Menerapkan kebijakan tata kelola cloud

  • Artikel

Artikel ini memperlihatkan kepada Anda cara menerapkan kepatuhan terhadap kebijakan tata kelola cloud. Penegakan tata kelola cloud mengacu pada kontrol dan prosedur yang Anda gunakan untuk menyelaraskan penggunaan cloud dengan kebijakan tata kelola cloud. Tim tata kelola cloud menilai risiko cloud dan membuat kebijakan tata kelola cloud untuk mengelola risiko tersebut. Untuk memastikan kepatuhan terhadap kebijakan tata kelola cloud, tim tata kelola cloud harus mendelegasikan tanggung jawab penegakan. Mereka harus memberdayakan setiap tim atau individu untuk menegakkan kebijakan tata kelola cloud dalam bidang tanggung jawab mereka. Tim tata kelola cloud tidak dapat melakukan semuanya. Lebih suka kontrol penegakan otomatis tetapi menerapkan kepatuhan secara manual di mana Anda tidak dapat mengotomatiskan.

Diagram memperlihatkan proses untuk menyiapkan dan memelihara tata kelola cloud. Diagram menunjukkan lima langkah berurutan: membangun tim tata kelola cloud, mendokumen kebijakan tata kelola cloud, menerapkan kebijakan tata kelola cloud, dan memantau tata kelola cloud. Langkah pertama yang Anda lakukan sekali. Empat langkah terakhir yang Anda lakukan sekali untuk menyiapkan tata kelola cloud dan terus mempertahankan tata kelola cloud.

Menentukan pendekatan untuk memberlakukan kebijakan tata kelola cloud

Tetapkan strategi sistematis untuk menegakkan kepatuhan terhadap kebijakan tata kelola cloud. Tujuannya adalah untuk menggunakan alat otomatis dan pengawasan manual untuk menegakkan kepatuhan secara efisien. Untuk menentukan pendekatan penegakan, ikuti rekomendasi berikut:

  • Mendelegasikan tanggung jawab tata kelola. Memberdayakan individu dan tim untuk menegakkan tata kelola dalam cakupan tanggung jawab mereka. Misalnya, tim platform harus menerapkan kebijakan yang diwarisi beban kerja dan tim beban kerja harus memberlakukan tata kelola untuk beban kerja mereka. Tim tata kelola cloud seharusnya tidak bertanggung jawab untuk menerapkan kontrol penegakan.

  • Mengadopsi model warisan. Terapkan model tata kelola hierarkis di mana beban kerja tertentu mewarisi kebijakan tata kelola dari platform. Model ini membantu memastikan bahwa standar organisasi berlaku untuk lingkungan yang benar, seperti persyaratan pembelian untuk layanan cloud. Ikuti prinsip desain zona pendaratan Azure dan area desain organisasi sumber dayanya untuk membangun model pewarisan yang tepat.

  • Diskusikan penegakan spesifik. Diskusikan di mana dan bagaimana Anda menerapkan kebijakan tata kelola. Tujuannya adalah untuk menemukan cara hemat biaya untuk menegakkan kepatuhan yang mempercepat produktivitas. Tanpa diskusi, Anda berisiko memblokir kemajuan tim tertentu. Penting untuk menemukan keseimbangan yang mendukung tujuan bisnis sambil mengelola risiko secara efektif.

  • Memiliki sikap monitor-pertama. Jangan memblokir tindakan kecuali Anda memahaminya terlebih dahulu. Untuk risiko prioritas yang lebih rendah, mulailah dengan memantau kepatuhan terhadap kebijakan tata kelola cloud. Setelah memahami risikonya, Anda dapat beralih ke kontrol penegakan yang lebih ketat. Pendekatan monitor-first memberi Anda kesempatan untuk membahas kebutuhan tata kelola dan mewujudkan kebijakan tata kelola cloud dan kontrol penegakan terhadap kebutuhan tersebut.

  • Lebih suka daftar blokir. Lebih suka daftar blokir daripada daftar yang diizinkan. Daftar blokir mencegah penyebaran layanan tertentu. Lebih baik memiliki daftar layanan kecil yang tidak boleh Anda gunakan daripada daftar panjang layanan yang dapat Anda gunakan. Untuk menghindari daftar blokir yang panjang, jangan tambahkan layanan baru ke daftar blokir secara default.

  • Tentukan strategi pemberian tag dan penamaan. Tetapkan pedoman sistematis untuk penamaan dan pemberian tag sumber daya cloud. Ini menyediakan kerangka kerja terstruktur untuk kategorisasi sumber daya, manajemen biaya, keamanan, dan kepatuhan di seluruh lingkungan cloud. Izinkan tim, seperti tim pengembangan, untuk menambahkan tag lain untuk kebutuhan unik mereka.

Menerapkan kebijakan tata kelola cloud secara otomatis

Gunakan alat manajemen dan tata kelola cloud untuk mengotomatiskan kepatuhan terhadap kebijakan tata kelola. Alat-alat ini dapat membantu dalam menyiapkan pagar pembatas, memantau konfigurasi, dan memastikan kepatuhan. Untuk menyiapkan penegakan otomatis, ikuti rekomendasi berikut:

  • Mulailah dengan serangkaian kebijakan otomatis yang kecil. Mengotomatiskan kepatuhan pada serangkaian kebijakan tata kelola cloud penting yang kecil. Terapkan dan uji otomatisasi untuk menghindari gangguan operasional. Perluas daftar kontrol penegakan otomatis Anda saat siap.

  • Gunakan alat tata kelola cloud. Gunakan alat yang tersedia di lingkungan cloud Anda untuk menegakkan kepatuhan. Alat tata kelola utama Azure adalah Azure Policy. Melengkapi Azure Policy dengan Microsoft Defender untuk Cloud (keamanan), Microsoft Purview (data), Tata Kelola ID Microsoft Entra (identitas), Azure Monitor (operasi), grup manajemen (manajemen sumber daya), infrastruktur sebagai kode (IaC) (manajemen sumber daya), dan konfigurasi dalam setiap layanan Azure.

  • Terapkan kebijakan tata kelola pada cakupan yang tepat. Gunakan sistem pewarisan di mana kebijakan ditetapkan pada tingkat yang lebih tinggi, seperti grup manajemen. Kebijakan pada tingkat yang lebih tinggi secara otomatis berlaku untuk tingkat yang lebih rendah, seperti langganan dan grup sumber daya. Kebijakan berlaku bahkan ketika ada perubahan dalam lingkungan cloud, menurunkan overhead manajemen.

  • Gunakan titik penegakan kebijakan. Siapkan titik penegakan kebijakan dalam lingkungan cloud Anda yang secara otomatis menerapkan aturan tata kelola. Pertimbangkan pemeriksaan pra-penyebaran, pemantauan runtime, dan tindakan remediasi otomatis.

  • Gunakan kebijakan sebagai kode. Gunakan alat IaC untuk menerapkan kebijakan tata kelola melalui kode. Kebijakan sebagai kode meningkatkan otomatisasi kontrol tata kelola dan memastikan konsistensi di berbagai lingkungan. Pertimbangkan untuk menggunakan Kebijakan Azure Perusahaan sebagai Kode (EPAC) untuk mengelola kebijakan yang selaras dengan kebijakan zona pendaratan Azure yang direkomendasikan.

  • Kembangkan solusi kustom sesuai kebutuhan. Untuk tindakan tata kelola kustom, pertimbangkan untuk mengembangkan skrip atau aplikasi kustom. Gunakan API layanan Azure untuk mengumpulkan data atau mengelola sumber daya secara langsung.

Fasilitasi Azure: Memberlakukan kebijakan tata kelola cloud secara otomatis

Panduan berikut dapat membantu Anda menemukan alat yang tepat untuk mengotomatiskan kepatuhan terhadap kebijakan tata kelola cloud di Azure. Ini menyediakan titik awal sampel untuk kategori utama tata kelola cloud.

Mengotomatiskan tata kelola kepatuhan terhadap peraturan

  • Menerapkan kebijakan kepatuhan terhadap peraturan. Gunakan kebijakan kepatuhan peraturan bawaan yang selaras dengan standar kepatuhan, seperti HITRUST/HIPAA, ISO 27001, CMMC, FedRamp, dan PCI DSSv4.

  • Mengotomatiskan pembatasan kustom. Buat kebijakan kustom untuk menentukan aturan Anda sendiri untuk bekerja dengan Azure.

Mengotomatiskan tata kelola keamanan

  • Menerapkan kebijakan keamanan. Gunakan kebijakan keamanan bawaan dan kepatuhan keamanan otomatis untuk menyelaraskan dengan standar keamanan umum. Ada kebijakan bawaan untuk seri NIST 800 SP, tolok ukur Center for Internet Security, dan tolok ukur keamanan cloud Microsoft. Gunakan kebijakan bawaan untuk mengotomatiskan konfigurasi keamanan layanan Azure tertentu. Buat kebijakan kustom untuk menentukan aturan Anda sendiri untuk bekerja dengan Azure.

  • Menerapkan tata kelola identitas. Aktifkan autentikasi multifaktor Microsoft Entra (MFA) dan reset kata sandi layanan mandiri. Hilangkan kata sandi yang lemah. Mengotomatiskan aspek tata kelola identitas lainnya, seperti alur kerja permintaan akses, tinjauan akses, dan manajemen siklus hidup identitas. Aktifkan akses just-in-time untuk membatasi akses ke sumber daya penting. Gunakan kebijakan akses bersyarah untuk memberikan atau memblokir akses identitas pengguna dan perangkat ke layanan cloud.

  • Terapkan kontrol akses. Gunakan kontrol akses berbasis peran Azure (RBAC) dan kontrol akses berbasis atribut (ABAC) untuk mengatur akses ke sumber daya tertentu. Memberikan dan menolak izin kepada pengguna dan grup. Terapkan izin pada cakupan yang sesuai (grup manajemen, langganan, grup sumber daya, atau sumber daya) untuk hanya memberikan izin yang diperlukan dan membatasi overhead manajemen.

Mengotomatiskan tata kelola biaya

  • Mengotomatiskan pembatasan penyebaran. Larang sumber daya cloud tertentu untuk mencegah penggunaan sumber daya intensif biaya.

  • Mengotomatiskan pembatasan kustom. Buat kebijakan kustom untuk menentukan aturan Anda sendiri untuk bekerja dengan Azure.

  • Mengotomatiskan alokasi biaya. Terapkan persyaratan pemberian tag untuk mengelompokkan dan mengalokasikan biaya di seluruh lingkungan (pengembangan, pengujian, produksi), departemen, atau proyek. Gunakan tag untuk mengidentifikasi dan melacak sumber daya yang merupakan bagian dari upaya pengoptimalan biaya.

Mengotomatiskan tata kelola operasi

  • Mengotomatiskan redundansi. Gunakan kebijakan Azure bawaan untuk memerlukan tingkat redundansi infrastruktur tertentu, seperti instans zona redundan dan geo-redundan.

  • Menerapkan kebijakan pencadangan. Gunakan kebijakan pencadangan untuk mengatur frekuensi pencadangan, periode retensi, dan lokasi penyimpanan. Menyelaraskan kebijakan pencadangan dengan tata kelola data, persyaratan kepatuhan terhadap peraturan, tujuan waktu pemulihan (RTO), dan tujuan titik pemulihan (RPO). Gunakan pengaturan cadangan di layanan Azure individual, seperti Azure SQL Database, untuk mengonfigurasi pengaturan yang Anda butuhkan.

  • Penuhi tujuan tingkat layanan target. Batasi penyebaran layanan dan tingkat layanan (SKU) tertentu yang tidak memenuhi tujuan tingkat layanan target Anda. Misalnya, gunakan Not allowed resource types definisi kebijakan di Azure Policy.

Mengotomatiskan tata kelola data

  • Mengotomatiskan tata kelola data. Mengotomatiskan tugas tata kelola data, seperti membuat katalog, memetakan, berbagi dengan aman, dan menerapkan kebijakan.

  • Mengotomatiskan manajemen siklus hidup data. Terapkan kebijakan penyimpanan dan manajemen siklus hidup untuk penyimpanan guna memastikan data disimpan secara efisien dan sesuai.

  • Mengotomatiskan keamanan data. Tinjau dan terapkan strategi perlindungan data, seperti pemisahan data, enkripsi, dan redundansi.

Mengotomatiskan tata kelola manajemen sumber daya

  • Membuat hierarki manajemen sumber daya. Gunakan grup manajemen untuk mengatur langganan Anda sehingga Anda dapat mengatur kebijakan, akses, dan pengeluaran secara efisien. Ikuti praktik terbaik organisasi sumber daya zona pendaratan Azure.

  • Menerapkan strategi pemberian tag. Pastikan semua sumber daya Azure ditandai secara konsisten untuk meningkatkan pengelolaan, pelacakan biaya, dan kepatuhan. Tentukan strategi pemberian tag Anda dan kelola tata kelola tag.

  • Batasi sumber daya mana yang dapat Anda sebarkan. Larang jenis sumber daya untuk membatasi penyebaran layanan yang menambahkan risiko yang tidak perlu.

  • Membatasi penyebaran ke wilayah tertentu. Kontrol tempat sumber daya disebarkan untuk mematuhi persyaratan peraturan, mengelola biaya, dan mengurangi latensi. Misalnya, gunakan Allowed locations definisi kebijakan di Azure Policy. Terapkan juga pembatasan regional dalam alur penyebaran Anda.

  • Gunakan infrastruktur sebagai kode (IaC). Mengotomatiskan penyebaran infrastruktur menggunakan templat Bicep, Terraform, atau Azure Resource Manager (templat ARM). Simpan konfigurasi IaC Anda dalam sistem kontrol sumber (GitHub atau Azure Repos) untuk melacak perubahan dan berkolaborasi. Gunakan akselerator zona pendaratan Azure untuk mengatur penyebaran platform dan sumber daya aplikasi Anda dan menghindari penyimpangan konfigurasi dari waktu ke waktu.

  • Mengatur lingkungan hibrid dan multicloud. Mengatur sumber daya hibrid dan multicloud. Menjaga konsistensi dalam manajemen dan penegakan kebijakan.

Mengotomatiskan tata kelola AI

  • Gunakan pola retrieval augmented generation (RAG). RAG menambahkan sistem pengambilan informasi untuk mengontrol data dasar yang digunakan model bahasa untuk menghasilkan respons. Misalnya, Anda dapat menggunakan Azure OpenAI Service pada fitur data Anda sendiri atau menyiapkan RAG dengan Azure AI Search untuk membatasi AI generatif ke konten Anda.

  • Gunakan alat pengembangan AI. Gunakan alat AI, seperti Semantic Kernel, yang memfasilitasi dan menstandarkan orkestrasi AI saat mengembangkan aplikasi yang menggunakan AI.

  • Mengatur pembuatan output. Membantu mencegah penyalahgunaan dan pembuatan konten yang berbahaya. Gunakan pemfilteran konten AI dan pemantauan penyalahgunaan AI.

  • Mengonfigurasi pencegahan kehilangan data. Mengonfigurasi pencegahan kehilangan data untuk layanan Azure AI. Konfigurasikan daftar URL keluar yang diizinkan untuk diakses oleh sumber daya layanan AI mereka.

  • Gunakan pesan sistem. Gunakan pesan sistem untuk memandu perilaku sistem AI dan menyesuaikan output.

  • Terapkan garis besar keamanan AI. Gunakan garis besar keamanan Azure AI untuk mengatur keamanan sistem AI.

Menerapkan kebijakan tata kelola cloud secara manual

Terkadang keterbatasan atau biaya alat membuat penegakan otomatis tidak praktis. Dalam kasus di mana Anda tidak dapat mengotomatiskan penerapan, berlakukan kebijakan tata kelola cloud secara manual. Untuk menerapkan tata kelola cloud secara manual, ikuti rekomendasi berikut:

  • Gunakan daftar periksa. Gunakan daftar periksa tata kelola untuk memudahkan tim Anda mengikuti kebijakan tata kelola cloud. Untuk informasi selengkapnya, lihat contoh daftar periksa kepatuhan.

  • Berikan pelatihan rutin. Lakukan sesi pelatihan yang sering bagi semua anggota tim yang relevan untuk memastikan mereka mengetahui kebijakan tata kelola.

  • Jadwalkan ulasan reguler. Terapkan jadwal untuk tinjauan reguler dan audit sumber daya dan proses cloud untuk memastikan kepatuhan terhadap kebijakan tata kelola. Ulasan ini sangat penting untuk mengidentifikasi penyimpangan dari kebijakan yang ditetapkan dan mengambil tindakan korektif.

  • Pantau secara manual. Tetapkan personel khusus untuk memantau lingkungan cloud untuk kepatuhan terhadap kebijakan tata kelola. Pertimbangkan untuk melacak penggunaan sumber daya, mengelola kontrol akses, dan memastikan langkah-langkah perlindungan data diterapkan untuk menyelaraskan dengan kebijakan. Misalnya, tentukan pendekatan manajemen biaya komprehensif untuk mengatur biaya cloud.

Meninjau penegakan kebijakan

Meninjau dan memperbarui mekanisme penegakan kepatuhan secara teratur. Tujuannya adalah untuk menjaga penegakan kebijakan tata kelola cloud selaras dengan kebutuhan saat ini, termasuk persyaratan pengembang, arsitek, beban kerja, platform, dan bisnis. Untuk meninjau penegakan kebijakan, ikuti rekomendasi berikut:

  • Terlibat dengan pemangku kepentingan. Membahas efektivitas mekanisme penegakan dengan pemangku kepentingan. Pastikan penerapan tata kelola cloud selaras dengan tujuan bisnis dan persyaratan kepatuhan.

  • Memantau persyaratan. Perbarui atau hapus mekanisme penegakan agar selaras dengan persyaratan baru atau yang diperbarui. Lacak perubahan peraturan dan standar yang memerlukan pembaruan mekanisme penegakan Anda. Misalnya, kebijakan yang direkomendasikan zona pendaratan Azure dapat berubah dari waktu ke waktu. Anda harus mendeteksi perubahan kebijakan tersebut, memperbarui ke kebijakan kustom zona pendaratan Azure terbaru, atau bermigrasi ke kebijakan bawaan sesuai kebutuhan.

Contoh daftar periksa kepatuhan tata kelola cloud

Daftar periksa kepatuhan membantu tim memahami kebijakan tata kelola yang berlaku untuk mereka. Contoh daftar periksa kepatuhan menggunakan pernyataan kebijakan dari contoh kebijakan tata kelola cloud dan berisi ID kebijakan tata kelola cloud untuk referensi silang.

Kategori Persyaratan kepatuhan
Kepatuhan peraturan ☐ Microsoft Purview harus digunakan untuk memantau data sensitif (RC01).
☐ Laporan kepatuhan data sensitif harian harus dihasilkan dari Microsoft Purview (RC02).
Keamanan ☐ MFA harus diaktifkan untuk semua pengguna (SC01).
☐ Tinjauan akses harus dilakukan setiap bulan dalam TATA KELOLA ID (SC02).
☐ Gunakan organisasi GitHub yang ditentukan untuk menghosting semua kode aplikasi dan infrastruktur (SC03).
☐ Tim yang menggunakan pustaka dari sumber publik harus mengadopsi pola karantina (SC04).
Operasional ☐ Beban kerja produksi harus memiliki arsitektur pasif aktif di seluruh wilayah (OP01).
☐ Semua beban kerja misi penting harus menerapkan arsitektur aktif-aktif lintas wilayah (OP02).
Biaya ☐ Tim beban kerja harus menetapkan pemberitahuan anggaran di tingkat grup sumber daya (CM01).
☐ Rekomendasi biaya Azure Advisor harus ditinjau (CM02).
Data ☐ Enkripsi saat transit dan tidak aktif harus diterapkan ke semua data sensitif. (DG01)
☐ Kebijakan siklus hidup data harus diaktifkan untuk semua data sensitif (DG02).
Manajemen sumber daya ☐ Bicep harus digunakan untuk menyebarkan sumber daya (RM01).
☐ Tag harus diberlakukan pada semua sumber daya cloud menggunakan Azure Policy (RM02).
AI ☐ Konfigurasi pemfilteran konten AI harus diatur ke sedang atau lebih tinggi (AI01).
☐ Sistem AI yang menghadap pelanggan harus beregu merah setiap bulan (AI02).

Langkah selanjutnya

Memantau tata kelola cloud