Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La surveillance consiste à mesurer en permanence le niveau de conformité de l’environnement cloud à vos stratégies de gouvernance et à détecter lorsqu’il dérive de la conformité. Une surveillance efficace vous permet de vérifier l’impact de vos efforts de gouvernance, de fournir une visibilité sur les niveaux de risque et de déclencher rapidement les processus de correction si nécessaire. Cette étape implique la configuration des bonnes données de télémétrie, d’alertes et de processus d’examen pour assurer le suivi de la gouvernance.
Après avoir appliqué la gouvernance cloud, effectuez une évaluation initiale de la conformité. Découvrez quelles politiques sont respectées et où il y a des lacunes. Effectuez ensuite le suivi de ces métriques au fil du temps. L’objectif ultime est de favoriser la non-conformité à zéro ou aussi près que pratique en améliorant de manière itérative les stratégies et l’application des lois où la surveillance présente des problèmes.
1. Configurer la supervision de la gouvernance cloud
Implémentez des solutions de supervision pour suivre la conformité à vos stratégies de gouvernance cloud. L’objectif est d’avoir une visibilité sur les équipes responsables de l’application de la conformité afin de pouvoir corriger rapidement la non-conformité. Pour configurer la supervision de la gouvernance, suivez ces recommandations :
Utilisez les outils de surveillance. Choisissez les outils de surveillance de la conformité qui offrent des fonctionnalités de surveillance en temps réel. Vérifiez qu’ils peuvent surveiller la conformité avec vos stratégies de gouvernance spécifiques. Collectez les métriques et les journaux selon les besoins de la surveillance de la gouvernance. Passez en revue les recommandations de visibilité et de surveillance dans la zone de conception de gestion des zones d’atterrissage Azure.
Surveillez manuellement si nécessaire. Passez en revue la conformité manuellement lorsque les mécanismes de supervision automatisés ne sont pas disponibles.
Solution de supervision de document. Suivez la façon dont vous surveillez chaque stratégie de gouvernance cloud afin de savoir où collecter les données de conformité. Dans la politique de gouvernance cloud, répertoriez l’outil de surveillance, tel qu’Azure Policy ou Microsoft Purview. S’il existe une approche manuelle, répertoriez la fréquence d’audit.
Centraliser la supervision de la gouvernance. Utilisez ou créez une solution qui vous permet d’afficher l’état de conformité de la gouvernance cloud à un seul endroit. Par exemple, le classeur de gouvernance Azure centralise de nombreux services de supervision de gouvernance Azure.
Établissez une base de référence de conformité. Évaluez la conformité de votre environnement cloud à vos stratégies de gouvernance cloud. Faites-en votre référence. Suivez la progression par rapport à la ligne de base au fil du temps.
Fournir l’accès à la supervision de la gouvernance. Configurez le niveau d’accès approprié aux résultats de surveillance de la gouvernance afin que les équipes responsables de la gouvernance puissent évaluer l’efficacité des contrôles d’application.
Auditer l’efficacité de la surveillance. Passez en revue manuellement la conformité pour valider la conformité. Par exemple, vérifiez que les balises reçoivent les bonnes valeurs et qu’elles ne sont pas souhaitées, telles que NA.
Facilitation Azure : configuration de la supervision de la gouvernance cloud
Les conseils suivants sont destinés à vous aider à configurer la surveillance de la gouvernance cloud dans Azure. Il fournit un exemple de point de départ pour les principales catégories de gouvernance cloud. Envisagez d’agréger ces signaux dans le classeur de gouvernance Azure. Pour configurer la supervision de la gouvernance cloud, vous avez besoin d’une identité Azure qui dispose des autorisations nécessaires pour collecter des données de surveillance à partir de vos abonnements.
Configurer la surveillance de la gouvernance de conformité réglementaire
Utilisez des tableaux de bord de conformité.Obtenez les données de conformité des stratégies sur les stratégies que vous avez affectées.
Déterminez la conformité. Utilisez les données de conformité pour déterminer les causes de non-conformité.
Configurer la surveillance de la gouvernance de la sécurité
Utilisez la surveillance de la gouvernance de la sécurité.Passez en revue les recommandations de sécurité et surveillez la gouvernance de la sécurité au fil du temps avec votre score de sécurité. La fonctionnalité fournit un tableau de bord pour surveiller la conformité réglementaire par rapport aux infrastructures de sécurité courantes.
Configurer la surveillance de la gouvernance des identités.Configurer la surveillance des identités pour collecter les journaux d’audit, de connexion et d’approvisionnement. Passez également en revue votre score de sécurisation des identités et utilisez le tableau de bord de gouvernance des identités pour obtenir une vue unique des identités sur votre locataire.
Configurer la surveillance de la gouvernance de la gestion des coûts
Analysez les coûts du cloud. Effectuez une analyse des coûts dans Azure pour obtenir une visibilité complète sur vos coûts cloud.
Créez des budgets.Créez un budget qui s’aligne sur votre investissement souhaité dans le cloud.
Collecter les données de coût. Utilisez les recommandations d’optimisation des coûts et le classeur d’optimisation des coûts pour guider les efforts de gestion des coûts, tels que la détection des ressources inactives. Identifiez les anomalies et les changements inattendus dans les coûts.
Configurer la surveillance de la gouvernance des opérations
Surveillez les stratégies sur les opérations cloud. Utilisez Azure Policy pour suivre la conformité aux stratégies de gouvernance qui s’appliquent aux opérations.
Surveillez les logs et les métriques. Pour suivre la disponibilité et les performances, analysez les journaux et les métriques dans les environnements cloud.
Surveillez l’optimisation des ressources.Utilisez Azure Advisor pour surveiller les ressources Azure pour la fiabilité, la sécurité, l’excellence opérationnelle, les performances et les coûts. Définissez des alertes pour toutes les nouvelles recommandations Advisor.
Surveiller l’intégrité des ressources.Surveillez l’intégrité des services Azure et surveillez les événements ayant un impact sur les services, la maintenance planifiée et d’autres modifications susceptibles d’affecter la disponibilité.
Configurer la surveillance de la gouvernance des données
Surveillez la gouvernance des données.Surveillez la conformité, la gestion et l’utilisation des données.
Utilisez des tableaux de bord. Utilisez des tableaux de bord pour surveiller la conformité avec les stratégies de plan de données.
Configurer la surveillance de la gouvernance de la gestion des ressources
- Surveillez les stratégies sur la gestion des ressources. Surveillez la conformité avec les stratégies de gouvernance cloud qui s’appliquent aux déploiements de ressources, tels que les stratégies d’application des balises.
Configurer la surveillance de la gouvernance de l’IA
Surveillez les sorties du système IA. Utilisez Azure pour la surveillance des abus et le filtrage de contenu des systèmes IA.
Systèmes IA Red Team. Effectuer une validation régulière des modèles de langage par une "équipe rouge" pour identifier les sorties dangereuses. Utilisez des tests manuels et des outils automatisés pour passer en revue la base de référence des risques.
2. Configurer des alertes de gouvernance cloud
Configurez des alertes basées sur des métriques de conformité ou des événements spécifiques qui indiquent un écart par rapport à vos stratégies de gouvernance. Pour configurer des alertes de gouvernance cloud, suivez ces recommandations :
Utilisez des mécanismes d’alerte natifs dans le cloud. Préférez les outils natifs cloud qui fournissent une surveillance et des alertes en temps réel pour les problèmes de conformité.
Définissez une non-conformité. Définissez des seuils clairs et des lignes de base pour la non-conformité. Définissez des alertes lorsque les données dépassent ces seuils ou lorsque des modifications inattendues peuvent indiquer une non-conformité.
Acheminer les alertes de manière appropriée. Envoyez des alertes à l’équipe ou à la personne responsable de l’application de la conformité aux stratégies de gouvernance cloud.
Incluez des informations de non-conformité dans les alertes. Configurez les alertes pour inclure des informations détaillées sur l’événement de non-conformité. Dans l’idéal, incluez la stratégie violée, les ressources affectées et la correction suggérée.
Facilitation Azure : Configuration des alertes de gouvernance cloud
Les conseils suivants vous aident à commencer à configurer des alertes de gouvernance cloud dans Azure. Il fournit un exemple de point de départ pour les principales catégories de gouvernance cloud.
Alertes de gouvernance en matière de conformité réglementaire. Utilisez les journaux d’activité Azure pour générer des alertes pour la non-conformité dans Azure.
Alertes de gouvernance de la sécurité. Configurez les alertes de sécurité et les alertes de non-conformité.
Alertes de gouvernance des coûts. Configurez des alertes pour avertir les équipes des dépassements de coûts potentiels et des anomalies de dépense. Configurez les alertes de coût et les alertes d’anomalie de coût. Définissez des alertes d’utilisation des réservations pour conserver l’utilisation des réservations et des plans de réduction des coûts à pleine capacité ou proche de celle-ci.
Alertes de gouvernance des opérations.Configurez des alertes sur des journaux et des métriques spécifiques. Définissez des alertes pour les nouvelles recommandations alignées sur la fiabilité et les performances. Configurez les alertes d’intégrité du service pour recevoir une notification des problèmes d’intégrité du service actuels et à venir. Configurez les alertes d’intégrité des ressources pour recevoir une notification de l’état d’intégrité actuel et historique de vos ressources Azure.
Alertes de gouvernance des données.Configurez les alertes de gouvernance des données pour signaler les violations de gouvernance des données.
Alertes de gouvernance de la gestion des ressources. Configurez les alertes pour le déploiement d’une ressource non conforme. Par exemple, utilisez des avertissements de build dans votre pipeline de déploiement ou surveillez les états de non-conformité.
Alertes de gouvernance pour l'IA. Configurez les alertes en cas d’entrées et de sorties dangereuses dans vos systèmes IA. Par exemple, surveillez les e-mails d’Azure OpenAI qui vous informent d’un comportement abusif.
3. Développer un plan de correction
Développez un plan d’action ciblé pour traiter les événements non conformes. Lorsque vous détectez une non-conformité, effectuez le plan de correction pour corriger les écarts et réduire le risque et l’impact. Ajoutez les détails de correction à la stratégie de gouvernance cloud pour faciliter l’accès. Suivez ces recommandations :
Discutez de la chronologie des corrections. Négocier une chronologie de correction en fonction de la priorité des risques. L’équipe responsable de la conformité doit corriger la conformité en temps voulu.
Corriger rapidement les violations à haut risque. Pour les alertes de non-conformité qui présentent un risque élevé, comme un point de terminaison de données exposé, ayez un plan pour l'escalade et la résolution de ces problèmes de non-conformité. Mettez à jour le mécanisme d’application de la stratégie pour éviter une répétition de cette violation à haut risque. Utilisez Azure pour réagir aux modifications de l’état de conformité, corriger les ressources non conformes aux stratégies et corriger les recommandations de sécurité.
Suivi des violations à faible risque. Adoptez une priorité à l'audit sur les politiques à faible risque afin de pouvoir engager une discussion avec l’équipe qui a enfreint la politique de gouvernance du cloud, comme le déploiement d’un service sur une liste noire. Peut-être qu’il existe une nouvelle fonctionnalité disponible, un meilleur niveau de service (référence SKU) ou un meilleur prix dans une région spécifique. L’équipe de gouvernance cloud doit discuter des besoins de l’équipe et ajuster les stratégies et les mécanismes d’application conformément à la conversation.
Automatisez la correction le cas échéant. Configurez des flux de travail automatisés qui informent non seulement les équipes concernées, mais lancent également des processus de correction prédéfinis le cas échéant. Cette solution est principalement destinée aux solutions à haut risque connues que vous ne pouvez pas empêcher avec l’automatisation.
Mettez à jour les stratégies de gouvernance et les mécanismes d’application. En fonction des insights obtenus à partir de l’événement de non-conformité, mettez à jour vos stratégies de gouvernance et mécanismes d’application. Les mises à jour peuvent impliquer un renforcement des définitions de stratégie, l’amélioration des fonctionnalités de surveillance ou l’affinement des seuils d’alerte pour améliorer les temps de détection et de réponse.
4. Auditer régulièrement la gouvernance cloud
Même avec la surveillance automatisée, effectuez des révisions et des audits manuels périodiques pour valider les processus de surveillance de conformité et assurez-vous que les outils d’automatisation fonctionnent correctement. Pour auditer la gouvernance cloud, suivez ces recommandations :
Effectuer des audits internes. Effectuez des audits internes réguliers pour évaluer la conformité aux stratégies de gouvernance.
Effectuer des audits externes. Engagez des auditeurs externes selon les besoins pour valider la conformité aux exigences légales et réglementaires. Veillez à consulter des experts juridiques pour vérifier que vos stratégies de gouvernance sont conformes aux lois et réglementations applicables dans votre région.
Étapes suivantes
La gouvernance cloud est un processus continu qui nécessite une attention continue. Répétez constamment le processus de gouvernance d’évaluation des risques, de documentation des stratégies de gouvernance, d’application de ces stratégies et de surveillance de l’efficacité de l’application. L’équipe de gouvernance cloud doit également travailler via le processus de gouvernance cloud chaque fois qu’elle identifie les nouveaux risques cloud.