Appliquer des stratégies de gouvernance cloud
Cet article explique comment appliquer la conformité aux stratégies de gouvernance cloud. L’application de la gouvernance cloud fait référence aux contrôles et aux procédures que vous utilisez pour aligner l’utilisation du cloud sur les politiques de gouvernance cloud. L’équipe de gouvernance cloud évalue les risques cloud et crée des stratégies de gouvernance cloud pour gérer ces risques. Pour garantir le respect des politiques de gouvernance cloud, l’équipe de gouvernance cloud doit déléguer les responsabilités en matière d’application. Elle doit donner à chaque équipe ou individu les moyens d’appliquer les politiques de gouvernance du cloud dans son domaine de responsabilité. L’équipe de gouvernance cloud ne peut pas tout faire. Préférez les contrôles d’application automatisés, mais faites respecter la conformité manuellement lorsque vous ne pouvez pas automatiser.
Définir une approche pour l’application des stratégies de gouvernance cloud
Établissez une stratégie systématique pour assurer la conformité avec les politiques de gouvernance cloud. L’objectif est d’utiliser des outils automatisés ainsi qu’une surveillance manuelle pour faire respecter la conformité de manière efficace. Pour définir une approche de mise en œuvre, suivez les recommandations suivantes :
Déléguez les responsabilités de gouvernance. Donnez aux individus et aux équipes les moyens de mettre en œuvre la gouvernance dans le cadre de leurs responsabilités. Par exemple, les équipes chargées des plateformes devraient appliquer les politiques dont héritent les charges de travail ; quant aux équipes chargées des charges de travail, elles devraient appliquer la gouvernance pour leur charge de travail. L’équipe de gouvernance cloud ne doit pas être responsable de l’application des contrôles d’application.
Adoptez un modèle d’héritage. Appliquez un modèle de gouvernance hiérarchique dans lequel des charges de travail spécifiques héritent des stratégies de gouvernance de la plateforme. Ce modèle permet de s’assurer que les normes organisationnelles s’appliquent aux environnements appropriés, tels que les exigences d’achat pour les services cloud. Suivez les principes de conception des zones d’atterrissage Azure et de sa zone de conception de l’organisation des ressources pour établir un modèle d’héritage approprié.
Discutez des spécificités de mise en œuvre. Expliquez où et comment vous appliquez des stratégies de gouvernance. L’objectif est de trouver des moyens rentables d’appliquer la conformité pour améliorer la productivité. Sans discussion, vous risquez de bloquer la progression des équipes. Il est important de trouver un équilibre qui soutienne les objectifs de l’entreprise tout en gérant efficacement les risques.
Adopter une position de surveillance. Ne bloquez pas les actions si vous ne les comprenez pas d’abord. Pour réduire les risques prioritaires, commencez par surveiller la conformité avec les stratégies de gouvernance cloud. Une fois que vous avez compris le risque, vous pouvez passer à des contrôles de mise en œuvre plus restrictifs. Une approche axée sur la surveillance vous permet de discuter des besoins en matière de gouvernance et de réaligner la politique de gouvernance cloud ainsi que le contrôle de mise en œuvre sur ces besoins.
Préférer les listes de blocage. Préférez les listes de blocage aux listes d’autorisation. Les listes de blocage empêchent le déploiement de services spécifiques. Il est préférable d’avoir une petite liste de services que vous ne devriez pas utiliser plutôt qu’une longue liste de services que vous pouvez utiliser. Pour éviter les longues listes de blocage, n’ajoutez pas de nouveaux services à la liste de blocage par défaut.
Définir une stratégie de nommage et de catégorisation. Établissez des instructions systématiques pour nommer et catégoriser des ressources cloud. Ces dernières fourniront une infrastructure structurée pour la catégorisation des ressources, la gestion des coûts, la sécurité et la conformité dans l’environnement cloud. Autorisez les équipes, telles que les équipes de développement, à ajouter d’autres balises pour leurs besoins uniques.
Appliquez automatiquement les stratégies de gouvernance cloud
Utilisez des outils de gestion et de gouvernance cloud pour automatiser le respect des politiques de gouvernance. Ces outils peuvent aider à mettre en place des garde-fous, à surveiller les configurations et à garantir la conformité. Pour configurer l’application automatisée, suivez ces recommandations :
Commencez par un petit ensemble de stratégies automatisées. Automatisez la conformité sur un petit ensemble de stratégies de gouvernance cloud essentielles. Implémentez et testez l’automatisation pour éviter les perturbations opérationnelles. Élargissez votre liste de contrôles de mise en œuvre automatisés lorsque tout est prêt.
Utilisez les outils de gouvernance cloud. Utilisez les outils disponibles dans votre environnement cloud pour maintenir la conformité. L’outil de gouvernance principal d’Azure est Azure Policy. Complétez Azure Policy avec Microsoft Defender pour le cloud (sécurité), Microsoft Purview (données), Gouvernance des ID Microsoft Entra (identité), Azure Monitor (opérations),groupes d’administration (gestion des ressources), infrastructure as Code (IaC) (gestion des ressources) et configurations au sein de chaque service Azure.
Appliquer les politiques de gouvernance au niveau approprié. Utilisez un système d’héritage dans lequel les stratégies sont définies à un niveau supérieur, comme les groupes d’administration. Les stratégies des niveaux supérieurs s’appliquent automatiquement aux niveaux inférieurs, tels que les abonnements et les groupes de ressources. Les stratégies s’appliquent même en cas de changement dans l’environnement cloud, ce qui réduit les frais généraux de gestion.
Utiliser des points d’application de stratégie. Configurez des points d’application de stratégie dans vos environnements cloud, ils appliqueront automatiquement les règles de gouvernance. Envisagez de prédéployer les vérifications, la supervision du runtime et les actions de correction automatisées.
Utiliser la stratégie en tant que code. Utilisez les outils IaC pour appliquer des stratégies de gouvernance par le biais de code. La stratégie sous forme de code améliore l’automatisation des contrôles de gouvernance et garantit la cohérence entre les différents environnements. Envisagez d'utiliser Enterprise Azure Policy as Code (EPAC) pour gérer les politiques alignées sur les stratégies recommandées de la zone d'atterrissage Azure.
Développer des solutions personnalisées en fonction des besoins. Pour les actions de gouvernance personnalisées, envisagez de développer des scripts ou des applications personnalisés. Utilisez les API de service Azure pour collecter des données ou gérer les ressources directement.
Facilitation Azure : application automatique des stratégies de gouvernance cloud
Les conseils suivants peuvent vous aider à trouver les outils appropriés pour automatiser la conformité avec les stratégies de gouvernance cloud dans Azure. Ils fournissent un exemple de point de départ pour les principales catégories de gouvernance cloud.
Automatiser la gouvernance de la conformité réglementaire
Appliquer les politiques de conformité réglementaire. Utilisez des stratégies de conformité réglementaire intégrées qui s’alignent sur les normes de conformité, telles que HITRUST/HIPAA, ISO 27001, CMMC, FedRamp et PCI DSSv4.
Automatiser les restrictions personnalisées. Créez des stratégies personnalisées pour définir vos propres règles d’utilisation d’Azure.
Automatiser la gouvernance de la sécurité
Appliquer des stratégies de sécurité. Utilisez les stratégies de sécurité intégrées et la conformité automatisée de la sécurité pour s’aligner sur les normes de sécurité courantes. Il existe des stratégies intégrées pour la série NIST 800 SP, les points de référence du Center for Internet Security et le point de référence de sécurité cloud de Microsoft. Utilisez des stratégies intégrées pour automatiser la configuration de sécurité de services Azure spécifiques. Créez des stratégies personnalisées pour définir vos propres règles d’utilisation d’Azure.
Appliquez la gouvernance des identités. Activez l’authentification multifacteur (MFA) de Microsoft Entra et la réinitialisation de mot de passe en libre-service. Éliminez les mots de passe faibles. Automatisez d’autres aspects de la gouvernance des identités, tels que les flux de travail de demande d’accès, les révisions d’accès et la gestion du cycle de vie des identités. Activez l’accès juste à temps pour limiter l’accès aux ressources importantes. Utilisez des stratégies d’accès conditionnel pour octroyer ou bloquer l’accès des utilisateurs et des identités d’appareil aux services cloud.
Appliquer des contrôles d’accès. Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) et le contrôle d’accès en fonction des attributs (ABAC) pour régir l’accès à des ressources spécifiques. Octroyez et refusez les autorisations aux utilisateurs et aux groupes. Appliquez l’autorisation à l’étendue appropriée (groupe d’administration, abonnement, groupe de ressources ou ressource) pour fournir uniquement l’autorisation nécessaire et limiter la surcharge de gestion.
Automatiser la gouvernance des coûts
Automatiser les restrictions de déploiement. Interdisez certaines ressources cloud pour empêcher l’utilisation de ressources coûteuses.
Automatiser les restrictions personnalisées. Créez des stratégies personnalisées pour définir vos propres règles d’utilisation d’Azure.
Automatiser l’affectation des coûts. Appliquez les exigences de catégorisation pour regrouper et affecter des coûts dans l’ensemble des environnements (développement, test, production), des services ou des projets. Utilisez des balises pour identifier et suivre les ressources qui font partie d’un effort d’optimisation des coûts.
Automatiser la gouvernance des opérations
Automatiser la redondance. Utilisez les stratégies Azure intégrées pour exiger un niveau spécifique de redondance de l’infrastructure, comme des instances redondantes par zone ou par région.
Appliquer des stratégies de sauvegarde. Utilisez des stratégies de sauvegarde pour régir la fréquence de sauvegarde, la période de rétention et l’emplacement de stockage. Aligner les stratégies de sauvegarde avec la gouvernance des données, les exigences de conformité réglementaire, l’objectif de délai de récupération (RTO) et l’objectif de point de récupération (RPO). Utilisez les paramètres de sauvegarde dans des services Azure individuels, tels que la base de données Azure SQL, pour configurer les paramètres dont vous avez besoin.
Atteindre l’objectif de niveau de service cible. Limitez le déploiement de certains services et niveaux de service (SKU) qui ne répondent pas à votre objectif de niveau de service cible. Par exemple, utilisez la définition de stratégie
Not allowed resource types
dans Azure Policy.
Automatiser la gouvernance des données
Automatisez la gouvernance des données. Automatisez les tâches de gouvernance des données, telles que le catalogage, le mappage, le partage sécurisé et l’application de stratégies.
Automatiser la gestion du cycle de vie des données. Implémentez des stratégies de stockage et la gestion de cycle de vie pour le stockage afin de garantir que les données sont stockées de manière efficace et conforme.
Automatiser la sécurité des données. Passez en revue et appliquez des stratégies de protection des données, telles que la séparation des données, le chiffrement et la redondance.
Automatiser la gouvernance de la gestion des ressources
Créer une hiérarchie de gestion des ressources. Utilisez des groupes d’administration pour organiser vos abonnements afin de pouvoir régir efficacement les stratégies, l’accès et les dépenses. Suivez les meilleures pratiques de l’organisation des ressources de la zone d’atterrissage Azure.
Appliquer une stratégie de catégorisation. Veillez à ce que toutes les ressources Azure soient étiquetées de manière cohérente afin d’améliorer la gestion, le suivi des coûts et la conformité. Définissez votre stratégie de catégorisation et gérez la gouvernance des étiquettes.
Limiter les ressources que vous pouvez déployer. Interdisez les types de ressources pour restreindre les déploiements de services qui ajoutent des risques inutiles.
Limitez les déploiements à des régions spécifiques. Contrôlez où les ressources sont déployées pour se conformer aux exigences réglementaires, gérer les coûts et réduire la latence. Par exemple, utilisez la définition de stratégie
Allowed locations
dans Azure Policy. De même, appliquez des restrictions régionales dans votre pipeline de déploiement.Utiliser l’infrastructure en tant que code (IaC). Automatisez les déploiements d’infrastructure à l’aide de modèles Bicep, Terraform ou Azure Resource Manager (modèles ARM). Stockez vos configurations IaC dans un système de contrôle de code source (GitHub ou Azure Repos) pour suivre les modifications et collaborer. Utilisez les accélérateurs de la zone d'atterrissage Azure pour régir l’administration de votre plateforme et de vos ressources applicatives et éviter les dérives de configuration au fil du temps.
Régir les environnements hybrides et multiclouds. Régir les ressources hybrides et multiclouds. Maintenir la cohérence dans la gestion et la mise en œuvre des stratégies.
Automatiser la gouvernance de l’IA
Utiliser le modèle de génération augmentée par récupération (RAG). Le modèle RAG ajoute un système de récupération d’informations pour contrôler les données de base qu’un modèle de langage utilise pour générer une réponse. Par exemple, vous pouvez utiliser l’Azure OpenAI Service sur votre propre fonctionnalité de données ou configurer RAG avec Azure AI Search pour limiter l’IA générative à votre contenu.
Utilisez les outils de développement IA. Utilisez des outils IA, comme le noyau sémantique, qui facilitent et normalisent l’orchestration de l’IA lors du développement d’applications qui utilisent l’IA.
Gouverner la génération de production. Aidez à prévenir les abus et la génération de contenu nuisible. Utilisez le filtrage de contenu par l’IA et la surveillance des abus par l’IA.
Configurez la prévention contre la perte de données. Configurer la protection contre la perte de données pour Azure AI services. Configurez la liste des URL sortantes auxquelles leurs ressources de services d’IA sont autorisées à accéder.
Utiliser des messages système. Utilisez les messages système pour guider le comportement d’un système IA et adapter les productions.
Appliquer la base de référence de sécurité IA. Utilisez la base de référence de sécurité Azure AI pour régir la sécurité des systèmes IA.
Appliquer manuellement les stratégies de gouvernance cloud
Parfois, une limitation ou un coût d’outil empêche l’application automatisée. Dans les cas où vous ne pouvez pas automatiser la mise en œuvre, appliquez manuellement les stratégies de gouvernance cloud. Pour appliquer manuellement la gouvernance cloud, suivez ces recommandations :
Utilisez des listes de contrôle Utilisez les listes de contrôle de gouvernance pour faciliter le suivi des stratégies de gouvernance cloud par vos équipes. Pour plus d’informations, consultez les exemples de liste de contrôle de conformité.
Fournir une formation régulière. Organisez des sessions de formation fréquentes pour tous les membres de l’équipe concernés afin de vous assurer qu’ils connaissent les stratégies de gouvernance.
Planifier des révisions régulières. Mettez en place une planification pour les révisions et audits réguliers des ressources et processus cloud afin de garantir la conformité aux stratégies de gouvernance. Ces révisions sont essentielles pour identifier les écarts des stratégies établies et prendre des actions correctives.
Surveiller manuellement. Affectez du personnel spécialisé à la surveillance de l’environnement cloud pour s’assurer qu’il est conforme aux stratégies de gouvernance. Pensez à suivre l’utilisation des ressources, à gérer les contrôles d’accès et à vous assurer que des mesures de protection des données sont en place pour s’aligner sur les stratégies. Par exemple, définissez une approche complète de gestion des coûts pour régir les coûts cloud.
Réviser l’application de la stratégie
Examinez et mettez à jour régulièrement les mécanismes d’application de la conformité. L’objectif est de maintenir l’application de la stratégie de gouvernance cloud en cohérence avec les besoins actuels, notamment ceux en matière de développement, d’architecture, de charge de travail, de plateforme et d’entreprise. Pour revoir l'application des stratégies, suivez les recommandations suivantes :
S'engager avec les parties prenantes. Discuter de l'efficacité des mécanismes d'application avec les parties prenantes. Veiller à ce que l'application de la gouvernance de l'informatique en nuage soit conforme aux objectifs stratégiques et aux exigences de conformité.
Exigences en matière de surveillance. Mettre à jour ou supprimer les mécanismes d'application pour les aligner sur les exigences nouvelles ou actualisées. Suivre les modifications apportées aux règlements et aux normes qui nécessitent une mise à jour de vos mécanismes d'application. Par exemple, les stratégies recommandées pour la zone d'atterrissage Azure peuvent changer au fil du temps. Vous devez détecter ces changements de politique, mettre à jour les dernières politiques personnalisées de la zone d'atterrissage Azure ou migrer vers des stratégies prédéfinis si nécessaire.
Exemples de listes de contrôle de conformité de gouvernance cloud
Les listes de contrôle de conformité aident les équipes à comprendre les stratégies de gouvernance qui s’appliquent à eux. Les exemples de liste de contrôle de conformité utilisent la déclaration de stratégie provenant des exemples de stratégies de gouvernance cloud et contiennent l’ID de stratégie de gouvernance cloud pour le référencement croisé.
Catégorie | Exigence de conformité |
---|---|
Conformité aux normes | ☐ Microsoft Purview doit être utilisé pour surveiller les données sensibles (RC01). ☐ Les rapports de conformité des données sensibles quotidiens doivent être générés à partir de Microsoft Purview (RC02). |
Sécurité | ☐ L’authentification multifacteur doit être activée pour tous les utilisateurs (SC01). ☐ Les révisions d’accès doivent être effectuées tous les mois dans la gouvernance des ID (SC02). ☐ Utilisez l’organisation GitHub spécifiée pour héberger tout le code d’application et d’infrastructure (SC03). ☐ Les équipes qui utilisent des bibliothèques provenant de sources publiques doivent adopter le modèle de quarantaine (SC04). |
Opérations | ☐ Les charges de travail de production doivent avoir une architecture active–passive dans l’ensemble des régions (OP01). ☐ Toutes les charges de travail stratégique doivent implémenter une architecture active-active interrégion (OP02). |
Coûts | ☐ Les équipes de charge de travail doivent définir des alertes de budgets au niveau du groupe de ressources (CM01). ☐ Les recommandations relatives aux coûts d’Azure Advisor doivent être examinées (CM02). |
Données | ☐ Le chiffrement en transit et au repos doit être appliqué à toutes les données sensibles. (DG01) ☐ Les stratégies de cycle de vie des données doivent être activées pour toutes les données sensibles (DG02). |
Gestion des ressources | ☐ Bicep doit être utilisé pour déployer les ressources (RM01). ☐ Les balises doivent être appliquées à toutes les ressources cloud à l’aide d’Azure Policy (RM02). |
Intelligence artificielle | ☐ La configuration du filtrage de contenu IA doit être définie sur « moyen » ou un niveau supérieur (AI01). ☐ Les systèmes d’IA accessibles au client doivent être assignés à l’équipe rouge sur une base mensuelle (AI02). |