你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

强制实施云治理策略

本文介绍如何强制实施与云治理策略的合规性。 云治理强制实施是指用于使云使用与云治理策略保持一致的控制与过程。 云治理团队评估云风险，并创建云治理策略来管理这些风险。 为了确保符合云治理策略，云治理团队必须委派强制责任。 他们必须授权每个团队或个人在其责任范围内实施云治理策略。 云治理团队无法做到这一点。 首选自动强制控制，但在无法自动执行的情况下手动强制实施合规性。

定义强制实施云治理策略的方法

建立系统策略，强制实施云治理策略的符合性。 目标是使用自动化工具和手动监督来高效实施合规性。 若要定义强制方法，请遵循以下建议：

• 委托治理责任。 授权个人和团队在其职责范围内实施治理。 例如，平台团队应应用工作负载继承的策略，工作负荷团队应对其工作负荷强制执行治理。 云治理团队不应负责应用强制控制。

• 采用继承模型。 应用分层治理模型，其中特定工作负荷从平台继承治理策略。 此模型有助于确保组织标准适用于正确的环境，例如云服务的购买要求。 遵循 Azure 登陆区域及其资源组织设计区域的设计原则，建立适当的继承模型。

• 讨论强制实施细节。 讨论应用治理策略的位置和方式。 目标是找到经济高效的方法来强制实施提高工作效率的合规性。 如果没有讨论，你可能会阻止特定团队的进度。 在有效管理风险的同时，必须找到支持业务目标的平衡。

• 有一个监视器优先的立场。 除非先了解操作，否则不要阻止操作。 若要降低优先级风险，请首先监视云治理策略的符合性。 了解风险后，可以转向更严格的强制控制。 监视优先方法使你有机会讨论治理需求，并重新调整云治理策略，并对这些需求实施控制。

• 首选阻止列表。 首选阻止列表而不是允许列表。 阻止列表阻止部署特定服务。 最好有一个小的服务列表，你不应该使用的服务列表，而不是一长串的服务。 为了避免冗长的阻止列表，默认情况下不要向阻止列表添加新服务。

• 定义标记和命名策略。 建立用于命名和标记云资源的系统准则。 它提供了一个结构化框架，用于跨云环境进行资源分类、成本管理、安全性和合规性。 允许团队（如开发团队）为其独特的需求添加其他标记。

自动强制实施云治理策略

使用云管理和治理工具自动遵守治理策略。 这些工具有助于设置防护栏、监视配置并确保符合性。 若要设置自动强制实施，请遵循以下建议：

• 从一组小型自动化策略开始。 自动执行一组基本云治理策略的合规性。 实现和测试自动化，以避免操作中断。 在准备就绪时展开自动强制控制列表。

• 使用云治理工具。 使用云环境中提供的工具强制实施合规性。 Azure 的主要治理工具是 Azure Policy。 使用 Microsoft Defender for Cloud（安全性）、Microsoft Purview（数据）、Microsoft Entra ID 治理（标识）、Azure Monitor（操作）、管理组（资源管理）、基础结构即代码（IaC）（资源管理和每个 Azure 服务中的配置）补充 Azure Policy。

• 在正确的范围内应用治理策略。 使用在更高级别设置策略（例如管理组）的继承系统。 较高级别的策略会自动应用于较低级别，例如订阅和资源组。 即使云环境中发生更改，策略也会应用，从而降低管理开销。

• 使用策略强制点。 在自动应用治理规则的云环境中设置策略强制点。 请考虑预先部署检查、运行时监视和自动修正操作。

• 使用策略作为代码。 使用 IaC 工具 通过代码强制实施治理策略。 策略即代码可增强治理控件的自动化，并确保在不同环境中保持一致性。 请考虑使用 企业 Azure Policy 作为代码 （EPAC）来管理与建议的 Azure 登陆区域策略一致的策略。

• 根据需要开发自定义解决方案。 对于自定义治理操作，请考虑开发自定义脚本或应用程序。 使用 Azure 服务 API 直接收集数据或管理资源。

Azure 便利化：自动强制实施云治理策略

以下指南可帮助你找到适当的工具，以便自动遵守 Azure 中的云治理策略。 它为主要类别的云治理提供了一个示例起点。

自动执行法规合规性治理

• 应用法规符合性策略。 使用 符合符合性标准的内置法规符合性策略 ，例如 HITRUST/HIPAA、ISO 27001、CMMC、FedRamp 和 PCI DSSv4。

• 自动执行自定义限制。 创建自定义策略 以定义自己的规则以使用 Azure。

自动执行安全治理

• 应用安全策略。 使用内置安全策略和自动化安全合规性来符合常见的安全标准。 NIST 800 SP 系列、Internet 安全中心基准和 Microsoft 云安全基准有内置策略。 使用内置策略自动 执行特定 Azure 服务的安全配置 。 创建自定义策略 以定义自己的规则以使用 Azure。

• 应用标识治理。 启用 Microsoft Entra 多重身份验证（MFA） 和 自助密码重置。 消除弱密码。 自动执行标识治理的其他方面，例如访问请求工作流、访问评审和标识生命周期管理。 启用实时访问 以限制对重要资源的访问。 使用 条件访问 策略授予 或阻止 用户和设备 标识 对云服务的访问权限。

• 应用访问控制。 使用 Azure 基于角色的访问控制 （RBAC）和 基于属性的访问控制 （ABAC）来管理对特定资源的访问。 授予和拒绝对用户和组的权限。 在适当的 范围 （管理组、订阅、资源组或资源）应用权限，以仅提供所需的权限并限制管理开销。

自动化成本治理

• 自动执行部署限制。 禁止某些云资源 ，以防止使用成本密集型资源。

• 自动执行自定义限制。 创建自定义策略 以定义自己的规则以使用 Azure。

• 自动执行成本分配。 强制实施标记要求，跨 环境（开发、测试、生产）、部门或项目对成本 进行分组和分配。 使用标记识别和跟踪属于成本优化工作的一部分的资源。

自动化运营治理

• 自动实现冗余。 使用内置 Azure 策略需要指定级别的基础结构冗余，例如区域冗余和异地冗余实例。

• 应用备份策略。 使用 备份策略 控制备份频率、保留期和存储位置。 使备份策略与数据管理、法规合规性要求、恢复时间目标（RTO）和恢复点目标（RPO）保持一致。 使用单个 Azure 服务（如 Azure SQL 数据库）中的备份设置来配置所需的设置。

• 满足目标服务级别目标。 限制不满足目标服务级别目标的某些服务和服务层级（SKU）的部署。 例如，在 Not allowed resource types Azure Policy 中使用策略定义。

自动执行数据管理

• 自动执行数据管理。 自动执行 数据管理 任务，例如编录、映射、安全共享和应用策略。

• 自动执行数据生命周期管理。 为存储实施存储策略和生命周期管理，以确保数据高效且合规。

• 自动执行数据安全性。 查看并强制实施 数据保护策略，例如数据隔离、加密和冗余。

自动执行资源管理治理

• 创建资源管理层次结构。 使用 管理组 来组织订阅，以便你能够有效地管理策略、访问和支出。 遵循 Azure 登陆区域 资源组织 最佳做法。

• 强制实施标记策略。 确保所有 Azure 资源都一致地标记，以提高可管理性、成本跟踪和合规性。 定义标记策略 并 管理标记治理。

• 限制可以部署的资源。 禁止资源类型 限制添加不必要的风险的服务部署。

• 将部署限制为特定区域。 控制部署资源以符合法规要求、管理成本并减少延迟的位置。 例如，在 Allowed locations Azure Policy 中使用策略定义。 此外，在 部署管道中强制实施区域限制 。

• 使用基础结构即代码 （IaC）。 使用 Bicep、Terraform 或 Azure 资源管理器模板（ARM 模板）自动执行基础结构部署。 将 IaC 配置存储在源代码管理系统（GitHub 或 Azure Repos）中，以跟踪更改和协作。 使用 Azure 登陆区域加速器 来管理平台和应用程序资源的部署，并避免一段时间内的配置偏移。

• 治理混合和多云环境。 治理混合和多云资源。 在管理和策略强制实施方面保持一致性。

自动化 AI 治理

• 使用检索扩充生成 （RAG） 模式。 RAG 添加了一个信息检索系统，用于控制语言模型用于生成响应的地面数据。 例如，可以在自己的数据功能上使用 Azure OpenAI 服务，或使用 Azure AI 搜索设置 RAG，以将生成 AI 限制为内容。

• 使用 AI 开发工具。 使用 AI 工具（如语义内核）在开发使用 AI 的应用程序时促进和标准化 AI 业务流程。

• 控制输出生成。 帮助 防止滥用和有害内容生成。 使用 AI 内容筛选 和 AI 滥用监视。

• 配置数据丢失防护。 为 Azure AI 服务配置数据丢失防护。 配置允许其 AI 服务资源访问的出站 URL 列表。

• 使用系统消息。 使用 系统消息 来指导 AI 系统的行为并定制输出。

• 应用 AI 安全基线。 使用 Azure AI 安全基线来管理 AI 系统的安全性。

手动强制实施云治理策略

有时，工具限制或成本会使自动强制实施变得不切实际。 如果无法自动执行强制实施，请手动强制实施云治理策略。 若要手动强制实施云治理，请遵循以下建议：

• 使用查检表。 使用治理检查列表，使团队能够轻松地遵循云治理策略。 有关详细信息，请参阅示例符合性检查列表。

• 提供常规培训。 为所有相关团队成员进行频繁的培训课程，以确保他们了解治理策略。

• 安排定期评审。 实施定期评审和审核云资源和流程的计划，以确保符合治理策略。 这些评审对于识别与既定策略的偏差并采取纠正措施至关重要。

• 手动监视。 分配专用人员来监视云环境，以符合治理策略。 考虑跟踪资源的使用、管理访问控制并确保数据保护措施已到位，以便与策略保持一致。 例如，定义管理 云成本的综合成本管理方法 。

查看策略强制实施

定期审查和更新合规性实施机制。 目标是使云治理策略强制实施符合当前需求，包括开发人员、架构师、工作负载、平台和业务需求。 若要查看策略强制实施，请遵循以下建议：

• 与利益干系人互动。 与利益干系人讨论执法机制的有效性。 确保云治理强制实施符合业务目标和合规性要求。

• 监视要求。 更新或删除强制机制，以符合新的或更新的要求。 跟踪需要更新实施机制的法规和标准的更改。 例如，Azure 登陆区域建议的策略可能会随时间而变化。 应 检测 这些策略更改、 更新 到最新的 Azure 登陆区域自定义策略，或 根据需要迁移到 内置策略。

示例云治理合规性检查列表

合规性检查列表可帮助团队了解适用于它们的治理策略。 示例符合性检查列表使用示例云治理策略中的策略语句，并包含用于交叉引用的云治理策略 ID。

类别	符合性要求
法规符合性	☐ Microsoft Purview 必须用于监视敏感数据（RC01）。 ☐ 必须从 Microsoft Purview （RC02）生成每日敏感数据符合性报告。
安全性	☐ 必须为所有用户 （SC01）启用 MFA。 ☐ 访问评审必须在 ID 治理 （SC02）中每月进行。 ☐ 使用指定的 GitHub 组织托管所有应用程序和基础结构代码（SC03）。 ☐ 使用来自公共源的库的团队必须采用隔离模式（SC04）。
Operations	☐ 生产工作负荷应跨区域 （OP01）具有主动-被动体系结构。 ☐ 所有任务关键型工作负荷都必须实现跨区域主动-主动体系结构（OP02）。
成本	☐ 工作负荷团队必须在资源组级别 （CM01）设置预算警报。 ☐ 必须查看 Azure 顾问成本建议（CM02）。
数据	☐ 传输中的加密和静态加密必须应用于所有敏感数据。 （DG01） ☐ 必须为所有敏感数据 （DG02）启用数据生命周期策略。
资源管理	☐ Bicep 必须用于部署资源（RM01）。 ☐ 必须使用 Azure Policy （RM02）对所有云资源强制实施标记。
AI	☐ AI 内容筛选配置必须设置为中等或更高版本（AI01）。 ☐ 面向客户的 AI 系统必须每月进行红色团队化（AI02）。

下一步

监视云治理