Cet article explique comment appliquer la conformité aux stratégies de gouvernance cloud. L’application de la gouvernance cloud fait référence aux contrôles et aux procédures que vous utilisez pour aligner l’utilisation du cloud sur les politiques de gouvernance cloud. L’équipe de gouvernance cloud évalue les risques cloud et crée des stratégies de gouvernance cloud pour gérer ces risques. Pour garantir le respect des politiques de gouvernance cloud, l’équipe de gouvernance cloud doit déléguer les responsabilités en matière d’application. Elle doit donner à chaque équipe ou individu les moyens d’appliquer les politiques de gouvernance du cloud dans son domaine de responsabilité. L’équipe de gouvernance cloud ne peut pas tout faire. Préférez les contrôles d’application automatisés, mais faites respecter la conformité manuellement lorsque vous ne pouvez pas automatiser.
Définir une approche pour l’application des stratégies de gouvernance cloud
Établissez une stratégie systématique pour assurer la conformité avec les politiques de gouvernance cloud. L’objectif est d’utiliser des outils automatisés ainsi qu’une surveillance manuelle pour faire respecter la conformité de manière efficace. Pour définir une approche de mise en œuvre, suivez les recommandations suivantes :
Déléguez les responsabilités de gouvernance. Donnez aux individus et aux équipes les moyens de mettre en œuvre la gouvernance dans le cadre de leurs responsabilités. Par exemple, les équipes chargées des plateformes devraient appliquer les politiques dont héritent les charges de travail ; quant aux équipes chargées des charges de travail, elles devraient appliquer la gouvernance pour leur charge de travail. L’équipe de gouvernance cloud ne doit pas être responsable de l’application des contrôles d’application.
Adoptez un modèle d’héritage. Appliquez un modèle de gouvernance hiérarchique dans lequel des charges de travail spécifiques héritent des stratégies de gouvernance de la plateforme. Ce modèle permet de s’assurer que les normes organisationnelles s’appliquent aux environnements appropriés, tels que les exigences d’achat pour les services cloud. Suivez les principes de conception des zones d’atterrissage Azure et de sa zone de conception de l’organisation des ressources pour établir un modèle d’héritage approprié.
Discutez des spécificités de mise en œuvre. Expliquez où et comment vous appliquez des stratégies de gouvernance. L’objectif est de trouver des moyens rentables d’appliquer la conformité pour améliorer la productivité. Sans discussion, vous risquez de bloquer la progression des équipes. Il est important de trouver un équilibre qui soutienne les objectifs de l’entreprise tout en gérant efficacement les risques.
Adopter une position de surveillance. Ne bloquez pas les actions si vous ne les comprenez pas d’abord. Pour réduire les risques prioritaires, commencez par surveiller la conformité avec les stratégies de gouvernance cloud. Une fois que vous avez compris le risque, vous pouvez passer à des contrôles de mise en œuvre plus restrictifs. Une approche axée sur la surveillance vous permet de discuter des besoins en matière de gouvernance et de réaligner la politique de gouvernance cloud ainsi que le contrôle de mise en œuvre sur ces besoins.
Préférer les listes de blocage. Préférez les listes de blocage aux listes d’autorisation. Les listes de blocage empêchent le déploiement de services spécifiques. Il est préférable d’avoir une petite liste de services que vous ne devriez pas utiliser plutôt qu’une longue liste de services que vous pouvez utiliser. Pour éviter les longues listes de blocage, n’ajoutez pas de nouveaux services à la liste de blocage par défaut.
Définir une stratégie de nommage et de catégorisation. Établissez des instructions systématiques pour nommer et catégoriser des ressources cloud. Ces dernières fourniront une infrastructure structurée pour la catégorisation des ressources, la gestion des coûts, la sécurité et la conformité dans l’environnement cloud. Autorisez les équipes, telles que les équipes de développement, à ajouter d’autres balises pour leurs besoins uniques.
Appliquez automatiquement les stratégies de gouvernance cloud
Utilisez des outils de gestion et de gouvernance cloud pour automatiser le respect des politiques de gouvernance. Ces outils peuvent aider à mettre en place des garde-fous, à surveiller les configurations et à garantir la conformité. Pour configurer l’application automatisée, suivez ces recommandations :
Commencez par un petit ensemble de stratégies automatisées. Automatisez la conformité sur un petit ensemble de stratégies de gouvernance cloud essentielles. Implémentez et testez l’automatisation pour éviter les perturbations opérationnelles. Élargissez votre liste de contrôles de mise en œuvre automatisés lorsque tout est prêt.
Appliquer les politiques de gouvernance au niveau approprié. Utilisez un système d’héritage dans lequel les stratégies sont définies à un niveau supérieur, comme les groupes d’administration. Les stratégies des niveaux supérieurs s’appliquent automatiquement aux niveaux inférieurs, tels que les abonnements et les groupes de ressources. Les stratégies s’appliquent même en cas de changement dans l’environnement cloud, ce qui réduit les frais généraux de gestion.
Utiliser des points d’application de stratégie. Configurez des points d’application de stratégie dans vos environnements cloud, ils appliqueront automatiquement les règles de gouvernance. Envisagez de prédéployer les vérifications, la supervision du runtime et les actions de correction automatisées.
Utiliser la stratégie en tant que code. Utilisez les outils IaC pour appliquer des stratégies de gouvernance par le biais de code. La stratégie sous forme de code améliore l’automatisation des contrôles de gouvernance et garantit la cohérence entre les différents environnements. Envisagez d'utiliser Enterprise Azure Policy as Code (EPAC) pour gérer les politiques alignées sur les stratégies recommandées de la zone d'atterrissage Azure.
Développer des solutions personnalisées en fonction des besoins. Pour les actions de gouvernance personnalisées, envisagez de développer des scripts ou des applications personnalisés. Utilisez les API de service Azure pour collecter des données ou gérer les ressources directement.
Facilitation Azure : application automatique des stratégies de gouvernance cloud
Les conseils suivants peuvent vous aider à trouver les outils appropriés pour automatiser la conformité avec les stratégies de gouvernance cloud dans Azure. Ils fournissent un exemple de point de départ pour les principales catégories de gouvernance cloud.
Automatiser la gouvernance de la conformité réglementaire
Appliquer les politiques de conformité réglementaire. Utilisez des stratégies de conformité réglementaire intégrées qui s’alignent sur les normes de conformité, telles que HITRUST/HIPAA, ISO 27001, CMMC, FedRamp et PCI DSSv4.
Appliquer des contrôles d’accès. Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) et le contrôle d’accès en fonction des attributs (ABAC) pour régir l’accès à des ressources spécifiques. Octroyez et refusez les autorisations aux utilisateurs et aux groupes. Appliquez l’autorisation à l’étendue appropriée (groupe d’administration, abonnement, groupe de ressources ou ressource) pour fournir uniquement l’autorisation nécessaire et limiter la surcharge de gestion.
Automatiser l’affectation des coûts. Appliquez les exigences de catégorisation pour regrouper et affecter des coûts dans l’ensemble des environnements (développement, test, production), des services ou des projets. Utilisez des balises pour identifier et suivre les ressources qui font partie d’un effort d’optimisation des coûts.
Automatiser la gouvernance des opérations
Automatiser la redondance. Utilisez les stratégies Azure intégrées pour exiger un niveau spécifique de redondance de l’infrastructure, comme des instances redondantes par zone ou par région.
Appliquer des stratégies de sauvegarde. Utilisez des stratégies de sauvegarde pour régir la fréquence de sauvegarde, la période de rétention et l’emplacement de stockage. Aligner les stratégies de sauvegarde avec la gouvernance des données, les exigences de conformité réglementaire, l’objectif de délai de récupération (RTO) et l’objectif de point de récupération (RPO). Utilisez les paramètres de sauvegarde dans des services Azure individuels, tels que la base de données Azure SQL, pour configurer les paramètres dont vous avez besoin.
Atteindre l’objectif de niveau de service cible. Limitez le déploiement de certains services et niveaux de service (SKU) qui ne répondent pas à votre objectif de niveau de service cible. Par exemple, utilisez la définition de stratégie Not allowed resource types dans Azure Policy.
Automatiser la gouvernance des données
Automatisez la gouvernance des données. Automatisez les tâches de gouvernance des données, telles que le catalogage, le mappage, le partage sécurisé et l’application de stratégies.
Automatiser la gestion du cycle de vie des données. Implémentez des stratégies de stockage et la gestion de cycle de vie pour le stockage afin de garantir que les données sont stockées de manière efficace et conforme.
Automatiser la sécurité des données. Passez en revue et appliquez des stratégies de protection des données, telles que la séparation des données, le chiffrement et la redondance.
Automatiser la gouvernance de la gestion des ressources
Créer une hiérarchie de gestion des ressources. Utilisez des groupes d’administration pour organiser vos abonnements afin de pouvoir régir efficacement les stratégies, l’accès et les dépenses. Suivez les meilleures pratiques de l’organisation des ressources de la zone d’atterrissage Azure.
Limiter les ressources que vous pouvez déployer. Interdisez les types de ressources pour restreindre les déploiements de services qui ajoutent des risques inutiles.
Limitez les déploiements à des régions spécifiques. Contrôlez où les ressources sont déployées pour se conformer aux exigences réglementaires, gérer les coûts et réduire la latence. Par exemple, utilisez la définition de stratégie Allowed locations dans Azure Policy. De même, appliquez des restrictions régionales dans votre pipeline de déploiement.
Utiliser l’infrastructure en tant que code (IaC). Automatisez les déploiements d’infrastructure à l’aide de modèles Bicep, Terraform ou Azure Resource Manager (modèles ARM). Stockez vos configurations IaC dans un système de contrôle de code source (GitHub ou Azure Repos) pour suivre les modifications et collaborer. Utilisez les accélérateurs de la zone d'atterrissage Azure pour régir l’administration de votre plateforme et de vos ressources applicatives et éviter les dérives de configuration au fil du temps.
Utiliser le modèle de génération augmentée par récupération (RAG). Le modèle RAG ajoute un système de récupération d’informations pour contrôler les données de base qu’un modèle de langage utilise pour générer une réponse. Par exemple, vous pouvez utiliser l’Azure OpenAI Service sur votre propre fonctionnalité de données ou configurer RAG avec Azure AI Search pour limiter l’IA générative à votre contenu.
Utilisez les outils de développement IA. Utilisez des outils IA, comme le noyau sémantique, qui facilitent et normalisent l’orchestration de l’IA lors du développement d’applications qui utilisent l’IA.
Appliquer manuellement les stratégies de gouvernance cloud
Parfois, une limitation ou un coût d’outil empêche l’application automatisée. Dans les cas où vous ne pouvez pas automatiser la mise en œuvre, appliquez manuellement les stratégies de gouvernance cloud. Pour appliquer manuellement la gouvernance cloud, suivez ces recommandations :
Utilisez des listes de contrôle Utilisez les listes de contrôle de gouvernance pour faciliter le suivi des stratégies de gouvernance cloud par vos équipes. Pour plus d’informations, consultez les exemples de liste de contrôle de conformité.
Fournir une formation régulière. Organisez des sessions de formation fréquentes pour tous les membres de l’équipe concernés afin de vous assurer qu’ils connaissent les stratégies de gouvernance.
Planifier des révisions régulières. Mettez en place une planification pour les révisions et audits réguliers des ressources et processus cloud afin de garantir la conformité aux stratégies de gouvernance. Ces révisions sont essentielles pour identifier les écarts des stratégies établies et prendre des actions correctives.
Surveiller manuellement. Affectez du personnel spécialisé à la surveillance de l’environnement cloud pour s’assurer qu’il est conforme aux stratégies de gouvernance. Pensez à suivre l’utilisation des ressources, à gérer les contrôles d’accès et à vous assurer que des mesures de protection des données sont en place pour s’aligner sur les stratégies. Par exemple, définissez une approche complète de gestion des coûts pour régir les coûts cloud.
Réviser l’application de la stratégie
Examinez et mettez à jour régulièrement les mécanismes d’application de la conformité. L’objectif est de maintenir l’application de la stratégie de gouvernance cloud en cohérence avec les besoins actuels, notamment ceux en matière de développement, d’architecture, de charge de travail, de plateforme et d’entreprise. Pour revoir l'application des stratégies, suivez les recommandations suivantes :
S'engager avec les parties prenantes. Discuter de l'efficacité des mécanismes d'application avec les parties prenantes. Veiller à ce que l'application de la gouvernance de l'informatique en nuage soit conforme aux objectifs stratégiques et aux exigences de conformité.
Exigences en matière de surveillance. Mettre à jour ou supprimer les mécanismes d'application pour les aligner sur les exigences nouvelles ou actualisées. Suivre les modifications apportées aux règlements et aux normes qui nécessitent une mise à jour de vos mécanismes d'application. Par exemple, les stratégies recommandées pour la zone d'atterrissage Azure peuvent changer au fil du temps. Vous devez détecter ces changements de politique, mettre à jour les dernières politiques personnalisées de la zone d'atterrissage Azure ou migrer vers des stratégies prédéfinis si nécessaire.
Exemples de listes de contrôle de conformité de gouvernance cloud
Les listes de contrôle de conformité aident les équipes à comprendre les stratégies de gouvernance qui s’appliquent à eux. Les exemples de liste de contrôle de conformité utilisent la déclaration de stratégie provenant des exemples de stratégies de gouvernance cloud et contiennent l’ID de stratégie de gouvernance cloud pour le référencement croisé.
Catégorie
Exigence de conformité
Conformité aux normes
☐ Microsoft Purview doit être utilisé pour surveiller les données sensibles (RC01). ☐ Les rapports de conformité des données sensibles quotidiens doivent être générés à partir de Microsoft Purview (RC02).
Sécurité
☐ L’authentification multifacteur doit être activée pour tous les utilisateurs (SC01). ☐ Les révisions d’accès doivent être effectuées tous les mois dans la gouvernance des ID (SC02). ☐ Utilisez l’organisation GitHub spécifiée pour héberger tout le code d’application et d’infrastructure (SC03). ☐ Les équipes qui utilisent des bibliothèques provenant de sources publiques doivent adopter le modèle de quarantaine (SC04).
Opérations
☐ Les charges de travail de production doivent avoir une architecture active–passive dans l’ensemble des régions (OP01). ☐ Toutes les charges de travail stratégique doivent implémenter une architecture active-active interrégion (OP02).
Coûts
☐ Les équipes de charge de travail doivent définir des alertes de budgets au niveau du groupe de ressources (CM01). ☐ Les recommandations relatives aux coûts d’Azure Advisor doivent être examinées (CM02).
Données
☐ Le chiffrement en transit et au repos doit être appliqué à toutes les données sensibles. (DG01) ☐ Les stratégies de cycle de vie des données doivent être activées pour toutes les données sensibles (DG02).
Gestion des ressources
☐ Bicep doit être utilisé pour déployer les ressources (RM01). ☐ Les balises doivent être appliquées à toutes les ressources cloud à l’aide d’Azure Policy (RM02).
Intelligence artificielle
☐ La configuration du filtrage de contenu IA doit être définie sur « moyen » ou un niveau supérieur (AI01). ☐ Les systèmes d’IA accessibles au client doivent être assignés à l’équipe rouge sur une base mensuelle (AI02).
Ce module fournit aux administrateurs les compétences nécessaires pour concevoir, déployer et superviser la gouvernance de la sécurité dans Azure, en garantissant l’alignement avec les stratégies organisationnelles et les meilleures pratiques du secteur.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
Apprenez à surveiller la gouvernance cloud pour mesurer la conformité au fil du temps. Automatisez la surveillance et les alertes pour remédier rapidement à la non-conformité.
Apprenez à créer une équipe de gouvernance cloud efficace. Découvrez les responsabilités et stratégies de gestion des risques liés au cloud et le développement de stratégies de gouvernance cloud.
Découvrez comment évaluer efficacement les risques liés au cloud pour la gouvernance cloud. Identifier tous les risques. Évaluez, hiérarchisez et documentez les risques liés au cloud.
Découvrez comment documenter des stratégies de gouvernance cloud efficaces. Créez un cadre de gouvernance cloud pour atténuer les risques et définir des normes pour une utilisation cloud.
Utilisez le Cloud Adoption Framework pour Azure afin de découvrir comment configurer la gouvernance, la sécurité et la conformité de votre environnement Azure.
Découvrez comment développer les approches commerciales et techniques nécessaires à une gestion efficace du cloud à l’aide du Cloud Adoption Framework pour Azure.
Explorez la zone de conception pour régir votre environnement Azure afin d’établir des outils permettant de prendre en charge la gouvernance cloud, l’audit de conformité et les garde-fous automatisés.