Tin tức
Liên hệ
Cơ hội nghề nghiệp

Tổng hợp 11 bí kíp quản trị tài nguyên và chi phí Azure từ chuyên gia Cloud

28 tháng 08, 2023

Điện toán đám mây là “chìa khoá” vận hành tối ưu cho doanh nghiệp nhờ khả năng nâng cao hiệu suất, cải thiện tốc độ, an toàn bảo mật và tiết kiệm chi phí. Tuy nhiên, việc đảm bảo an toàn và ổn định hệ thống khi ứng dụng đám mây không phải điều dễ dàng, nếu chỉ đặt trách nhiệm về một phía phía nhà cung cấp hoặc người dùng. Điều các doanh nghiệp cần làm là cùng Microsoft xây dựng một hệ thống bảo mật an toàn, đồng thời nâng cao khả năng tự quản lý và giải quyết các rủi ro trên môi trường đám mây.

Table of Contents

59% doanh nghiệp gặp trở ngại trong việc tối ưu chi phí và bảo mật hệ thống

Tại Việt Nam, điện toán đám mây nói chung hay Azure nói riêng vẫn là một môi trường tương đối mới với nhiều doanh nghiệp. Do vậy, quản trị tài nguyên Azure hiệu quả được coi là “bài toán khó” đối với các tổ chức chưa có đủ nguồn nguồn lực và kinh nghiệm vận hành hệ thống.

Đây cũng là thách thức lớn khi doanh nghiệp phải đối mặt với rất nhiều rủi ro trong việc quản trị tài nguyên Azure. Theo Microsoft – “ông lớn” trong ngành công nghệ thế giới, có hai vấn đề chính được các doanh nghiệp quan tâm trong quá trình vận hành hệ thống, đó là CHI PHÍ và BẢO MẬT.

Báo cáo “2022 State of the Cloud Report” của Flexera chỉ ra rằng tối ưu chi phí luôn là ưu tiên hàng đầu đối với doanh nghiệp trong nhiều năm liên tiếp. Không khó để nhận ra, nhiều doanh nghiệp đã phải đối mặt những chi phí phát sinh bất thường do lỗ hổng từ quá trình quản lý tài nguyên.

59% doanh nghiệp gặp trở ngại trong việc tối ưu chi phí và bảo mật hệ thống

Điển hình như việc cấu hình tài nguyên chưa được tối ưu hoá có thể gây thất thoát chi phí không đáng có. Để giải quyết vấn đề này, Microsoft gợi ý doanh nghiệp nên đánh giá hiệu suất mà tài nguyên sử dụng và cấu hình lại các tài nguyên đang lãng phí thông qua Azure Advisor – một dịch vụ miễn phí dành cho người dùng.

Bên cạnh đó, chi phí phát sinh có thể đến từ các tài nguyên không được sử dụng. Khi dừng làm việc trên hệ thống, doanh nghiệp cần xoá toàn bộ tài nguyên chính và tất cả dịch vụ còn liên quan để tránh bị “trừ tiền oan”. Ngoài ra, vấn đề xâm nhập, chiếm đoạt quyền sở hữu trên hệ thống cũng là nguy cơ của việc phát sinh chi phí ngoài mong muốn. Hacker thường lợi dụng cơ hội này để tạo ra vô số tài nguyên mới khiến số tiền doanh nghiệp phải trả tăng lên rất nhiều lần.

Vấn đề truy cập tài nguyên trái phép không chỉ ảnh hưởng về mặt kinh tế mà còn liên quan trực tiếp đến hệ thống bảo mật của doanh nghiệp. Thời gian gần đây, sự tràn lan của các cuộc tấn công mạng trở thành mối đe doạ lớn với doanh nghiệp, gây thất thoát dữ liệu nội bộ và gián đoạn hệ thống trầm trọng. Điều này đòi hỏi doanh nghiệp cần kịp thời tìm ra giải pháp nhằm giải quyết triệt để hậu quả và phòng tránh nguy cơ bị lạm dụng tài nguyên trong tương lai.

Chuyên gia FPT Smart Cloud mách nhỏ bí kíp triển khai hệ thống bảo mật hiệu quả trên Azure

Hiểu được mối lo ngại của doanh nghiệp, Microsoft hiện cung cấp các dịch vụ hỗ trợ quản trị tài nguyên Azure an toàn, hiệu quả từ cơ bản đến nâng cao. Tuy nhiên, mỗi hệ thống cần áp dụng cách thức bảo vệ tài nguyên khác nhau, phù hợp mục tiêu riêng của doanh nghiệp. Do đó, doanh nghiệp nên xem xét kỹ sự phù hợp và tính khả thi của dịch vụ Azure khi ứng dụng vào hệ thống vận hành.

Cùng chuyên gia FPT Smart Cloud ứng dụng ngay 11 dịch vụ thiết lập môi trường quản trị vào hệ thống doanh nghiệp!

Azure Multi-Factor Authentication (MFA)

Ngoài việc sử dụng mật khẩu, dịch vụ MFA (Xác thực đa yếu tố) là hình thức yêu cầu nhận dạng nhiều bước để bổ sung thêm tầng bảo vệ cho quy trình đăng nhập. Trong trường hợp mật khẩu bị rò rỉ, dịch vụ ngay lập tức hỗ trợ người dùng ngăn chặn đăng nhập trái phép.

Để kích hoạt MFA, doanh nghiệp có thể áp dụng một trong hai cách sau:

Security Default giúp kích hoạt MFA nhanh chóng cho toàn bộ người dùng Azure AD tenant.
Conditional Access hỗ trợ kiểm soát MFA chi tiết và linh hoạt hơn.

Azure Security Defaults

Đây là hình thức bảo mật cơ bản không cần trả thêm phí dành cho tất cả các doanh nghiệp đăng ký dịch vụ Microsoft. Để cài đặt, người dùng có thể thao tác dễ dàng với 2 bước: “Enable” và “Save”.

Tính năng sẽ được kích hoạt an toàn, hiệu quả khi người dùng đảm bảo tuân thủ một số yêu cầu nhất định:

Toàn bộ người dùng trong Tenant bắt buộc phải đăng ký MFA.
Quản trị viên cần thực hiện xác thực MFA
Người dùng xác thực MFA trước khi truy cập nếu phát hiện dấu hiệu bất thường (ví dụ như đăng nhập từ vị trí, thiết bị lạ)
Ngăn chặn hình thức xác thực cũ (máy office 2010, giao thức mail cũ như IMAP…) bằng cách phát hiện và bắt buộc phải đặt lại MFA

Conditional Access

Để bảo vệ tài nguyên nội bộ, Conditional Access yêu cầu người dùng đảm bảo đủ điều kiện theo quy định trước khi truy cập vào hệ thống. Tại đây, quản trị viên có quyền tuỳ chỉnh các chính sách và điều kiện của dịch vụ. Sau đó, Azure Active Directory sẽ kết hợp với các tín hiệu từ nhiều nguồn để đưa ra quyết định và thực thi chính sách được tổ chức ban hành trước đó.

Conditional Access

Conditional Access được nhiều doanh nghiệp lựa chọn nhờ khả năng trao quyền cho người dùng làm việc hiệu quả mọi lúc, mọi nơi; đồng thời bảo vệ tài sản của tổ chức. Để thực hiện tốt nhiệm vụ này, dịch vụ cũng yêu cầu một số điều cơ bản như:

Yêu cầu người dùng đăng ký MFA trước khi truy cập hệ thống.
Giới hạn khu vực truy cập dựa theo IP hoặc quốc gia.

Azure Policy

Azure Policy là dịch vụ giúp thực thi các tiêu chuẩn của doanh nghiệp và đánh giá sự tuân thủ chính sách trên quy mô lớn. Khi sử dụng Azure Policy, quản trị viên có quyền quy định chính sách áp dụng cho các tài nguyên; hoặc tuỳ chỉnh từ chính sách có sẵn của Microsoft sao cho phù hợp với tài nguyên doanh nghiệp.

Ngoài ra, dịch vụ hỗ trợ doanh nghiệp đánh giá, xác định vi phạm và yêu cầu tuân thủ các chính sách được quy định trên Azure. Điều này giúp đảm bảo khả năng quản trị và tính nhất quán đối với tài nguyên.

Cùng điểm qua một số quy định cơ bản của dịch vụ Azure Policy: chỉ cho phép tạo Virtual Machines với SKUs trong danh sách SKUs quy định; không được tạo các inbound rule với port 22 hoặc 3389 trong Network Security Groups,…

Azure Blueprints

Azure Blueprints có chức năng tương tự Azure Policy nhưng ở phạm vị rộng hơn. Cụ thể, một Blueprints có thể chứa nhiều Azure policy.

Azure Blueprints

Azure Blueprints cho phép quản trị viên đặt ra các quy định dựa trên thiết kế của dự án. Theo đó, người dùng cần tuân thủ chặt chẽ các quy định này khi sử dụng các dịch vụ Azure.

Để có sự lựa chọn phù hợp, doanh nghiệp có thể tham khảo các tính năng, quy định của Azure Blueprints: tạo các resource group tương ứng với từng dự án, yêu cầu các tài nguyên trong đó cần đánh tags, chọn region theo quy định, …

Role-based Access Control (RBAC)

Quản lý quyền truy cập tài nguyên trên Cloud là chức năng rất quan trọng với tất cả doanh nghiệp đang sử dụng Azure. RBAC cung cấp khả năng quản lý quyền truy cập và chỉ định vai trò của người dùng với các tài nguyên trên Azure.

Role-based Access Control (RBAC)

Resource Locks

Locks giúp quản trị viên khóa nhóm tài nguyên hoặc tài nguyên trên Azure để ngăn chặn việc xoá hoặc sửa đổi không mong muốn. Khóa ghi đè mọi quyền của người dùng.

Resource Locks hiện cung cấp cho người dùng hai loại khoá:

CanNotDelete: người dùng có thể xem và cấu hình lại tài nguyên nhưng không thể xóa tài nguyên đó.
ReadOnly: người dùng không thể cấu hình lại tài nguyên, chỉ có thể nhìn được tài nguyên đó.

Resource Locks

Locks được quản lý ở các tầng subscription, resource group hoặc các tài nguyên riêng lẻ. Ngoài ra, Locks sẽ có tính kế thừa, ví dụ khi tạo khóa ở 1 resource group, toàn bộ tài nguyên bên trong group cũng bị ảnh hưởng bởi khóa đó.

Azure Cost Management

Nếu cần quản lý chi phí chi tiết trên cùng 1 màn hình khi sử dụng tài nguyên trên Azure, dịch vụ Azue Cost Management chính là ưu tiên hàng đầu cho doanh nghiệp.

Tìm hiểu ngay các lợi ích tiêu biểu của dịch vụ:

Theo dõi chi tiêu trên Cloud: Theo dõi việc sử dụng tài nguyên và quản lý chi phí Cloud hiệu quả trên một chế độ xem thống nhất với thông tin chi tiết về các hoạt động.
Nâng cao trách nhiệm giải trình của tổ chức: Quản lí chi phí Cloud hiệu quả khi triển khai các chính sách quản trị và tăng trách nhiệm giải trình với “Budget”.
Tối ưu hóa hiệu quả khi sử dụng Cloud: Với khả năng theo dõi chi tiết về chi phí sử dụng và kết hợp với “Best Pratices” trong việc tối ưu hóa chi phí, người dùng có thể tiết kiệm khoản đầu tư khi sử dụng Cloud.
Quản lý chi tiêu Azure và AWS: Ngoài Azure, người dùng có thể tích hợp quản lý chi phí của AWS và nhận thông tin chi tiết về dữ liệu của hai nhà cung cấp Cloud từ một nơi duy nhất, giúp đơn giản hóa quy trình quản lý chi phí.

Azure Cost Management

Resource Groups + Tags

Để hỗ trợ quản lý các tài nguyên và chi phí trên Azure, người dùng nên sử dụng Resource Groups và gắn tags cho các tài nguyên 1 cách hiệu quả.

Resource Groups cung cấp tính năng phân chia tài nguyên theo từng Group giúp việc quản lý thuận tiện, dễ dàng hơn (ví dụ như chia tài nguyên theo phòng ban, dự án, môi trường,…). Khi đó, quản trị viên có thể phân quyền đúng theo nhiệm vụ, trách nhiệm của người dùng giúp việc quản lý hệ thống rõ ràng; đồng thời ngăn chặn sự xâm nhập đối với các nhóm tài nguyên khác. Ngoài ra, doanh nghiệp dễ dàng quản lý, tối ưu hoá chi phí khi phân tích theo Resource Group.

Bên cạnh đó, việc gắn Tags cho các tài nguyên cũng giúp tổ chức xác định các thông tin chi tiết như: danh tính, bộ phân trực thuộc của người tạo tài nguyên, bộ phận chịu trách nhiệm trả phí, mức độ quan trọng của tài nguyên, …

Budget Alert

Dịch vụ Budget Alert thông báo cho người dùng khi mức sử dụng hoặc chi phí vượt quá ngân sách ban đầu.

Budget Alert

Dựa vào bản chi phí ước tính, người dùng đặt Budget cho hệ thống và nhận được email thông báo mỗi khi chi phí vượt ngưỡng 50%, 75%, 100%, 110%. Qua đó, việc theo dõi chi phí sẽ thuận tiện và an toàn hơn.

Sign-in logs

Dịch vụ Sign-in logs thường chỉ được sử dụng để theo dõi log khi có vấn đề xảy ra. Tuy nhiên, doanh nghiệp nên thường xuyên theo dõi hoạt động trên Sign-in logs để phát hiện vấn đề bất thường và có hướng xử lý kịp thời.

Sign-in logs

Giao diện của Sign-in logs cung cấp đầy đủ các thông tin về đăng nhập như: thời điểm, portal/ application, đăng nhập có thành công không, IP vị trí người dùng và theo dõi việc sử dụng MFA.

Về cách thức hoạt động, nếu người dùng đăng nhập từ nơi ngoài tổ chức nhiều lần và không thành công thì hệ thống xác định đó là trường hợp bất thường và cần xử lý.

Kết luận

Trên đây là những công cụ đắc lực giúp doanh nghiệp chủ động quản lý tài nguyên Azure và giám sát rủi ro hiệu quả. Bên cạnh đó, doanh nghiệp luôn có sự đồng hành của Microsoft và FPT Smart Cloud trong quá trình vận hành hệ thống.

Nếu còn bất kỳ thắc mắc nào hoặc cần hỗ trợ tối ưu khả năng quản lý tài nguyên, hãy liên hệ với FPT Smart Cloud để được đội ngũ chuyên gia tư vấn chi tiết lộ trình và trọn bộ dịch vụ phù hợp với doanh nghiệp.

Fanpage: Microsoft For Business – FPT Smart Cloud
Email: [email protected]
Hotline: 1900 638 399

Tin tức nổi bật

01.

Khởi Động Cuộc Thi Sáng Tạo Thiết Kế Linh Vật FPT Smart Cloud

02.

Bật mí chuỗi sự kiện mừng sinh nhật FPT Smart Cloud 4 năm

03.

Khai phá tiềm năng sáng tạo vô hạn cùng WE[Hackathon] 2024

04.

Phát Động Giải Chạy Run Forward – 4 Năm Bứt Phá, Cùng Nhau Tiến Xa

Đăng ký theo dõi ngay!

Đừng bỏ lỡ các thông tin mới nhất về các sản phẩm và dịch vụ của chúng tôi!

Đăng ký ngay

Tổng quan về quyền riêng tư

Trang web này sử dụng cookie để cải thiện trải nghiệm của bạn trong khi bạn điều hướng qua trang web. Ngoài ra, các cookie được phân loại là cần thiết sẽ được lưu trữ trên trình duyệt của bạn vì chúng rất cần thiết cho hoạt động của các chức năng cơ bản của trang web. Chúng tôi cũng sử dụng cookie của bên thứ ba để giúp chúng tôi phân tích và hiểu cách bạn sử dụng trang web này. Những cookie này sẽ chỉ được lưu trữ trong trình duyệt của bạn khi có sự đồng ý của bạn. Bạn cũng có thể chọn không tham gia các cookie này. Nhưng việc chọn không tham gia một số cookie này có thể ảnh hưởng đến trải nghiệm duyệt web của bạn.

Necessary

Always Enable

Các cookie cần thiết là hoàn toàn cần thiết để trang web hoạt động bình thường. Các cookie này đảm bảo các chức năng cơ bản và tính năng bảo mật của trang web, ẩn danh.

Cookie	Thời gian	Mô tả
cookielawinfo-checbox-analytics	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Analytics".
cookielawinfo-checbox-functional	11 Tháng	Cookie được đặt bởi sự đồng ý cookie GDPR để ghi lại sự đồng ý của người dùng đối với các cookie trong danh mục "Chức năng".
cookielawinfo-checbox-others	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Khác.
cookielawinfo-checkbox-necessary	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Các cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Cần thiết".
cookielawinfo-checkbox-performance	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với cookie trong danh mục "Hiệu suất".
viewed_cookie_policy	11 Tháng	Cookie được đặt bởi plugin GDPR Cookie Consent và được sử dụng để lưu trữ liệu người dùng có đồng ý với việc sử dụng cookie hay không. Nó không lưu trữ bất kỳ dữ liệu cá nhân nào.

Functional

Performance

Analytics

Others

Tổng hợp 11 bí kíp quản trị tài nguyên và chi phí Azure từ chuyên gia Cloud

59% doanh nghiệp gặp trở ngại trong việc tối ưu chi phí và bảo mật hệ thống