Sproduktyzowane doradztwo · 6 tygodni fixed scope

Patching Compliance Migration

Migracja z wycofanego Azure Automation Update Management na Azure Update Manager, z audit trail i accountability per-BU wbudowanymi w pattern.

Dlaczego teraz

Microsoft wycofał Azure Automation Update Management 31 sierpnia 2024. Organizacje wciąż na legacy działają na pożyczonym czasie: harmonogramy i assessment działają dziś, ale platforma pod spodem jest deprecated, inwestycje bezpieczeństwa się zatrzymały, a migration tool to udokumentowana ścieżka naprzód.

Wyrażenie "tenanci po prostu tego nie robią" zwykle dekoduje się na trzy wzorce: subskrypcje provisioned poza centralnym onboardingiem, które nigdy nie dostały konfiguracji patchingu; reboot setting ustawiony na Never, więc patche instalują się, ale nigdy nie wchodzą w życie; opt-outy w mailach bez wygaśnięcia i bez audit trail. Rozwiązanie to platformowy kontrakt: opt-out jako kwerendowalny Azure resource z TTL, dashboardy per-BU eksportowane tygodniowo, presja cost-allocation gdy wyjątki się utrzymują.

Co dostajesz w 6 tygodni

Sześć konkretnych deliverables. Production-ready. Wszystko zostaje u Ciebie.

Migration runbook + drop-in IaC

Zastępczy pipeline onboardingu zachowujący Twój kontrakt tagowania (Wave1 / Wave2 / Wave3). Wpina się w miejsce starego Function App lub orkiestracji Automation Account. PR-ready w tygodniu 2.

Azure Update Manager + Maintenance Configurations

Dynamic Scoping ewaluujący tagi w czasie wykonania, nowe VM auto-enroll. Reboot setting zmienia się z Never na IfRequired z rezerwacją czasu w oknie. Pełne pokrycie klasyfikacji Windows i Linux.

Azure Policy w skali

Wymagana maintenance config + periodic assessment. Wpina się w Twój istniejący wzorzec inicjatywy auto-remediation. Przypisania per-management-group zgodnie z Twoimi konwencjami zakresu.

Rejestr opt-out jako Azure resource

Storage Table + Logic App z workflow zatwierdzeń. Obowiązkowe uzasadnienie + TTL + alerty wygaśnięcia. Integracja ServiceNow przez istniejący webhook. Koniec z opt-outami w mailach.

Workbook compliance per-BU

Zapytania Resource Graph KQL nad patchassessmentresources + patchinstallationresources. Drill-down po tagu BU. Tygodniowy eksport PDF do BU CIO przez Twój istniejący SIEM forwarder.

Nakładka cost-allocation

Taksonomia tagów + formuła chargeback powiązana z liczbą podatności. Mapowanie Compliance Manager do NIS2, DORA, ISO 27001, GxP. Audyt dostaje jeden artefakt zamiast gonić maile.

Dla kogo

  • Liderzy Platform / Cloud Ops w organizacjach 5000+ z multi-tenant Azure estate.
  • Organizacje wciąż na legacy Azure Automation Update Management (retired przez Microsoft 31 sierpnia 2024) lub Update Management na agentach.
  • Zespoły, gdzie opt-outy patchingowe żyją w mailach i nikt nie odpowie "kto jest niezgodny i dlaczego" w godziny.
  • Zespoły pod presją audytową: NIS2, DORA, ISO 27001, GxP, 21 CFR Part 11, albo sektorowe SLA na patching.

Jak to działa

Sześć tygodni. Nazwane milestone. Migracja jednej wave to dowód wzorca, nie osobna faza.

T 1

Inwentaryzacja

Audyt Resource Graph aktualnego stanu patchingu per management group. Pokrycie wave-tagiem. Subskrypcje, które ominęły onboarding. Raport luki z nazwanymi właścicielami.

T 2

Drop-in replacement pipeline

Pipeline onboardingu używający Azure Update Manager + Maintenance Configurations + Dynamic Scoping. Zachowuje Twój kontrakt wave. Reboot setting ustawiony na IfRequired.

T 3

Policy w skali

Przypisania Azure Policy. Wymagana maintenance config + periodic assessment. Wpięte w Twoją istniejącą inicjatywę auto-remediation. Zakres per-management-group.

T 4

Rejestr opt-out

Storage Table + Logic App workflow zatwierdzeń. Routing zatwierdzeń przez BU CIO. Integracja ServiceNow przez istniejący webhook. Obowiązkowe TTL i alerty wygaśnięcia.

T 5

Compliance reporting

Workbook per-BU. Logic App tygodniowego eksportu PDF. Stan compliance zmapowany na Twój istniejący pipe GRC. Nakładka cost-allocation wdrożona z Twoim zespołem FinOps.

T 6

Migracja jednej fali + handover

Migracja jednej wave end-to-end jako dowód wzorca. Wave o najniższym ryzyku wybrana z Twoim zespołem platformowym. Pozostałe wave w Twoim roadmap z naszym runbookiem. Sesja handover (4h live + nagrane). 30 dni asynchronicznego follow-up w cenie.

Co zostaje u Ciebie

Kod w Twoich repozytoriach. Dokumentacja w Twoim wiki. Wzorce, które Twój zespół platformowy obsługuje po przekazaniu.

Kod + konfiguracja

  • Zastępczy pipeline onboardingu (drop-in IaC + skrypt)
  • Przypisania Azure Policy + integracja z inicjatywą
  • Rejestr opt-out (Storage Table + Logic App)
  • Workbook JSON + biblioteka zapytań KQL

Dokumentacja + runbooks

  • Migration runbook (per-wave + per-management-group)
  • Runbook odpowiedzi audytowej (pytanie regulatora → odpowiedź w godziny)
  • Specyfikacja formuły cost-allocation dla Twojego zespołu FinOps
  • Dokumentacja opublikowana w Twoim wiki ADO

Czego nie robimy

Nie patchujemy Twoich VM (Twój zespół platformowy obsługuje pattern). Nie walidujemy patchy w Twoich środowiskach testowych (Twoje zespoły aplikacyjne pilnują tej bramki). Nie pełnimy roli osoby zatwierdzającej wyjątki (BU CIO podejmują tę decyzję, my dostarczamy workflow). Nie zastępujemy Twojego SIEM, GRC ani narzędzi cloud security: integrujemy się z tym, co Twoja platforma już posiada.

Gotowi na scoping?

6 tygodni fixed scope, EU rate band. Cena referencyjna na zapytanie. Opowiedz nam o aktualnym mechanizmie patchingu, dostarczymy scoped quote i wave, od której rekomendujemy zacząć.

Porozmawiaj z senior architektem Pobierz one-pager (PDF)

Zobacz też: AI Governance Foundation · Wszystkie modele współpracy