Cloudgovernancebeleid afdwingen
In dit artikel leest u hoe u naleving van cloudgovernancebeleid kunt afdwingen. Afdwinging van cloudgovernance verwijst naar de besturingselementen en procedures die u gebruikt om cloudgebruik af te stemmen op het cloudgovernancebeleid. Het cloudgovernanceteam beoordeelt cloudrisico's en maakt beleidsregels voor cloudgovernance om deze risico's te beheren. Om ervoor te zorgen dat het cloudgovernancebeleid wordt nageleefd, moet het cloudgovernanceteam afdwingingsverantwoordelijkheden delegeren. Ze moeten elk team of elk individu in staat stellen om beleid voor cloudgovernance af te dwingen binnen hun verantwoordelijkheidsgebied. Het cloudgovernanceteam kan dit niet allemaal doen. Geef de voorkeur aan geautomatiseerde afdwingingscontroles, maar dwing handmatig naleving af, waar u niet kunt automatiseren.
Een benadering definiëren voor het afdwingen van cloudgovernancebeleid
Stel een systematische strategie in om naleving van cloudgovernancebeleid af te dwingen. Het doel is om geautomatiseerde hulpprogramma's en handmatig toezicht te gebruiken om naleving efficiënt af te dwingen. Volg deze aanbevelingen om een afdwingingsbenadering te definiëren:
Beheerverantwoordelijkheden delegeren. Stelt personen en teams in staat om governance af te dwingen binnen hun bereik van verantwoordelijkheid. Platformteams moeten bijvoorbeeld beleidsregels toepassen die de workloads overnemen en workloadteams moeten governance afdwingen voor hun workload. Het cloudgovernanceteam mag niet verantwoordelijk zijn voor het toepassen van afdwingingscontroles.
Een overnamemodel aannemen. Pas een hiërarchisch governancemodel toe waarbij specifieke workloads governancebeleid overnemen van het platform. Dit model helpt ervoor te zorgen dat organisatiestandaarden van toepassing zijn op de juiste omgevingen, zoals aankoopvereisten voor cloudservices. Volg de ontwerpprincipes van Azure-landingszones en het ontwerpgebied van de resourceorganisatie om een goed overnamemodel tot stand te brengen.
Bespreek afdwingingsdetails. Bespreek waar en hoe u governancebeleid toepast. Het doel is om rendabele manieren te vinden om naleving af te dwingen die de productiviteit versnelt. Zonder discussie loopt u risico dat de voortgang van specifieke teams wordt geblokkeerd. Het is belangrijk om een evenwicht te vinden dat de bedrijfsdoelstellingen ondersteunt terwijl risico's effectief worden beheerd.
Houd een monitor-first houding. Blokkeer acties alleen als u ze eerst begrijpt. Voor risico's met een lagere prioriteit begint u met het bewaken van de naleving van het cloudgovernancebeleid. Nadat u het risico hebt begrepen, kunt u overstappen op meer beperkende afdwingingsmechanismen. Een monitor-first benadering biedt u de mogelijkheid om de governancebehoeften te bespreken en het cloudgovernancebeleid en afdwingingsbeheer in te stellen op die behoeften.
Geef de voorkeur aan bloklijsten. Geef de voorkeur aan bloklijsten boven acceptatielijsten. Met bloklijsten wordt voorkomen dat specifieke services worden geïmplementeerd. Het is beter om een kleine lijst met services te hebben die u niet mag gebruiken dan een lange lijst met services die u kunt gebruiken. Als u lange bloklijsten wilt voorkomen, voegt u standaard geen nieuwe services toe aan de blokkeringslijst.
Definieer een tag- en naamgevingsstrategie. Stel systematische richtlijnen in voor het benoemen en taggen van cloudresources. Het biedt een gestructureerd framework voor resourcecategorisatie, kostenbeheer, beveiliging en naleving in de cloudomgeving. Hiermee kunnen teams, zoals ontwikkelteams, andere tags toevoegen voor hun unieke behoeften.
Beleid voor cloudgovernance automatisch afdwingen
Gebruik hulpprogramma's voor cloudbeheer en governance om naleving van governancebeleid te automatiseren. Deze hulpprogramma's kunnen helpen bij het instellen van kaders, het bewaken van configuraties en het garanderen van naleving. Volg deze aanbevelingen om geautomatiseerde afdwinging in te stellen:
Begin met een kleine set geautomatiseerde beleidsregels. Automatiseer naleving van een kleine set essentiële beleidsregels voor cloudgovernance. Implementeer en test automatisering om operationele onderbrekingen te voorkomen. Vouw uw lijst met geautomatiseerde afdwingingsbeheer uit wanneer u klaar bent.
Cloudgovernancehulpprogramma's gebruiken. Gebruik de hulpprogramma's die beschikbaar zijn in uw cloudomgeving om naleving af te dwingen. Het primaire governancehulpprogramma van Azure is Azure Policy. Azure Policy aanvullen met Microsoft Defender voor Cloud (beveiliging), Microsoft Purview (gegevens), Microsoft Entra ID-governance (identiteit), Azure Monitor (bewerkingen), beheergroepen (resourcebeheer), infrastructuur als code (IaC) (resourcebeheer) en configuraties binnen elke Azure-service.
Beheerbeleid toepassen op het juiste bereik. Gebruik een overnamesysteem waarbij beleidsregels op een hoger niveau worden ingesteld, zoals beheergroepen. Beleidsregels op hogere niveaus zijn automatisch van toepassing op lagere niveaus, zoals abonnementen en resourcegroepen. Beleidsregels zijn ook van toepassing wanneer er wijzigingen in de cloudomgeving zijn, waardoor de beheeroverhead wordt verlaagd.
Gebruik beleids afdwingingspunten. Beleid afdwingingspunten instellen in uw cloudomgevingen die automatisch governanceregels toepassen. Overweeg predeploymentcontroles, runtimebewaking en geautomatiseerde herstelacties.
Gebruik beleid als code. Gebruik IaC-hulpprogramma's om governancebeleid af te dwingen via code. Beleid als code verbetert de automatisering van besturingselementen voor governance en zorgt voor consistentie in verschillende omgevingen. Overweeg om Enterprise Azure Policy als code (EPAC) te gebruiken om beleidsregels te beheren die zijn afgestemd op aanbevolen Azure-landingszonebeleid.
Ontwikkel zo nodig aangepaste oplossingen. Voor aangepaste beheeracties kunt u aangepaste scripts of toepassingen ontwikkelen. Gebruik Azure-service-API's om gegevens te verzamelen of resources rechtstreeks te beheren.
Azure-facilitering: cloudgovernancebeleid automatisch afdwingen
De volgende richtlijnen kunnen u helpen de juiste hulpprogramma's te vinden voor het automatiseren van naleving van cloudgovernancebeleid in Azure. Het biedt een voorbeeldstartpunt voor belangrijke categorieën cloudgovernance.
Governance voor naleving van regelgeving automatiseren
Nalevingsbeleid voor regelgeving toepassen. Gebruik ingebouwd nalevingsbeleid voor regelgeving dat overeenkomt met nalevingsstandaarden, zoals HITRUST/HIPAA, ISO 27001, CMMC, FedRamp en PCI DSSv4.
Automatiseer aangepaste beperkingen. Maak aangepaste beleidsregels om uw eigen regels te definiëren voor het werken met Azure.
Beveiligingsbeheer automatiseren
Beveiligingsbeleid toepassen. Gebruik het ingebouwde beveiligingsbeleid en geautomatiseerde beveiligingsnaleving om te voldoen aan algemene beveiligingsstandaarden. Er zijn ingebouwde beleidsregels voor NIST 800 SP-serie, Center for Internet Security-benchmarks en de Microsoft Cloud Security-benchmark. Ingebouwde beleidsregels gebruiken om de beveiligingsconfiguratie van specifieke Azure-services te automatiseren. Maak aangepaste beleidsregels om uw eigen regels te definiëren voor het werken met Azure.
Identiteitsbeheer toepassen. Schakel Meervoudige verificatie (MFA) van Microsoft Entra enselfservice voor wachtwoordherstel in. Elimineer zwakke wachtwoorden. Automatiseer andere aspecten van identiteitsbeheer, zoals werkstromen voor toegangsaanvragen, toegangsbeoordelingen en identiteitslevenscyclusbeheer. Schakel Just-In-Time-toegang in om de toegang tot belangrijke resources te beperken. Gebruik beleid voor voorwaardelijke toegang om toegang tot cloudservices te verlenen of te blokkeren voor gebruikers- en apparaatidentiteiten .
Toegangsbeheer toepassen. Gebruik op rollen gebaseerd toegangsbeheer van Azure (RBAC) en op kenmerken gebaseerd toegangsbeheer (ABAC) om de toegang tot specifieke resources te beheren. Machtigingen verlenen en weigeren aan gebruikers en groepen. Pas de machtiging toe op het juiste bereik (beheergroep, abonnement, resourcegroep of resource) om alleen de benodigde machtigingen te bieden en beheeroverhead te beperken.
Kostenbeheer automatiseren
Implementatiebeperkingen automatiseren. U kunt bepaalde cloudresources niet gebruiken om het gebruik van kostenintensieve resources te voorkomen.
Automatiseer aangepaste beperkingen. Maak aangepaste beleidsregels om uw eigen regels te definiëren voor het werken met Azure.
Kostentoewijzing automatiseren. Dwing tagvereisten af om kosten te groeperen en toe te wijzen in omgevingen (ontwikkeling, testen, productie), afdelingen of projecten. Gebruik tags om resources te identificeren en bij te houden die deel uitmaken van kostenoptimalisatie.
Operations Governance automatiseren
Automatiseer redundantie. Gebruik ingebouwd Azure-beleid om een opgegeven niveau van infrastructuurredundantie te vereisen, zoals zone-redundante en geografisch redundante instanties.
Back-upbeleid toepassen. Gebruik back-upbeleid om de back-upfrequentie, retentieperiode en opslaglocatie te beheren. Lijn het back-upbeleid af met gegevensbeheer, nalevingsvereisten voor regelgeving, RTO (Recovery Time Objective) en RPO (Recovery Point Objective). Gebruik de back-upinstellingen in afzonderlijke Azure-services, zoals Azure SQL Database, om de instellingen te configureren die u nodig hebt.
Voldoen aan het doeldoel op serviceniveau. Beperk de implementatie van bepaalde services en servicelagen (SKU's) die niet voldoen aan uw doeldoelstelling op serviceniveau. Gebruik bijvoorbeeld de
Not allowed resource typesbeleidsdefinitie in Azure Policy.
Gegevensbeheer automatiseren
Gegevensbeheer automatiseren. Automatiseer gegevensbeheertaken , zoals catalogiseren, toewijzen, veilig delen en beleid toepassen.
Automatiseer het beheer van de levenscyclus van gegevens. Implementeer opslagbeleid en levenscyclusbeheer voor opslag om ervoor te zorgen dat gegevens efficiënt en compatibel worden opgeslagen.
Gegevensbeveiliging automatiseren. Bekijk en dwing strategieën voor gegevensbescherming af, zoals gegevensscheiding, versleuteling en redundantie.
Beheer van resources automatiseren
Maak een hiërarchie voor resourcebeheer. Gebruik beheergroepen om uw abonnementen te organiseren, zodat u beleid, toegang en uitgaven efficiënt kunt beheren. Volg de best practices voor de organisatie van azure-landingszones.
Een tagstrategie afdwingen. Zorg ervoor dat alle Azure-resources consistent zijn gelabeld om de beheerbaarheid, kosten bijhouden en naleving te verbeteren. Definieer uw tagstrategie en beheer taggovernance.
Beperk de resources die u kunt implementeren. U kunt resourcetypen niet gebruiken om implementaties van services te beperken die onnodig risico's toevoegen.
Implementaties beperken tot specifieke regio's. Bepalen waar resources worden geïmplementeerd om te voldoen aan wettelijke vereisten, kosten te beheren en latentie te verminderen. Gebruik bijvoorbeeld de
Allowed locationsbeleidsdefinitie in Azure Policy. Dwing ook regionale beperkingen af in uw implementatiepijplijn.Gebruik infrastructuur als code (IaC). Automatiseer infrastructuurimplementaties met bicep-, Terraform- of Azure Resource Manager-sjablonen (ARM-sjablonen). Sla uw IaC-configuraties op in een broncodebeheersysteem (GitHub of Azure-opslagplaatsen) om wijzigingen bij te houden en samen te werken. Gebruik Azure-landingszoneversnellers om de implementatie van uw platform- en toepassingsbronnen te beheren en configuratiedrift in de loop van de tijd te voorkomen.
Hybride en multicloudomgevingen beheren. Hybride en multicloud-resources beheren. Behoud consistentie in beheer en beleidsafdwinging.
AI-governance automatiseren
Gebruik het rag-patroon (Augmented Generation) voor ophalen. RAG voegt een systeem voor het ophalen van gegevens toe om de grondgegevens te beheren die een taalmodel gebruikt om een antwoord te genereren. U kunt bijvoorbeeld de Azure OpenAI-service op uw eigen gegevensfunctie gebruiken of RAG instellen met Azure AI Search om generatieve AI te beperken tot uw inhoud.
Ai-ontwikkelhulpprogramma's gebruiken. Gebruik AI-hulpprogramma's, zoals Semantische kernel, die AI-indeling faciliteren en standaardiseren bij het ontwikkelen van toepassingen die GEBRUIKMAKEN van AI.
Uitvoergeneratie beheren. Voorkom misbruik en het genereren van schadelijke inhoud. Gebruik AI-inhoudsfilters en BEWAKING van AI-misbruik.
Preventie van gegevensverlies configureren. Preventie van gegevensverlies configureren voor Azure AI-services. Configureer de lijst met uitgaande URL's waartoe hun AI-services-resources toegang hebben.
Systeemberichten gebruiken. Gebruik systeemberichten om het gedrag van een AI-systeem te begeleiden en de uitvoer aan te passen.
Pas de AI-beveiligingsbasislijn toe. Gebruik de Azure AI-beveiligingsbasislijn om de beveiliging van AI-systemen te beheren.
Cloudgovernancebeleid handmatig afdwingen
Soms maakt een beperking van hulpprogramma's of kosten geautomatiseerde afdwinging onpraktisch. In gevallen waarin u afdwinging niet kunt automatiseren, dwingt u cloudgovernancebeleid handmatig af. Volg deze aanbevelingen om cloudgovernance handmatig af te dwingen:
Gebruik controlelijsten. Gebruik controlelijsten voor governance om uw teams gemakkelijk het beleid voor cloudgovernance te laten volgen. Zie de voorbeeldnalevingscontrolelijsten voor meer informatie.
Geef regelmatig training. Voer regelmatig trainingssessies uit voor alle relevante teamleden om ervoor te zorgen dat ze op de hoogte zijn van het governancebeleid.
Plan regelmatig beoordelingen. Implementeer een planning voor regelmatige beoordelingen en controles van cloudresources en -processen om naleving van governancebeleid te garanderen. Deze beoordelingen zijn essentieel voor het identificeren van afwijkingen van vastgesteld beleid en het nemen van corrigerende acties.
Controleer handmatig. Wijs toegewezen personeel toe om de cloudomgeving te bewaken voor naleving van governancebeleid. Overweeg om het gebruik van resources bij te houden, toegangsbeheer te beheren en ervoor te zorgen dat maatregelen voor gegevensbeveiliging zijn ingesteld om te voldoen aan het beleid. Definieer bijvoorbeeld een uitgebreide benadering voor kostenbeheer voor het beheren van cloudkosten.
Afdwingen van beleid controleren
Controleer regelmatig de afdwingingsmechanismen voor naleving en werk deze bij. Het doel is om het afdwingen van cloudgovernancebeleid in overeenstemming te houden met de huidige behoeften, waaronder ontwikkelaars, architect, workload, platform en bedrijfsvereisten. Volg deze aanbevelingen om het afdwingen van beleid te controleren:
Neem contact op met belanghebbenden. Bespreek de effectiviteit van afdwingingsmechanismen met belanghebbenden. Zorg ervoor dat het afdwingen van cloudgovernance overeenkomt met bedrijfsdoelstellingen en nalevingsvereisten.
Vereisten bewaken. Afdwingingsmechanismen bijwerken of verwijderen om te voldoen aan nieuwe of bijgewerkte vereisten. Houd wijzigingen in regelgeving en standaarden bij die updates van uw afdwingingsmechanismen vereisen. Aanbevolen beleidsregels voor Azure-landingszones kunnen bijvoorbeeld na verloop van tijd worden gewijzigd. U moet deze beleidswijzigingen detecteren , indien nodig bijwerken naar het nieuwste aangepaste azure-landingszonebeleid of migreren naar ingebouwde beleidsregels.
Voorbeelden van controlelijsten voor naleving van cloudgovernance
Controlelijsten voor naleving helpen teams inzicht te hebben in het governancebeleid dat hierop van toepassing is. De voorbeeldnalevingscontrolelijsten gebruiken de beleidsverklaring van het voorbeeldbeleid voor cloudgovernance en bevatten de beleids-id voor cloudgovernance voor kruisverwijzingen.
| Categorie | Nalevingsvereiste |
|---|---|
| Naleving van regelgeving | ☐ Microsoft Purview moet worden gebruikt om gevoelige gegevens (RC01) te bewaken. ☐ Dagelijkse rapporten over naleving van gevoelige gegevens moeten worden gegenereerd vanuit Microsoft Purview (RC02). |
| Beveiliging | ☐ MFA moet zijn ingeschakeld voor alle gebruikers (SC01). ☐ Toegangsbeoordelingen moeten maandelijks worden uitgevoerd in ID Governance (SC02). ☐ Gebruik de opgegeven GitHub-organisatie om alle toepassings- en infrastructuurcode (SC03) te hosten. ☐ Teams die gebruikmaken van bibliotheken uit openbare bronnen moeten het quarantainepatroon (SC04) aannemen. |
| Operations | ☐ Productieworkloads moeten een actief-passieve architectuur hebben tussen regio's (OP01). ☐ Alle bedrijfskritieke workloads moeten een actief-actief-architectuur (OP02) voor meerdere regio's implementeren. |
| Kosten | ☐ Workloadteams moeten budgetwaarschuwingen instellen op resourcegroepniveau (CM01). ☐ Aanbevelingen voor azure Advisor-kosten moeten worden beoordeeld (CM02). |
| Gegevens | ☐ Versleuteling in transit en at rest moet worden toegepast op alle gevoelige gegevens. (DG01) ☐ Het levenscyclusbeleid voor gegevens moet zijn ingeschakeld voor alle gevoelige gegevens (DG02). |
| Resourcebeheer | ☐ Bicep moet worden gebruikt voor het implementeren van resources (RM01). ☐ Tags moeten worden afgedwongen voor alle cloudresources met behulp van Azure Policy (RM02). |
| AI | ☐ De configuratie voor het filteren van AI-inhoud moet zijn ingesteld op gemiddeld of hoger (AI01). ☐ Klantgerichte AI-systemen moeten maandelijks opnieuw worden gekoppeld (AI02). |
Volgende stap
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor