Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment appliquer la conformité aux stratégies de gouvernance cloud. L’application de la gouvernance cloud fait référence aux contrôles et procédures que vous utilisez pour aligner l’utilisation du cloud sur les stratégies de gouvernance cloud. L’équipe de gouvernance cloud évalue les risques cloud et crée des stratégies de gouvernance cloud pour gérer ces risques. Pour garantir la conformité aux stratégies de gouvernance cloud, l’équipe de gouvernance cloud doit déléguer des responsabilités d’application. Ils doivent permettre à chaque équipe ou à chaque individu d’appliquer des stratégies de gouvernance cloud au sein de leur domaine de responsabilité. L’équipe de gouvernance cloud ne peut pas tout faire. Préférez les contrôles d’application automatisés, mais appliquez la conformité manuellement là où vous ne pouvez pas automatiser.
Définir une approche pour appliquer des stratégies de gouvernance cloud
Établissez une stratégie systématique pour appliquer la conformité aux stratégies de gouvernance cloud. L’objectif est d’utiliser des outils automatisés et une supervision manuelle pour appliquer efficacement la conformité. Pour définir une approche d’application, suivez ces recommandations :
Déléguer les responsabilités de gouvernance. Permettre aux individus et aux équipes d’appliquer la gouvernance dans leur étendue de responsabilité. Par exemple, les équipes de plateforme doivent appliquer des stratégies que les charges de travail héritent et les équipes de charge de travail doivent appliquer la gouvernance pour leur charge de travail. L’équipe de gouvernance cloud ne doit pas être responsable de l’application des contrôles d’application.
Adoptez un modèle d’héritage. Appliquez un modèle de gouvernance hiérarchique dans lequel des charges de travail spécifiques héritent des stratégies de gouvernance de la plateforme. Ce modèle permet de s’assurer que les normes organisationnelles s’appliquent aux environnements appropriés, tels que les exigences d’achat pour les services cloud. Suivez les principes de conception des zones d’atterrissage Azure et de sa zone de conception de l’organisation des ressources pour établir un modèle d’héritage approprié.
Discutez des spécificités de l’application. Expliquez où et comment vous appliquez des stratégies de gouvernance. L’objectif est de trouver des moyens rentables d’appliquer la conformité qui accélère la productivité. Sans discussion, vous risquez de bloquer la progression des équipes spécifiques. Il est important de trouver un équilibre qui prend en charge les objectifs métier tout en gérant efficacement les risques.
Adopter une approche axée sur la surveillance. Ne bloquez pas les actions, sauf si vous les comprenez d’abord. Pour réduire les risques prioritaires, commencez par surveiller la conformité avec les stratégies de gouvernance cloud. Une fois que vous avez compris le risque, vous pouvez passer à des contrôles d’application plus restrictifs. Une approche monitor-first vous donne la possibilité de discuter des besoins de gouvernance et de réaligner la stratégie de gouvernance cloud et le contrôle d’application de ces besoins.
Préférer les listes de blocs. Préférer les listes de blocs aux listes d’autorisation. Les listes de blocage empêchent le déploiement de services spécifiques. Il est préférable d’avoir une petite liste de services que vous ne devez pas utiliser qu’une longue liste de services que vous pouvez utiliser. Pour éviter de longues listes de blocs, n’ajoutez pas de nouveaux services à la liste de blocs par défaut.
Définissez une stratégie d’étiquetage et d’affectation de noms. Établissez des instructions systématiques pour nommer et marquer des ressources cloud. Il fournit une infrastructure structurée pour la catégorisation des ressources, la gestion des coûts, la sécurité et la conformité dans l’environnement cloud. Autoriser les équipes, telles que les équipes de développement, à ajouter d’autres balises pour leurs besoins uniques.
Appliquer automatiquement des stratégies de gouvernance cloud
Utilisez les outils de gestion et de gouvernance cloud pour automatiser la conformité avec les stratégies de gouvernance. Ces outils peuvent vous aider à configurer des garde-fous, à surveiller les configurations et à garantir la conformité. Pour configurer l’application des règles automatisée, suivez ces recommandations :
Commencez par un petit ensemble de stratégies automatisées. Automatisez la conformité sur un petit ensemble de stratégies de gouvernance cloud essentielles. Implémentez et testez l’automatisation pour éviter les interruptions opérationnelles. Développez votre liste de contrôles d’application automatisés lorsque vous êtes prêt.
Utilisez les outils de gouvernance cloud. Utilisez les outils disponibles dans votre environnement cloud pour appliquer la conformité. L’outil de gouvernance principal d’Azure est Azure Policy. Compléter Azure Policy avec Microsoft Defender pour Cloud (sécurité), Microsoft Purview (données), Gouvernance des ID Microsoft Entra (identité), Azure Monitor (opérations), groupes d’administration (gestion des ressources), infrastructure as code (IaC) (gestion des ressources) et configurations au sein de chaque service Azure.
Appliquez des stratégies de gouvernance au niveau de la bonne étendue. Utilisez un système d’héritage où les stratégies sont définies à un niveau supérieur, comme les groupes d’administration. Les stratégies à des niveaux supérieurs s’appliquent automatiquement aux niveaux inférieurs, tels que les abonnements et les groupes de ressources. Les stratégies s’appliquent même lorsqu’il existe des modifications dans l’environnement cloud, ce qui réduit la surcharge de gestion.
Utilisez des points d’application de stratégie. Configurez des points d’application de stratégie dans vos environnements cloud qui appliquent automatiquement des règles de gouvernance. Envisagez les vérifications de prédéploiement, la surveillance du runtime et les actions de correction automatisées.
Utilisez la politique en tant que code. Utilisez les outils IaC pour appliquer des stratégies de gouvernance par le biais du code. La stratégie en tant que code améliore l’automatisation des contrôles de gouvernance et garantit la cohérence entre différents environnements. Envisagez d’utiliser Enterprise Azure Policy en tant que code (EPAC) pour gérer les stratégies alignées sur les stratégies de zone d’atterrissage Azure recommandées.
Développez des solutions personnalisées en fonction des besoins. Pour les actions de gouvernance personnalisées, envisagez de développer des scripts ou des applications personnalisés. Utilisez les API de service Azure pour collecter des données ou gérer les ressources directement.
Facilitation Azure : application automatique des stratégies de gouvernance cloud
Les conseils suivants peuvent vous aider à trouver les outils appropriés pour automatiser la conformité avec les stratégies de gouvernance cloud dans Azure. Il fournit un exemple de point de départ pour les principales catégories de gouvernance cloud.
Automatiser la gouvernance de la conformité réglementaire
Appliquez des stratégies de conformité réglementaire. Utilisez des stratégies de conformité réglementaire intégrées qui s’alignent sur les normes de conformité, telles que HITRUST/HIPAA, ISO 27001, CMMC, FedRamp et PCI DSSv4.
Automatisez les restrictions personnalisées. Créez des stratégies personnalisées pour définir vos propres règles pour l’utilisation d’Azure.
Automatiser la gouvernance de la sécurité
Appliquez des stratégies de sécurité. Utilisez les stratégies de sécurité intégrées et la conformité automatisée de la sécurité pour s’aligner sur les normes de sécurité courantes. Il existe des stratégies intégrées pour la série NIST 800 SP, les benchmarks Center for Internet Security et le benchmark de sécurité cloud Microsoft. Utilisez des stratégies intégrées pour automatiser la configuration de sécurité de services Azure spécifiques. Créez des stratégies personnalisées pour définir vos propres règles pour l’utilisation d’Azure.
Appliquez la gouvernance des identités. Activez l’authentification multifacteur Microsoft Entra (MFA) et la réinitialisation de mot de passe en libre-service. Éliminez les mots de passe faibles. Automatisez d’autres aspects de la gouvernance des identités, tels que les flux de travail de demande d’accès, les révisions d’accès et la gestion du cycle de vie des identités. Activez l’accès juste-à-temps pour limiter l’accès aux ressources importantes. Utilisez des stratégies d’accès conditionnel pour accorder ou bloquer l’accès aux identités des utilisateurs et des appareils aux services cloud.
Appliquez des contrôles d’accès. Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) et le contrôle d’accès en fonction des attributs (ABAC) pour régir l’accès à des ressources spécifiques. Accordez et refusez des autorisations aux utilisateurs et aux groupes. Appliquez l’autorisation à l’étendue appropriée (groupe d’administration, abonnement, groupe de ressources ou ressource) pour fournir uniquement l’autorisation nécessaire et limiter la surcharge de gestion.
Automatiser la gouvernance des coûts
Automatiser les restrictions de déploiement. Interdire certaines ressources cloud pour empêcher l’utilisation de ressources gourmandes en coûts.
Automatisez les restrictions personnalisées. Créez des stratégies personnalisées pour définir vos propres règles pour l’utilisation d’Azure.
Automatisez l’allocation des coûts. Appliquez les exigences de balisage pour regrouper et allouer des coûts entre les environnements (développement, test, production), les services ou les projets. Utilisez des balises pour identifier et suivre les ressources qui font partie d’un effort d’optimisation des coûts.
Automatiser la gouvernance des opérations
Automatisez la redondance. Utilisez des stratégies Azure intégrées pour exiger un niveau de redondance d’infrastructure spécifié, par exemple des instances redondantes interzone et géoredondantes.
Appliquez des stratégies de sauvegarde. Utilisez des stratégies de sauvegarde pour régir la fréquence de sauvegarde, la période de rétention et l’emplacement de stockage. Aligner les stratégies de sauvegarde avec la gouvernance des données, les exigences de conformité réglementaire, l’objectif de temps de récupération (RTO) et l’objectif de point de récupération (RPO). Utilisez les paramètres de sauvegarde dans des services Azure individuels, tels qu’Azure SQL Database, pour configurer les paramètres dont vous avez besoin.
Atteindre l’objectif de niveau de service cible. Limitez le déploiement de certains services et niveaux de service (SKU) qui ne répondent pas à votre objectif de niveau de service cible. Par exemple, utilisez la définition de stratégie
Not allowed resource typesdans Azure Policy.
Automatiser la gouvernance des données
Automatisez la gouvernance des données. Automatisez les tâches de gouvernance des données , telles que le catalogage, le mappage, le partage sécurisé et l’application de stratégies.
Automatisez la gestion du cycle de vie des données. Implémentez des stratégies de stockage et la gestion du cycle de vie pour le stockage afin de garantir que les données sont stockées efficacement et conformes.
Automatisez la sécurité des données. Passez en revue et appliquez des stratégies de protection des données, telles que la séparation des données, le chiffrement et la redondance.
Automatiser la gouvernance de la gestion des ressources
Créez une hiérarchie de gestion des ressources. Utilisez des groupes d’administration pour organiser vos abonnements afin de pouvoir régir efficacement les stratégies, l’accès et les dépenses. Suivez les bonnes pratiques de l’organisation des ressources de la zone d’atterrissage Azure.
Appliquer une stratégie d’étiquetage. Vérifiez que toutes les ressources Azure sont marquées de manière cohérente pour améliorer la facilité de gestion, le suivi des coûts et la conformité. Définissez votre stratégie d’étiquetage et gérez la gouvernance des étiquettes.
Limitez les ressources que vous pouvez déployer. Interdire les types de ressources pour restreindre les déploiements de services qui ajoutent des risques inutiles.
Limitez les déploiements à des régions spécifiques. Contrôler où les ressources sont déployées pour se conformer aux exigences réglementaires, gérer les coûts et réduire la latence. Par exemple, utilisez la définition de stratégie
Allowed locationsdans Azure Policy. Appliquez également des restrictions régionales dans votre pipeline de déploiement.Utilisez l’infrastructure en tant que code (IaC). Automatisez les déploiements d’infrastructure à l’aide de modèles Bicep, Terraform ou Azure Resource Manager (modèles ARM). Stockez vos configurations IaC dans un système de contrôle de code source (GitHub ou Azure Repos) pour suivre les modifications et collaborer. Utilisez des accélérateurs de zone d’atterrissage Azure pour régir le déploiement de vos ressources de plateforme et d’application et éviter la dérive de configuration au fil du temps.
Régir les environnements hybrides et multiclouds. Régir les ressources hybrides et multiclouds. Maintenir la cohérence dans la gestion et l’application des stratégies.
Automatiser la gouvernance de l’IA
Utilisez le modèle de génération augmentée de récupération (RAG). RAG ajoute un système de récupération d’informations pour contrôler les données de base qu’un modèle de langage utilise pour générer une réponse. Par exemple, vous pouvez utiliser le service Azure OpenAI sur votre propre fonctionnalité de données ou configurer RAG avec Azure AI Search pour limiter l’IA générative à votre contenu.
Utilisez des outils de développement IA. Utilisez des outils IA, comme le noyau sémantique, qui facilitent et normalisent l’orchestration d’IA lors du développement d’applications qui utilisent l’IA.
Gouverner la génération de sortie. Aidez à prévenir les abus et la génération de contenu nuisible. Utilisez le filtrage de contenu IA et la surveillance des abus d’IA.
Configurez la protection contre la perte de données. Configurez la protection contre la perte de données pour les services Azure AI. Configurez la liste des URL sortantes auxquelles leurs ressources de services IA sont autorisées à accéder.
Utilisez les messages système. Utilisez les messages système pour guider le comportement d’un système IA et adapter les sorties.
Appliquez la base de référence de sécurité IA. Utilisez la base de référence de sécurité Azure AI pour régir la sécurité des systèmes IA.
Appliquer manuellement des stratégies de gouvernance cloud
Parfois, une limitation ou un coût d’outil rend l’application automatisée non pratique. Dans les cas où vous ne pouvez pas automatiser l’application, appliquez manuellement des stratégies de gouvernance cloud. Pour appliquer manuellement la gouvernance cloud, suivez ces recommandations :
Utilisez des listes de contrôle. Utilisez des listes de contrôle de gouvernance pour faciliter le suivi des stratégies de gouvernance cloud par vos équipes. Pour plus d’informations, consultez les exemples de listes de contrôle de conformité.
Fournir une formation régulière. Organisez des sessions de formation fréquentes pour tous les membres de l’équipe concernés afin de s’assurer qu’ils connaissent les stratégies de gouvernance.
Planifiez des révisions régulières. Implémentez une planification pour les révisions et audits réguliers des ressources et processus cloud afin de garantir la conformité aux stratégies de gouvernance. Ces révisions sont essentielles pour identifier les écarts des stratégies établies et prendre des mesures correctives.
Surveillez manuellement. Attribuez un personnel dédié pour surveiller l’environnement cloud pour la conformité aux stratégies de gouvernance. Envisagez de suivre l’utilisation des ressources, de gérer les contrôles d’accès et de veiller à ce que les mesures de protection des données soient en place pour s’aligner sur les stratégies. Par exemple, définissez une approche complète de gestion des coûts pour régir les coûts cloud.
Examiner l’application des stratégies
Examinez et mettez régulièrement à jour les mécanismes d’application de la conformité. L’objectif est de maintenir l’application des stratégies de gouvernance cloud alignée sur les besoins actuels, notamment les développeurs, l’architecte, la charge de travail, la plateforme et les exigences métier. Pour passer en revue l’application de la stratégie, suivez ces recommandations :
Collaborez avec les parties prenantes. Discutez de l’efficacité des mécanismes d’application de la loi avec les parties prenantes. Assurez-vous que l’application de la gouvernance cloud s’aligne sur les objectifs métier et les exigences de conformité.
Configuration requise pour Monitor Mettre à jour ou supprimer des mécanismes d’application pour s’aligner sur les exigences nouvelles ou mises à jour. Suivez les modifications apportées aux réglementations et aux normes qui nécessitent des mises à jour de vos mécanismes d’application. Par exemple, les stratégies recommandées par la zone d’atterrissage Azure peuvent changer au fil du temps. Vous devez détecter ces modifications de stratégie, effectuer une mise à jour vers les stratégies personnalisées de la zone d’atterrissage Azure la plus récente ou migrer vers des stratégies intégrées si nécessaire.
Exemples de listes de contrôle de conformité de gouvernance cloud
Les listes de contrôle de conformité aident les équipes à comprendre les stratégies de gouvernance qui s’appliquent à eux. Les exemples de listes de contrôle de conformité utilisent l’instruction de stratégie de l’exemple de stratégies de gouvernance cloud et contiennent l’ID de stratégie de gouvernance cloud pour le référencement croisé.
| Catégorie | Exigence de conformité |
|---|---|
| Conformité réglementaire | ☐ Microsoft Purview doit être utilisé pour surveiller les données sensibles (RC01). ☐ Les rapports de conformité des données sensibles quotidiens doivent être générés à partir de Microsoft Purview (RC02). |
| Sécurité | ☐ L’authentification multifacteur doit être activée pour tous les utilisateurs (SC01). ☐ Les révisions d’accès doivent être effectuées tous les mois dans la gouvernance des ID (SC02). ☐ Utilisez l’organisation GitHub spécifiée pour héberger tout le code d’application et d’infrastructure (SC03). ☐ Les équipes qui utilisent des bibliothèques provenant de sources publiques doivent adopter le modèle de quarantaine (SC04). |
| Opérations | ☐ Les charges de travail de production doivent avoir une architecture active passive entre les régions (OP01). ☐ Toutes les charges de travail stratégiques doivent implémenter une architecture active-active interrégion (OP02). |
| Coûts | ☐ Les équipes de charge de travail doivent définir des alertes de budgets au niveau du groupe de ressources (CM01). ☐ Les recommandations relatives aux coûts d’Azure Advisor doivent être examinées (CM02). |
| Données | ☐ Le chiffrement en transit et au repos doit être appliqué à toutes les données sensibles. (DG01) ☐ Les stratégies de cycle de vie des données doivent être activées pour toutes les données sensibles (DG02). |
| Gestion des ressources | ☐ Bicep doit être utilisé pour déployer des ressources (RM01). ☐ Les balises doivent être appliquées à toutes les ressources cloud à l’aide d’Azure Policy (RM02). |
| Intelligence artificielle | ☐ La configuration du filtrage de contenu IA doit être définie sur moyen ou supérieur (AI01). ☐ Les systèmes d’IA accessibles au client doivent être red-teamed mensuels (AI02). |