Применение политик управления облаком
В этой статье показано, как обеспечить соответствие политикам управления облаком. Принудительное применение управления облаком относится к элементам управления и процедурам, используемым для выравнивания использования облака с политиками управления облаком. Команда управления облаком оценивает облачные риски и создает политики управления облаком для управления этими рисками. Чтобы обеспечить соответствие политикам управления облаком, команда управления облаком должна делегировать обязанности по обеспечению соблюдения. Они должны предоставить каждой команде или отдельной группе возможность применять политики управления облаком в рамках своей области ответственности. Команда управления облаком не может сделать все это. Предпочитайте автоматические элементы управления принудительной обработкой, но применяйте соответствие вручную, где вы не можете автоматизировать.
Определение подхода к применению политик управления облаком
Создайте системную стратегию для обеспечения соответствия политикам управления облаком. Цель заключается в использовании автоматизированных средств и ручного надзора для эффективного обеспечения соответствия требованиям. Чтобы определить подход к принудительному применению, выполните следующие рекомендации.
Делегировать обязанности по управлению. Предоставление отдельным лицам и командам возможности обеспечить управление в рамках их область ответственности. Например, команды платформ должны применять политики, которые наследуют рабочие нагрузки и группы рабочей нагрузки должны применять управление для своей рабочей нагрузки. Команда управления облаком не должна отвечать за применение элементов управления принудительной обработкой.
Внедрение модели наследования. Примените иерархическую модель управления, в которой определенные рабочие нагрузки наследуют политики управления от платформы. Эта модель помогает гарантировать, что организационные стандарты применяются к правильным средам, таким как требования к приобретению облачных служб. Следуйте принципам проектирования целевых зон Azure и его области разработки организации ресурсов, чтобы установить правильную модель наследования.
Обсудите особенности применения. Обсудите, где и как применять политики управления. Цель состоит в том, чтобы найти экономичные способы обеспечения соответствия требованиям, которые ускоряют производительность. Без обсуждения вы рискуете заблокировать ход выполнения определенных команд. Важно найти баланс, поддерживающий бизнес-цели при эффективном управлении рисками.
У вас есть позиция монитора. Не блокируйте действия, если вы не понимаете их в первую очередь. Для снижения риска приоритета начните с мониторинга соответствия политикам управления облаком. После того как вы понимаете риск, вы можете перейти к более строгим элементам контроля за применением. Мониторинг первого подхода дает возможность обсудить потребности системы управления и перестроить политику управления облаком и контроль над этими потребностями.
Предпочитать блок-списки. Предпочитайте списки блокировок по спискам разрешений. Списки блокировок препятствуют развертыванию определенных служб. Лучше иметь небольшой список служб, которые не следует использовать, чем длинный список служб, которые можно использовать. Чтобы избежать длинных списков блокировок, не добавляйте новые службы в список блокировок по умолчанию.
Определите стратегию добавления тегов и именования. Установите систематические рекомендации по именованию и тегам облачных ресурсов. Она предоставляет структурированную платформу для классификации ресурсов, управления затратами, безопасности и соответствия требованиям в облачной среде. Разрешите командам, таким как команды разработчиков, добавлять другие теги для своих уникальных потребностей.
Автоматическое применение политик управления облаком
Используйте средства управления облачными клиентами и средства управления, чтобы автоматизировать соответствие политикам управления. Эти средства могут помочь в настройке охранников, конфигураций мониторинга и обеспечения соответствия требованиям. Чтобы настроить автоматическое применение, выполните следующие рекомендации.
Начните с небольшого набора автоматических политик. Автоматизация соответствия для небольшого набора основных политик управления облаком. Реализуйте и тестируйте автоматизацию, чтобы избежать сбоев в работе. Разверните список автоматических элементов управления принудительной обработкой при готовности.
Используйте средства управления облаком. Используйте средства, доступные в облачной среде, для обеспечения соответствия требованиям. Основное средство управления Azure — это Политика Azure. Дополнение Политика Azure с Microsoft Defender для облака (безопасность), Microsoft Purview (данные), Управление идентификацией Microsoft Entra (удостоверение), Azure Monitor (операции), группы управления (ресурс) управление), инфраструктура как код (IaC) (управление ресурсами) и конфигурации в каждой службе Azure.
Примените политики управления справа область. Используйте систему наследования, в которой политики устанавливаются на более высоком уровне, например группы управления. Политики на более высоких уровнях автоматически применяются к более низким уровням, таким как подписки и группы ресурсов. Политики применяются даже при изменении в облачной среде, что снижает затраты на управление.
Используйте точки применения политик. Настройте точки применения политик в облачных средах, которые автоматически применяют правила управления. Рассмотрите возможность предварительного развертывания проверка, мониторинга среды выполнения и автоматизированных действий по исправлению.
Используйте политику в качестве кода. Используйте средства IaC для применения политик управления с помощью кода. Политика как код улучшает автоматизацию элементов управления и обеспечивает согласованность в разных средах. Рекомендуется использовать корпоративную Политика Azure в качестве кода (EPAC) для управления политиками, согласованными с рекомендуемыми политиками целевой зоны Azure.
При необходимости разрабатывайте пользовательские решения. Для действий пользовательского управления рассмотрите возможность разработки пользовательских скриптов или приложений. Используйте API-интерфейсы службы Azure для сбора данных или управления ресурсами напрямую.
Упрощение azure. Автоматическое применение политик управления облаком
Приведенные ниже рекомендации помогут вам найти правильные инструменты для автоматизации соответствия политикам управления облаком в Azure. Он предоставляет пример отправной точки для основных категорий управления облаком.
Автоматизация управления соответствием нормативным требованиям
Применение политик соответствия нормативным требованиям. Используйте встроенные политики соответствия нормативным требованиям, которые соответствуют стандартам соответствия, таким как HITRUST/HIPAA, ISO 27001, CMMC, FedRamp и PCI DSSv4.
Автоматизация пользовательских ограничений. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация управления безопасностью
Применение политик безопасности. Используйте встроенные политики безопасности и автоматическое соответствие требованиям безопасности, чтобы соответствовать общим стандартам безопасности. Существуют встроенные политики серии NIST 800 SP, Center for Internet Security benchmarks и microsoft cloud security benchmarks. Используйте встроенные политики для автоматизации конфигурации безопасности определенных служб Azure. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Применение управления удостоверениями. Включите многофакторную проверку подлинности (MFA) Microsoft Entra и самостоятельный сброс пароля. Устранение слабых паролей. Автоматизация других аспектов управления удостоверениями, таких как рабочие процессы запросов на доступ, проверки доступа и управление жизненным циклом удостоверений. Включите JIT-доступ , чтобы ограничить доступ к важным ресурсам. Используйте политики условного доступа для предоставления или блокировки доступа пользователей и удостоверений устройств к облачным службам.
Применение элементов управления доступом. Используйте управление доступом на основе ролей Azure (RBAC) и управление доступом на основе атрибутов (ABAC) для управления доступом к определенным ресурсам. Предоставление и запрет разрешений пользователям и группам. Примените разрешение на соответствующую область (группу управления, подписку, группу ресурсов или ресурс), чтобы предоставить только необходимые разрешения и ограничить затраты на управление.
Автоматизация управления затратами
Автоматизация ограничений развертывания. Запретить использование некоторых облачных ресурсов, чтобы предотвратить использование ресурсоемких ресурсов .
Автоматизация пользовательских ограничений. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация распределения затрат. Применение требований к тегам для группирования и выделения затрат в средах (разработка, тестирование, производство), отделы или проекты. Используйте теги для выявления и отслеживания ресурсов, которые являются частью усилий по оптимизации затрат.
Автоматизация управления операциями
Автоматизация избыточности. Используйте встроенные политики Azure, чтобы требовать указанного уровня избыточности инфраструктуры, например избыточности между зонами и геоизбыточными экземплярами.
Применение политик резервного копирования. Используйте политики резервного копирования для управления частотой резервного копирования, периодом хранения и расположением хранилища. Выравнивание политик резервного копирования с учетом требований к управлению данными, нормативным требованиям, целевому времени восстановления (RTO) и целевой точке восстановления (RPO). Используйте параметры резервного копирования в отдельных службах Azure, таких как База данных SQL Azure, для настройки необходимых параметров.
Соответствует целевой цели уровня обслуживания. Ограничить развертывание определенных служб и уровней служб (SKU), которые не соответствуют целевой цели уровня обслуживания. Например, используйте
Not allowed resource typesопределение политики в Политика Azure.
Автоматизация управления данными
Автоматизация управления данными. Автоматизация задач управления данными, таких как каталогизация, сопоставление, безопасное совместное использование и применение политик.
Автоматизация управления жизненным циклом данных. Реализуйте политики хранения и управление жизненным циклом для хранения , чтобы обеспечить эффективное хранение данных и соответствие требованиям.
Автоматизация безопасности данных. Просмотрите и примените стратегии защиты данных, такие как разделение данных, шифрование и избыточность.
Автоматизация управления ресурсами
Создайте иерархию управления ресурсами. Используйте группы управления для организации подписок, чтобы эффективно управлять политиками, доступом и расходами. Следуйте рекомендациям организации ресурсов целевой зоны Azure.
Применение стратегии добавления тегов. Убедитесь, что все ресурсы Azure последовательно помечены для повышения управляемости, отслеживания затрат и соответствия требованиям. Определите стратегию добавления тегов и управляйте управлением тегами.
Укажите, какие ресурсы можно развернуть. Запретить типы ресурсов для ограничения развертываний служб, которые добавляют ненужный риск.
Ограничить развертывание определенными регионами. Управление развертыванием ресурсов для соблюдения нормативных требований, управления затратами и уменьшения задержки. Например, используйте
Allowed locationsопределение политики в Политика Azure. Кроме того , применяются региональные ограничения в конвейере развертывания.Используйте инфраструктуру в качестве кода (IaC). Автоматизация развертываний инфраструктуры с помощью шаблонов Bicep, Terraform или Azure Resource Manager (шаблонов ARM). Сохраните конфигурации IaC в системе управления версиями (GitHub или Azure Repos) для отслеживания изменений и совместной работы. Используйте акселераторы целевой зоны Azure для управления развертыванием ресурсов платформы и приложений и избегайте смещения конфигурации с течением времени.
Управление гибридными и многооблачными средами. Управление гибридными и многооблачными ресурсами. Обеспечение согласованности в управлении и применении политик.
Автоматизация управления ИИ
Используйте шаблон получения дополненного поколения (RAG). RAG добавляет систему получения информации для управления данными о заземления, которые используется языковой моделью для создания ответа. Например, вы можете использовать службу Azure OpenAI в собственной функции данных или настроить RAG с помощью поиска ИИ Azure для ограничения создания ими содержимого.
Используйте средства разработки ИИ. Используйте такие средства ИИ, как семантический ядро, которые упрощают и стандартизуют оркестрацию ИИ при разработке приложений, использующих ИИ.
Управление созданием выходных данных. Помогите предотвратить злоупотребление и создание вредного содержимого. Используйте фильтрацию содержимого ИИ и мониторинг злоупотреблений ИИ.
Настройте защиту от потери данных. Настройте защиту от потери данных для служб ИИ Azure. Настройте список исходящих URL-адресов, к которым могут получить доступ ресурсы служб ИИ.
Используйте системные сообщения. Используйте системные сообщения , чтобы управлять поведением системы ИИ и настраивать выходные данные.
Примените базовые показатели безопасности ИИ. Используйте базовые показатели безопасности ИИ Azure для управления безопасностью систем ИИ.
Применение политик управления облаком вручную
Иногда ограничение или стоимость средства делает автоматическое применение непрактичным. В случаях, когда вы не можете автоматизировать принудительное применение, принудительно примените политики управления облаком вручную. Чтобы вручную применить управление облаком, следуйте приведенным ниже рекомендациям.
Используйте контрольные списки. Используйте списки управления проверка, чтобы упростить выполнение командой политик управления облаком. Дополнительные сведения см. в примере списков проверка соответствия требованиям.
Предоставьте регулярное обучение. Проводите частые учебные сессии для всех соответствующих членов команды, чтобы убедиться, что они знают о политиках управления.
Планирование регулярных проверок. Реализуйте расписание для регулярных проверок и аудита облачных ресурсов и процессов, чтобы обеспечить соответствие политикам управления. Эти проверки критически важны для выявления отклонений от установленных политик и принятия корректирующих действий.
Отслеживайте вручную. Назначьте выделенным сотрудникам мониторинг облачной среды для соответствия политикам управления. Рассмотрите возможность отслеживания использования ресурсов, управления средствами управления доступом и обеспечения того, чтобы меры защиты данных были установлены в соответствии с политиками. Например, определите комплексный подход к управлению затратами для управления облачными затратами.
Проверка применения политики
Регулярно просматривайте и обновляйте механизмы применения соответствия требованиям. Цель состоит в том, чтобы обеспечить соблюдение политики управления облаком в соответствии с текущими потребностями, включая разработчика, архитектора, рабочей нагрузки, платформы и бизнес-требований. Чтобы проверить применение политик, следуйте приведенным ниже рекомендациям.
Взаимодействие с заинтересованными лицами. Обсудите эффективность механизмов применения с заинтересованными лицами. Убедитесь, что соблюдение требований к управлению облаком соответствует бизнес-целям и требованиям к соответствию требованиям.
Мониторинг требований. Обновление или удаление механизмов принудительного применения для соответствия новым или обновленным требованиям. Отслеживайте изменения в правилах и стандартах, требующих обновления механизмов применения. Например, рекомендуемые политики целевой зоны Azure могут меняться со временем. Эти изменения следует обнаружить , обновить до последних пользовательских политик целевой зоны Azure или перенести в встроенные политики по мере необходимости.
Примеры проверка списков соответствия требованиям к управлению облаком
Списки соответствия требованиям проверка помогают командам понять политики управления, которые применяются к ним. Примеры соответствия требованиям проверка lists используют инструкцию политики из примера политик управления облаком и содержат идентификатор политики управления облаком для перекрестной ссылки.
| Категория | Требование соответствия требованиям |
|---|---|
| Соблюдение нормативных требований | ☐ Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных (RC01). ☐ Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview (RC02). |
| Безопасность | ☐ MFA должна быть включена для всех пользователей (SC01). ☐ Проверки доступа должны выполняться ежемесячно в системе управления идентификаторами (SC02). ☐ Используйте указанную организацию GitHub для размещения всего кода приложения и инфраструктуры (SC03). ☐ Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина (SC04). |
| Операции | ☐ Рабочие нагрузки должны иметь активную-пассивные архитектуру в регионах (OP01). ☐ Все критически важные рабочие нагрузки должны реализовать межрегионную архитектуру active-active (OP02). |
| Себестоимость | ☐ Группы рабочей нагрузки должны задать оповещения о бюджетах на уровне группы ресурсов (CM01). ☐ Рекомендации по затратам помощника по Azure должны быть проверены (CM02). |
| Data | ☐ Шифрование во время передачи и неактивных данных должно применяться ко всем конфиденциальным данным. (DG01) ☐ Политики жизненного цикла данных должны быть включены для всех конфиденциальных данных (DG02). |
| Управление ресурсами | ☐ Bicep необходимо использовать для развертывания ресурсов (RM01). ☐ Теги должны быть применены ко всем облачным ресурсам с помощью Политика Azure (RM02). |
| ИИ | ☐ Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень (AI01). ☐ Системы искусственного интеллекта, которые сталкиваются с клиентами, должны быть красными ежемесячно (AI02). |
Следующий шаг
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по