi di conformità. Si basano invece sui modelli IaC (Infrastructure-as-Code) controllati dalla versione per coerenza. Per ulteriori informazioni, vedere gestione delle distribuzioni di codice.
differenziare gli ambienti. Limitare le modifiche basate sul portale esclusivamente agli ambienti non di produzione. Consentire la creazione rapida di prototipi esclusivamente in ambienti di sviluppo o test dedicati e applicare controlli rigorosi nell'ambiente di produzione.
Limitare le autorizzazioni del portale. Limitare le funzionalità di distribuzione dal portale usando il controllo degli accessi in base al ruolo. Assegnare le autorizzazioni di sola lettura per impostazione predefinita e aumentare i privilegi solo quando necessario.
Concedere accesso just-in-time. Utilizzare Privileged Identity Management (PIM) per accedere alle risorse di Azure e Microsoft Entra. Richiedere approvazioni sequenziali da più utenti o gruppi per l'attivazione di PIM. Riservare ruoli con privilegi ("A0" ruoli di amministratore con privilegi avanzati) esclusivamente per scenari di emergenza.
Struttura RBAC basata sul modello operativo. Progettare politiche RBAC personalizzate per i team operativi, compresi livelli di supporto, operazioni di sicurezza, piattaforme, rete e carichi di lavoro.
Controlla tutte le attività. Monitorare e registrare tutte le azioni nel sistema. Usare Criteri di Azure per verificare (Audit o auditIfNotExists). Configurare inoltre alert in Monitoraggio di Azure per notificare agli stakeholder quando un utente elimina una risorsa Azure. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Usare modelli controllati dalla versione. Limitare l'uso del portale agli scenari di emergenza se si usano distribuzioni IaC. Le modifiche del portale comportano la deriva della configurazione dai modelli IaC. Replicare immediatamente tutte le modifiche basate sul portale nei modelli IaC controllati dalla versione, ad esempio Bicep, Terraform o ARM. Esporta regolarmente le configurazioni delle risorse Azure e archiviale come IaC per mantenere gli ambienti di produzione allineati alle configurazioni approvate e tracciabili. Vedere indicazioni su come esportare le configurazioni di Azure come Bicep, Terraform o modelli ARM. Prendi in considerazione le specifiche del modello se utilizzi modelli ARM.
Strumento Caso d'uso Bicep IaC specifico di Azure, gestibile e leggibile Terraform Soluzione multicloud, supporto più ampio per la community Modelli ARM Controllo completo, confortevole con JSON
Gestire le distribuzioni di codice
Adottare le procedure consigliate per automatizzare e controllare le modifiche apportate al codice e all'infrastruttura. Seguire questa procedura:
standardizzare gli strumenti. Usare un set di strumenti coerente per ridurre al minimo il cambio di contesto. Scegliere gli strumenti di sviluppo (VS Code, Visual Studio), un repository di codice (GitHub, Azure DevOps), una pipeline CI/CD (GitHub Actions, Azure Pipelines) e una soluzione IaC (Bicep, Terraform o ARM) che interagiscono.
Usare il controllo della versione. Mantenere una singola origine di verità per il codice. Usare il controllo della versione per ridurre la deriva della configurazione e semplificare le procedure di rollback.
Usa le pipeline di distribuzione. Una pipeline CI/CD automatizza il processo di compilazione, esegue i test e analizza il codice per individuare problemi di qualità e sicurezza con ogni pull request. Usare GitHub Actions o Azure Pipelines per compilare e distribuire il codice dell'applicazione e i file IaC. Applicare hook pre-commit e analisi automatizzate per rilevare tempestivamente modifiche non autorizzate o ad alto rischio.
Distribuzioni di prova. Approvazioni di fase all'interno delle pipeline CI/CD per convalidare le distribuzioni in modo progressivo. Seguire questa sequenza: sviluppo, verifica della compilazione, test di integrazione, test delle prestazioni, test di accettazione utente (UAT), staging, rilasci sperimentali, preproduzione e infine produzione.
Usare l'infrastruttura come codice (IaC). Usare IaC per garantire la coerenza e gestire le distribuzioni tramite il controllo della versione. Passare dalle prove di concetto basate sul portale di Azure a soluzioni IaC per gli ambienti di produzione. Usare Bicep, Terraform o ARM per definire le risorse. Per Bicep, usare modules e prendere in considerazione deployment stack. Per il modello ARM di Azure Resource Manager, prendere in considerazione le specifiche del modello per la distribuzione versionata.
Applicare le procedure consigliate per il repository di codice. Seguire questi standard riduce gli errori, semplifica le revisioni del codice ed evita problemi di integrazione. Per gli ambienti di produzione ad alta priorità:
Requisito Descrizione Disabilitare i push diretti Bloccare i commit diretti nel ramo principale Richiedi le pull request Richiedi che tutte le modifiche passino attraverso una pull request. Richiedere revisioni del codice Assicurati che qualcuno diverso dall'autore riveda ogni pull request. Applicare le soglie di copertura del codice (code coverage) Verificare che una percentuale minima di codice superi i test automatizzati per tutte le richieste pull Utilizzare le pipeline di convalida Configurare le regole di protezione dei rami per eseguire una pipeline di convalida per le richieste pull Effettuare i controlli di onboarding del team workload. Verificare che le nuove codebase e i team siano allineati agli obiettivi aziendali, agli standard e alle procedure consigliate. Usare un elenco di controllo per verificare la struttura del repository del codice, gli standard di denominazione, gli standard di codifica e le configurazioni della pipeline CI/CD.
Gestire la deriva della configurazione
Gestire la deviazione della configurazione identificando e correggendo le discrepanze tra la configurazione prevista e l'ambiente attivo. Seguire queste procedure consigliate:
Impedire e rilevare le modifiche. Usare 'analisi delle modifiche per rilevare le modifiche di configurazione e spiegare le cause sottostanti. Usare Criteri di Azure per negare e controllare le modifiche usando effetti come DenyDenyAction, Audit e auditIfNotExists. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Rileva la deviazione della configurazione IaC. La deviazione della configurazione si verifica quando un utente aggiorna il file IaC (intenzionale, non intenzionale) o effettua una modifica nel portale di Azure. Confrontare regolarmente l'ambiente attivo con la configurazione desiderata per rilevare la deriva:
Memorizza le configurazioni desiderate e l'ultima configurazione valida conosciuta. Salva il file di configurazione desiderato in un repository con controllo di versione. Questo file mostra la configurazione originale prevista. Mantenere una configurazione valida più recente come riferimento affidabile per il ripristino e base per il rilevamento delle deviazioni.
Rileva deviazioni di configurazione prima del deployment. Anteprima dei cambiamenti potenziali prima del deployment utilizzando Terraform plan, Bicep what-if o ARM template what-if. Esaminare accuratamente le discrepanze per garantire che le modifiche proposte siano allineate allo stato desiderato.
Rilevare la deriva dopo la distribuzione. Confrontare regolarmente gli ambienti live con le configurazioni desiderate tramite controlli di deriva regolari. Integrare questi controlli nelle pipeline CI/CD o eseguirli manualmente per mantenere la coerenza. Vedere un esempio con Criteri di Azure e Azure Pipelines.
Ripristinare l'ultima configurazione valida conosciuta. Sviluppare strategie di rollback trasparenti che usano procedure automatizzate all'interno della pipeline CI/CD. Usare l'ultima configurazione valida nota per ripristinare rapidamente le modifiche indesiderate e ridurre al minimo i tempi di inattività.
Ridurre al minimo le modifiche guidate dal portale. Ridurre al minimo le modifiche non IaC solo agli scenari di emergenza. Applicare controlli di accesso rigorosi, ad esempio Privileged Identity Management. Aggiornare tempestivamente i file IaC se sono necessarie modifiche manuali per mantenere l'accuratezza della configurazione desiderata.
Gestire la dispersione delle risorse
La dispersione delle risorse descrive la crescita non controllata delle risorse cloud. Questa crescita aumenta i costi, i rischi per la sicurezza e la complessità della gestione. Seguire questa procedura:
Implement governance policies. Usare Criteri di Azure per applicare gli standard per resource provisioning e tagging nell'intera organizzazione. Creare una strategia di denominazione chiara per semplificare la visibilità delle risorse.
Organizzare le risorse in modo efficace. Strutturare le risorse in modo gerarchico con gruppi di gestione e sottoscrizioni allineate alle esigenze dell'organizzazione. Questa struttura migliora la visibilità e la gestione delle risorse. Per le migliori prassi consolidate, fare riferimento alla Azure landing zone.
Limita le autorizzazioni di distribuzione. Implementa le migliori pratiche di controllo dell'accesso basato sui ruoli (RBAC) definite in Azure RBAC e Microsoft Entra RBAC. Assegnare autorizzazioni appropriate agli utenti. Usare i ruoli lettore per ridurre al minimo i rischi per la creazione di risorse non autorizzate.
Effettuare audit regolari. Usare Azure Advisor per identificare le risorse Azure inutilizzate o sottoutilizzate. Usa Gestione dei costi per analizzare la spesa nel cloud e rimuovere le risorse orfane che generano costi superflui. Tenere presente che non tutte le risorse Azure comportano addebiti. Eseguire query in Azure Resource Graph per mantenere un inventario delle risorse accurato.
Gestire la rilocazione
Valutare periodicamente le aree Azure correnti per determinare se la rilocazione dei carichi di lavoro altrove migliora l'efficienza, riduce i costi o migliora le prestazioni.
Comprendere i driver di rilocazione. Comprendere i driver di rilocazione garantisce che ogni rilocazione abbia una giustificazione aziendale valida, dato che la rilocazione comporta rischi e costi. Le motivazioni aziendali comuni per la rilocazione includono l'espansione aziendale, i requisiti di conformità alle normative e la prossimità agli utenti finali.
Gestire i rischi di rilocazione. La gestione dei rischi di rilocazione impedisce interruzioni e mantiene la conformità. Definire finestre di tempo di inattività accettabili, comunicare gli impatti agli stakeholder e garantire la conformità ai criteri dell'organizzazione e alle normative del settore.
Gestire i costi di rilocazione. La gestione dei costi di rilocazione impedisce la spesa non necessaria durante la migrazione. Trasferire i dati una sola volta, rimuovere gli ambienti duplicati e confrontare i prezzi di Azure a livello di area. Esaminare i prezzi della larghezza di banda di Azure.
Gestire i progetti di rilocazione. I team di piccole dimensioni devono eseguire la migrazione di carichi di lavoro uno alla volta con l'esecuzione mirata. I team di grandi dimensioni devono rilocare più carichi di lavoro contemporaneamente per ottenere l'efficienza tramite la pianificazione coordinata.
Per altre informazioni, vedere Rilocare i carichi di lavoro.
Gestire sistemi operativi
Dove si usano macchine virtuali, è necessario gestire anche il sistema operativo. Seguire questa procedura:
Automate virtual machine maintenance. In Azure usare automation tools per creare e gestire macchine virtuali Azure. Usare Azure Machine Configuration per controllare o configurare impostazioni del sistema operativo in modalità codice per macchine su Azure e in ambienti ibridi.
Aggiornare i sistemi operativi. È necessario gestire gli aggiornamenti guest e gli di manutenzione host per assicurarsi che i sistemi operativi siano aggiornati a scopo di sicurezza.
Monitora le operazioni interne. Utilizza il servizio Azure Rilevamento modifiche e inventario per migliorare la verifica e la governance delle operazioni interne. Monitora le modifiche e fornisce log di inventario dettagliati per i server in Azure, in locale e in altri ambienti cloud.
strumenti di gestione Azure
| Categoria | Strumento | Descrizione |
|---|---|---|
| Gestire le modifiche | Analisi delle modifiche | Rileva le modifiche alla configurazione e spiega le cause sottostanti |
| Gestire le modifiche | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestire le modifiche | Stack di distribuzione Bicep | Impedisce modifiche non autorizzate. |
| Gestire la sicurezza | Controlli di sicurezza del benchmark di sicurezza cloud di Microsoft v2 | Fornisce indicazioni sulle funzionalità di sicurezza disponibili e sulle configurazioni di sicurezza ottimali |
| Gestire la sicurezza | pilastro della sicurezza di Well Architected Framework | Indicazioni sulla sicurezza per la progettazione del carico di lavoro |
| Gestire la sicurezza | Guide al servizio Azure (inizia con la sezione Sicurezza) | Raccomandazioni sulla configurazione della sicurezza per i servizi di Azure |
| Gestire la sicurezza | Microsoft Entra ID | Fornisce una gestione unificata delle identità |
| Gestire la sicurezza | Defender per il cloud | Allinea le configurazioni delle risorse agli standard di sicurezza |
| Gestire la sicurezza | Microsoft Sentinel | Fornisce informazioni sulla sicurezza e gestione degli eventi (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR) |
| Gestire la sicurezza | Azure RBAC (controllo degli accessi in base al ruolo) | Concede l'accesso sicuro con assegnazioni basate sui ruoli |
| Gestire la sicurezza | Azure ABAC | Concede l'accesso sicuro in base alle condizioni degli attributi |
| Gestire la sicurezza | Microsoft Entra ID Governance | Gestisce i flussi di lavoro di accesso e il ciclo di vita delle identità |
| Gestire la sicurezza | Privileged Identity Management | Offre l'accesso con privilegi tempestivi |
| Gestire la sicurezza | Autenticazione a più fattori di Microsoft Entra (MFA) | Applica l'autenticazione a più fattori avanzata |
| Gestire la sicurezza | accesso condizionale | Applica l'autenticazione basata sul contesto |
| Gestire la sicurezza | Reimpostazione della password in autoservizio | Consente la reimpostazione sicura della password utente |
| Gestire la conformità | Criteri di Azure | Applica gli standard e protegge le configurazioni delle risorse |
| Gestire i dati | Microsoft Purview | Regola e classifica i dati sensibili |
| Gestire i dati | Criteri di Azure | Impedisce o controlla modifiche o eliminazioni impreviste delle risorse |
| Gestire i dati | blocchi delle risorse | Impedisce modifiche o eliminazioni impreviste |
| Gestire i costi | Monitorare i costi | Il monitoraggio è essenziale per gestire i costi del cloud |
| Gestire le risorse cloud | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestire le risorse cloud (distribuzioni del portale) | esportazione dei modelli ARM | Esporta le configurazioni delle risorse come modelli IaC |
| Gestire le risorse cloud (distribuzioni del portale) | Avvisi di Monitoraggio di Azure | Notifica agli stakeholder delle modifiche alle risorse |
| Gestire le risorse cloud (distribuzioni di codice) | Bicep | Gestisce l'infrastruttura come codice per le risorse di Azure |
| Gestire le risorse cloud (distribuzioni di codice) | Stack di distribuzione Bicep | Supporta distribuzioni controllate dalla versione e impedisce modifiche non autorizzate |
| Gestire le risorse cloud (distribuzioni di codice) | Terraform | Gestisce l'infrastruttura multicloud come codice |
| Gestire le risorse cloud (distribuzioni di codice) | Modelli ARM | Definisce e distribuisce Azure risorse con modelli |
| Gestire le risorse cloud (distribuzioni di codice) | specifiche del modello ARM | Versiona e gestisce i modelli ARM per garantire coerenza |
| Gestire le risorse cloud (distribuzioni di codice) | GitHub Actions | Automatizza pipeline di compilazione, test e distribuzione |
| Gestire le risorse cloud (distribuzioni di codice) | Azure Pipelines | Automatizza i processi di compilazione e distribuzione |
| Gestisci la deriva | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestisci la deriva | Analisi delle modifiche | Rileva e spiega le modifiche di configurazione |
| Gestisci la deriva | Bicep what-if | Visualizza in anteprima le potenziali modifiche alla configurazione |
| Gestisci la deriva | Piano di Terraform | Visualizza in anteprima le potenziali modifiche prima della distribuzione di Terraform |
| Gestisci la deriva | modello ARM what-if | Visualizza in anteprima le potenziali modifiche alla configurazione |
| Gestire sistemi operativi | Azure Configurazione macchine | Controlla e configura le impostazioni del sistema operativo come codice |
| Gestire sistemi operativi | servizio Azure Monitoraggio delle Modifiche e Inventario | Monitora e registra le modifiche per i sistemi operativi |
| Gestire sistemi operativi | strumenti di automazione | Automatizza la manutenzione delle macchine virtuali |