Freigeben über


Durchsetzen von Cloudgovernance-Richtlinien

In diesem Artikel erfahren Sie, wie Sie die Einhaltung von Cloud-Governance-Richtlinien erzwingen. Die Durchsetzung von Cloudgovernance bezieht sich auf die Steuerelemente und Verfahren, die Sie verwenden, um die Cloudnutzung an die Cloudgovernancerichtlinien auszurichten. Das Cloud-Governance-Team bewertet Cloudrisiken und erstellt Cloudgovernancerichtlinien zur Verwaltung dieser Risiken. Um die Einhaltung der Cloudgovernancerichtlinien sicherzustellen, muss das Cloud-Governance-Team Die Erzwingungsaufgaben delegieren. Sie müssen jedem Team oder jeder Person die Möglichkeit geben, Cloud-Governance-Richtlinien innerhalb ihres Verantwortungsbereichs durchzusetzen. Das Cloud-Governance-Team kann nicht alles übernehmen. Bevorzugen Sie automatisierte Erzwingungskontrollen, erzwingen Sie jedoch die Compliance manuell, wo Sie nicht automatisieren können.

Diagramm, das den Prozess zum Einrichten und Verwalten der Cloudgovernance zeigt. Das Diagramm zeigt fünf sequenzielle Schritte: Erstellen eines Cloud-Governance-Teams, Dokumentieren von Cloud-Governance-Richtlinien, Erzwingen von Cloud-Governance-Richtlinien und Überwachen der Cloudgovernance. Der erste Schritt, den Sie einmal ausführen. Die letzten vier Schritte, die Sie einmal ausführen, um Cloud-Governance einzurichten und kontinuierlich cloudgovernance aufrechtzuerhalten.

Definieren eines Ansatzes zum Erzwingen von Cloudgovernancerichtlinien

Richten Sie eine systematische Strategie ein, um die Einhaltung von Cloud-Governance-Richtlinien zu erzwingen. Ziel ist es, automatisierte Tools und manuelle Aufsicht zu verwenden, um die Compliance effizient durchzusetzen. Befolgen Sie die folgenden Empfehlungen, um einen Erzwingungsansatz zu definieren:

  • Delegieren Sie Governance-Verantwortlichkeiten. Ermöglichen Sie Einzelpersonen und Teams, Governance innerhalb ihres Verantwortungsbereichs durchzusetzen. Plattformteams sollten beispielsweise Richtlinien anwenden, die die Workloads erben, und Workload-Teams sollten die Governance für ihre Workloads durchsetzen. Das Cloud-Governance-Team sollte nicht für die Anwendung von Durchsetzungskontrollen verantwortlich sein.

  • Übernehmen Sie ein Vererbungsmodell. Wenden Sie ein hierarchisches Governancemodell an, bei dem bestimmte Workloads Governancerichtlinien von der Plattform erben. Dieses Modell trägt dazu bei, sicherzustellen, dass organisatorische Standards für die richtigen Umgebungen gelten, z. B. Einkaufsanforderungen für Clouddienste. Befolgen Sie die Entwurfsprinzipien der Azure-Landing-Zonen und des Entwurfsbereichs der Ressourcenorganisation, um ein geeignetes Vererbungsmodell einzurichten.

  • Diskutieren Sie die spezifischen Details der Durchsetzung. Diskutieren Sie, wo und wie Sie Governancerichtlinien anwenden. Ziel ist es, kostengünstige Wege zu finden, um Compliance durchzusetzen, die die Produktivität beschleunigt. Ohne Diskussion riskiere ich, den Fortschritt bestimmter Teams zu blockieren. Es ist wichtig, ein Gleichgewicht zu finden, das die Geschäftsziele unterstützt, während das Risiko effektiv verwaltet wird.

  • Verfolgen Sie eine Monitor-zuerst-Haltung. Blockieren Sie keine Aktionen, bevor Sie sie verstehen. Um das Risiko mit niedrigerer Priorität zu verringern, überwachen Sie zunächst die Compliance mit Cloud-Governance-Richtlinien. Nachdem Sie das Risiko verstanden haben, können Sie zu restriktiveren Durchsetzungskontrollen wechseln. Ein Monitor-first-Ansatz bietet Ihnen die Möglichkeit, die Governance-Anforderungen zu diskutieren und die Cloud-Governance-Richtlinie und die Durchsetzungssteuerung auf diese Anforderungen auszurichten.

  • Bevorzugen Sie Blocklisten. Bevorzugen Sie Blocklisten gegenüber Zulassungslisten. Blocklisten verhindern die Bereitstellung bestimmter Dienste. Es ist besser, eine kleine Liste von Diensten zu haben, die Sie nicht verwenden sollten, als eine lange Liste von Diensten, die Sie verwenden können. Um langwierige Blocklisten zu vermeiden, fügen Sie der Blockliste standardmäßig keine neuen Dienste hinzu.

  • Definieren Sie eine Kategorisierungs- und Benennungsstrategie. Richten Sie systematische Richtlinien für das Benennen und Kategorisieren von Cloudressourcen ein. Sie bietet ein strukturiertes Framework für Ressourcenkategorisierung, Kostenverwaltung, Sicherheit und Compliance in der gesamten Cloudumgebung. Erlauben Sie Teams, z. B. Entwicklungsteams, weitere Tags für ihre individuellen Anforderungen hinzuzufügen.

Automatisches Erzwingen von Cloudgovernancerichtlinien

Verwenden Sie Cloudverwaltungs- und Governancetools, um die Einhaltung von Governancerichtlinien zu automatisieren. Diese Tools können bei der Einrichtung von Schutzschienen, Überwachungskonfigurationen und der Sicherstellung der Compliance helfen. Befolgen Sie die folgenden Empfehlungen, um die automatisierte Erzwingung einzurichten:

  • Beginnen Sie mit einer kleinen Gruppe automatisierter Richtlinien. Automatisieren Sie die Compliance für eine kleine Reihe wichtiger Cloud-Governance-Richtlinien. Implementieren und testen Sie die Automatisierung, um Betriebsunterbrechungen zu vermeiden. Erweitern Sie Ihre Liste der automatisierten Kontrollen, wenn Sie bereit sind.

  • Verwenden Sie Cloud-Governance-Tools. Verwenden Sie die in Ihrer Cloudumgebung verfügbaren Tools, um compliance zu erzwingen. Das primäre Governancetool von Azure ist Azure Policy. Ergänzen Sie die Azure-Richtlinie mit Microsoft Defender für Cloud (Sicherheit), Microsoft Purview (Daten), Microsoft Entra ID Governance (Identität), Azure Monitor (Vorgänge), Verwaltungsgruppen (Ressourcenverwaltung), Infrastruktur als Code (IaC) ( Ressourcenverwaltung) und Konfigurationen innerhalb jedes Azure-Diensts.

  • Wenden Sie Governancerichtlinien auf den richtigen Bereich an. Verwenden Sie ein Vererbungssystem, bei dem Richtlinien auf einer höheren Ebene festgelegt werden, z. B. Verwaltungsgruppen. Richtlinien auf höheren Ebenen gelten automatisch für niedrigere Ebenen, z. B. Abonnements und Ressourcengruppen. Richtlinien gelten auch dann, wenn Änderungen in der Cloudumgebung vorhanden sind, was den Verwaltungsaufwand verringert.

  • Verwenden Sie Richtlinien-Durchsetzungspunkte. Richten Sie Richtlinienerzwingungspunkte in Ihren Cloudumgebungen ein, die Automatisch Governanceregeln anwenden. Erwägen Sie Vorabbereitstellungsprüfungen, Laufzeitüberwachungs- und automatisierte Wartungsaktionen.

  • Verwenden Sie die Richtlinie als Code. Verwenden Sie IaC-Tools, um Governancerichtlinien über Code zu erzwingen. Richtlinie als Code verbessert die Automatisierung von Governance-Steuerelementen und sorgt für Konsistenz in verschiedenen Umgebungen. Erwägen Sie die Verwendung der Enterprise Azure-Richtlinie als Code (EPAC), um Richtlinien zu verwalten, die mit den empfohlenen Azure-Zielzonenrichtlinien übereinstimmen.

  • Entwickeln Sie bei Bedarf benutzerdefinierte Lösungen. Bei benutzerdefinierten Governanceaktionen sollten Sie benutzerdefinierte Skripts oder Anwendungen entwickeln. Verwenden Sie Azure-Dienst-APIs, um Daten zu sammeln oder Ressourcen direkt zu verwalten.

Azure-Unterstützung: Automatisches Durchsetzen von Cloud-Governance-Richtlinien

Die folgenden Anleitungen helfen Ihnen, die richtigen Tools zum Automatisieren der Compliance mit Cloud-Governance-Richtlinien in Azure zu finden. Es bietet einen Beispielstartpunkt für wichtige Kategorien von Cloud-Governance.

Automatisierung der regulatorischen Compliance-Überwachung

Automatisieren der Sicherheitsgovernance

Kostenverwaltung automatisieren

  • Automatisieren Sie Bereitstellungseinschränkungen. Verweigern Sie bestimmte Cloud-Ressourcen, um die Nutzung kostenintensiver Ressourcen zu verhindern.

  • Automatisieren sie benutzerdefinierte Einschränkungen. Erstellen Sie benutzerdefinierte Richtlinien , um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.

  • Automatisieren Sie die Kostenzuordnung. Erzwingen Sie Tagginganforderungen zum Gruppieren und Zuordnen von Kosten für Umgebungen (Entwicklung, Test, Produktion), Abteilungen oder Projekte. Verwenden Sie Tags, um Ressourcen zu identifizieren und nachzuverfolgen, die Teil eines Kostenoptimierungsaufwands sind.

Automatisierung der Betriebsführung

  • Automatisieren Sie Redundanz. Verwenden Sie integrierte Azure-Richtlinien, um eine bestimmte Ebene der Infrastrukturredundanz wie zonenredundante und georedundante Instanzen zu erfordern.

  • Anwenden von Sicherungsrichtlinien. Verwenden Sie Sicherungsrichtlinien , um die Sicherungshäufigkeit, den Aufbewahrungszeitraum und den Speicherort zu steuern. Richten Sie Backups-Richtlinien mit Datengovernance, gesetzlichen Complianceanforderungen, Wiederherstellungszeitziel (RTO) und Wiederherstellungspunktziel (RPO) aus. Verwenden Sie die Sicherungseinstellungen in einzelnen Azure-Diensten, z. B. Azure SQL-Datenbank, um die benötigten Einstellungen zu konfigurieren.

  • Erfüllen Sie das Service-Level-Objective. Beschränken Sie die Bereitstellung bestimmter Dienste und Dienstebenen (SKUs), die Ihr Ziel auf Dienstebene nicht erfüllen. Verwenden Sie beispielsweise die Not allowed resource types Richtliniendefinition in Azure-Richtlinie.

Automatisierung der Datengovernance

  • Automatisieren Sie die Datenverwaltung. Automatisieren Sie Data Governance-Aufgaben, z. B. Katalogisierung, Zuordnen, sichere Freigabe und Anwenden von Richtlinien.

  • Automatisieren sie die Datenlebenszyklusverwaltung. Implementieren Sie Speicherrichtlinien und Lebenszyklusverwaltung für die Speicherung , um sicherzustellen, dass Daten effizient und konform gespeichert werden.

  • Automatisieren Sie die Datensicherheit. Überprüfen und Erzwingen von Datenschutzstrategien wie Datentrennung, Verschlüsselung und Redundanz.

Automatisierung der Governance der Ressourcenverwaltung

  • Erstellen Sie eine Ressourcenverwaltungshierarchie. Verwenden Sie Verwaltungsgruppen , um Ihre Abonnements so zu organisieren, dass Sie Richtlinien, Zugriff und Ausgaben effizient steuern können. Befolgen Sie bewährte Methoden der Azure-Ressourcenorganisation für die Landing Zone.

  • Erzwingen sie eine Taggingstrategie. Stellen Sie sicher, dass alle Azure-Ressourcen konsistent gekennzeichnet sind, um die Verwaltbarkeit, Kostennachverfolgung und Compliance zu verbessern. Definieren Sie Ihre Taggingstrategie , und verwalten Sie taggovernance.

  • Beschränken Sie die Ressourcen, die Sie bereitstellen können. Verbieten Sie Ressourcentypen, damit die Bereitstellung von Diensten eingeschränkt wird, die unnötiges Risiko hinzufügen.

  • Beschränken Sie Bereitstellungen auf bestimmte Regionen. Steuern Sie, wo Ressourcen bereitgestellt werden, um behördliche Anforderungen einzuhalten, Kosten zu verwalten und die Latenz zu verringern. Verwenden Sie beispielsweise die Allowed locations Richtliniendefinition in Azure-Richtlinie. Erzwingen Sie auch regionale Einschränkungen in Ihrer Bereitstellungspipeline.

  • Verwenden Sie die Infrastruktur als Code (IaC). Automatisieren Sie Infrastrukturbereitstellungen mit Bicep-, Terraform- oder Azure Resource Manager-Vorlagen (ARM-Vorlagen). Speichern Sie Ihre IaC-Konfigurationen in einem Quellcodeverwaltungssystem (GitHub oder Azure Repos), um Änderungen nachzuverfolgen und zusammenzuarbeiten. Verwenden Sie Azure Landing Zone Accelerators , um die Bereitstellung Ihrer Plattform- und Anwendungsressourcen zu steuern und konfigurationsabweichungen im Laufe der Zeit zu vermeiden.

  • Steuern Sie Hybrid- und Multicloudumgebungen. Steuern sie Hybrid- und Multicloudressourcen. Sorgen Sie für Konsistenz bei der Verwaltung und Richtlinienerzwingung.

Automatisieren der KI-Governance

Manuelles Erzwingen von Cloudgovernancerichtlinien

Manchmal macht eine Werkzeugeinschränkung oder -kosten die automatisierte Erzwingung unpraktisch. In Fällen, in denen Sie die Erzwingung nicht automatisieren können, erzwingen Sie Cloudgovernancerichtlinien manuell. Befolgen Sie die folgenden Empfehlungen, um Cloud-Governance manuell zu erzwingen:

  • Verwenden Sie Checklisten. Verwenden Sie Governance-Checklisten, um Es Ihren Teams zu erleichtern, die Cloud-Governance-Richtlinien zu befolgen. Weitere Informationen finden Sie in den Beispiel-Compliance-Checklisten.

  • Bieten Sie regelmäßige Schulungen an. Führen Sie häufige Schulungssitzungen für alle relevanten Teammitglieder durch, um sicherzustellen, dass sie die Governancerichtlinien kennen.

  • Planen Sie regelmäßige Rezensionen. Implementieren Sie einen Zeitplan für regelmäßige Überprüfungen und Prüfungen von Cloudressourcen und -prozessen, um die Einhaltung von Governancerichtlinien sicherzustellen. Diese Überprüfungen sind wichtig, um Abweichungen von etablierten Richtlinien zu identifizieren und Korrekturmaßnahmen zu ergreifen.

  • Manuelle Überwachung. Weisen Sie dediziertes Personal zu, um die Cloudumgebung auf Compliance mit Governancerichtlinien zu überwachen. Erwägen Sie das Nachverfolgen der Verwendung von Ressourcen, das Verwalten von Zugriffskontrollen und die Sicherstellung, dass Datenschutzmaßnahmen an die Richtlinien angepasst werden. Definieren Sie beispielsweise einen umfassenden Kostenmanagementansatz , um Cloudkosten zu steuern.

Überprüfung der Richtliniendurchsetzung

Überprüfen und aktualisieren Sie regelmäßig Compliance-Erzwingungsmechanismen. Ziel ist es, die Durchsetzung von Cloud-Governance-Richtlinien an die aktuellen Anforderungen anzupassen, einschließlich Entwickler, Architekt, Workload, Plattform und Geschäftsanforderungen. Befolgen Sie die folgenden Empfehlungen, um die Richtlinienerzwingung zu überprüfen:

  • Interagieren Sie mit den Projektbeteiligten. Diskutieren Sie die Wirksamkeit der Durchsetzungsmechanismen mit den Beteiligten. Stellen Sie sicher, dass die Durchsetzung von Cloud-Governance den Geschäftszielen und Complianceanforderungen entspricht.

  • Überwachen Sie die Anforderungen. Aktualisieren oder entfernen Sie Erzwingungsmechanismen, um sie an neue oder aktualisierte Anforderungen anzupassen. Verfolgen Sie Änderungen an Vorschriften und Standards, die Aktualisierungen Ihrer Durchsetzungsmechanismen erfordern. Die empfohlenen Richtlinien für die Azure-Zielzone können sich z. B. im Laufe der Zeit ändern. Sie sollten diese Richtlinienänderungen erkennen , auf die neuesten benutzerdefinierten Azure-Zielzonenrichtlinien aktualisieren oder nach Bedarf zu integrierten Richtlinien migrieren .

Beispiel für Compliance-Checklisten für Cloud-Governance

Compliance-Checklisten helfen Teams dabei, die Governancerichtlinien zu verstehen, die für sie gelten. Die Beispielcompliance-Checklisten verwenden die Richtlinienausweisung aus dem Beispiel für Cloud-Governance-Richtlinien und enthalten die Cloud-Governance-Richtlinien-ID für querverweisende Verweise.

Kategorie Complianceanforderung
Regulierungskonformität ☐ Microsoft Purview muss zum Überwachen vertraulicher Daten (RC01) verwendet werden.
☐ Tägliche Berichte zur Einhaltung vertraulicher Daten müssen aus Microsoft Purview (RC02) generiert werden.
Sicherheit ☐ MFA muss für alle Benutzer (SC01) aktiviert sein.
☐ Zugriffsüberprüfungen müssen monatlich in ID Governance (SC02) durchgeführt werden.
☐ Verwenden Sie die angegebene GitHub-Organisation, um den gesamten Anwendungs- und Infrastrukturcode (SC03) zu hosten.
☐ Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantänemuster (SC04) übernehmen.
Operationen ☐ Produktionsworkloads sollten über eine aktiv passive Architektur in allen Regionen (OP01) verfügen.
☐ Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur (OP02) implementieren.
Kosten ☐ Workload-Teams müssen Budgetwarnungen auf Ressourcengruppenebene (CM01) festlegen.
☐ Azure Advisor-Kostenempfehlungen müssen überprüft werden (CM02).
Daten ☐ Verschlüsselung bei der Übertragung und im Ruhezustand muss auf alle die vertraulichen Daten angewendet werden. (DG01)
☐ Datenlebenszyklusrichtlinien müssen für alle vertraulichen Daten (DG02) aktiviert sein.
Ressourcenverwaltung Bicep muss zum Bereitstellen von Ressourcen (RM01) verwendet werden.
☐ Tags müssen für alle Cloudressourcen mit Azure Policy (RM02) erzwungen werden.
Künstliche Intelligenz ☐ Die Konfiguration der KI-Inhaltsfilterung muss auf "mittel" oder höher (AI01) festgelegt werden.
☐ Kundenorientierte KI-Systeme müssen monatlich einer Überprüfung unterzogen werden (AI02).

Nächster Schritt