Tillämpa principer för molnstyrning
Den här artikeln visar hur du framtvingar efterlevnad av principer för molnstyrning. Molnstyrningsframtvingande avser de kontroller och procedurer som du använder för att anpassa molnanvändningen till molnstyrningsprinciperna. Molnstyrningsteamet utvärderar molnrisker och skapar principer för molnstyrning för att hantera dessa risker. För att säkerställa efterlevnaden av molnstyrningsprinciperna måste molnstyrningsteamet delegera tvingande ansvarsområden. De måste ge varje team eller individ möjlighet att tillämpa molnstyrningsprinciper inom sitt ansvarsområde. Molnstyrningsteamet kan inte göra allt. Föredrar automatiserade tvingande kontroller men framtvingar efterlevnad manuellt där du inte kan automatisera.
Definiera en metod för att framtvinga principer för molnstyrning
Upprätta en systematisk strategi för att framtvinga efterlevnad av principer för molnstyrning. Målet är att använda automatiserade verktyg och manuell tillsyn för att effektivt framtvinga efterlevnad. Följ dessa rekommendationer för att definiera en tillämpningsmetod:
Delegera styrningsansvar. Ge individer och team möjlighet att framtvinga styrning inom deras ansvarsområde. Plattformsteam bör till exempel tillämpa principer som arbetsbelastningarna ärver och arbetsbelastningsteamen bör framtvinga styrning för sin arbetsbelastning. Molnstyrningsteamet bör inte ansvara för att tillämpa verkställighetskontroller.
Anta en arvsmodell. Tillämpa en hierarkisk styrningsmodell där specifika arbetsbelastningar ärver styrningsprinciper från plattformen. Den här modellen hjälper till att säkerställa att organisationens standarder gäller för rätt miljöer, till exempel inköpskrav för molntjänster. Följ designprinciperna för Azure-landningszoner och dess resursorganisationsdesignområde för att upprätta en korrekt arvsmodell.
Diskutera tvingande detaljer. Diskutera var och hur du tillämpar styrningsprinciper. Målet är att hitta kostnadseffektiva sätt att framtvinga efterlevnad som påskyndar produktiviteten. Utan diskussion riskerar du att blockera förloppet för specifika team. Det är viktigt att hitta en balans som stöder affärsmålen samtidigt som risken hanteras effektivt.
Ha en övervakningsinriktad hållning. Blockera inte åtgärder om du inte förstår dem först. Börja med att övervaka efterlevnaden av molnstyrningsprinciper för risk med lägre prioritet. När du har förstått risken kan du övergå till mer restriktiva verkställighetskontroller. En metod som övervakar först ger dig möjlighet att diskutera styrningsbehoven och justera molnstyrningsprincipen och efterlevnadskontrollen efter dessa behov.
Föredrar blocklistor. Föredrar blocklistor framför tillåtna listor. Blocklistor förhindrar distribution av specifika tjänster. Det är bättre att ha en liten lista över tjänster som du inte bör använda än en lång lista över tjänster som du kan använda. Lägg inte till nya tjänster i blocklistan som standard för att undvika långa blocklistor.
Definiera en taggnings- och namngivningsstrategi. Upprätta systematiska riktlinjer för namngivning och taggning av molnresurser. Det tillhandahåller ett strukturerat ramverk för resurskategorisering, kostnadshantering, säkerhet och efterlevnad i molnmiljön. Tillåt team, till exempel utvecklingsteam, att lägga till andra taggar för sina unika behov.
Tillämpa principer för molnstyrning automatiskt
Använd verktyg för molnhantering och styrning för att automatisera efterlevnaden av styrningsprinciper. De här verktygen kan hjälpa dig att konfigurera skyddsräcken, övervaka konfigurationer och säkerställa efterlevnad. Följ dessa rekommendationer för att konfigurera automatisk tillämpning:
Börja med en liten uppsättning automatiserade principer. Automatisera efterlevnaden av en liten uppsättning viktiga principer för molnstyrning. Implementera och testa automatisering för att undvika driftstörningar. Expandera listan över automatiserade tvingande kontroller när du är klar.
Använd verktyg för molnstyrning. Använd de verktyg som är tillgängliga i din molnmiljö för att framtvinga efterlevnad. Azures primära styrningsverktyg är Azure Policy. Komplettera Azure Policy med Microsoft Defender för molnet (säkerhet), Microsoft Purview (data), Microsoft Entra ID Governance (identitet), Azure Monitor (åtgärder), hanteringsgrupper (resurshantering), infrastruktur som kod (IaC) (resurshantering) och konfigurationer inom varje Azure-tjänst.
Tillämpa styrningsprinciper i rätt omfång. Använd ett arvssystem där principer anges på en högre nivå, till exempel hanteringsgrupper. Principer på högre nivåer gäller automatiskt för lägre nivåer, till exempel prenumerationer och resursgrupper. Principer gäller även när det sker ändringar i molnmiljön, vilket minskar hanteringskostnaderna.
Använd tillämpningspunkter för principer. Konfigurera tvingande policypunkter i dina molnmiljöer som automatiskt tillämpar styrningsregler. Överväg fördistributionskontroller, körningsövervakning och automatiserade reparationsåtgärder.
Använd principen som kod. Använd IaC-verktyg för att tillämpa styrningsprinciper via kod. Princip som kod förbättrar automatiseringen av styrningskontroller och säkerställer konsekvens i olika miljöer. Överväg att använda Enterprise Azure Policy som kod (EPAC) för att hantera principer som är anpassade till rekommenderade Principer för Azure-landningszoner.
Utveckla anpassade lösningar efter behov. För anpassade styrningsåtgärder bör du överväga att utveckla anpassade skript eller program. Använd Azure-tjänst-API:er för att samla in data eller hantera resurser direkt.
Azure-underlättande: Framtvinga principer för molnstyrning automatiskt
Följande vägledning kan hjälpa dig att hitta rätt verktyg för att automatisera efterlevnaden av molnstyrningsprinciper i Azure. Det är en exempelstartpunkt för viktiga kategorier av molnstyrning.
Automatisera styrning av regelefterlevnad
Tillämpa regelefterlevnadsprinciper. Använd inbyggda regler för regelefterlevnad som överensstämmer med efterlevnadsstandarder, till exempel HITRUST/HIPAA, ISO 27001, CMMC, FedRamp och PCI DSSv4.
Automatisera anpassade begränsningar. Skapa anpassade principer för att definiera dina egna regler för att arbeta med Azure.
Automatisera säkerhetsstyrning
Tillämpa säkerhetsprinciper. Använd de inbyggda säkerhetsprinciperna och automatiserad säkerhetsefterlevnad för att följa vanliga säkerhetsstandarder. Det finns inbyggda principer för NIST 800 SP-serien, Prestandamått för Center for Internet Security och Microsofts prestandamått för molnsäkerhet. Använd inbyggda principer för att automatisera säkerhetskonfigurationen för specifika Azure-tjänster. Skapa anpassade principer för att definiera dina egna regler för att arbeta med Azure.
Tillämpa identitetsstyrning. Aktivera Microsoft Entra multifaktorautentisering (MFA) och lösenordsåterställning med självbetjäning. Eliminera svaga lösenord. Automatisera andra aspekter av identitetsstyrning, till exempel arbetsflöden för åtkomstbegäran, åtkomstgranskningar och livscykelhantering för identiteter. Aktivera just-in-time-åtkomst för att begränsa åtkomsten till viktiga resurser. Använd principer för villkorlig åtkomst för att bevilja eller blockera användar- och enhetsidentiteter åtkomst till molntjänster.
Tillämpa åtkomstkontroller. Använd rollbaserad åtkomstkontroll i Azure (RBAC) och attributbaserad åtkomstkontroll (ABAC) för att styra åtkomsten till specifika resurser. Bevilja och neka behörigheter till användare och grupper. Använd behörigheten i lämpligt omfång (hanteringsgrupp, prenumeration, resursgrupp eller resurs) för att endast ge den behörighet som krävs och begränsa hanteringskostnaderna.
Automatisera kostnadsstyrning
Automatisera distributionsbegränsningar. Tillåt inte vissa molnresurser för att förhindra användning av kostnadsintensiva resurser.
Automatisera anpassade begränsningar. Skapa anpassade principer för att definiera dina egna regler för att arbeta med Azure.
Automatisera kostnadsallokering. Framtvinga taggningskrav för att gruppera och allokera kostnader mellan miljöer (utveckling, test, produktion), avdelningar eller projekt. Använd taggar för att identifiera och spåra resurser som ingår i en kostnadsoptimering.
Automatisera driftstyrning
Automatisera redundans. Använd inbyggda Azure-principer för att kräva en angiven nivå av infrastrukturredundans, till exempel zonredundanta och geo-redundanta instanser.
Tillämpa säkerhetskopieringsprinciper. Använd säkerhetskopieringsprinciper för att styra säkerhetskopieringsfrekvensen, kvarhållningsperioden och lagringsplatsen. Justera säkerhetskopieringsprinciper med datastyrning, regelefterlevnadskrav, mål för återställningstid (RTO) och mål för återställningspunkt (RPO). Använd säkerhetskopieringsinställningarna i enskilda Azure-tjänster, till exempel Azure SQL Database, för att konfigurera de inställningar du behöver.
Uppfylla målet på servicenivå. Begränsa distributionen av vissa tjänster och tjänstnivåer (SKU:er) som inte uppfyller målet på servicenivå. Du kan till exempel använda principdefinitionen
Not allowed resource typesi Azure Policy.
Automatisera datastyrning
Automatisera datastyrning. Automatisera datastyrningsuppgifter , till exempel katalogisering, mappning, säker delning och tillämpning av principer.
Automatisera datalivscykelhantering. Implementera lagringsprinciper och livscykelhantering för lagring för att säkerställa att data lagras effektivt och kompatibelt.
Automatisera datasäkerhet. Granska och framtvinga dataskyddsstrategier, till exempel datasegregering, kryptering och redundans.
Automatisera styrning av resurshantering
Skapa en resurshanteringshierarki. Använd hanteringsgrupper för att organisera dina prenumerationer så att du effektivt kan styra principer, åtkomst och utgifter. Följ metodtipsen för azure-landningszonens resursorganisation .
Framtvinga en taggningsstrategi. Se till att alla Azure-resurser är konsekvent taggade för att förbättra hanterbarhet, kostnadsspårning och efterlevnad. Definiera taggningsstrategin och hantera taggstyrning.
Begränsa vilka resurser du kan distribuera. Tillåt inte resurstyper för att begränsa distributioner av tjänster som medför onödiga risker.
Begränsa distributioner till specifika regioner. Kontrollera var resurser distribueras för att uppfylla regelkrav, hantera kostnader och minska svarstiden. Du kan till exempel använda principdefinitionen
Allowed locationsi Azure Policy. Tillämpa även regionala begränsningar i distributionspipelinen.Använd infrastruktur som kod (IaC). Automatisera infrastrukturdistributioner med hjälp av Bicep-, Terraform- eller Azure Resource Manager-mallar (ARM-mallar). Lagra dina IaC-konfigurationer i ett källkontrollsystem (GitHub eller Azure Repos) för att spåra ändringar och samarbeta. Använd Azure-acceleratorer för landningszoner för att styra distributionen av dina plattforms- och programresurser och undvika konfigurationsavvikelser över tid.
Styra hybridmiljöer och miljöer med flera moln. Styra hybrid- och multimolnsresurser. Upprätthålla konsekvens i hantering och principframtvingande.
Automatisera AI-styrning
Använd RAG-mönstret (retrieval augmented generation). RAG lägger till ett informationshämtningssystem för att styra de jordningsdata som en språkmodell använder för att generera ett svar. Du kan till exempel använda Azure OpenAI-tjänsten på din egen datafunktion eller konfigurera RAG med Azure AI Search för att begränsa generativ AI till ditt innehåll.
Använd AI-utvecklingsverktyg. Använd AI-verktyg, till exempel semantisk kernel, som underlättar och standardiserar AI-orkestrering när du utvecklar program som använder AI.
Styr utdatagenereringen. Bidra till att förhindra missbruk och skadlig innehållsgenerering. Använd AI-innehållsfiltrering och övervakning av AI-missbruk.
Konfigurera dataförlustskydd. Konfigurera dataförlustskydd för Azure AI-tjänster. Konfigurera listan över utgående URL:er som deras AI-tjänstresurser har åtkomst till.
Använd systemmeddelanden. Använd systemmeddelanden för att vägleda beteendet för ett AI-system och skräddarsy utdata.
Tillämpa AI-säkerhetsbaslinjen. Använd Säkerhetsbaslinjen för Azure AI för att styra säkerheten för AI-system.
Tillämpa principer för molnstyrning manuellt
Ibland gör en verktygsbegränsning eller kostnad automatisk tillämpning opraktisk. I de fall där du inte kan automatisera tillämpningen tillämpar du principer för molnstyrning manuellt. Följ dessa rekommendationer för att manuellt framtvinga molnstyrning:
Använd checklistor. Använd checklistor för styrning för att göra det enkelt för dina team att följa molnstyrningsprinciperna. Mer information finns i exemplet på checklistor för efterlevnad.
Ge regelbunden utbildning. Genomför frekventa utbildningssessioner för alla relevanta teammedlemmar för att säkerställa att de är medvetna om styrningsprinciperna.
Schemalägg regelbundna granskningar. Implementera ett schema för regelbundna granskningar och granskningar av molnresurser och processer för att säkerställa efterlevnad av styrningsprinciper. Dessa granskningar är viktiga för att identifiera avvikelser från etablerade principer och vidta korrigerande åtgärder.
Övervaka manuellt. Tilldela dedikerad personal för att övervaka molnmiljön för efterlevnad av styrningsprinciper. Överväg att spåra användningen av resurser, hantera åtkomstkontroller och se till att dataskyddsåtgärder finns på plats för att överensstämma med principerna. Definiera till exempel en omfattande kostnadshanteringsmetod för att styra molnkostnader.
Granska principframtvingande
Granska och uppdatera mekanismerna för efterlevnadsefterlevnad regelbundet. Målet är att hålla efterlevnaden av molnstyrningsprincipen anpassad till aktuella behov, inklusive krav för utvecklare, arkitekt, arbetsbelastning, plattform och företag. Följ dessa rekommendationer för att granska principtillämpningen:
Interagera med intressenter. Diskutera hur effektiva verkställighetsmekanismerna är med intressenterna. Se till att molnstyrningsframtvingandet överensstämmer med affärsmål och efterlevnadskrav.
Övervaka krav. Uppdatera eller ta bort tillämpningsmekanismer för att anpassa till nya eller uppdaterade krav. Spåra ändringar i regler och standarder som kräver uppdateringar av dina tillämpningsmekanismer. Rekommenderade principer för Azure-landningszoner kan till exempel ändras över tid. Du bör identifiera dessa principändringar, uppdatera till de senaste anpassade principerna för Azure-landningszonen eller migrera till inbyggda principer efter behov.
Exempel på checklistor för efterlevnad av molnstyrning
Checklistor för efterlevnad hjälper teamen att förstå de styrningsprinciper som gäller för dem. Exempelchecklistorna för efterlevnad använder principuttryck från exempelprinciper för molnstyrning och innehåller princip-ID:t för molnstyrning för korsreferenser.
| Kategori | Efterlevnadskrav |
|---|---|
| Regelefterlevnad | ☐ Microsoft Purview måste användas för att övervaka känsliga data (RC01). ☐ Dagliga rapporter om efterlevnad av känsliga data måste genereras från Microsoft Purview (RC02). |
| Säkerhet | ☐ MFA måste vara aktiverat för alla användare (SC01). ☐ Åtkomstgranskningar måste utföras varje månad i ID-styrning (SC02). ☐ Använd den angivna GitHub-organisationen som värd för all program- och infrastrukturkod (SC03). ☐ Team som använder bibliotek från offentliga källor måste använda karantänmönstret (SC04). |
| Operations | ☐ Produktionsarbetsbelastningar bör ha en aktiv-passiv arkitektur mellan regioner (OP01). ☐ Alla verksamhetskritiska arbetsbelastningar måste implementera en aktiv-aktiv arkitektur (OP02) mellan regioner. |
| Kostnad | ☐ Arbetsbelastningsteam måste ange budgetaviseringar på resursgruppsnivå (CM01). ☐ Kostnadsrekommendationer för Azure Advisor måste granskas (CM02). |
| Data | ☐ Kryptering under överföring och i vila måste tillämpas på alla känsliga data. (DG01) ☐ Datalivscykelprinciper måste vara aktiverade för alla känsliga data (DG02). |
| Resurshantering | ☐ Bicep måste användas för att distribuera resurser (RM01). ☐ Taggar måste tillämpas på alla molnresurser med hjälp av Azure Policy (RM02). |
| AI | ☐ Ai-innehållsfiltreringskonfigurationen måste vara inställd på medelhög eller högre (AI01). ☐ Kundinriktade AI-system måste vara red-teamed varje månad (AI02). |
Gå vidare
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för