Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Definieren von Richtlinien reicht nicht aus. Die Organisation muss Governancerichtlinien erzwingen, um die Compliance sicherzustellen. Die Durchsetzung von Cloudgovernance bedeutet die Implementierung von Kontrollen, Prozessen und Tools, damit die Cloudnutzung den Governancerichtlinien entspricht. Das Cloud-Governance-Team legt die Strategie fest und überwacht die Durchsetzung, aber die Durchsetzung ist eine gemeinsame Verantwortung. Die Cloud-Plattform und Workload-Teams übernehmen die tägliche Durchsetzung innerhalb ihrer Domänen. Es wird in der Regel empfohlen, die Erzwingung wo immer möglich zu automatisieren, indem Cloud-native Tools zum Erzwingen oder Überprüfen der Compliance verwendet werden. Verwenden Sie manuelle Prozesse nur, wenn die Automatisierung nicht möglich ist.
1. Definieren eines Ansatzes zum Erzwingen von Cloudgovernancerichtlinien
Erstellen Sie zunächst eine übergeordnete Strategie für die Durchsetzung von Richtlinien in der gesamten Organisation. Zu den wichtigsten Überlegungen gehören:
Delegieren Sie die Verantwortung der Governance. Ermöglichen Sie Einzelpersonen und Teams, Governance innerhalb ihres Verantwortungsbereichs durchzusetzen. Plattformteams sollten beispielsweise Richtlinien anwenden, die die Workloads erben, und Workload-Teams sollten die Governance für ihre Workloads durchsetzen. Das Cloud-Governance-Team sollte nicht für die Anwendung von Durchsetzungskontrollen verantwortlich sein.
Übernehmen Sie ein Vererbungsmodell. Wenden Sie ein hierarchisches Governancemodell an, bei dem bestimmte Workloads Governancerichtlinien von der Plattform erben. Dieses Modell trägt dazu bei, sicherzustellen, dass organisatorische Standards für die richtigen Umgebungen gelten, z. B. Einkaufsanforderungen für Clouddienste. Befolgen Sie die Entwurfsprinzipien der Azure-Landing-Zonen und des Entwurfsbereichs der Ressourcenorganisation, um ein geeignetes Vererbungsmodell einzurichten.
Diskutieren Sie die Durchsetzungsdetails. Diskutieren Sie, wo und wie Sie Governancerichtlinien anwenden. Ziel ist es, kostengünstige Wege zu finden, um Compliance durchzusetzen, die die Produktivität beschleunigt. Ohne Diskussion riskiere ich, den Fortschritt bestimmter Teams zu blockieren. Es ist wichtig, ein Gleichgewicht zu finden, das die Geschäftsziele unterstützt, während das Risiko effektiv verwaltet wird.
Nehmen Sie eine Haltung ein, bei der der Monitor im Mittelpunkt steht. Blockieren Sie keine Aktionen, bevor Sie sie verstehen. Um das Risiko mit niedrigerer Priorität zu verringern, überwachen Sie zunächst die Compliance mit Cloud-Governance-Richtlinien. Nachdem Sie das Risiko verstanden haben, können Sie zu restriktiveren Durchsetzungskontrollen wechseln. Ein Monitor-first-Ansatz bietet Ihnen die Möglichkeit, die Governance-Anforderungen zu diskutieren und die Cloud-Governance-Richtlinie und die Durchsetzungssteuerung auf diese Anforderungen auszurichten.
Bevorzugen Sie Blocklisten. Bevorzugen Sie Blocklisten gegenüber Zulassungslisten. Blocklisten verhindern die Bereitstellung bestimmter Dienste. Es ist besser, eine kleine Liste von Diensten zu haben, die Sie nicht verwenden sollten, als eine lange Liste von Diensten, die Sie verwenden können. Um langwierige Blocklisten zu vermeiden, fügen Sie der Blockliste standardmäßig keine neuen Dienste hinzu.
Definieren Sie eine Kategorisierungs- und Benennungsstrategie. Richten Sie systematische Richtlinien für das Benennen und Kategorisieren von Cloudressourcen ein. Sie bietet ein strukturiertes Framework für Ressourcenkategorisierung, Kostenverwaltung, Sicherheit und Compliance in der gesamten Cloudumgebung. Erlauben Sie Teams, z. B. Entwicklungsteams, weitere Tags für ihre individuellen Anforderungen hinzuzufügen.
2. Automatisches Erzwingen von Cloudgovernancerichtlinien
Verwenden Sie die Verwaltungs- und Governancedienste von Azure, um die Richtlinienerzwingung so weit wie möglich zu automatisieren. Die automatisierte Erzwingung verbessert die Konsistenz und reduziert manuellen Aufwand oder Fehler. Schritte zur Implementierung automatisierter Governance:
Beginnen Sie mit einer kleinen Gruppe automatisierter Richtlinien. Automatisieren Sie die Compliance für eine kleine Reihe wichtiger Cloud-Governance-Richtlinien. Implementieren und testen Sie die Automatisierung, um Betriebsunterbrechungen zu vermeiden. Erweitern Sie Ihre Liste der automatisierten Kontrollen, wenn Sie bereit sind.
Verwenden Sie Cloud-Governance-Tools. Verwenden Sie die in Ihrer Cloudumgebung verfügbaren Tools, um compliance zu erzwingen. Das primäre Governancetool von Azure ist Azure Policy. Ergänzen Sie die Azure-Richtlinie mit Microsoft Defender für Cloud (Sicherheit), Microsoft Purview (Daten), Microsoft Entra ID Governance (Identität), Azure Monitor (Vorgänge), Verwaltungsgruppen (Ressourcenverwaltung), Infrastruktur als Code (IaC) ( Ressourcenverwaltung) und Konfigurationen innerhalb jedes Azure-Diensts.
Wenden Sie Governancerichtlinien auf den richtigen Bereich an. Verwenden Sie ein Vererbungssystem, bei dem Richtlinien auf einer höheren Ebene festgelegt werden, z. B. Verwaltungsgruppen. Richtlinien auf höheren Ebenen gelten automatisch für niedrigere Ebenen, z. B. Abonnements und Ressourcengruppen. Richtlinien gelten auch dann, wenn Änderungen in der Cloudumgebung vorhanden sind, was den Verwaltungsaufwand verringert.
Verwenden Sie Richtliniendurchsetzungspunkte. Richten Sie Richtlinienerzwingungspunkte in Ihren Cloudumgebungen ein, die Automatisch Governanceregeln anwenden. Erwägen Sie Vorabbereitstellungsprüfungen, Laufzeitüberwachungs- und automatisierte Wartungsaktionen.
Verwenden Sie die Richtlinie als Code. Verwenden Sie IaC-Tools, um Governancerichtlinien über Code zu erzwingen. Richtlinie als Code verbessert die Automatisierung von Governance-Steuerelementen und sorgt für Konsistenz in verschiedenen Umgebungen. Erwägen Sie die Verwendung der Enterprise Azure-Richtlinie als Code (EPAC), um Richtlinien zu verwalten, die mit den empfohlenen Azure-Zielzonenrichtlinien übereinstimmen.
Entwickeln Sie bei Bedarf benutzerdefinierte Lösungen. Bei benutzerdefinierten Governanceaktionen sollten Sie benutzerdefinierte Skripts oder Anwendungen entwickeln. Verwenden Sie Azure-Dienst-APIs, um Daten zu sammeln oder Ressourcen direkt zu verwalten.
Azure-Unterstützung: Automatisches Durchsetzen von Cloud-Governance-Richtlinien
Die folgenden Anleitungen helfen Ihnen, die richtigen Tools zum Automatisieren der Compliance mit Cloud-Governance-Richtlinien in Azure zu finden. Es bietet einen Beispielstartpunkt für wichtige Kategorien von Cloud-Governance.
Automatisierung der regulatorischen Compliance-Überwachung
Wenden Sie richtlinien zur Einhaltung gesetzlicher Vorschriften an. Verwenden Sie integrierte Compliance-Richtlinien, die den Compliance-Standards entsprechen, z. B. HITRUST/HIPAA, ISO 27001, CMMC, FedRamp und PCI DSSv4.
Automatisieren sie benutzerdefinierte Einschränkungen.Erstellen Sie benutzerdefinierte Richtlinien , um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Automatisieren der Sicherheitsgovernance
Wenden Sie Sicherheitsrichtlinien an. Verwenden Sie die integrierten Sicherheitsrichtlinien und die automatisierte Sicherheitscompliance , um sich an gemeinsame Sicherheitsstandards anzupassen. Es gibt integrierte Richtlinien für die NIST 800 SP-Serie, Center for Internet Security-Benchmarks und den Microsoft Cloud Security-Benchmark. Verwenden Sie integrierte Richtlinien, um die Sicherheitskonfiguration bestimmter Azure-Dienste zu automatisieren. Erstellen Sie benutzerdefinierte Richtlinien , um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Wenden Sie Identitätsgovernance an. Aktivieren Sie die mehrstufige Microsoft Entra-Authentifizierung (MFA) und die Self-Service-Kennwortzurücksetzung. Entfernen Sie schwache Kennwörter. Automatisieren Sie andere Aspekte der Identitätsgovernance, z. B. Zugriffsanforderungsworkflows, Zugriffsüberprüfungen und Identitätslebenszyklusverwaltung. Aktivieren Sie just-in-time-Zugriff , um den Zugriff auf wichtige Ressourcen einzuschränken. Verwenden Sie Richtlinien für den bedingten Zugriff, um Benutzer- und Geräteidentitäten Zugriff auf Clouddienste zu gewähren oder zu blockieren.
Wenden Sie Zugriffssteuerungen an. Verwenden Sie die rollenbasierte Zugriffssteuerung (Azure Role-Based Access Control , RBAC) und die attributbasierte Zugriffssteuerung (Access Control, ABAC), um den Zugriff auf bestimmte Ressourcen zu steuern. Erteilen und Verweigern von Berechtigungen für Benutzer und Gruppen. Wenden Sie die Berechtigung auf den entsprechenden Bereich (Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource) an, um nur die erforderliche Berechtigung bereitzustellen und den Verwaltungsaufwand zu begrenzen.
Kostenverwaltung automatisieren
Automatisieren Sie Bereitstellungseinschränkungen.Verhindern Sie bestimmte Cloud-Ressourcen, um die Nutzung kostenintensiver Ressourcen zu vermeiden.
Automatisieren sie benutzerdefinierte Einschränkungen.Erstellen Sie benutzerdefinierte Richtlinien , um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Automatisieren Sie die Kostenzuordnung. Erzwingen Sie Tagginganforderungen zum Gruppieren und Zuordnen von Kosten für Umgebungen (Entwicklung, Test, Produktion), Abteilungen oder Projekte. Verwenden Sie Tags, um Ressourcen zu identifizieren und nachzuverfolgen, die Teil eines Kostenoptimierungsaufwands sind.
Automatisierung der Betriebsführung
Automatisieren Sie Redundanz. Verwenden Sie integrierte Azure-Richtlinien, um eine bestimmte Ebene der Infrastrukturredundanz wie zonenredundante und georedundante Instanzen zu erfordern.
Anwenden von Sicherungsrichtlinien. Verwenden Sie Sicherungsrichtlinien , um die Sicherungshäufigkeit, den Aufbewahrungszeitraum und den Speicherort zu steuern. Richten Sie Backups-Richtlinien mit Datengovernance, gesetzlichen Complianceanforderungen, Wiederherstellungszeitziel (RTO) und Wiederherstellungspunktziel (RPO) aus. Verwenden Sie die Sicherungseinstellungen in einzelnen Azure-Diensten, z. B. Azure SQL-Datenbank, um die benötigten Einstellungen zu konfigurieren.
Erfüllen Sie das Service-Level-Ziel. Beschränken Sie die Bereitstellung bestimmter Dienste und Dienstebenen (SKUs), die Ihr Ziel auf Dienstebene nicht erfüllen. Verwenden Sie beispielsweise die
Not allowed resource typesRichtliniendefinition in Azure-Richtlinie.
Automatisierung der Datengovernance
Automatisieren Sie die Datengovernance. Automatisieren Sie Data Governance-Aufgaben, z. B. Katalogisierung, Zuordnen, sichere Freigabe und Anwenden von Richtlinien.
Automatisieren sie die Datenlebenszyklusverwaltung. Implementieren Sie Speicherrichtlinien und Lebenszyklusverwaltung für die Speicherung , um sicherzustellen, dass Daten effizient und konform gespeichert werden.
Automatisieren Sie die Datensicherheit. Überprüfen und Erzwingen von Datenschutzstrategien wie Datentrennung, Verschlüsselung und Redundanz.
Automatisierung der Governance der Ressourcenverwaltung
Erstellen Sie eine Ressourcenverwaltungshierarchie. Verwenden Sie Verwaltungsgruppen , um Ihre Abonnements so zu organisieren, dass Sie Richtlinien, Zugriff und Ausgaben effizient steuern können. Befolgen Sie bewährte Methoden der Azure-Ressourcenorganisation für die Landing Zone.
Erzwingen sie eine Taggingstrategie. Stellen Sie sicher, dass alle Azure-Ressourcen konsistent gekennzeichnet sind, um die Verwaltbarkeit, Kostennachverfolgung und Compliance zu verbessern. Definieren Sie Ihre Taggingstrategie , und verwalten Sie taggovernance.
Beschränken Sie, welche Ressourcen Sie bereitstellen können.Verweigern Sie Ressourcentypen, um Bereitstellungen von Diensten einzuschränken, die unnötiges Risiko erhöhen.
Beschränken Sie Bereitstellungen auf bestimmte Regionen. Steuern Sie, wo Ressourcen bereitgestellt werden, um behördliche Anforderungen einzuhalten, Kosten zu verwalten und die Latenz zu verringern. Verwenden Sie beispielsweise die
Allowed locationsRichtliniendefinition in Azure-Richtlinie. Erzwingen Sie auch regionale Einschränkungen in Ihrer Bereitstellungspipeline.Verwenden Sie die Infrastruktur als Code (IaC). Automatisieren Sie Infrastrukturbereitstellungen mit Bicep-, Terraform- oder Azure Resource Manager-Vorlagen (ARM-Vorlagen). Speichern Sie Ihre IaC-Konfigurationen in einem Quellcodeverwaltungssystem (GitHub oder Azure Repos), um Änderungen nachzuverfolgen und zusammenzuarbeiten. Verwenden Sie Azure-Referenzarchitekturen für die Zielzone , um die Bereitstellung Ihrer Plattform- und Anwendungsressourcen zu steuern und konfigurationsabweichungen im Laufe der Zeit zu vermeiden.
Steuern Sie Hybrid- und Multicloudumgebungen.Steuern sie Hybrid- und Multicloudressourcen. Sorgen Sie für Konsistenz bei der Verwaltung und Richtlinienerzwingung.
Automatisieren der KI-Governance
Verwenden Sie das Muster der Retrieval-augmented Generation (RAG). RAG fügt ein Informationsabfragesystem hinzu, um die Bezugsdaten zu steuern, die ein Sprachmodell zur Generierung einer Antwort verwendet. Sie können z. B. den Azure OpenAI-Dienst in Ihrem eigenen Datenfeature verwenden oder RAG mit Azure AI Search einrichten, um die generative KI auf Ihre Inhalte zu beschränken.
Verwenden Sie KI-Entwicklungstools. Verwenden Sie KI-Tools wie Microsoft Agent Framework, die ki-Orchestrierung erleichtern und standardisieren, wenn Sie Anwendungen entwickeln, die KI verwenden.
Steuerung der Ausgabegenerierung. Verhindern sie Missbrauch und schädliche Inhaltsgenerierung. Verwenden Sie KI-Inhaltsfilterung und KI-Missbrauchsüberwachung.
Konfigurieren Sie die Verhinderung von Datenverlust. Konfigurieren sie die Verhinderung von Datenverlust für Azure AI-Dienste. Konfigurieren Sie die Liste der ausgehenden URLs, auf die ihre KI-Diensteressourcen zugreifen dürfen.
Verwenden Sie Systemmeldungen. Verwenden Sie Systemmeldungen , um das Verhalten eines KI-Systems zu leiten und die Ausgaben anzupassen.
Wenden Sie die KI-Sicherheitsbasislinie an. Verwenden Sie die Azure AI-Sicherheitsbasislinie , um die Sicherheit von KI-Systemen zu steuern.
3. Manuelles Erzwingen von Cloudgovernancerichtlinien
Nicht alles kann perfekt automatisiert werden. Manchmal macht eine Werkzeugeinschränkung oder -kosten die automatisierte Erzwingung unpraktisch. Es wird Fälle geben, insbesondere anfangs oder für sehr benutzerdefinierte Prozesse, bei denen eine manuelle Steuerung erforderlich ist. Außerdem können kleinere Organisationen mit manueller Governance beginnen, bevor sie automatisiert werden. Zu den wichtigsten manuellen Erzwingungspraktiken gehören:
Verwenden Sie Checklisten. Verwenden Sie Governance-Checklisten, um Es Ihren Teams zu erleichtern, die Cloud-Governance-Richtlinien zu befolgen. Weitere Informationen finden Sie in den Beispiel-Compliance-Checklisten.
Bieten Sie regelmäßige Schulungen an. Führen Sie häufige Schulungssitzungen für alle relevanten Teammitglieder durch, um sicherzustellen, dass sie die Governancerichtlinien kennen.
Planen Sie regelmäßige Überprüfungen. Implementieren Sie einen Zeitplan für regelmäßige Überprüfungen und Prüfungen von Cloudressourcen und -prozessen, um die Einhaltung von Governancerichtlinien sicherzustellen. Diese Überprüfungen sind wichtig, um Abweichungen von etablierten Richtlinien zu identifizieren und Korrekturmaßnahmen zu ergreifen.
Manuelle Überwachung. Weisen Sie dediziertes Personal zu, um die Cloudumgebung auf Compliance mit Governancerichtlinien zu überwachen. Erwägen Sie das Nachverfolgen der Verwendung von Ressourcen, das Verwalten von Zugriffskontrollen und die Sicherstellung, dass Datenschutzmaßnahmen an die Richtlinien angepasst werden. Definieren Sie beispielsweise einen umfassenden Kostenmanagementansatz , um Cloudkosten zu steuern.
4. Überprüfen der Durchsetzung von Richtlinien
Überprüfen und aktualisieren Sie regelmäßig Compliance-Erzwingungsmechanismen. Ziel ist es, die Durchsetzung von Cloud-Governance-Richtlinien an die aktuellen Anforderungen anzupassen, einschließlich Entwickler, Architekt, Workload, Plattform und Geschäftsanforderungen. Befolgen Sie die folgenden Empfehlungen, um die Richtlinienerzwingung zu überprüfen:
Interagieren Sie mit den Projektbeteiligten. Diskutieren Sie die Wirksamkeit der Durchsetzungsmechanismen mit den Beteiligten. Stellen Sie sicher, dass die Durchsetzung von Cloud-Governance den Geschäftszielen und Complianceanforderungen entspricht.
Überwachen Sie die Anforderungen. Aktualisieren oder entfernen Sie Erzwingungsmechanismen, um sie an neue oder aktualisierte Anforderungen anzupassen. Verfolgen Sie Änderungen an Vorschriften und Standards, die Aktualisierungen Ihrer Durchsetzungsmechanismen erfordern. Die empfohlenen Richtlinien für die Azure-Zielzone können sich z. B. im Laufe der Zeit ändern. Sie sollten diese Richtlinienänderungen erkennen , auf die neuesten benutzerdefinierten Azure-Zielzonenrichtlinien aktualisieren oder nach Bedarf zu integrierten Richtlinien migrieren .
Beispiel für Compliance-Checklisten für Cloud-Governance
Compliance-Checklisten helfen Teams dabei, die Governancerichtlinien zu verstehen, die für sie gelten. Die Beispielcompliance-Checklisten verwenden die Richtlinienausweisung aus dem Beispiel für Cloud-Governance-Richtlinien und enthalten die Cloud-Governance-Richtlinien-ID für querverweisende Verweise.
| Kategorie | Complianceanforderung |
|---|---|
| Regulierungskonformität | ☐ Microsoft Purview muss zum Überwachen vertraulicher Daten (RC01) verwendet werden. ☐ Tägliche Berichte zur Einhaltung vertraulicher Daten müssen aus Microsoft Purview (RC02) generiert werden. |
| Sicherheit | ☐ MFA muss für alle Benutzer (SC01) aktiviert sein. ☐ Zugriffsüberprüfungen müssen monatlich in ID Governance (SC02) durchgeführt werden. ☐ Verwenden Sie die angegebene GitHub-Organisation, um den gesamten Anwendungs- und Infrastrukturcode (SC03) zu hosten. ☐ Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantänemuster (SC04) übernehmen. |
| Operationen | ☐ Produktionsworkloads sollten über eine aktiv passive Architektur in allen Regionen (OP01) verfügen. ☐ Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur (OP02) implementieren. |
| Kosten | ☐ Workload-Teams müssen Budgetwarnungen auf Ressourcengruppenebene (CM01) festlegen. ☐ Azure Advisor-Kostenempfehlungen müssen überprüft werden (CM02). |
| Daten | ☐ Verschlüsselung bei der Übertragung und im Ruhezustand muss auf alle die vertraulichen Daten angewendet werden.
(GD01) ☐ Datenlebenszyklusrichtlinien müssen für alle vertraulichen Daten (DG02) aktiviert sein. |
| Ressourcenverwaltung | Bicep muss zum Bereitstellen von Ressourcen (RM01) verwendet werden. ☐ Tags müssen für alle Cloudressourcen mit Azure Policy (RM02) erzwungen werden. |
| Künstliche Intelligenz | ☐ Die Konfiguration der KI-Inhaltsfilterung muss auf "mittel" oder höher (AI01) festgelegt werden. ☐ Kundenorientierte KI-Systeme müssen monatlich einer Überprüfung unterzogen werden (AI02). |