Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Definiowanie zasad nie jest wystarczające. Aby zapewnić zgodność, organizacja musi wymuszać zasady ładu. Wymuszanie ładu w chmurze oznacza implementowanie mechanizmów kontroli, procesów i narzędzi, dzięki czemu użycie chmury jest zgodne z zasadami ładu. Zespół ds. ładu w chmurze określa strategię i nadzoruje wymuszanie, ale wymuszanie jest wspólną odpowiedzialnością. Zespoły odpowiedzialne za platformę chmurową i obciążenia realizują codzienne egzekwowanie w swoich domenach. Ogólnie zaleca się automatyzowanie wymuszania wszędzie tam, gdzie jest to możliwe, użycie narzędzi natywnych dla chmury w celu wymuszania lub sprawdzania zgodności. Używaj procesów ręcznych tylko wtedy, gdy automatyzacja nie jest możliwa.
1. Definiowanie podejścia do wymuszania zasad ładu w chmurze
Zacznij od utworzenia nadrzędnej strategii wymuszania zasad w całej organizacji. Najważniejsze zagadnienia obejmują:
Delegowanie obowiązków związanych z zarządzaniem. Umożliwianie osobom i zespołom wymuszania ładu w zakresie odpowiedzialności. Na przykład zespoły platformowe powinny stosować zasady, które dziedziczą obciążenia, a zespoły zajmujące się obciążeniem powinny wprowadzać zarządzanie swoim obciążeniem. Zespół ds. ładu w chmurze nie powinien być odpowiedzialny za stosowanie mechanizmów kontroli wymuszania.
Wdrażanie modelu dziedziczenia. Zastosuj hierarchiczny model zarządzania, w którym określone obciążenia dziedziczą zasady zarządzania z platformy. Ten model pomaga zapewnić, że standardy organizacyjne mają zastosowanie do odpowiednich środowisk, takich jak wymagania dotyczące zakupów usług w chmurze. Postępuj zgodnie z zasadami projektowania stref docelowych platformy Azure i obszaru projektowania organizacji zasobów , aby ustanowić odpowiedni model dziedziczenia.
Omówienie specyfiki wymuszania. Omów, gdzie i jak stosujesz polityki zarządzania. Celem jest znalezienie ekonomicznych sposobów wymuszania zgodności, która przyspiesza produktywność. Bez dyskusji ryzykujesz blokowanie postępów określonych zespołów. Ważne jest, aby znaleźć równowagę, która wspiera cele biznesowe podczas efektywnego zarządzania ryzykiem.
Przyjmuj podejście koncentrujące się na monitorowaniu. Nie blokuj działań, dopóki ich nie zrozumiesz. W przypadku ryzyka o niższym priorytetu zacznij od monitorowania zgodności z zasadami ładu w chmurze. Po zrozumieniu ryzyka można przejść do bardziej restrykcyjnych mechanizmów kontroli wymuszania. Podejście z priorytetem monitorowania daje możliwość omówienia potrzeb związanych z zarządzaniem i dostosowania zasad zarządzania chmurą oraz kontroli ich egzekwowania do tych potrzeb.
Preferuj listy zablokowanych. Wybierz listy zablokowanych niż listy dozwolonych. Listy zablokowanych uniemożliwiają wdrażanie określonych usług. Lepiej jest mieć małą listę usług, których nie należy używać niż długa lista usług, których można użyć. Aby uniknąć długich bloklist, nie dodawaj domyślnie nowych usług do listy zablokowanych.
Zdefiniuj strategię tagowania i nazewnictwa. Ustanów systematyczne wytyczne dotyczące nazewnictwa i tagowania zasobów w chmurze. Zapewnia ona strukturę kategoryzacji zasobów, zarządzania kosztami, zabezpieczeń i zgodności w środowisku chmury. Zezwalaj zespołom, takim jak zespoły programistyczne, na dodawanie innych tagów dla ich unikatowych potrzeb.
2. Automatyczne wymuszanie zasad ładu w chmurze
Użyj usług zarządzania i nadzoru platformy Azure, aby zautomatyzować wymuszanie zasad w możliwie największym stopniu. Automatyczne wymuszanie poprawia spójność i zmniejsza nakład pracy ręcznej lub błędów. Kroki wdrażania zautomatyzowanego zarządzania:
Zacznij od małego zestawu zautomatyzowanych zasad. Automatyzowanie zgodności w małym zestawie podstawowych zasad ładu w chmurze. Zaimplementuj i przetestuj automatyzację, aby uniknąć zakłóceń operacyjnych. Rozszerz swoją listę automatycznych mechanizmów kontroli, gdy będziesz gotowy.
Użyj narzędzi do zapewniania ładu w chmurze. Użyj narzędzi dostępnych w środowisku chmury, aby wymusić zgodność. Podstawowym narzędziem do zapewniania ładu na platformie Azure jest usługa Azure Policy. Uzupełnienie usługi Azure Policy za pomocą usługi Microsoft Defender for Cloud (zabezpieczeń), Microsoft Purview (danych), Microsoft Entra ID Governance (tożsamości), Azure Monitor (operacji), grup zarządzania (zarządzania zasobami), infrastruktury jako kodu (IaC) (zarządzanie zasobami) i konfiguracji w ramach każdej usługi platformy Azure.
Zastosuj zasady ładu w odpowiednim zakresie. Użyj systemu dziedziczenia, w którym zasady są ustawiane na wyższym poziomie, takim jak grupy zarządzania. Zasady na wyższych poziomach są automatycznie stosowane do niższych poziomów, takich jak subskrypcje i grupy zasobów. Zasady mają zastosowanie nawet w przypadku zmian w środowisku chmury, co zmniejsza obciążenie związane z zarządzaniem.
Użyj punktów wymuszania zasad. Skonfiguruj punkty wymuszania zasad w środowiskach chmury, które automatycznie stosują reguły ładu. Rozważ kontrole przed wdrożeniem, monitorowanie środowiska uruchomieniowego i zautomatyzowane akcje korygowania.
Użyj zasad jako kodu. Użyj narzędzi IaC, aby wymusić zasady ładu za pomocą kodu. Zasady jako kod zwiększają automatyzację mechanizmów kontroli ładu i zapewniają spójność w różnych środowiskach. Rozważ użycie Enterprise Azure Policy jako kodu (EPAC) do zarządzania zasadami zgodnymi z zaleceniami strefy docelowej platformy Azure.
Twórz rozwiązania niestandardowe zgodnie z potrzebami. W przypadku niestandardowych działań zarządzania rozważ utworzenie niestandardowych skryptów lub aplikacji. Użyj interfejsów API usługi platformy Azure, aby zbierać dane lub zarządzać zasobami bezpośrednio.
Ułatwienia platformy Azure: Automatyczne wymuszanie zasad ładu w chmurze
Poniższe wskazówki mogą pomóc w znalezieniu odpowiednich narzędzi do automatyzacji zgodności z zasadami ładu w chmurze na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze.
Automatyzowanie zarządzania zgodnością z przepisami
Stosowanie zasad zgodności z przepisami. Użyj wbudowanych zasad zgodności z przepisami , które są zgodne ze standardami zgodności, takimi jak HITRUST/HIPAA, ISO 27001, CMMC, FedRamp i PCI DSSv4.
Automatyzowanie ograniczeń niestandardowych.Utwórz zasady niestandardowe , aby zdefiniować własne reguły pracy z platformą Azure.
Automatyzacja zarządzania zabezpieczeniami
Stosowanie zasad zabezpieczeń. Użyj wbudowanych zasad zabezpieczeń i zautomatyzowanej zgodności zabezpieczeń , aby dopasować je do wspólnych standardów zabezpieczeń. Istnieją wbudowane polityki dla serii NIST 800 SP, test porównawczy Center for Internet Security oraz benchmark zabezpieczeń w chmurze firmy Microsoft. Użyj wbudowanych zasad, aby zautomatyzować konfigurację zabezpieczeń określonych usług platformy Azure. Utwórz zasady niestandardowe , aby zdefiniować własne reguły pracy z platformą Azure.
Zastosuj zarządzanie tożsamością. Włącz usługę uwierzytelniania wieloskładnikowego Microsoft Entra (MFA) i samoobsługową usługę resetowania hasła. Eliminowanie słabych haseł. Zautomatyzuj inne aspekty zarządzania tożsamością, takie jak workflowy wniosków o dostęp, przeglądy praw dostępu i zarządzanie cyklem życia tożsamości. Włącz dostęp na czas, aby ograniczyć dostęp do ważnych zasobów. Polityki dostępu warunkowego służą do udzielania lub blokowania dostępu tożsamości użytkowników i urządzeń do usług chmurowych.
Stosowanie kontroli dostępu. Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure i kontroli dostępu opartej na atrybutach (ABAC), aby zarządzać dostępem do określonych zasobów. Udzielanie i odmawianie uprawnień użytkownikom i grupom. Zastosuj uprawnienie w odpowiednim zakresie (grupa zarządzania, subskrypcja, grupa zasobów lub zasób), aby zapewnić tylko wymagane uprawnienia i ograniczyć obciążenie związane z zarządzaniem.
Automatyzacja zarządzania kosztami
Automatyzuj ograniczenia wdrażania. Nie zezwalaj na korzystanie z pewnych zasobów w chmurze, aby uniemożliwić korzystanie z kosztownych zasobów.
Automatyzowanie ograniczeń niestandardowych.Utwórz zasady niestandardowe , aby zdefiniować własne reguły pracy z platformą Azure.
Automatyzowanie alokacji kosztów. Wymuszanie wymogów tagowania w celu grupowania i przydzielania kosztów w środowiskach (rozwój, testowanie, produkcja), działach oraz projektach. Użyj tagów, aby zidentyfikować i śledzić zasoby, które są częścią nakładu pracy optymalizacji kosztów.
Automatyzacja zarządzania operacjami
Automatyzowanie nadmiarowości. Użyj wbudowanych zasad platformy Azure, aby wymagać określonego poziomu nadmiarowości infrastruktury, takich jak wystąpienia strefowo nadmiarowe i geograficznie nadmiarowe.
Stosowanie zasad tworzenia kopii zapasowych. Zasady tworzenia kopii zapasowych umożliwiają zarządzanie częstotliwością tworzenia kopii zapasowych, okresem przechowywania i lokalizacją przechowywania. Dostosuj zasady tworzenia kopii zapasowych do zarządzania danymi, wymagań dotyczących zgodności z przepisami, celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO). Użyj ustawień kopii zapasowej w poszczególnych usługach platformy Azure, takich jak Usługa Azure SQL Database, aby skonfigurować potrzebne ustawienia.
Spełnianie docelowego celu poziomu usług. Ogranicz wdrażanie niektórych usług i warstw usług (SKU), które nie spełniają celu docelowego poziomu usług. Na przykład użyj
Not allowed resource typesdefinicji zasad w usłudze Azure Policy.
Automatyzowanie zarządzania danymi
Zautomatyzuj zarządzanie danymi. Automatyzowanie zadań nadzoru nad danymi , takich jak katalogowanie, mapowanie, bezpieczne udostępnianie i stosowanie zasad.
Automatyzowanie zarządzania cyklem życia danych. Zaimplementuj zasady magazynu i zarządzanie cyklem życia dla magazynu, aby zapewnić efektywne i zgodne przechowywanie danych.
Automatyzowanie zabezpieczeń danych. Przejrzyj i wymuś strategie ochrony danych, takie jak segregacja danych, szyfrowanie i replikacja.
Automatyzowanie ładu zarządzania zasobami
Utwórz hierarchię zarządzania zasobami. Użyj grup zarządzania , aby zorganizować subskrypcje, aby efektywnie zarządzać zasadami, dostępem i wydatkami. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi organizacji zasobów strefy docelowej platformy Azure.
Egzekwowanie strategii tagowania. Upewnij się, że wszystkie zasoby platformy Azure są stale oznaczane w celu zwiększenia możliwości zarządzania, śledzenia kosztów i zgodności. Zdefiniuj strategię tagowania i zarządzaj ładem tagów.
Ogranicz zasoby, które można wdrożyć.Nie zezwalaj na typy zasobów , aby ograniczyć wdrożenia usług, które dodają niepotrzebne ryzyko.
Ogranicz wdrożenia do określonych regionów. Kontroluj, gdzie zasoby są wdrażane, aby spełnić wymagania prawne, zarządzać kosztami i zmniejszać opóźnienia. Na przykład użyj
Allowed locationsdefinicji zasad w usłudze Azure Policy. Wymuszaj również ograniczenia regionalne w pipelinie wdrożeniowej.Użyj infrastruktury jako kodu (IaC). Automatyzowanie wdrożeń infrastruktury przy użyciu szablonów Bicep, Terraform lub Azure Resource Manager (szablonów usługi ARM). Przechowuj konfiguracje IaC w systemie kontroli źródła (GitHub lub Azure Repos), aby śledzić zmiany i współpracować. Użyj architektur referencyjnych strefy docelowej platformy Azure , aby zarządzać wdrażaniem zasobów platformy i aplikacji oraz unikać dryfu konfiguracji w czasie.
Zarządzanie środowiskami hybrydowymi i wielochmurowymi.Zarządzanie zasobami hybrydowymi i wielochmurowymi. Zachowaj spójność w zarządzaniu i wymuszaniu zasad.
Automatyzacja zarządzania sztuczną inteligencją
Użyj wzorca rozszerzonej generacji pobierania (RAG). Funkcja RAG dodaje system wyszukiwania informacji w celu kontrolowania danych bazowych używanych przez model językowy do generowania odpowiedzi. Możesz na przykład użyć usługi Azure OpenAI Service we własnej funkcji danych lub skonfigurować aplikację RAG za pomocą usługi Azure AI Search , aby ograniczyć generowanie sztucznej inteligencji do zawartości.
Korzystanie z narzędzi programistycznych sztucznej inteligencji. Użyj narzędzi sztucznej inteligencji, takich jak Microsoft Agent Framework, które ułatwiają i standandaryzują aranżację sztucznej inteligencji podczas tworzenia aplikacji korzystających ze sztucznej inteligencji.
Zarządzanie generowaniem danych wyjściowych. Pomaga zapobiegać nadużyciom i szkodliwemu generowaniu zawartości. Użyj filtrowania zawartości sztucznej inteligencji i monitorowania nadużyć sztucznej inteligencji.
Konfigurowanie ochrony przed utratą danych. Konfigurowanie ochrony przed utratą danych dla usług Azure AI. Skonfiguruj listę adresów URL ruchu wychodzącego, do których mogą uzyskiwać dostęp zasoby usług sztucznej inteligencji.
Użyj komunikatów systemowych. Użyj komunikatów systemowych , aby kierować zachowaniem systemu sztucznej inteligencji i dostosowywać dane wyjściowe.
Zastosuj punkt odniesienia zabezpieczeń sztucznej inteligencji. Użyj punktu odniesienia zabezpieczeń sztucznej inteligencji platformy Azure , aby zarządzać zabezpieczeniami systemów sztucznej inteligencji.
3. Ręczne wymuszanie zasad ładu w chmurze
Nie wszystko można zautomatyzować doskonale. Czasami ograniczenie narzędzia lub koszt sprawia, że automatyczne wymuszanie jest niepraktyczne. Wystąpią przypadki, szczególnie początkowo lub w przypadku bardzo niestandardowych procesów, w których konieczne jest ręczne zarządzanie. Ponadto mniejsze organizacje mogą zacząć od ręcznego zarządzania przed automatyzacją. Najważniejsze praktyki ręcznego wymuszania obejmują:
Użyj list kontrolnych. Użyj list kontrolnych zarządzania, aby ułatwić zespołom przestrzeganie zasad zarządzania w chmurze. Aby uzyskać więcej informacji, zobacz przykładowe listy kontrolne zgodności.
Zapewnij regularne szkolenie. Przeprowadzaj częste sesje szkoleniowe dla wszystkich odpowiednich członków zespołu, aby upewnić się, że są świadomi zasad ładu.
Zaplanuj regularne przeglądy. Zaimplementuj harmonogram regularnych przeglądów i inspekcji zasobów i procesów w chmurze w celu zapewnienia zgodności z zasadami ładu. Te przeglądy mają kluczowe znaczenie dla identyfikowania odchyleń od ustalonych zasad i podejmowania działań naprawczych.
Monitoruj ręcznie. Przypisz dedykowany personel, aby monitorować środowisko chmury pod kątem zgodności z zasadami ładu. Rozważ śledzenie użycia zasobów, zarządzanie mechanizmami kontroli dostępu i zapewnienie, że środki ochrony danych są zgodne z zasadami. Na przykład zdefiniuj kompleksowe podejście do zarządzania kosztami w celu zarządzania kosztami chmury.
4. Przegląd egzekwowania zasad
Regularnie przeglądać i aktualizować mechanizmy wymuszania zgodności. Celem jest zapewnienie zgodności wymuszania zasad ładu w chmurze z bieżącymi potrzebami, w tym deweloperem, architektem, obciążeniem, platformą i wymaganiami biznesowymi. Aby przejrzeć wymuszanie zasad, wykonaj następujące zalecenia:
Skontaktuj się z uczestnikami projektu. Omówienie skuteczności mechanizmów wymuszania z uczestnikami projektu. Upewnij się, że wymuszanie ładu w chmurze jest zgodne z celami biznesowymi i wymaganiami dotyczącymi zgodności.
Monitorowanie wymagań. Aktualizowanie lub usuwanie mechanizmów wymuszania w celu dostosowania ich do nowych lub zaktualizowanych wymagań. Śledzenie zmian w przepisach i standardach, które wymagają aktualizacji mechanizmów wymuszania. Na przykład zalecane zasady strefy docelowej platformy Azure mogą ulec zmianie w czasie. Należy wykryć te zmiany zasad, zaktualizować do najnowszych zasad niestandardowych strefy docelowej platformy Azure lub przeprowadzić migrację do wbudowanych zasad zgodnie z potrzebami.
Przykładowe listy kontrolne zgodności zarządzania w chmurze
Listy kontrolne zgodności pomagają zespołom zrozumieć zasady ładu, które mają zastosowanie do nich. Przykładowe listy kontrolne zgodności używają oświadczenia polityki z przykładowych zasad zarządzania w chmurze i zawierają identyfikator zasad zarządzania w chmurze na potrzeby odwołań krzyżowych.
| Kategoria | Wymaganie dotyczące zgodności |
|---|---|
| Zgodność z przepisami | ☐ Usługa Microsoft Purview musi być używana do monitorowania poufnych danych (RC01). ☐ Codzienne raporty zgodności danych poufnych muszą być generowane na podstawie usługi Microsoft Purview (RC02). |
| Zabezpieczenia | ☐ WFA musi być aktywowane dla wszystkich użytkowników (SC01).. ☐ Przeglądy dostępu muszą być przeprowadzane co miesiąc w programie ID Governance (SC02). ☐ Użyj określonej organizacji usługi GitHub do hostowania wszystkich aplikacji i kodu infrastruktury (SC03). ☐ Zespoły korzystające z bibliotek ze źródeł publicznych muszą przyjąć wzorzec kwarantanny (SC04). |
| Operacji | ☐ Obciążenia produkcyjne powinny mieć architekturę aktywno-pasywną między regionami (OP01). ☐ Wszystkie obciążenia o krytycznym znaczeniu muszą implementować architekturę aktywno-aktywną między regionami (OP02). |
| Koszt | ☐ Zespoły obciążeń muszą ustawić alerty dotyczące budżetów na poziomie grupy zasobów (CM01). ☐ Zalecenia dotyczące kosztów usługi Azure Advisor należy przejrzeć (CM02). |
| Dane | ☐ Szyfrowanie podczas przesyłania i magazynowania musi być stosowane do wszystkich poufnych danych.
(DG01) ☐ Zasady cyklu życia danych muszą być włączone dla wszystkich poufnych danych (DG02). |
| Zarządzanie zasobami | ☐ Bicep musi służyć do wdrażania zasobów (RM01). ☐ Tagi muszą być wymuszane na wszystkich zasobach w chmurze przy użyciu usługi Azure Policy (RM02). |
| AI | ☐ Konfiguracja filtrowania zawartości sztucznej inteligencji musi być ustawiona na średnią lub wyższą (AI01). ☐ Systemy sztucznej inteligencji dostępne dla klientów muszą być poddawane testom bezpieczeństwa co miesiąc (AI02). |