Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Определение политик недостаточно. Организация должна применять политики управления, чтобы обеспечить соответствие требованиям. Принудительное применение облачного управления означает реализацию элементов управления, процессов и инструментов, чтобы использование облака придерживалось политик управления. Команда управления облаком устанавливает стратегию и контролирует принудительное применение, но принудительное применение является общей ответственностью. Команды облачной платформы и нагрузки управляют выполнением повседневных задач в своих областях. Обычно рекомендуется автоматизировать принудительное применение везде, где это возможно, с помощью облачных средств для принудительного применения или проверки соответствия требованиям. Используйте процессы вручную, только если автоматизация невозможна.
Схема, показывающая процесс настройки и поддержания управления облаком. На схеме показаны пять последовательных шагов: создание группы управления облаком, оценка облачных рисков, политики управления облачными клиентами, применение политик управления облаком и мониторинг соответствия облачным требованиям. Первый шаг, который вы выполняете один раз. Последние четыре шага, которые необходимо выполнить один раз, чтобы настроить управление облаком и непрерывно поддерживать управление облаком.
1. Определение подхода к применению политик управления облаком
Начните с создания всеобъемлющей стратегии по внедрению политики в организации. К ключевым соображениям относятся:
Делегировать обязанности по управлению. Предоставление отдельным лицам и командам возможности обеспечить управление в рамках их ответственности. Например, команды платформ должны применять политики, которые наследуют рабочие нагрузки и группы рабочей нагрузки должны применять управление для своей рабочей нагрузки. Команда управления облаком не должна отвечать за применение механизмов принудительного контроля.
Внедрение модели наследования. Примените иерархическую модель управления, в которой определенные рабочие нагрузки наследуют политики управления от платформы. Эта модель помогает гарантировать, что организационные стандарты применяются к правильным средам, таким как требования к приобретению облачных служб. Следуйте принципам дизайна целевых зон #REF! и их дизайну области организации ресурсов, чтобы установить правильную модель наследования.
Обсудите особенности применения. Обсудите, где и как применять политики управления. Цель состоит в том, чтобы найти экономичные способы обеспечения соответствия требованиям, которые ускоряют производительность. Без обсуждения вы рискуете заблокировать прогресс конкретных команд. Важно найти баланс, поддерживающий бизнес-цели при эффективном управлении рисками.
Применяйте стратегию с приоритетом монитора. Не блокируйте действия, если сначала их не поймёте. Для снижения приоритета риска начните с мониторинга соответствия политикам управления облаком. После того как вы понимаете риск, вы можете перейти к более строгим элементам контроля за применением. Подход с первоочередным мониторингом дает возможность обсудить потребности управления и перенастроить политику управления облаком и контроль ее выполнения в соответствии с этими потребностями.
Предпочтите блокировочные списки. Предпочитайте списки блокировок по спискам разрешений. Списки блокировок препятствуют развертыванию определенных служб. Лучше иметь небольшой список служб, которые не следует использовать, чем длинный список служб, которые можно использовать. Чтобы избежать длинных списков блокировок, не добавляйте новые службы в список блокировок по умолчанию.
Определите стратегию добавления тегов и именования. Установите систематические рекомендации по именованию и тегам облачных ресурсов. Она предоставляет структурированную платформу для классификации ресурсов, управления затратами, безопасности и соответствия требованиям в облачной среде. Разрешите командам, таким как команды разработчиков, добавлять другие теги для своих уникальных потребностей.
2. Автоматическое применение политик управления облаком
Используйте службы управления и координации #REF!, чтобы автоматизировать применение политик по максимуму. Автоматизация контроля повышает согласованность и снижает потребность в ручном труде и количество ошибок. Шаги по реализации автоматизированного управления:
Начните с небольшого набора автоматических политик. Автоматизация соответствия для небольшого набора основных политик управления облаком. Реализуйте и тестируйте автоматизацию, чтобы избежать сбоев в работе. Разверните список автоматических мер принуждения, как только будете готовы.
Используйте средства управления облаком. Используйте средства, доступные в облачной среде, для обеспечения соответствия требованиям. основное средство управления #REF! — это Политика Azure. Дополните Политика Azure с #REF! (безопасность), #REF! (данные), Управление Microsoft Entra ID (управление удостоверениями), Azure Monitor (операции), группы управления (управление ресурсами), infrastructure as code (IaC) (управление ресурсами) и конфигурации в каждой службе #REF!.
Применяйте политики управления в нужном масштабе. Используйте систему наследования, в которой политики устанавливаются на более высоком уровне, например группы управления. Политики на более высоких уровнях автоматически применяются к более низким уровням, таким как подписки и группы ресурсов. Политики применяются даже при изменении в облачной среде, что снижает затраты на управление.
Используйте точки применения политик. Настройте точки применения политик в облачных средах, которые автоматически применяют правила управления. Рассмотрите возможность проверок предварительной установки, мониторинга во время выполнения и действий по автоматическому исправлению.
Используйте политику в качестве кода. Используйте средства IaC для применения политик управления с помощью кода. Политика как код улучшает автоматизацию элементов управления и обеспечивает согласованность в разных средах. Рекомендуется использовать Enterprise Политика Azure в качестве кода (EPAC) для управления политиками, согласованными с рекомендуемыми политиками целевой зоны #REF!.
При необходимости разрабатывайте пользовательские решения. Для действий пользовательского управления рассмотрите возможность разработки пользовательских скриптов или приложений. Используйте API-интерфейсы службы #REF! для сбора данных или управления ресурсами напрямую.
#REF! содействие: автоматическое применение политик управления облаком
Следующие рекомендации помогут вам найти правильные инструменты для автоматизации соответствия политикам управления облаком в #REF!. Он предоставляет пример отправной точки для основных категорий управления облаком.
Автоматизация управления соответствием нормативным требованиям
Применение политик соответствия нормативным требованиям. Используйте встроенные политики соответствия нормативным требованиям , которые соответствуют стандартам соответствия, таким как HITRUST/HIPAA, ISO 27001, CMMC, FedRamp и PCI DSSv4.
Автоматизируйте пользовательские ограничения.Создайте пользовательские политики для определения собственных правил работы с #REF!.
Автоматизация управления безопасностью
Применение политик безопасности. Используйте встроенные политики безопасности и автоматическое соответствие требованиям безопасности , чтобы соответствовать общим стандартам безопасности. Существуют встроенные политики для серии NIST 800 SP, Center for Internet Security benchmarks и microsoft cloud security benchmark. Используйте встроенные политики для автоматизации конфигурации безопасности определённых служб #REF!. Create custom policies для определения собственных правил работы с #REF!.
Примените управление удостоверениями. Включите многофакторную аутентификацию #REF! (MFA) и сброс пароля с самостоятельным обслуживанием. Устранение слабых паролей. Автоматизация других аспектов управления удостоверениями, таких как рабочие процессы запросов на доступ, проверки доступа и управление жизненным циклом удостоверений. Включите JIT-доступ, чтобы ограничить доступ к важным ресурсам. Используйте политики условного доступа для предоставления или блокировки доступа пользователей и удостоверений устройств к облачным службам.
Применение элементов управления доступом. Используйте #REF! управление доступом на основе ролей (RBAC) и управление доступом на основе атрибутов (ABAC) для управления доступом к конкретным ресурсам. Предоставление и запрет разрешений пользователям и группам. Примените разрешение на соответствующую область (группу управления, подписку, группу ресурсов или ресурс), чтобы предоставить только необходимые разрешения и ограничить затраты на управление.
Автоматизация управления затратами
Автоматизация ограничений развертывания.Запретить использование некоторых облачных ресурсов , чтобы предотвратить использование ресурсоемких ресурсов.
Автоматизируйте пользовательские ограничения.Создайте пользовательские политики для определения собственных правил работы с #REF!.
Автоматизация распределения затрат. Обеспечение соблюдения требований к тегированию для группирования и выделения затрат в этапах разработки, тестирования, производства — отделах или проектах. Используйте теги для выявления и отслеживания ресурсов, которые являются частью усилий по оптимизации затрат.
Автоматизация управления операциями
Автоматизируйте избыточность. Используйте встроенные политики #REF!, чтобы требовать указанный уровень избыточности инфраструктуры, такой как зонально избыточные и географически избыточные экземпляры.
Применение политик резервного копирования. Используйте политики резервного копирования для управления частотой резервного копирования , периодом хранения и расположением хранилища. Выравнивайте политики резервного копирования с учетом требований к управлению данными, нормативным требованиям, целевому времени восстановления (RTO) и целевой точке восстановления (RPO). Используйте параметры резервного копирования в отдельных службах #REF!, например База данных SQL Azure, чтобы настроить необходимые параметры.
Соответствует целевой цели уровня обслуживания. Ограничить развертывание определенных служб и уровней служб (SKU), которые не соответствуют целевой цели уровня обслуживания. Например, используйте определение политики
Not allowed resource typesв Политика Azure.
Автоматизация управления данными
Автоматизация управления данными. Автоматизация задач управления данными , таких как каталогизация, сопоставление, безопасное совместное использование и применение политик.
Автоматизация управления жизненным циклом данных. Реализуйте политики хранения и управление жизненным циклом для хранения , чтобы обеспечить эффективное хранение данных и соответствие требованиям.
Автоматизация безопасности данных. Просмотрите и примените стратегии защиты данных, такие как разделение данных, шифрование и избыточность.
Автоматизация управления ресурсами
Создайте иерархию управления ресурсами. Используйте группы управления для организации подписок, чтобы эффективно управлять политиками, доступом и расходами. Следуйте лучшим практикам организации ресурсов в посадочной зоне #REF! .
Применение стратегии добавления тегов. Убедитесь, что все #REF! ресурсы последовательно помечены для повышения управляемости, отслеживания затрат и соответствия требованиям. Определите стратегию добавлениятегов и управляйте управлением тегами.
Ограничьте, какие ресурсы вы можете развернуть.Запретите типы ресурсов для ограничения развертывания служб, которые добавляют ненужный риск.
Ограничить развертывание определенными регионами. Управление развертыванием ресурсов для соблюдения нормативных требований, управления затратами и уменьшения задержки. Например, используйте определение политики
Allowed locationsв Политика Azure. Также обеспечьте соблюдение региональных ограничений в вашем конвейере развертывания.Используйте инфраструктуру в качестве кода (IaC). Автоматизация развертываний инфраструктуры с помощью Bicep, Terraform или шаблонов Azure Resource Manager (шаблоны ARM). Сохраните конфигурации IaC в системе управления версиями (#REF! или #REF!) для отслеживания изменений и совместной работы. Используйте эталонные архитектуры посадочных зон #REF! для управления развертыванием ресурсов платформы и приложений и избегайте отклонения конфигурации с течением времени.
Управление гибридными и многооблачными средами.Управление гибридными и многооблачными ресурсами. Обеспечение согласованности в управлении и применении политик.
Автоматизация управления ИИ
Используйте шаблон получения дополненного поколения (RAG). RAG добавляет систему поиска информации для управления основными данными, которые используются языковой моделью для генерации ответа. Например, можно использовать Служба Azure OpenAI на ваших собственных данных или настроить RAG с помощью Поиск с использованием ИИ Azure, чтобы ограничить генеративный ИИ вашим контентом.
Используйте средства разработки ИИ. Используйте средства ИИ, такие как Microsoft Agent Framework, которые упрощают и стандартизуют оркестрацию ИИ при разработке приложений, использующих ИИ.
Управление созданием выходных данных. Помогите предотвратить злоупотребление и создание вредного содержимого. Используйте фильтрацию содержимого ИИ и мониторинг злоупотреблений ИИ.
Настройте защиту от потери данных. Настройте защиту от потери данных для средств Foundry. Настройте список исходящих URL-адресов, к которым разрешен доступ ресурсы служб ИИ.
Используйте системные сообщения. Используйте системные сообщения , чтобы управлять поведением системы ИИ и настраивать выходные данные.
Примените базовые показатели безопасности ИИ. Используйте базовые показатели безопасности #REF! ИИ для управления безопасностью систем ИИ.
3. Применение политик управления облаком вручную
Не все может быть полностью автоматизировано. Иногда ограничение или стоимость средства делает автоматизацию проверки нецелесообразной. Будут случаи, особенно на начальном этапе или для сильно кастомизированных процессов, где необходимо ручное руководство. Кроме того, небольшие организации могут начинаться с ручного управления перед автоматизацией. Ключевые методики ручного принудительного применения включают:
Используйте контрольные списки. Используйте контрольные списки управления, чтобы упростить выполнение командой политик управления облаком. Дополнительные сведения см. в примерах контрольных списков соответствия.
Предоставьте регулярное обучение. Проводите частые учебные сессии для всех соответствующих членов команды, чтобы убедиться, что они знают о политиках управления.
Планирование регулярных проверок. Реализуйте расписание для регулярных проверок и аудита облачных ресурсов и процессов, чтобы обеспечить соответствие политикам управления. Эти проверки критически важны для выявления отклонений от установленных политик и принятия корректирующих действий.
Отслеживайте вручную. Назначьте выделенным сотрудникам мониторинг облачной среды для соответствия политикам управления. Рассмотрите возможность отслеживания использования ресурсов, управления средствами управления доступом и обеспечения того, чтобы меры защиты данных были установлены в соответствии с политиками. Например, определите комплексный подход к управлению затратами для управления облачными затратами.
4. Проверка применения политик
Регулярно просматривайте и обновляйте механизмы обеспечения соблюдения требований. Цель состоит в том, чтобы обеспечить соблюдение политики управления облаком в соответствии с текущими потребностями, включая разработчика, архитектора, рабочей нагрузки, платформы и бизнес-требований. Чтобы проверить применение политик, следуйте приведенным ниже рекомендациям.
Взаимодействие с заинтересованными лицами. Обсудите эффективность механизмов применения с заинтересованными лицами. Убедитесь, что соблюдение требований к управлению облаком соответствует бизнес-целям и требованиям к соответствию требованиям.
Мониторинг требований. Обновление или удаление механизмов принудительного применения для соответствия новым или обновленным требованиям. Отслеживайте изменения в правилах и стандартах, требующих обновления механизмов применения. Например, с течением времени рекомендуемые политики целевой зоны #REF! могут изменяться. Необходимо обнаружить эти изменения политики, обновить до последних пользовательских политик целевой зоны #REF! или мигрировать на встроенные политики по мере необходимости.
Пример контрольных списков соответствия требованиям облачного управления
Контрольные списки соответствия помогают командам понять политики управления, которые применяются к ним. Примеры контрольных списков соответствия используют инструкцию политики из примера политик управления облаком и содержат идентификатор политики управления облаком для перекрестной ссылки.
| Категория | Требование соответствия требованиям |
|---|---|
| Соответствие нормативным требованиям | ☐ #REF! необходимо использовать для мониторинга конфиденциальных данных (RC01). ☐ Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из #REF! (RC02). |
| Безопасность | ☐ MFA должна быть включена для всех пользователей (SC01). ☐ Проверки доступа должны выполняться ежемесячно в системе управления идентификаторами (SC02). ☐ Используйте указанную организацию #REF! для размещения всего кода приложения и инфраструктуры (SC03). ☐ Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина (SC04). |
| Операции | ☐ Рабочие нагрузки должны иметь активно-пассивную архитектуру между регионами (OP01). ☐ Все критически важные задачи должны реализовать межрегионную архитектуру active-active (OP02). |
| Себестоимость | ☐ Команды рабочей нагрузки должны установить оповещения бюджета на уровне группы ресурсов (CM01). ☐ Необходимо проверить рекомендации по затратам в Помощник по Azure (CM02). |
| Данные | ☐ Шифрование при передаче и хранении должно применяться ко всем конфиденциальным данным (DG01). ☐ Политики жизненного цикла данных должны быть включены для всех конфиденциальных данных (DG02). |
| Управление ресурсами | ☐ Bicep необходимо использовать для развертывания ресурсов (RM01). ☐ Теги должны применяться ко всем облачным ресурсам с помощью Политика Azure (RM02). |
| Искусственный интеллект | ☐ Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень (AI01). ☐ Системы искусственного интеллекта, взаимодействующие с клиентами, должны проходить проверку методом «красная команда» ежемесячно (AI02). |
Следующий шаг
Мониторинг управления облачного сервиса