Felhőszabályozási szabályzatok kikényszerítése
Ez a cikk bemutatja, hogyan kényszerítheti ki a felhőszabályozási szabályzatoknak való megfelelést. A felhőszabályozás kényszerítése azokra a vezérlőkre és eljárásokra vonatkozik, amelyekkel a felhőhasználatot a felhőszabályozási szabályzatokhoz igazíthatja. A felhőszabályozási csapat felméri a felhőkockázatokat, és felhőszabályozási szabályzatokat hoz létre a kockázatok kezeléséhez. A felhőszabályozási szabályzatoknak való megfelelés biztosítása érdekében a felhőszabályozási csapatnak ki kell delegálnia a kényszerítési feladatokat. Az egyes csapatokat vagy személyeket fel kell hatalmazniuk a felhőszabályozási szabályzatok felelősségi területükön való kikényszerítésére. A felhőszabályozási csapat nem tud mindent megtenni. Az automatizált kényszerítési vezérlőket részesíti előnyben, de manuálisan kényszerítse ki a megfelelőséget, ahol nem automatizálható.
A felhőszabályozási szabályzatok kikényszerítésének megközelítése
Hozzon létre egy szisztematikus stratégiát a felhőszabályozási szabályzatok betartásának kikényszerítésére. A cél az automatizált eszközök és a manuális felügyelet használata a megfelelőség hatékony érvényesítése érdekében. A kényszerítési megközelítés meghatározásához kövesse az alábbi ajánlásokat:
Irányítási feladatok delegálása. Lehetővé teszi az egyének és csapatok számára, hogy a felelősségi körükön belül kényszerítsék a szabályozást. A platformcsapatoknak például olyan szabályzatokat kell alkalmazniuk, amelyeket a számítási feladatok örökölnek, és a számítási feladatokért felelős csapatoknak a számítási feladatok szabályozását kell kikényszeríteniük. A felhőszabályozási csapat nem felelős a kényszerítési vezérlők alkalmazásáért.
Öröklődési modell bevezetése. Hierarchikus szabályozási modell alkalmazása, amelyben bizonyos számítási feladatok a platformtól öröklik a szabályozási szabályzatokat. Ez a modell biztosítja, hogy a szervezeti szabványok a megfelelő környezetekre, például a felhőszolgáltatások vásárlási követelményeire vonatkozzanak. Kövesse az Azure-beli célzónák és az erőforrás-szervezet tervezési területének tervezési alapelveit a megfelelő öröklési modell létrehozásához.
A végrehajtási konkrétumok ismertetése. Megismerheti, hogy hol és hogyan alkalmazza az irányítási szabályzatokat. A cél az, hogy költséghatékony módszereket találjon a hatékonyságot növelő megfelelőség kikényszerítésére. Vita nélkül megkockáztathatja, hogy blokkolja az egyes csapatok előrehaladását. Fontos, hogy olyan egyensúlyt találjunk, amely támogatja az üzleti célkitűzéseket, miközben hatékonyan kezeli a kockázatokat.
Legyen egy monitor-első álláspont. Csak akkor tiltsa le a műveleteket, ha először megérti őket. Az alacsonyabb prioritású kockázat érdekében először monitorozza a felhőszabályozási szabályzatoknak való megfelelést. A kockázat megismerése után szigorúbb kényszerítési vezérlőkre léphet. Az első monitorozási megközelítés lehetőséget nyújt a szabályozási igények megvitatására, valamint a felhőszabályozási szabályzat és a kényszerítési ellenőrzés ezen igényekre való átformálására.
Előnyben részesítse a tiltólistákat. A tiltólisták előnyben részesítve az engedélyezési listákat. A tiltólisták megakadályozzák adott szolgáltatások üzembe helyezését. Jobb, ha a szolgáltatások egy kis listájával rendelkezik, amelyet nem érdemes használnia, mint a használható szolgáltatások hosszú listája. A hosszadalmas tiltólisták elkerülése érdekében alapértelmezés szerint ne adjon hozzá új szolgáltatásokat a tiltólistához.
Címkézési és elnevezési stratégia definiálása. A felhőbeli erőforrások elnevezésére és címkézésére vonatkozó rendszeres irányelvek létrehozása. Strukturált keretrendszert biztosít az erőforrás-kategorizáláshoz, a költségkezeléshez, a biztonsághoz és a megfelelőséghez a felhőkörnyezetben. Lehetővé teszi a csapatok, például a fejlesztői csapatok számára, hogy más címkéket is hozzáadjanak az egyedi igényeikhez.
Felhőszabályozási szabályzatok automatikus kényszerítése
Felhőfelügyeleti és szabályozási eszközökkel automatizálhatja a szabályozási szabályzatoknak való megfelelést. Ezek az eszközök segíthetnek a védőkorlátok beállításában, a konfigurációk monitorozásában és a megfelelőség biztosításában. Az automatizált kényszerítés beállításához kövesse az alábbi javaslatokat:
Kezdje az automatizált szabályzatok kis készletével. A megfelelőség automatizálása alapvető felhőszabályozási szabályzatok kis halmazán. Automatizálás implementálása és tesztelése a működési zavarok elkerülése érdekében. Ha készen áll, bontsa ki az automatizált kényszerítési vezérlők listáját.
Használjon felhőszabályozási eszközöket. A felhőkörnyezetben elérhető eszközökkel kényszerítheti a megfelelőséget. Az Azure elsődleges szabályozási eszköze az Azure Policy. Az Azure Policy kiegészítése Felhőhöz készült Microsoft Defender (biztonság), Microsoft Purview (adatok), Microsoft Entra ID-kezelés (identitás), Azure Monitor (műveletek), felügyeleti csoportok (erőforrás-kezelés), infrastruktúra kódként (IaC) (erőforrás-kezelés) és konfigurációk az egyes Azure-szolgáltatásokban.
Szabályozási szabályzatok alkalmazása a megfelelő hatókörben. Olyan öröklési rendszert használjon, amelyben a szabályzatok magasabb szinten vannak beállítva, például felügyeleti csoportokat. A magasabb szintű szabályzatok automatikusan alacsonyabb szintekre, például előfizetésekre és erőforráscsoportokra vonatkoznak. A szabályzatok akkor is érvényesek, ha a felhőkörnyezetben változások történnek, csökkentve a felügyeleti többletterhelést.
Szabályzatkényszerítési pontok használata. Olyan szabályzatkényszerítési pontokat állíthat be a felhőkörnyezetekben, amelyek automatikusan alkalmazzák az irányítási szabályokat. Fontolja meg az előzetes üzembe helyezési ellenőrzéseket, a futtatókörnyezet monitorozását és az automatizált szervizelési műveleteket.
Szabályzat használata kódként. Az IaC-eszközökkel kódon keresztül kényszerítheti ki a szabályozási szabályzatokat. A szabályzat mint kód javítja a szabályozási vezérlők automatizálását, és biztosítja a különböző környezetek konzisztenciáját. Fontolja meg az Enterprise Azure Policy as Code (EPAC) használatát az ajánlott Azure-beli célzóna-szabályzatokhoz igazodó szabályzatok kezeléséhez.
Igény szerint egyéni megoldásokat fejleszthet. Egyéni szabályozási műveletek esetén fontolja meg egyéni szkriptek vagy alkalmazások fejlesztését. Az Azure service API-k használatával gyűjthet adatokat, vagy közvetlenül kezelheti az erőforrásokat.
Az Azure megkönnyítése: Felhőszabályozási szabályzatok automatikus kényszerítése
Az alábbi útmutató segít megtalálni a megfelelő eszközöket a felhőszabályozási szabályzatoknak való megfelelés automatizálásához az Azure-ban. Mintául szolgál a felhőszabályozás fő kategóriáihoz.
Szabályozási megfelelőség szabályozásának automatizálása
Szabályozási megfelelőségi szabályzatok alkalmazása. Olyan beépített szabályozási megfelelőségi szabályzatokat használjon, amelyek megfelelnek a megfelelőségi szabványoknak, például HITRUST/HIPAA, ISO 27001, CMMC, FedRamp és PCI DSSv4.
Egyéni korlátozások automatizálása. Egyéni szabályzatok létrehozásával saját szabályokat határozhat meg az Azure-ral való munkavégzéshez.
A biztonsági szabályozás automatizálása
Biztonsági szabályzatok alkalmazása. Használja a beépített biztonsági szabályzatokat és az automatizált biztonsági megfelelőséget a közös biztonsági szabványoknak való megfeleléshez. Beépített szabályzatok találhatók az NIST 800 SP sorozathoz, a Center for Internet Security benchmarkokhoz és a Microsoft felhőbiztonsági benchmarkjaihoz. Beépített szabályzatok használatával automatizálhatja az egyes Azure-szolgáltatások biztonsági konfigurációját . Egyéni szabályzatok létrehozásával saját szabályokat határozhat meg az Azure-ral való munkavégzéshez.
Identitásszabályozás alkalmazása. Engedélyezze a Microsoft Entra többtényezős hitelesítést (MFA) és az önkiszolgáló jelszó-visszaállítást. A gyenge jelszavak kiküszöbölése. Automatizálhatja az identitásszabályozás egyéb aspektusait, például a hozzáférési kérelmek munkafolyamatait, a hozzáférési felülvizsgálatokat és az identitás életciklusának kezelését. Az igény szerint történő hozzáférés engedélyezése a fontos erőforrásokhoz való hozzáférés korlátozásához. Feltételes hozzáférési szabályzatok használatával biztosíthatja vagy letilthatja a felhasználói és eszközidentitások hozzáférését a felhőszolgáltatásokhoz.
Hozzáférési vezérlők alkalmazása. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) és az attribútumalapú hozzáférés-vezérlés (ABAC) használatával szabályozhatja az adott erőforrásokhoz való hozzáférést. Engedélyek megadása és megtagadása felhasználók és csoportok számára. Alkalmazza az engedélyt a megfelelő hatókörben (felügyeleti csoport, előfizetés, erőforráscsoport vagy erőforrás), hogy csak a szükséges engedélyeket adja meg, és korlátozza a felügyeleti többletterhelést.
Költségszabályozás automatizálása
Az üzembehelyezési korlátozások automatizálása. Bizonyos felhőalapú erőforrások letiltása a költségigényes erőforrások használatának megakadályozása érdekében.
Egyéni korlátozások automatizálása. Egyéni szabályzatok létrehozásával saját szabályokat határozhat meg az Azure-ral való munkavégzéshez.
A költségfelosztás automatizálása. Címkézési követelmények kikényszerítése a környezetek (fejlesztési, tesztelési, éles), részlegek vagy projektek költségeinek csoportosításához és lefoglalásához. Címkék használatával azonosíthatja és nyomon követheti a költségoptimalizálási erőfeszítések részét képező erőforrásokat.
Műveletek szabályozásának automatizálása
A redundancia automatizálása. A beépített Azure-szabályzatok használatával meghatározott szintű infrastruktúra-redundanciát igényelhet, például zónaredundáns és georedundáns példányokat.
Biztonsági mentési szabályzatok alkalmazása. Biztonsági mentési szabályzatok használatával szabályozhatja a biztonsági mentés gyakoriságát, a megőrzési időt és a tárolási helyet. A biztonsági mentési szabályzatok összehangolása az adatszabályozással, a jogszabályi megfelelőségi követelményekkel, a helyreállítási idő célkitűzésével (RTO) és a helyreállítási pont célkitűzésével (RPO). Az egyes Azure-szolgáltatások, például az Azure SQL Database biztonsági mentési beállításaival konfigurálhatja a szükséges beállításokat.
Feleljen meg a célszolgáltatás-szintű célkitűzésnek. Korlátozza bizonyos szolgáltatások és szolgáltatási szintek (SKU-k) üzembe helyezését, amelyek nem felelnek meg a célszolgáltatás-szintű célkitűzésnek. Használja például a szabályzatdefiníciót az
Not allowed resource typesAzure Policyban.
Adatszabályozás automatizálása
Adatszabályozás automatizálása. Automatizálhatja az adatszabályozási feladatokat, például a katalogizálást, a leképezést, a biztonságos megosztást és a szabályzatok alkalmazását.
Az adatéletciklus-kezelés automatizálása. A tárolás tárolási szabályzatainak és életciklus-kezelésének implementálása az adatok hatékony és megfelelő tárolásának biztosítása érdekében.
Adatbiztonság automatizálása. Tekintse át és kényszerítse ki az adatvédelmi stratégiákat, például az adatok elkülönítését, titkosítását és redundanciát.
Erőforrás-kezelés szabályozásának automatizálása
Erőforrás-kezelési hierarchia létrehozása. A felügyeleti csoportok segítségével rendszerezheti az előfizetéseket, hogy hatékonyan szabályozhassa a szabályzatokat, a hozzáférést és a kiadásokat. Kövesse az Azure célzóna erőforrás-szervezetének ajánlott eljárásait.
Címkézési stratégia kényszerítése. Győződjön meg arról, hogy minden Azure-erőforrás egységes címkével rendelkezik a kezelhetőség, a költségkövetés és a megfelelőség javítása érdekében. A címkézési stratégia meghatározása és a címkeszabályozás kezelése.
Az üzembe helyezhető erőforrások korlátozása. Tiltsa le az erőforrástípusokat a szükségtelen kockázatot jelentő szolgáltatások üzembe helyezésének korlátozásához.
Az üzemelő példányok korlátozása adott régiókra. Szabályozhatja, hogy hol vannak üzembe helyezve az erőforrások a szabályozási követelményeknek való megfelelés, a költségek kezelése és a késés csökkentése érdekében. Használja például a szabályzatdefiníciót az
Allowed locationsAzure Policyban. Emellett regionális korlátozásokat is érvényesíthet az üzembehelyezési folyamatban.Infrastruktúra használata kódként (IaC). Az infrastruktúra üzembe helyezésének automatizálása Bicep-, Terraform- vagy Azure Resource Manager-sablonok (ARM-sablonok) használatával. Az IaC-konfigurációkat forrásvezérlő rendszerben (GitHub vagy Azure Repos) tárolhatja a változások nyomon követéséhez és az együttműködéshez. Az Azure célzónagyorsítókkal szabályozhatja a platform- és alkalmazáserőforrások üzembe helyezését, és elkerülheti a konfiguráció időbeli eltérését.
Hibrid és többfelhős környezetek szabályozása. Hibrid és többfelhős erőforrások szabályozása. Konzisztenciát tarthat fenn a felügyelet és a szabályzatkényszerítés terén.
AI-szabályozás automatizálása
Használja a lekéréses kiterjesztett generációs (RAG) mintát. Az RAG egy információlekérdezési rendszert ad hozzá a nyelvi modell által a válasz létrehozásához használt földelési adatok szabályozásához. Használhatja például az Azure OpenAI szolgáltatást a saját adatfunkcióján, vagy beállíthatja a RAG-ot az Azure AI Search szolgáltatással, hogy a generatív AI-t a tartalomra korlátozza.
Használja az AI fejlesztői eszközeit. Az AI-eszközöket, például a Szemantic Kernelt használva megkönnyítheti és szabványosíthatja az AI vezénylését az AI-t használó alkalmazások fejlesztésekor.
A kimeneti generáció szabályozása. Segít megelőzni a visszaéléseket és a káros tartalmak létrehozását. AI-tartalomszűrés és AI-visszaélések monitorozása.
Adatveszteség-megelőzés konfigurálása. Adatveszteség-megelőzés konfigurálása az Azure AI-szolgáltatásokhoz. Konfigurálja azon kimenő URL-címek listáját, amelyekhez az AI-szolgáltatások erőforrásai hozzáférhetnek.
Használjon rendszerüzeneteket. A rendszerüzenetek segítségével irányíthatja az AI-rendszerek viselkedését, és testre szabhatja a kimeneteket.
Alkalmazza az AI biztonsági alapkonfigurációt. Az AI-rendszerek biztonságának szabályozásához használja az Azure AI biztonsági alapkonfigurációját .
Felhőszabályozási szabályzatok manuális kényszerítése
Az eszközök korlátozása vagy költsége néha nem praktikussá teszi az automatizált kényszerítést. Ha nem tudja automatizálni a kényszerítéseket, manuálisan kényszerítse ki a felhőszabályozási szabályzatokat. A felhőszabályozás manuális kikényszerítéséhez kövesse az alábbi javaslatokat:
Használjon ellenőrzőlistákat. Az irányítási ellenőrzőlisták használatával megkönnyítheti a csapatok számára a felhőszabályozási szabályzatok követését. További információkért tekintse meg a megfelelőségi ellenőrzőlistákat.
Rendszeres betanítást biztosít. Az összes érintett csapattag számára tartson gyakori képzéseket, hogy tisztában legyenek a szabályozási szabályzatokkal.
Rendszeres felülvizsgálatok ütemezése. A felhőbeli erőforrások és folyamatok rendszeres felülvizsgálatának és auditálásának ütemezésének implementálása az irányítási szabályzatoknak való megfelelés biztosítása érdekében. Ezek a felülvizsgálatok kritikus fontosságúak a létrehozott szabályzatoktól való eltérések azonosításához és a korrekciós intézkedések elvégzéséhez.
Monitorozás manuálisan. Dedikált személyzet hozzárendelése a felhőkörnyezet figyeléséhez a szabályozási szabályzatoknak való megfelelés érdekében. Fontolja meg az erőforrások használatának nyomon követését, a hozzáférés-vezérlés kezelését és annak biztosítását, hogy az adatvédelmi intézkedések a szabályzatokhoz igazodjanak. Definiáljon például egy átfogó költségkezelési megközelítést a felhőköltségek szabályozásához.
Szabályzatkényszerítés áttekintése
A megfelelőségi kényszerítési mechanizmusok rendszeres felülvizsgálata és frissítése. A cél az, hogy a felhőszabályozási szabályzatok betartatása igazodjon a jelenlegi igényekhez, beleértve a fejlesztői, az tervezői, a számítási feladatokat, a platformot és az üzleti követelményeket. A szabályzatkényszerítés áttekintéséhez kövesse az alábbi javaslatokat:
Vegye fel a kapcsolatot az érdekelt felekkel. A végrehajtási mechanizmusok hatékonyságának megvitatása az érdekelt felekkel. Győződjön meg arról, hogy a felhőszabályozás betartatása megfelel az üzleti célkitűzéseknek és a megfelelőségi követelményeknek.
Monitorozási követelmények. A kényszerítési mechanizmusok frissítése vagy eltávolítása az új vagy frissített követelményeknek megfelelően. Nyomon követheti az olyan szabályozások és szabványok változásait, amelyek megkövetelik a kényszerítési mechanizmusok frissítését. Az Azure-beli célzóna által javasolt szabályzatok például idővel változhatnak. Észlelnie kell ezeket a szabályzatmódosításokat, frissítenie kell a legújabb azure-beli kezdőzónás egyéni szabályzatokat, vagy szükség szerint át kell migrálnia a beépített szabályzatokra.
Példa felhőszabályozási megfelelőségi ellenőrzőlistákra
A megfelelőségi ellenőrzőlisták segítenek a csapatoknak megérteni a rájuk vonatkozó szabályozási szabályzatokat. A példamegfelelőségi ellenőrzőlisták a példafelhőszabályozási szabályzatok házirend-utasítását használják, és tartalmazzák a felhőszabályozási szabályzat azonosítóját a kereszthivatkozásokhoz.
| Kategória | Megfelelőségi követelmény |
|---|---|
| Előírásoknak való megfelelés | ☐ A Microsoft Purview-t a bizalmas adatok (RC01) figyeléséhez kell használni. ☐ A napi bizalmas adatmegfelelési jelentéseket a Microsoft Purview (RC02) szolgáltatásból kell létrehozni. |
| Biztonság | ☐ Az MFA-t minden felhasználó (SC01) számára engedélyezni kell. ☐ A hozzáférési felülvizsgálatokat havonta kell elvégezni az ID Governance (SC02) alkalmazásban. ☐ Az összes alkalmazás- és infrastruktúrakód (SC03) üzemeltetéséhez használja a megadott GitHub-szervezetet. ☐ A nyilvános forrásokból származó kódtárakat használó csapatoknak a karanténmintát (SC04) kell alkalmazniuk. |
| Üzemeltetés | ☐ Az éles számítási feladatoknak aktív-passzív architektúrával kell rendelkezniük a régiók (OP01) között. ☐ Minden kritikus fontosságú számítási feladatnak régióközi aktív-aktív architektúrát (OP02) kell implementálnia. |
| Költség | ☐ A számítási feladatokat végző csapatoknak az erőforráscsoport szintjén (CM01) kell beállítaniuk a költségvetés-riasztásokat. ☐ Az Azure Advisor költségjavaslatait felül kell vizsgálni (CM02). |
| Adatok | ☐ Az átvitel közbeni és inaktív titkosítást minden bizalmas adatra alkalmazni kell. (DG01) ☐ Az adatéletciklus-szabályzatokat minden bizalmas adathoz (DG02) engedélyezni kell. |
| Erőforrás-kezelés | ☐ A Bicep-et az erőforrások (RM01) üzembe helyezéséhez kell használni. ☐ A címkéket az Azure Policy (RM02) használatával kell kikényszeríteni az összes felhőerőforráson. |
| Mesterséges intelligencia | ☐ Az AI-tartalomszűrési konfigurációt közepes vagy magasabbra (AI01) kell beállítani. ☐ Az ügyféloldali AI-rendszereknek havonta (AI02) red-teamednek kell lenniük. |
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: