Megosztás a következőn keresztül:


Felhőszabályozási szabályzatok kikényszerítése

Ez a cikk bemutatja, hogyan kényszerítheti ki a felhőszabályozási szabályzatoknak való megfelelést. A felhőszabályozás kényszerítése azokra a vezérlőkre és eljárásokra vonatkozik, amelyekkel a felhőhasználatot a felhőszabályozási szabályzatokhoz igazíthatja. A felhőszabályozási csapat felméri a felhőkockázatokat, és felhőszabályozási szabályzatokat hoz létre a kockázatok kezeléséhez. A felhőszabályozási szabályzatoknak való megfelelés biztosítása érdekében a felhőszabályozási csapatnak ki kell delegálnia a kényszerítési feladatokat. Az egyes csapatokat vagy személyeket fel kell hatalmazniuk a felhőszabályozási szabályzatok felelősségi területükön való kikényszerítésére. A felhőszabályozási csapat nem tud mindent megtenni. Az automatizált kényszerítési vezérlőket részesíti előnyben, de manuálisan kényszerítse ki a megfelelőséget, ahol nem automatizálható.

A felhőszabályozás beállításának és karbantartásának folyamatát bemutató ábra. Az ábrán öt egymást követő lépés látható: felhőszabályozási csapat létrehozása, felhőszabályozási szabályzatok dokumentálása, felhőszabályozási szabályzatok kikényszerítése és felhőszabályozás monitorozása. Az első lépés, amit egyszer hajt végre. Az utolsó négy lépés, amit egyszer végre kell hajtania a felhőszabályozás beállításához és a felhőszabályozás folyamatos fenntartásához.

A felhőszabályozási szabályzatok kikényszerítésének megközelítése

Hozzon létre egy szisztematikus stratégiát a felhőszabályozási szabályzatok betartásának kikényszerítésére. A cél az automatizált eszközök és a manuális felügyelet használata a megfelelőség hatékony érvényesítése érdekében. A kényszerítési megközelítés meghatározásához kövesse az alábbi ajánlásokat:

  • Irányítási feladatok delegálása. Lehetővé teszi az egyének és csapatok számára, hogy a felelősségi körükön belül kényszerítsék a szabályozást. A platformcsapatoknak például olyan szabályzatokat kell alkalmazniuk, amelyeket a számítási feladatok örökölnek, és a számítási feladatokért felelős csapatoknak a számítási feladatok szabályozását kell kikényszeríteniük. A felhőszabályozási csapat nem felelős a kényszerítési vezérlők alkalmazásáért.

  • Öröklődési modell bevezetése. Hierarchikus szabályozási modell alkalmazása, amelyben bizonyos számítási feladatok a platformtól öröklik a szabályozási szabályzatokat. Ez a modell biztosítja, hogy a szervezeti szabványok a megfelelő környezetekre, például a felhőszolgáltatások vásárlási követelményeire vonatkozzanak. Kövesse az Azure-beli célzónák és az erőforrás-szervezet tervezési területének tervezési alapelveit a megfelelő öröklési modell létrehozásához.

  • A végrehajtási konkrétumok ismertetése. Megismerheti, hogy hol és hogyan alkalmazza az irányítási szabályzatokat. A cél az, hogy költséghatékony módszereket találjon a hatékonyságot növelő megfelelőség kikényszerítésére. Vita nélkül megkockáztathatja, hogy blokkolja az egyes csapatok előrehaladását. Fontos, hogy olyan egyensúlyt találjunk, amely támogatja az üzleti célkitűzéseket, miközben hatékonyan kezeli a kockázatokat.

  • Legyen egy monitor-első álláspont. Csak akkor tiltsa le a műveleteket, ha először megérti őket. Az alacsonyabb prioritású kockázat érdekében először monitorozza a felhőszabályozási szabályzatoknak való megfelelést. A kockázat megismerése után szigorúbb kényszerítési vezérlőkre léphet. Az első monitorozási megközelítés lehetőséget nyújt a szabályozási igények megvitatására, valamint a felhőszabályozási szabályzat és a kényszerítési ellenőrzés ezen igényekre való átformálására.

  • Előnyben részesítse a tiltólistákat. A tiltólisták előnyben részesítve az engedélyezési listákat. A tiltólisták megakadályozzák adott szolgáltatások üzembe helyezését. Jobb, ha a szolgáltatások egy kis listájával rendelkezik, amelyet nem érdemes használnia, mint a használható szolgáltatások hosszú listája. A hosszadalmas tiltólisták elkerülése érdekében alapértelmezés szerint ne adjon hozzá új szolgáltatásokat a tiltólistához.

  • Címkézési és elnevezési stratégia definiálása. A felhőbeli erőforrások elnevezésére és címkézésére vonatkozó rendszeres irányelvek létrehozása. Strukturált keretrendszert biztosít az erőforrás-kategorizáláshoz, a költségkezeléshez, a biztonsághoz és a megfelelőséghez a felhőkörnyezetben. Lehetővé teszi a csapatok, például a fejlesztői csapatok számára, hogy más címkéket is hozzáadjanak az egyedi igényeikhez.

Felhőszabályozási szabályzatok automatikus kényszerítése

Felhőfelügyeleti és szabályozási eszközökkel automatizálhatja a szabályozási szabályzatoknak való megfelelést. Ezek az eszközök segíthetnek a védőkorlátok beállításában, a konfigurációk monitorozásában és a megfelelőség biztosításában. Az automatizált kényszerítés beállításához kövesse az alábbi javaslatokat:

  • Kezdje az automatizált szabályzatok kis készletével. A megfelelőség automatizálása alapvető felhőszabályozási szabályzatok kis halmazán. Automatizálás implementálása és tesztelése a működési zavarok elkerülése érdekében. Ha készen áll, bontsa ki az automatizált kényszerítési vezérlők listáját.

  • Használjon felhőszabályozási eszközöket. A felhőkörnyezetben elérhető eszközökkel kényszerítheti a megfelelőséget. Az Azure elsődleges szabályozási eszköze az Azure Policy. Az Azure Policy kiegészítése Felhőhöz készült Microsoft Defender (biztonság), Microsoft Purview (adatok), Microsoft Entra ID-kezelés (identitás), Azure Monitor (műveletek), felügyeleti csoportok (erőforrás-kezelés), infrastruktúra kódként (IaC) (erőforrás-kezelés) és konfigurációk az egyes Azure-szolgáltatásokban.

  • Szabályozási szabályzatok alkalmazása a megfelelő hatókörben. Olyan öröklési rendszert használjon, amelyben a szabályzatok magasabb szinten vannak beállítva, például felügyeleti csoportokat. A magasabb szintű szabályzatok automatikusan alacsonyabb szintekre, például előfizetésekre és erőforráscsoportokra vonatkoznak. A szabályzatok akkor is érvényesek, ha a felhőkörnyezetben változások történnek, csökkentve a felügyeleti többletterhelést.

  • Szabályzatkényszerítési pontok használata. Olyan szabályzatkényszerítési pontokat állíthat be a felhőkörnyezetekben, amelyek automatikusan alkalmazzák az irányítási szabályokat. Fontolja meg az előzetes üzembe helyezési ellenőrzéseket, a futtatókörnyezet monitorozását és az automatizált szervizelési műveleteket.

  • Szabályzat használata kódként. Az IaC-eszközökkel kódon keresztül kényszerítheti ki a szabályozási szabályzatokat. A szabályzat mint kód javítja a szabályozási vezérlők automatizálását, és biztosítja a különböző környezetek konzisztenciáját. Fontolja meg az Enterprise Azure Policy as Code (EPAC) használatát az ajánlott Azure-beli célzóna-szabályzatokhoz igazodó szabályzatok kezeléséhez.

  • Igény szerint egyéni megoldásokat fejleszthet. Egyéni szabályozási műveletek esetén fontolja meg egyéni szkriptek vagy alkalmazások fejlesztését. Az Azure service API-k használatával gyűjthet adatokat, vagy közvetlenül kezelheti az erőforrásokat.

Az Azure megkönnyítése: Felhőszabályozási szabályzatok automatikus kényszerítése

Az alábbi útmutató segít megtalálni a megfelelő eszközöket a felhőszabályozási szabályzatoknak való megfelelés automatizálásához az Azure-ban. Mintául szolgál a felhőszabályozás fő kategóriáihoz.

Szabályozási megfelelőség szabályozásának automatizálása

  • Szabályozási megfelelőségi szabályzatok alkalmazása. Olyan beépített szabályozási megfelelőségi szabályzatokat használjon, amelyek megfelelnek a megfelelőségi szabványoknak, például HITRUST/HIPAA, ISO 27001, CMMC, FedRamp és PCI DSSv4.

  • Egyéni korlátozások automatizálása. Egyéni szabályzatok létrehozásával saját szabályokat határozhat meg az Azure-ral való munkavégzéshez.

A biztonsági szabályozás automatizálása

Költségszabályozás automatizálása

  • Az üzembehelyezési korlátozások automatizálása. Bizonyos felhőalapú erőforrások letiltása a költségigényes erőforrások használatának megakadályozása érdekében.

  • Egyéni korlátozások automatizálása. Egyéni szabályzatok létrehozásával saját szabályokat határozhat meg az Azure-ral való munkavégzéshez.

  • A költségfelosztás automatizálása. Címkézési követelmények kikényszerítése a környezetek (fejlesztési, tesztelési, éles), részlegek vagy projektek költségeinek csoportosításához és lefoglalásához. Címkék használatával azonosíthatja és nyomon követheti a költségoptimalizálási erőfeszítések részét képező erőforrásokat.

Műveletek szabályozásának automatizálása

  • A redundancia automatizálása. A beépített Azure-szabályzatok használatával meghatározott szintű infrastruktúra-redundanciát igényelhet, például zónaredundáns és georedundáns példányokat.

  • Biztonsági mentési szabályzatok alkalmazása. Biztonsági mentési szabályzatok használatával szabályozhatja a biztonsági mentés gyakoriságát, a megőrzési időt és a tárolási helyet. A biztonsági mentési szabályzatok összehangolása az adatszabályozással, a jogszabályi megfelelőségi követelményekkel, a helyreállítási idő célkitűzésével (RTO) és a helyreállítási pont célkitűzésével (RPO). Az egyes Azure-szolgáltatások, például az Azure SQL Database biztonsági mentési beállításaival konfigurálhatja a szükséges beállításokat.

  • Feleljen meg a célszolgáltatás-szintű célkitűzésnek. Korlátozza bizonyos szolgáltatások és szolgáltatási szintek (SKU-k) üzembe helyezését, amelyek nem felelnek meg a célszolgáltatás-szintű célkitűzésnek. Használja például a szabályzatdefiníciót az Not allowed resource types Azure Policyban.

Adatszabályozás automatizálása

  • Adatszabályozás automatizálása. Automatizálhatja az adatszabályozási feladatokat, például a katalogizálást, a leképezést, a biztonságos megosztást és a szabályzatok alkalmazását.

  • Az adatéletciklus-kezelés automatizálása. A tárolás tárolási szabályzatainak és életciklus-kezelésének implementálása az adatok hatékony és megfelelő tárolásának biztosítása érdekében.

  • Adatbiztonság automatizálása. Tekintse át és kényszerítse ki az adatvédelmi stratégiákat, például az adatok elkülönítését, titkosítását és redundanciát.

Erőforrás-kezelés szabályozásának automatizálása

  • Erőforrás-kezelési hierarchia létrehozása. A felügyeleti csoportok segítségével rendszerezheti az előfizetéseket, hogy hatékonyan szabályozhassa a szabályzatokat, a hozzáférést és a kiadásokat. Kövesse az Azure célzóna erőforrás-szervezetének ajánlott eljárásait.

  • Címkézési stratégia kényszerítése. Győződjön meg arról, hogy minden Azure-erőforrás egységes címkével rendelkezik a kezelhetőség, a költségkövetés és a megfelelőség javítása érdekében. A címkézési stratégia meghatározása és a címkeszabályozás kezelése.

  • Az üzembe helyezhető erőforrások korlátozása. Tiltsa le az erőforrástípusokat a szükségtelen kockázatot jelentő szolgáltatások üzembe helyezésének korlátozásához.

  • Az üzemelő példányok korlátozása adott régiókra. Szabályozhatja, hogy hol vannak üzembe helyezve az erőforrások a szabályozási követelményeknek való megfelelés, a költségek kezelése és a késés csökkentése érdekében. Használja például a szabályzatdefiníciót az Allowed locations Azure Policyban. Emellett regionális korlátozásokat is érvényesíthet az üzembehelyezési folyamatban.

  • Infrastruktúra használata kódként (IaC). Az infrastruktúra üzembe helyezésének automatizálása Bicep-, Terraform- vagy Azure Resource Manager-sablonok (ARM-sablonok) használatával. Az IaC-konfigurációkat forrásvezérlő rendszerben (GitHub vagy Azure Repos) tárolhatja a változások nyomon követéséhez és az együttműködéshez. Az Azure célzónagyorsítókkal szabályozhatja a platform- és alkalmazáserőforrások üzembe helyezését, és elkerülheti a konfiguráció időbeli eltérését.

  • Hibrid és többfelhős környezetek szabályozása. Hibrid és többfelhős erőforrások szabályozása. Konzisztenciát tarthat fenn a felügyelet és a szabályzatkényszerítés terén.

AI-szabályozás automatizálása

  • Használja a lekéréses kiterjesztett generációs (RAG) mintát. Az RAG egy információlekérdezési rendszert ad hozzá a nyelvi modell által a válasz létrehozásához használt földelési adatok szabályozásához. Használhatja például az Azure OpenAI szolgáltatást a saját adatfunkcióján, vagy beállíthatja a RAG-ot az Azure AI Search szolgáltatással, hogy a generatív AI-t a tartalomra korlátozza.

  • Használja az AI fejlesztői eszközeit. Az AI-eszközöket, például a Szemantic Kernelt használva megkönnyítheti és szabványosíthatja az AI vezénylését az AI-t használó alkalmazások fejlesztésekor.

  • A kimeneti generáció szabályozása. Segít megelőzni a visszaéléseket és a káros tartalmak létrehozását. AI-tartalomszűrés és AI-visszaélések monitorozása.

  • Adatveszteség-megelőzés konfigurálása. Adatveszteség-megelőzés konfigurálása az Azure AI-szolgáltatásokhoz. Konfigurálja azon kimenő URL-címek listáját, amelyekhez az AI-szolgáltatások erőforrásai hozzáférhetnek.

  • Használjon rendszerüzeneteket. A rendszerüzenetek segítségével irányíthatja az AI-rendszerek viselkedését, és testre szabhatja a kimeneteket.

  • Alkalmazza az AI biztonsági alapkonfigurációt. Az AI-rendszerek biztonságának szabályozásához használja az Azure AI biztonsági alapkonfigurációját .

Felhőszabályozási szabályzatok manuális kényszerítése

Az eszközök korlátozása vagy költsége néha nem praktikussá teszi az automatizált kényszerítést. Ha nem tudja automatizálni a kényszerítéseket, manuálisan kényszerítse ki a felhőszabályozási szabályzatokat. A felhőszabályozás manuális kikényszerítéséhez kövesse az alábbi javaslatokat:

  • Használjon ellenőrzőlistákat. Az irányítási ellenőrzőlisták használatával megkönnyítheti a csapatok számára a felhőszabályozási szabályzatok követését. További információkért tekintse meg a megfelelőségi ellenőrzőlistákat.

  • Rendszeres betanítást biztosít. Az összes érintett csapattag számára tartson gyakori képzéseket, hogy tisztában legyenek a szabályozási szabályzatokkal.

  • Rendszeres felülvizsgálatok ütemezése. A felhőbeli erőforrások és folyamatok rendszeres felülvizsgálatának és auditálásának ütemezésének implementálása az irányítási szabályzatoknak való megfelelés biztosítása érdekében. Ezek a felülvizsgálatok kritikus fontosságúak a létrehozott szabályzatoktól való eltérések azonosításához és a korrekciós intézkedések elvégzéséhez.

  • Monitorozás manuálisan. Dedikált személyzet hozzárendelése a felhőkörnyezet figyeléséhez a szabályozási szabályzatoknak való megfelelés érdekében. Fontolja meg az erőforrások használatának nyomon követését, a hozzáférés-vezérlés kezelését és annak biztosítását, hogy az adatvédelmi intézkedések a szabályzatokhoz igazodjanak. Definiáljon például egy átfogó költségkezelési megközelítést a felhőköltségek szabályozásához.

Szabályzatkényszerítés áttekintése

A megfelelőségi kényszerítési mechanizmusok rendszeres felülvizsgálata és frissítése. A cél az, hogy a felhőszabályozási szabályzatok betartatása igazodjon a jelenlegi igényekhez, beleértve a fejlesztői, az tervezői, a számítási feladatokat, a platformot és az üzleti követelményeket. A szabályzatkényszerítés áttekintéséhez kövesse az alábbi javaslatokat:

  • Vegye fel a kapcsolatot az érdekelt felekkel. A végrehajtási mechanizmusok hatékonyságának megvitatása az érdekelt felekkel. Győződjön meg arról, hogy a felhőszabályozás betartatása megfelel az üzleti célkitűzéseknek és a megfelelőségi követelményeknek.

  • Monitorozási követelmények. A kényszerítési mechanizmusok frissítése vagy eltávolítása az új vagy frissített követelményeknek megfelelően. Nyomon követheti az olyan szabályozások és szabványok változásait, amelyek megkövetelik a kényszerítési mechanizmusok frissítését. Az Azure-beli célzóna által javasolt szabályzatok például idővel változhatnak. Észlelnie kell ezeket a szabályzatmódosításokat, frissítenie kell a legújabb azure-beli kezdőzónás egyéni szabályzatokat, vagy szükség szerint át kell migrálnia a beépített szabályzatokra.

Példa felhőszabályozási megfelelőségi ellenőrzőlistákra

A megfelelőségi ellenőrzőlisták segítenek a csapatoknak megérteni a rájuk vonatkozó szabályozási szabályzatokat. A példamegfelelőségi ellenőrzőlisták a példafelhőszabályozási szabályzatok házirend-utasítását használják, és tartalmazzák a felhőszabályozási szabályzat azonosítóját a kereszthivatkozásokhoz.

Kategória Megfelelőségi követelmény
Előírásoknak való megfelelés ☐ A Microsoft Purview-t a bizalmas adatok (RC01) figyeléséhez kell használni.
☐ A napi bizalmas adatmegfelelési jelentéseket a Microsoft Purview (RC02) szolgáltatásból kell létrehozni.
Biztonság ☐ Az MFA-t minden felhasználó (SC01) számára engedélyezni kell.
☐ A hozzáférési felülvizsgálatokat havonta kell elvégezni az ID Governance (SC02) alkalmazásban.
☐ Az összes alkalmazás- és infrastruktúrakód (SC03) üzemeltetéséhez használja a megadott GitHub-szervezetet.
☐ A nyilvános forrásokból származó kódtárakat használó csapatoknak a karanténmintát (SC04) kell alkalmazniuk.
Üzemeltetés ☐ Az éles számítási feladatoknak aktív-passzív architektúrával kell rendelkezniük a régiók (OP01) között.
☐ Minden kritikus fontosságú számítási feladatnak régióközi aktív-aktív architektúrát (OP02) kell implementálnia.
Költség ☐ A számítási feladatokat végző csapatoknak az erőforráscsoport szintjén (CM01) kell beállítaniuk a költségvetés-riasztásokat.
☐ Az Azure Advisor költségjavaslatait felül kell vizsgálni (CM02).
Adatok ☐ Az átvitel közbeni és inaktív titkosítást minden bizalmas adatra alkalmazni kell. (DG01)
☐ Az adatéletciklus-szabályzatokat minden bizalmas adathoz (DG02) engedélyezni kell.
Erőforrás-kezelés ☐ A Bicep-et az erőforrások (RM01) üzembe helyezéséhez kell használni.
☐ A címkéket az Azure Policy (RM02) használatával kell kikényszeríteni az összes felhőerőforráson.
Mesterséges intelligencia ☐ Az AI-tartalomszűrési konfigurációt közepes vagy magasabbra (AI01) kell beállítani.
☐ Az ügyféloldali AI-rendszereknek havonta (AI02) red-teamednek kell lenniük.

Következő lépés