Applicare i criteri di governance del cloud
Questo articolo illustra come applicare la conformità ai criteri di governance del cloud. L'applicazione della governance del cloud si riferisce ai controlli e alle procedure usati per allineare l'uso del cloud ai criteri di governance del cloud. Il team di governance del cloud valuta i rischi cloud e crea criteri di governance del cloud per gestire tali rischi. Per garantire la conformità ai criteri di governance del cloud, il team di governance del cloud deve delegare le responsabilità di imposizione. Devono consentire a ogni team o individuo di applicare i criteri di governance del cloud all'interno dell'area di responsabilità. Il team di governance del cloud non può eseguire tutte le operazioni. Preferisce i controlli di imposizione automatizzati, ma applica la conformità manualmente in cui non è possibile automatizzare.
Definire un approccio per l'applicazione dei criteri di governance del cloud
Stabilire una strategia sistematica per applicare la conformità ai criteri di governance del cloud. L'obiettivo è usare strumenti automatizzati e supervisione manuale per applicare la conformità in modo efficiente. Per definire un approccio di imposizione, seguire queste raccomandazioni:
Delegare le responsabilità di governance. Consentire a singoli utenti e team di applicare la governance all'interno dell'ambito di responsabilità. Ad esempio, i team della piattaforma devono applicare criteri che ereditano i carichi di lavoro e i team del carico di lavoro devono applicare la governance per il carico di lavoro. Il team di governance del cloud non deve essere responsabile dell'applicazione dei controlli di imposizione.
Adottare un modello di ereditarietà. Applicare un modello di governance gerarchico in cui carichi di lavoro specifici ereditano i criteri di governance dalla piattaforma. Questo modello consente di garantire che gli standard dell'organizzazione si applichino agli ambienti corretti, ad esempio i requisiti di acquisto per i servizi cloud. Seguire i principi di progettazione delle zone di destinazione di Azure e l'area di progettazione dell'organizzazione delle risorse per stabilire un modello di ereditarietà appropriato.
Discutere le specifiche dell'applicazione. Illustrare dove e come applicare i criteri di governance. L'obiettivo è trovare modi convenienti per applicare la conformità che accelera la produttività. Senza una discussione, si rischia di bloccare lo stato di avanzamento di team specifici. È importante trovare un equilibrio che supporti gli obiettivi aziendali gestendo i rischi in modo efficace.
Avere una posizione monitor-first. Non bloccare le azioni a meno che non vengano prima comprensibili. Per il rischio con priorità più bassa, iniziare monitorando la conformità ai criteri di governance del cloud. Dopo aver compreso il rischio, è possibile passare a controlli di imposizione più restrittivi. Un approccio monitor-first offre l'opportunità di discutere le esigenze di governance e riallineare i criteri di governance del cloud e il controllo dell'imposizione a tali esigenze.
Indica la preferenza per gli elenchi di blocchi. Preferisce gli elenchi di blocchi rispetto agli elenchi consentiti. Gli elenchi di blocchi impediscono la distribuzione di servizi specifici. È preferibile avere un piccolo elenco di servizi che non è consigliabile usare rispetto a un lungo elenco di servizi che è possibile usare. Per evitare elenchi di blocchi lunghi, non aggiungere nuovi servizi all'elenco di blocchi per impostazione predefinita.
Definire una strategia di assegnazione di tag e denominazione. Definire linee guida sistematiche per la denominazione e l'assegnazione di tag alle risorse cloud. Fornisce un framework strutturato per la categorizzazione delle risorse, la gestione dei costi, la sicurezza e la conformità nell'ambiente cloud. Consentire ai team, ad esempio i team di sviluppo, di aggiungere altri tag per le proprie esigenze specifiche.
Applicare automaticamente i criteri di governance del cloud
Usare gli strumenti di gestione e governance del cloud per automatizzare la conformità ai criteri di governance. Questi strumenti consentono di configurare protezioni, monitorare le configurazioni e garantire la conformità. Per configurare l'imposizione automatica, seguire queste raccomandazioni:
Iniziare con un piccolo set di criteri automatizzati. Automatizzare la conformità in un piccolo set di criteri di governance del cloud essenziali. Implementare e testare l'automazione per evitare interruzioni operative. Espandere l'elenco dei controlli di imposizione automatizzati quando si è pronti.
Usare gli strumenti di governance del cloud. Usare gli strumenti disponibili nell'ambiente cloud per applicare la conformità. Lo strumento di governance principale di Azure è Criteri di Azure. Integrare Criteri di Azure con Microsoft Defender per il cloud (sicurezza), Microsoft Purview (dati), Microsoft Entra ID Governance (identità), Monitoraggio di Azure (operazioni), gruppi di gestione (gestione delle risorse), infrastruttura come codice (IaC) (gestione delle risorse) e configurazioni all'interno di ogni Servizio di Azure.
Applicare i criteri di governance nell'ambito corretto. Usare un sistema di ereditarietà in cui i criteri vengono impostati a un livello superiore, ad esempio i gruppi di gestione. I criteri a livelli più elevati si applicano automaticamente a livelli inferiori, ad esempio sottoscrizioni e gruppi di risorse. I criteri si applicano anche quando sono presenti modifiche all'interno dell'ambiente cloud, riducendo il sovraccarico di gestione.
Usare i punti di imposizione dei criteri. Configurare i punti di imposizione dei criteri all'interno degli ambienti cloud che applicano automaticamente le regole di governance. Prendere in considerazione i controlli di pre-distribuzione, il monitoraggio di runtime e le azioni di correzione automatizzate.
Usare i criteri come codice. Usare gli strumenti IaC per applicare i criteri di governance tramite il codice. I criteri come codice migliorano l'automazione dei controlli di governance e garantiscono la coerenza tra ambienti diversi. Prendere in considerazione l'uso di Enterprise Criteri di Azure come codice (EPAC) per gestire i criteri allineati ai criteri consigliati per la zona di destinazione di Azure.
Sviluppare soluzioni personalizzate in base alle esigenze. Per le azioni di governance personalizzate, è consigliabile sviluppare script o applicazioni personalizzati. Usare le API del servizio di Azure per raccogliere dati o gestire direttamente le risorse.
Facilitazione di Azure: applicazione automatica dei criteri di governance del cloud
Le indicazioni seguenti consentono di trovare gli strumenti giusti per automatizzare la conformità ai criteri di governance del cloud in Azure. Fornisce un punto di partenza di esempio per le principali categorie di governance del cloud.
Automatizzare la governance della conformità alle normative
Applicare i criteri di conformità alle normative. Usare criteri di conformità alle normative predefiniti allineati agli standard di conformità, ad esempio HITRUST/HIPAA, ISO 27001, CMMC, FedRamp e PCI DSSv4.
Automatizzare le restrizioni personalizzate. Creare criteri personalizzati per definire regole personalizzate per l'uso di Azure.
Automatizzare la governance della sicurezza
Applicare i criteri di sicurezza. Usare i criteri di sicurezza predefiniti e la conformità automatica alla sicurezza per allinearsi agli standard di sicurezza comuni. Sono disponibili criteri predefiniti per la serie NIST 800 SP, il Center for Internet Security benchmarks e il benchmark della sicurezza cloud Microsoft. Usare i criteri predefiniti per automatizzare la configurazione di sicurezza di servizi di Azure specifici. Creare criteri personalizzati per definire regole personalizzate per l'uso di Azure.
Applicare la governance delle identità. Abilitare Microsoft Entra multifactor authentication (MFA) e la reimpostazione della password self-service. Eliminare le password deboli. Automatizzare altri aspetti della governance delle identità, ad esempio i flussi di lavoro delle richieste di accesso, le verifiche di accesso e la gestione del ciclo di vita delle identità. Abilitare l'accesso JUST-In-Time per limitare l'accesso alle risorse importanti. Usare i criteri di accesso condizionale per concedere o bloccare l'accesso alle identità utente e dispositivo ai servizi cloud.
Applicare i controlli di accesso. Usare il controllo degli accessi in base al ruolo di Azure e il controllo degli accessi in base all'attributo per gestire l'accesso a risorse specifiche. Concedere e negare le autorizzazioni a utenti e gruppi. Applicare l'autorizzazione nell'ambito appropriato (gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa) per fornire solo l'autorizzazione necessaria e limitare il sovraccarico di gestione.
Automatizzare la governance dei costi
Automatizzare le restrizioni di distribuzione. Non consentire determinate risorse cloud per impedire l'uso di risorse a elevato utilizzo di costi.
Automatizzare le restrizioni personalizzate. Creare criteri personalizzati per definire regole personalizzate per l'uso di Azure.
Automatizzare l'allocazione dei costi. Applicare i requisiti di assegnazione di tag per raggruppare e allocare i costi tra ambienti (sviluppo, test, produzione), reparti o progetti. Usare i tag per identificare e tenere traccia delle risorse che fanno parte di un impegno di ottimizzazione dei costi.
Automatizzare la governance delle operazioni
Automatizzare la ridondanza. Usare i criteri di Azure predefiniti per richiedere un livello specificato di ridondanza dell'infrastruttura, ad esempio istanze con ridondanza della zona e con ridondanza geografica.
Applicare i criteri di backup. Usare i criteri di backup per gestire la frequenza di backup, il periodo di conservazione e il percorso di archiviazione. Allineare i criteri di backup con la governance dei dati, i requisiti di conformità alle normative, l'obiettivo del tempo di ripristino (RTO) e l'obiettivo del punto di ripristino (RPO). Usare le impostazioni di backup nei singoli servizi di Azure, ad esempio database SQL di Azure, per configurare le impostazioni necessarie.
Soddisfare l'obiettivo del livello di servizio di destinazione. Limitare la distribuzione di determinati servizi e livelli di servizio (SKU) che non soddisfano l'obiettivo a livello di servizio di destinazione. Ad esempio, usare la definizione dei
Not allowed resource typescriteri in Criteri di Azure.
Automatizzare la governance dei dati
Automatizzare la governance dei dati. Automatizzare le attività di governance dei dati, ad esempio la catalogazione, il mapping, la condivisione sicura e l'applicazione dei criteri.
Automatizzare la gestione del ciclo di vita dei dati. Implementare criteri di archiviazione e gestione del ciclo di vita per l'archiviazione per garantire che i dati vengano archiviati in modo efficiente e conforme.
Automatizzare la sicurezza dei dati. Esaminare e applicare strategie di protezione dei dati, ad esempio la separazione dei dati, la crittografia e la ridondanza.
Automatizzare la governance della gestione delle risorse
Creare una gerarchia di gestione delle risorse. Usare i gruppi di gestione per organizzare le sottoscrizioni in modo da poter gestire in modo efficiente criteri, accesso e spesa. Seguire le procedure consigliate per l'organizzazione delle risorse della zona di destinazione di Azure.
Applicare una strategia di assegnazione di tag. Assicurarsi che tutte le risorse di Azure siano contrassegnate in modo coerente per migliorare la gestibilità, il rilevamento dei costi e la conformità. Definire la strategia di assegnazione di tag e gestire la governance dei tag.
Limitare le risorse che è possibile distribuire. Non consentire tipi di risorse per limitare le distribuzioni di servizi che aggiungono rischi non necessari.
Limitare le distribuzioni a aree specifiche. Controllare dove vengono distribuite le risorse per rispettare i requisiti normativi, gestire i costi e ridurre la latenza. Ad esempio, usare la definizione dei
Allowed locationscriteri in Criteri di Azure. Applicare anche restrizioni a livello di area nella pipeline di distribuzione.Usare l'infrastruttura come codice (IaC). Automatizzare le distribuzioni dell'infrastruttura usando i modelli Bicep, Terraform o Azure Resource Manager (modelli arm). Archiviare le configurazioni IaC in un sistema di controllo del codice sorgente (GitHub o Azure Repos) per tenere traccia delle modifiche e collaborare. Usare gli acceleratori di zona di destinazione di Azure per gestire la distribuzione delle risorse della piattaforma e dell'applicazione ed evitare la deriva della configurazione nel tempo.
Gestire gli ambienti ibridi e multicloud. Gestire le risorse ibride e multicloud. Mantenere la coerenza nella gestione e nell'applicazione dei criteri.
Automatizzare la governance dell'intelligenza artificiale
Usare il modello di generazione aumentata (RAG) di recupero. Rag aggiunge un sistema di recupero delle informazioni per controllare i dati di base usati da un modello linguistico per generare una risposta. Ad esempio, è possibile usare il servizio Azure OpenAI nella propria funzionalità di dati o configurare RAG con Ricerca di intelligenza artificiale di Azure per vincolare l'intelligenza artificiale generativa al contenuto.
Usare gli strumenti di sviluppo di intelligenza artificiale. Usare gli strumenti di intelligenza artificiale, ad esempio semantic kernel, che facilitano e standardizzano l'orchestrazione dell'intelligenza artificiale durante lo sviluppo di applicazioni che usano l'intelligenza artificiale.
Gestire la generazione di output. Aiuta a prevenire abusi e generazione di contenuti dannosi. Usare il filtro dei contenuti di intelligenza artificiale e il monitoraggio degli abusi di intelligenza artificiale.
Configurare la prevenzione della perdita dei dati. Configurare la prevenzione della perdita dei dati per i servizi di intelligenza artificiale di Azure. Configurare l'elenco degli URL in uscita a cui le risorse dei servizi di intelligenza artificiale sono autorizzate ad accedere.
Usare i messaggi di sistema. Usare i messaggi di sistema per guidare il comportamento di un sistema di intelligenza artificiale e personalizzare gli output.
Applicare la baseline di sicurezza di intelligenza artificiale. Usare la baseline di sicurezza di Intelligenza artificiale di Azure per gestire la sicurezza dei sistemi di intelligenza artificiale.
Applicare manualmente i criteri di governance del cloud
A volte una limitazione o un costo dello strumento rende l'applicazione automatizzata non pratica. Nei casi in cui non è possibile automatizzare l'imposizione, applicare manualmente i criteri di governance del cloud. Per applicare manualmente la governance del cloud, seguire queste raccomandazioni:
Usare elenchi di controllo. Usare gli elenchi di controllo per la governance per semplificare ai team di seguire i criteri di governance del cloud. Per altre informazioni, vedere gli elenchi di controllo di conformità di esempio.
Fornire un training regolare. Eseguire sessioni di formazione frequenti per tutti i membri del team pertinenti per assicurarsi che siano consapevoli dei criteri di governance.
Pianificare revisioni regolari. Implementare una pianificazione per revisioni regolari e controlli delle risorse e dei processi cloud per garantire la conformità ai criteri di governance. Queste revisioni sono fondamentali per identificare le deviazioni dai criteri stabiliti e intraprendere azioni correttive.
Monitorare manualmente. Assegnare personale dedicato per monitorare l'ambiente cloud per la conformità ai criteri di governance. Valutare la possibilità di tenere traccia dell'uso delle risorse, gestire i controlli di accesso e garantire che le misure di protezione dei dati siano in linea con i criteri. Ad esempio, definire un approccio completo per la gestione dei costi per gestire i costi del cloud.
Esaminare l'applicazione dei criteri
Esaminare e aggiornare regolarmente i meccanismi di imposizione della conformità. L'obiettivo è mantenere l'applicazione dei criteri di governance del cloud allineata alle esigenze correnti, tra cui sviluppatori, architetti, carichi di lavoro, piattaforma e requisiti aziendali. Per esaminare l'applicazione dei criteri, seguire queste raccomandazioni:
Interagire con gli stakeholder. Discutere l'efficacia dei meccanismi di applicazione con gli stakeholder. Assicurarsi che l'applicazione della governance del cloud sia allineata agli obiettivi aziendali e ai requisiti di conformità.
Monitorare i requisiti. Aggiornare o rimuovere i meccanismi di imposizione per allinearsi ai requisiti nuovi o aggiornati. Tenere traccia delle modifiche apportate alle normative e agli standard che richiedono aggiornamenti dei meccanismi di imposizione. Ad esempio, i criteri consigliati per la zona di destinazione di Azure possono cambiare nel tempo. È consigliabile rilevare tali modifiche ai criteri, eseguire l'aggiornamento ai criteri personalizzati più recenti della zona di destinazione di Azure o eseguire la migrazione ai criteri predefiniti in base alle esigenze.
Esempi di elenchi di controllo per la conformità alla governance del cloud
Gli elenchi di controllo di conformità aiutano i team a comprendere i criteri di governance applicabili. Gli elenchi di controllo di conformità di esempio usano l'istruzione dei criteri dei criteri di governance del cloud di esempio e contengono l'ID dei criteri di governance del cloud per il riferimento incrociato.
| Categoria | Requisito di conformità |
|---|---|
| Conformità alle normative | ☐ Microsoft Purview deve essere usato per monitorare i dati sensibili (RC01). ☐ I report di conformità dei dati sensibili giornalieri devono essere generati da Microsoft Purview (RC02). |
| Sicurezza | ☐ L'autenticazione a più fattori deve essere abilitata per tutti gli utenti (SC01). ☐ Le verifiche di accesso devono essere eseguite mensilmente in ID Governance (SC02). ☐ Usare l'organizzazione GitHub specificata per ospitare tutto il codice dell'applicazione e dell'infrastruttura (SC03). ☐ I team che usano librerie da origini pubbliche devono adottare il modello di quarantena (SC04). |
| Operazioni | ☐ I carichi di lavoro di produzione devono avere un'architettura attiva-passiva tra aree (OP01). ☐ Tutti i carichi di lavoro cruciali devono implementare un'architettura attiva-attiva tra aree (OP02). |
| Costo | ☐ I team del carico di lavoro devono impostare gli avvisi dei budget a livello di gruppo di risorse (CM01). ☐ Le raccomandazioni sui costi di Azure Advisor devono essere esaminate (CM02). |
| Dati | ☐ La crittografia in transito e inattivi deve essere applicata a tutti i dati sensibili. (DG01) ☐ I criteri relativi al ciclo di vita dei dati devono essere abilitati per tutti i dati sensibili (DG02). |
| Gestione delle risorse | ☐ Bicep deve essere usato per distribuire risorse (RM01).Bicep deve essere usato per distribuire risorse (RM01). ☐ I tag devono essere applicati a tutte le risorse cloud usando Criteri di Azure (RM02). |
| AI | ☐ La configurazione del filtro dei contenuti di intelligenza artificiale deve essere impostata su media o successiva (AI01). ☐ I sistemi di intelligenza artificiale rivolti ai clienti devono essere raggruppati in modo rosso mensile (AI02). |
Passaggio successivo
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per