Wymuszanie zasad ładu w chmurze

  • Artykuł

W tym artykule pokazano, jak wymusić zgodność z zasadami ładu w chmurze. Wymuszanie ładu w chmurze odnosi się do mechanizmów kontroli i procedur używanych do dopasowywania chmury do zasad ładu w chmurze. Zespół ds. ładu w chmurze ocenia czynniki ryzyka związane z chmurą i tworzy zasady ładu w chmurze w celu zarządzania tymi zagrożeniami. Aby zapewnić zgodność z zasadami ładu w chmurze, zespół ds. ładu w chmurze musi delegować obowiązki w zakresie wymuszania. Muszą oni umożliwić każdemu zespołowi lub indywidualnemu wymuszanie zasad ładu w chmurze w ramach ich obszaru odpowiedzialności. Zespół ds. ładu w chmurze nie może zrobić tego wszystkiego. Preferuj automatyczne mechanizmy wymuszania, ale wymuszaj zgodność ręcznie, gdzie nie można zautomatyzować.

Diagram przedstawiający proces konfigurowania i utrzymania ładu w chmurze. Na diagramie przedstawiono pięć kroków sekwencyjnych: tworzenie zespołu ds. ładu w chmurze, dokumentowanie zasad ładu w chmurze, wymuszanie zasad ładu w chmurze i monitorowanie ładu w chmurze. Pierwszy krok, który należy wykonać raz. Ostatnie cztery kroki wykonywane raz w celu skonfigurowania ładu w chmurze i ciągłego utrzymania ładu w chmurze.

Definiowanie podejścia do wymuszania zasad ładu w chmurze

Ustanów systematyczną strategię wymuszania zgodności z zasadami ładu w chmurze. Celem jest efektywne stosowanie zautomatyzowanych narzędzi i ręcznego nadzoru. Aby zdefiniować podejście wymuszania, wykonaj następujące zalecenia:

  • Delegowanie obowiązków związanych z ładem. Umożliwianie osobom i zespołom wymuszania ładu w zakresie odpowiedzialności. Na przykład zespoły platformy powinny stosować zasady dziedziczone przez obciążenia i zespoły obciążeń powinny wymuszać nadzór dla obciążenia. Zespół ds. ładu w chmurze nie powinien być odpowiedzialny za stosowanie mechanizmów kontroli wymuszania.

  • Wdrażanie modelu dziedziczenia. Zastosuj hierarchiczny model ładu, w którym określone obciążenia dziedziczą zasady ładu z platformy. Ten model pomaga zapewnić, że standardy organizacyjne mają zastosowanie do odpowiednich środowisk, takich jak wymagania dotyczące zakupów usług w chmurze. Postępuj zgodnie z zasadami projektowania stref docelowych platformy Azure i obszaru projektowania organizacji zasobów, aby ustanowić odpowiedni model dziedziczenia.

  • Omówienie specyfiki wymuszania. Omówienie miejsca i sposobu stosowania zasad ładu. Celem jest znalezienie ekonomicznych sposobów wymuszania zgodności, która przyspiesza produktywność. Bez dyskusji ryzykujesz blokowanie postępów określonych zespołów. Ważne jest, aby znaleźć równowagę, która wspiera cele biznesowe podczas efektywnego zarządzania ryzykiem.

  • Mają stanowisko monitora pierwszego. Nie blokuj akcji, chyba że je rozumiesz jako pierwsze. W przypadku ryzyka o niższym priorytetu zacznij od monitorowania zgodności z zasadami ładu w chmurze. Po zrozumieniu ryzyka można przejść do bardziej restrykcyjnych mechanizmów kontroli wymuszania. Podejście oparte na monitorze umożliwia omówienie potrzeb związanych z ładem i dostosowanie zasad ładu do chmury oraz kontroli wymuszania tych potrzeb.

  • Preferuj listy zablokowanych. Preferuj listy zablokowanych na listach dozwolonych. Listy zablokowanych uniemożliwiają wdrażanie określonych usług. Lepiej jest mieć małą listę usług, których nie należy używać niż długa lista usług, których można użyć. Aby uniknąć długich list zablokowanych, nie domyślnie dodawaj nowych usług do listy zablokowanych.

  • Zdefiniuj strategię tagowania i nazewnictwa. Ustanów systematyczne wytyczne dotyczące nazewnictwa i tagowania zasobów w chmurze. Zapewnia ona strukturę kategoryzacji zasobów, zarządzania kosztami, zabezpieczeń i zgodności w środowisku chmury. Zezwalaj zespołom, takim jak zespoły programistyczne, na dodawanie innych tagów dla ich unikatowych potrzeb.

Wymuszanie zasad ładu w chmurze automatycznie

Użyj narzędzi do zarządzania chmurą i ładu, aby zautomatyzować zgodność z zasadami ładu. Te narzędzia mogą pomóc w konfigurowaniu barier zabezpieczających, konfigurowaniu konfiguracji monitorowania i zapewnianiu zgodności. Aby skonfigurować automatyczne wymuszanie, wykonaj następujące zalecenia:

  • Zacznij od małego zestawu zautomatyzowanych zasad. Automatyzowanie zgodności w małym zestawie podstawowych zasad ładu w chmurze. Zaimplementuj i przetestuj automatyzację, aby uniknąć zakłóceń operacyjnych. Rozwiń listę automatycznych kontrolek wymuszania, gdy wszystko będzie gotowe.

  • Użyj narzędzi do zapewniania ładu w chmurze. Użyj narzędzi dostępnych w środowisku chmury, aby wymusić zgodność. Podstawowym narzędziem do zapewniania ładu na platformie Azure jest usługa Azure Policy. Uzupełnienie usługi Azure Policy przy użyciu Microsoft Defender dla Chmury (zabezpieczeń), usługi Microsoft Purview (danych), Zarządzanie tożsamością Microsoft Entra (tożsamości), usługi Azure Monitor (operacje), grup zarządzania (zarządzanie zasobami), infrastruktury jako kodu (IaC) (zarządzanie zasobami) i konfiguracje w ramach każdej usługi platformy Azure.

  • Zastosuj zasady ładu w odpowiednim zakresie. Użyj systemu dziedziczenia, w którym zasady są ustawiane na wyższym poziomie, takim jak grupy zarządzania. Zasady na wyższych poziomach są automatycznie stosowane do niższych poziomów, takich jak subskrypcje i grupy zasobów. Zasady mają zastosowanie nawet w przypadku zmian w środowisku chmury, co zmniejsza obciążenie związane z zarządzaniem.

  • Użyj punktów wymuszania zasad. Skonfiguruj punkty wymuszania zasad w środowiskach chmury, które automatycznie stosują reguły ładu. Rozważ kontrole przed wdrożeniem, monitorowanie środowiska uruchomieniowego i zautomatyzowane akcje korygowania.

  • Użyj zasad jako kodu. Użyj narzędzi IaC, aby wymusić zasady ładu za pomocą kodu. Zasady jako kod zwiększają automatyzację mechanizmów kontroli ładu i zapewniają spójność w różnych środowiskach. Rozważ użycie usługi Azure Policy w przedsiębiorstwie jako kodu (EPAC), aby zarządzać zasadami zgodnymi z zalecanymi zasadami strefy docelowej platformy Azure.

  • Twórz rozwiązania niestandardowe zgodnie z potrzebami. W przypadku niestandardowych akcji ładu rozważ utworzenie niestandardowych skryptów lub aplikacji. Użyj interfejsów API usługi platformy Azure, aby zbierać dane lub zarządzać zasobami bezpośrednio.

Ułatwienia platformy Azure: Automatyczne wymuszanie zasad ładu w chmurze

Poniższe wskazówki mogą pomóc w znalezieniu odpowiednich narzędzi do automatyzacji zgodności z zasadami ładu w chmurze na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze.

Automatyzowanie ładu zgodności z przepisami

  • Stosowanie zasad zgodności z przepisami. Użyj wbudowanych zasad zgodności z przepisami, które są zgodne ze standardami zgodności, takimi jak HITRUST/HIPAA, ISO 27001, CMMC, FedRamp i PCI DSSv4.

  • Automatyzowanie ograniczeń niestandardowych. Utwórz zasady niestandardowe, aby zdefiniować własne reguły pracy z platformą Azure.

Automatyzowanie ładu zabezpieczeń

  • Stosowanie zasad zabezpieczeń. Użyj wbudowanych zasad zabezpieczeń i zautomatyzowanej zgodności zabezpieczeń, aby dopasować je do wspólnych standardów zabezpieczeń. Istnieją wbudowane zasady dla serii NIST 800 SP, testy porównawcze Center for Internet Security i test porównawczy zabezpieczeń w chmurze firmy Microsoft. Użyj wbudowanych zasad, aby zautomatyzować konfigurację zabezpieczeń określonych usług platformy Azure. Utwórz zasady niestandardowe, aby zdefiniować własne reguły pracy z platformą Azure.

  • Stosowanie ładu tożsamości. Włącz uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA) i samoobsługowe resetowanie hasła. Eliminowanie słabych haseł. Automatyzowanie innych aspektów ładu tożsamości, takich jak przepływy pracy żądań dostępu, przeglądy dostępu i zarządzanie cyklem życia tożsamości. Włącz dostęp just in time, aby ograniczyć dostęp do ważnych zasobów. Zasady dostępu warunkowego umożliwiają udzielanie lub blokowanie dostępu tożsamości użytkowników i urządzeń do usług w chmurze.

  • Stosowanie kontroli dostępu. Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure i kontroli dostępu opartej na atrybutach (ABAC), aby zarządzać dostępem do określonych zasobów. Udzielanie i odmawianie uprawnień użytkownikom i grupom. Zastosuj uprawnienie w odpowiednim zakresie (grupa zarządzania, subskrypcja, grupa zasobów lub zasób), aby zapewnić tylko wymagane uprawnienia i ograniczyć obciążenie związane z zarządzaniem.

Automatyzowanie ładu w zakresie kosztów

  • Automatyzowanie ograniczeń wdrażania. Nie zezwalaj na korzystanie z zasobów w chmurze , aby uniemożliwić korzystanie z zasobów intensywnie korzystających z kosztów.

  • Automatyzowanie ograniczeń niestandardowych. Utwórz zasady niestandardowe, aby zdefiniować własne reguły pracy z platformą Azure.

  • Automatyzowanie alokacji kosztów. Wymuszanie wymagań dotyczących tagowania w celu grupowania i przydzielania kosztów w środowiskach (programowanie, testowanie, produkcja), działy lub projekty. Użyj tagów, aby zidentyfikować i śledzić zasoby, które są częścią nakładu pracy optymalizacji kosztów.

Automatyzowanie ładu operacji

  • Automatyzowanie nadmiarowości. Użyj wbudowanych zasad platformy Azure, aby wymagać określonego poziomu nadmiarowości infrastruktury, takich jak wystąpienia strefowo nadmiarowe i geograficznie nadmiarowe.

  • Stosowanie zasad tworzenia kopii zapasowych. Zasady tworzenia kopii zapasowych umożliwiają zarządzanie częstotliwością tworzenia kopii zapasowych , okresem przechowywania i lokalizacją przechowywania. Dopasowywanie zasad kopii zapasowych do ładu danych, wymagań dotyczących zgodności z przepisami, celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO). Użyj ustawień kopii zapasowej w poszczególnych usługach platformy Azure, takich jak Usługa Azure SQL Database, aby skonfigurować potrzebne ustawienia.

  • Spełnianie docelowego celu poziomu usług. Ogranicz wdrażanie niektórych usług i warstw usług (SKU), które nie spełniają celu docelowego poziomu usług. Na przykład użyj Not allowed resource types definicji zasad w usłudze Azure Policy.

Automatyzowanie ładu danych

  • Automatyzowanie ładu danych. Automatyzowanie zadań nadzoru nad danymi, takich jak katalogowanie, mapowanie, bezpieczne udostępnianie i stosowanie zasad.

  • Automatyzowanie zarządzania cyklem życia danych. Zaimplementuj zasady magazynu i zarządzanie cyklem życia dla magazynu , aby zapewnić efektywne i zgodne przechowywanie danych.

  • Automatyzowanie zabezpieczeń danych. Przejrzyj i wymuś strategie ochrony danych, takie jak segregacja danych, szyfrowanie i nadmiarowość.

Automatyzowanie ładu zarządzania zasobami

  • Utwórz hierarchię zarządzania zasobami. Użyj grup zarządzania, aby zorganizować subskrypcje, aby efektywnie zarządzać zasadami, dostępem i wydatkami. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi organizacji zasobów strefy docelowej platformy Azure.

  • Wymuszanie strategii tagowania. Upewnij się, że wszystkie zasoby platformy Azure są stale oznaczane w celu zwiększenia możliwości zarządzania, śledzenia kosztów i zgodności. Zdefiniuj strategię tagowania i zarządzaj ładem tagów.

  • Ogranicz zasoby, które można wdrożyć. Nie zezwalaj na typy zasobów, aby ograniczyć wdrożenia usług, które dodają niepotrzebne ryzyko.

  • Ogranicz wdrożenia do określonych regionów. Kontroluj, gdzie zasoby są wdrażane, aby spełnić wymagania prawne, zarządzać kosztami i zmniejszać opóźnienia. Na przykład użyj Allowed locations definicji zasad w usłudze Azure Policy. Wymuszaj również ograniczenia regionalne w potoku wdrażania.

  • Użyj infrastruktury jako kodu (IaC). Automatyzowanie wdrożeń infrastruktury przy użyciu szablonów Bicep, Terraform lub Azure Resource Manager (szablonów usługi ARM). Przechowuj konfiguracje IaC w systemie kontroli źródła (GitHub lub Azure Repos), aby śledzić zmiany i współpracować. Użyj akceleratorów strefy docelowej platformy Azure, aby zarządzać wdrażaniem zasobów platformy i aplikacji i unikać dryfu konfiguracji w czasie.

  • Zarządzanie środowiskami hybrydowymi i wielochmurowymi. Zarządzanie zasobami hybrydowymi i wielochmurowymi. Zachowaj spójność w zarządzaniu i wymuszaniu zasad.

Automatyzowanie ładu w zakresie sztucznej inteligencji

  • Użyj wzorca rozszerzonej generacji pobierania (RAG). Funkcja RAG dodaje system pobierania informacji w celu kontrolowania danych uziemienia używanych przez model językowy do generowania odpowiedzi. Możesz na przykład użyć usługi Azure OpenAI Service we własnej funkcji danych lub skonfigurować aplikację RAG za pomocą usługi Azure AI Search , aby ograniczyć generowanie sztucznej inteligencji do zawartości.

  • Korzystanie z narzędzi programistycznych sztucznej inteligencji. Użyj narzędzi sztucznej inteligencji, takich jak semantyczne jądro, które ułatwiają i standandaryzują aranżację sztucznej inteligencji podczas tworzenia aplikacji korzystających ze sztucznej inteligencji.

  • Zarządzanie generowaniem danych wyjściowych. Pomaga zapobiegać nadużyciom i szkodliwemu generowaniu zawartości. Użyj filtrowania zawartości sztucznej inteligencji i monitorowania nadużyć sztucznej inteligencji.

  • Konfigurowanie ochrony przed utratą danych. Konfigurowanie ochrony przed utratą danych dla usług Azure AI. Skonfiguruj listę adresów URL ruchu wychodzącego, do których mogą uzyskiwać dostęp zasoby usług sztucznej inteligencji.

  • Użyj komunikatów systemowych. Użyj komunikatów systemowych, aby kierować zachowaniem systemu sztucznej inteligencji i dostosowywać dane wyjściowe.

  • Zastosuj punkt odniesienia zabezpieczeń sztucznej inteligencji. Użyj punktu odniesienia zabezpieczeń sztucznej inteligencji platformy Azure, aby zarządzać zabezpieczeniami systemów sztucznej inteligencji.

Ręczne wymuszanie zasad ładu w chmurze

Czasami ograniczenie narzędzia lub koszt sprawia, że automatyczne wymuszanie jest niepraktyczne. W przypadkach, gdy nie można zautomatyzować wymuszania, wymuszaj zasady ładu w chmurze ręcznie. Aby ręcznie wymusić ład w chmurze, wykonaj następujące zalecenia:

  • Użyj list kontrolnych. Użyj list kontrolnych ładu, aby ułatwić zespołom przestrzeganie zasad ładu w chmurze. Aby uzyskać więcej informacji, zobacz przykładowe listy kontrolne zgodności.

  • Zapewnij regularne szkolenie. Przeprowadzaj częste sesje szkoleniowe dla wszystkich odpowiednich członków zespołu, aby upewnić się, że są świadomi zasad ładu.

  • Zaplanuj regularne przeglądy. Zaimplementuj harmonogram regularnych przeglądów i inspekcji zasobów i procesów w chmurze w celu zapewnienia zgodności z zasadami ładu. Te przeglądy mają kluczowe znaczenie dla identyfikowania odchyleń od ustalonych zasad i podejmowania działań naprawczych.

  • Monitoruj ręcznie. Przypisz dedykowany personel, aby monitorować środowisko chmury pod kątem zgodności z zasadami ładu. Rozważ śledzenie użycia zasobów, zarządzanie mechanizmami kontroli dostępu i zapewnienie, że środki ochrony danych są zgodne z zasadami. Na przykład zdefiniuj kompleksowe podejście do zarządzania kosztami w celu zarządzania kosztami chmury.

Przegląd wymuszania zasad

Regularnie przeglądać i aktualizować mechanizmy wymuszania zgodności. Celem jest zapewnienie zgodności wymuszania zasad ładu w chmurze z bieżącymi potrzebami, w tym deweloperem, architektem, obciążeniem, platformą i wymaganiami biznesowymi. Aby przejrzeć wymuszanie zasad, wykonaj następujące zalecenia:

  • Skontaktuj się z uczestnikami projektu. Omówienie skuteczności mechanizmów wymuszania z uczestnikami projektu. Upewnij się, że wymuszanie ładu w chmurze jest zgodne z celami biznesowymi i wymaganiami dotyczącymi zgodności.

  • Monitorowanie wymagań. Aktualizowanie lub usuwanie mechanizmów wymuszania w celu dostosowania ich do nowych lub zaktualizowanych wymagań. Śledzenie zmian w przepisach i standardach, które wymagają aktualizacji mechanizmów wymuszania. Na przykład zalecane zasady strefy docelowej platformy Azure mogą ulec zmianie w czasie. Należy wykryć te zmiany zasad, zaktualizować do najnowszych zasad niestandardowych strefy docelowej platformy Azure lub przeprowadzić migrację do wbudowanych zasad zgodnie z potrzebami.

Przykładowe listy kontrolne zgodności ładu w chmurze

Listy kontrolne zgodności pomagają zespołom zrozumieć zasady ładu, które mają zastosowanie do nich. Przykładowe listy kontrolne zgodności używają instrukcji zasad z przykładowych zasad utrzymania ładu w chmurze i zawierają identyfikator zasad ładu w chmurze na potrzeby odwoływania się krzyżowego.

Kategoria Wymaganie dotyczące zgodności
Zgodność z przepisami ☐ Usługa Microsoft Purview musi być używana do monitorowania poufnych danych (RC01).
☐ Codzienne raporty zgodności danych poufnych muszą być generowane na podstawie usługi Microsoft Purview (RC02).
Zabezpieczenia ☐ Uwierzytelnianie wieloskładnikowe musi być włączone dla wszystkich użytkowników (SC01)..
☐ Przeglądy dostępu muszą być przeprowadzane co miesiąc w programie ID Governance (SC02).
☐ Użyj określonej organizacji usługi GitHub do hostowania wszystkich aplikacji i kodu infrastruktury (SC03).
☐ Zespoły korzystające z bibliotek ze źródeł publicznych muszą przyjąć wzorzec kwarantanny (SC04).
Operacje ☐ Obciążenia produkcyjne powinny mieć architekturę aktywne-pasywne w różnych regionach (OP01).
☐ Wszystkie obciążenia o krytycznym znaczeniu muszą implementować architekturę aktywne-aktywne w wielu regionach (OP02).
Koszt ☐ Zespoły obciążeń muszą ustawić alerty dotyczące budżetów na poziomie grupy zasobów (CM01).
☐ Zalecenia dotyczące kosztów usługi Azure Advisor należy przejrzeć (CM02).
Data ☐ Szyfrowanie podczas przesyłania i magazynowania musi być stosowane do wszystkich poufnych danych. (DG01)
☐ Zasady cyklu życia danych muszą być włączone dla wszystkich poufnych danych (DG02).
Zarządzanie zasobami ☐ Bicep musi służyć do wdrażania zasobów (RM01).
☐ Tagi muszą być wymuszane na wszystkich zasobach w chmurze przy użyciu usługi Azure Policy (RM02).
Sztuczna inteligencja ☐ Konfiguracja filtrowania zawartości sztucznej inteligencji musi być ustawiona na średnią lub wyższą (AI01).
☐ Systemy sztucznej inteligencji dostępne dla klientów muszą być red-teamed co miesiąc (AI02).

Następny krok

Monitorowanie ładu w chmurze