監控雲端合規性

監視是持續測量雲端環境符合治理原則的程度，並偵測何時偏離合規性。 有效的監控可讓您驗證治理工作的影響、提供風險層級的可見度，並在需要時立即觸發補救程式。 此階段涉及設定正確的遙測、警示和檢閱程式，以維持治理正常進行。

強制執行雲端控管之後，請執行合規性的初始基準評估。 查看哪些政策得到了滿足以及哪些方面存在差距。 然後追蹤這些指標隨時間推移。 最終目標是透過在監控顯示問題的情況下迭代改進政策和執行，將違規行為降至零或盡可能接近實際情況。

1. 設定雲端治理監控

實作監視解決方案，以追蹤雲端治理原則的合規性。 目標是了解負責強制執行合規性的團隊，以便您可以快速補救不合規性。 若要設定治理監視，請遵循下列建議：

1. 使用監控工具。 選擇提供即時監控功能的合規監控工具。 確保他們可以監控您特定治理策略的合規性。 視需要收集指標和日誌，以進行治理監控。 檢閱 Azure 登陸區域管理設計區域中的 可見度 和 監視 建議。

2. 必要時手動監控。 在無法使用自動監控機制的情況下，手動檢閱合規性。

3. 文件監控解決方案。 追蹤您如何監視每個雲端控管原則，以便知道在何處收集合規性資料。 在雲端治理原則中，列出監視工具，例如 Azure 原則 或 Microsoft Purview。 如果有手動方法，請列出稽核頻率。

4. 集中化治理監控。 使用或建置解決方案，可讓您在單一位置檢視雲端治理合規性狀態。 例如， Azure 治理活頁簿 會集中許多 Azure 治理監視服務。

5. 建立合規性基準。 評估您的雲端環境是否符合雲端治理原則。 把它作為你的基準。 隨時間推移，追蹤相較於基準的進度。

6. 提供治理監控的存取權。 設定治理監控結果的適當存取層級，以便負責治理的團隊可以評估強制控制的有效性。

7. 審計監控有效性。 手動檢閱合規性以驗證合規性。 例如，請確定標籤接收的是正確的值，而不是不需要的值，例如 NA。

Azure 協助：設定雲端控管監視

下列指引旨在協助您在 Azure 中設定雲端治理監視。 它提供雲端控管主要類別的範例起點。 請考慮在 Azure 治理活頁簿中彙總這些訊號。 若要設定雲端控管監視，您需要具有從訂用帳戶收集監視資料許可權的 Azure 身分識別。

設定法規合規性控管的監視

• 使用合規儀表板。取得您指派之原則的原則合規性資料。

• 確定合規性。 使用合規性資料來 判斷不合規的原因。

設定安全治理的監控

• 使用安全治理監視。檢閱安全性建議 ，並使用 您的安全分數 監視一段時間內的安全治理。此功能提供儀表板，以監控常見安全架構的 法規合規性 。

• 設定身分識別控管監視。設定身分識別監視 以收集稽核、登入和佈建記錄。 此外，請檢閱您的 身分識別安全性分數，並使用 身分識別控管儀表板 來獲得您租戶中所有身分識別的單一檢視。

設定成本管理控管的監視

• 分析雲端成本。 在 Azure 中進行 成本分析 ，以全面瞭解您的雲端成本。

• 建立預算。建立符合 您所需雲端投資的預算。

• 收集成本數據。 使用 成本最佳化建議 和 成本最佳化活頁簿 來指導成本管理工作，例如偵測閒置資源。 識別成本的異常和意外變化。

設定作業管理的監控

• 監控雲端作業的原則。 使用 Azure 原則 來追蹤適用於作業之治理原則的合規性。

• 監控日誌和指標。 若要追蹤 可用性 和 效能，請分析雲端環境中的 記錄 和 計量 。

• 監控資源優化。使用 Azure Advisor 來 監視 Azure 資源的可靠性、安全性、卓越營運、效能和成本。 為任何新的 Advisor 建議設定警示。

• 監視資源健康情況。監視 Azure 服務的健康情況 ，並監視影響服務的事件、計劃性維護，以及可能影響可用性的其他變更。

設定資料控管的監視

• 監控資料治理。監控資料合規性、管理和使用情況。

• 使用儀表板。 使用儀表板來監控任何資料平面原則的合規性。

設定資源管理控管的監視

• 監控資源管理的原則。 監視適用於資源部署的雲端控管原則的合規性，例如標籤強制執行原則。

設定 AI 治理的監控

• 監控 AI 系統輸出。 使用 Azure 進行 AI 系統的 濫用監視 和 內容篩選 。

• 紅隊 AI 系統。 定期 紅隊語言模型 以尋找有害輸出。 使用手動測試和自動化工具來檢閱風險基準。

2. 設定雲端治理警示

根據特定合規性計量或事件來設定警示，這些指標或事件指出偏離您的治理原則。 若要設定雲端控管警示，請遵循下列建議：

1. 使用雲端原生警示機制。 首選能夠提供即時監控和合規性問題警報的雲端原生工具。

2. 定義不合規。 定義明確的不合規閾值和基準。 當資料超過這些臨界值或發生可能表示不合規的非預期變更時，請設定警示。

3. 適當地路由警示。 將警示傳送給負責強制執行雲端治理原則合規性的適當小組或個人。

4. 在警示中包含不合規資訊。 設定警示以包含不合規事件的詳細資訊。 理想情況下，請包含違反的原則、受影響的資源，以及建議的補救措施。

Azure 協助：設定雲端治理警示

下列指引可協助您開始在 Azure 中設定雲端治理警示。 它提供雲端控管主要類別的範例起點。

• 法規合規管理警示。 使用 Azure 活動記錄來產生 Azure 中不合規的 警示 。

• 安全性控管警示。 設定 安全性警示 和不合規 警示。

• 成本控管警示。 設定警示，以通知小組潛在的成本超支和支出異常。 設定 成本警示 和 成本異常警示。 設定 保留使用率警示 ，讓保留和節省方案使用量保持在或接近完整使用量。

• 作業控管警示。設定特定記錄和計量的警示。 為與可靠性和效能一致的新建議設定警示。 設定服務健康情況警示，以取得目前和即將發生的服務健康情況問題的通知。 設定 資源健康情況警示 ，以取得 Azure 資源目前和歷程記錄健康情況狀態的通知。

• 資料控管警示。設定資料控管警示 以報告資料控管違規。

• 資源管理控管警示。 設定不合規資源部署時的警示。 例如，在部署管線中使用建置警告或監視不合規狀態。

• AI 治理警報。 在您的 AI 系統中出現有害輸入和輸出時配置警報。 例如，監視來自 Azure OpenAI 的電子郵件，這些電子郵件會通知您 濫用行為。

3. 制定補救計劃

制定有針對性的行動計劃來解決任何不合規事件。 當您偵測到不合規時，請執行補救計劃以更正偏差，並將風險和影響降到最低。 將補救詳細資料新增至雲端控管原則，以便輕鬆存取。 請遵循以下建議：

1. 討論補救時間表。 根據風險優先順序協商補救時間表。 負責合規性的團隊必須及時補救合規性。

2. 快速補救高風險違規行為。 對於高風險的不合規警示，例如公開的資料端點，請制定升級和修正這些不合規問題的計劃。 更新政策強制執行機制，以避免重複這種高風險違規行為。 使用 Azure 來 回應合規性狀態變更、 補救不符合原則的資源，以及 補救安全性建議。

3. 跟進低風險違規行為。 對低風險原則採取稽核優先立場，以便您可以與違反雲端治理原則的小組討論，例如在封鎖清單上部署服務。 也許特定區域有可用的新功能、更好的服務層級 （SKU） 或更優惠的價格。 雲端治理小組應該討論小組的需求，並根據對話調整原則和強制執行機制。

4. 盡可能自動化修復。 設定自動化工作流程，不僅通知相關團隊，還會在適當的情況下啟動預先定義的補救流程。 此解決方案主要適用於您無法透過自動化來防止的已知高風險解決方案。

5. 更新治理政策和強制執行機制。 根據從不合規事件獲得的見解，更新您的治理原則和強制執行機制。 更新可能涉及收緊策略定義、增強監控功能或優化警報閾值以改善檢測和響應時間。

4. 定期審計雲治理

即使採用自動監控，也要定期進行手動審查和審核，以驗證合規性監控流程並確保自動化工具正常運作。 若要稽核雲端治理，請遵循下列建議：

1. 進行內部稽核。 定期進行內部稽核，以評估治理政策的遵守情況。

2. 進行外部審計。 根據需要聘請外部審計師來驗證是否符合法律和監管要求。 請務必諮詢法律專家，以確認您的治理原則符合您所在地區的適用法律和法規。

後續步驟

雲端治理是一個持續的過程，需要持續關注。 持續重複評估風險、記錄治理原則、執行這些原則，以及監視執行有效性的治理程序。 雲端治理小組應該每當識別到新的雲端風險時，參與雲端治理過程。