你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

监视云治理

本文介绍如何监视云治理。 强制实施云治理后,需要衡量云环境与云治理策略的一致(合规)程度。 首先,采取初始符合性度量来确定需要改进的领域,以便将云设置与治理策略保持一致。 跟踪一段时间内的合规性,了解云治理是否有效且无效。 目标是监视治理,并将不符合问题减少到零。

显示设置和维护云治理过程的关系图。此图显示了五个顺序步骤:构建云治理团队、记录云治理策略、强制实施云治理策略和监视云治理。执行的第一步。最后四个步骤是设置并持续维护云治理的一次。

配置云治理监视

实现监视解决方案,以跟踪云治理策略的符合性。 目标是对负责强制实施合规性的团队进行可见性,以便快速修正不符合要求。 若要配置治理监视,请遵循以下建议:

  • 使用监视工具。 选择提供实时监视功能的符合性监视工具。 确保他们可以监视与特定治理策略的符合性。 根据需要收集指标和日志,以便进行治理监视。 查看 Azure 登陆区域管理设计区域中的可见性监视建议。

  • 根据需要手动监视。 手动查看自动化监视机制不可用的符合性。

  • 文档监视解决方案。 跟踪监视每个云治理策略的方式,以便了解在何处收集合规性数据。 在云治理策略中,列出监视工具,例如 Azure Policy 或 Microsoft Purview。 如果有手动方法,请列出审核频率。

  • 集中治理监视。 使用或构建一个解决方案,使你能够在一个位置查看云治理合规性的状态。 例如, Azure 治理工作簿 集中了许多 Azure 治理监视服务。

  • 建立符合性基线。 评估云环境是否符合云治理策略。 使基线成为基线。 跟踪一段时间内基线的进度。

  • 提供对治理监视的访问权限。 配置对治理监视结果的适当访问级别,以便负责治理的团队可以评估强制控制的有效性。

  • 审核监视有效性。 手动查看符合性以验证符合性。 例如,确保标记接收正确的值,而不是不需要的值,例如 NA

Azure 便利化:配置云治理监视

以下指南旨在帮助你在 Azure 中配置云治理监视。 它为主要类别的云治理提供了一个示例起点。 请考虑在 Azure 治理工作簿中聚合这些信号。 若要配置云治理监视,需要一个有权从订阅收集监视数据的 Azure 标识。

为监管合规性治理配置监视

为安全治理配置监视

为成本管理治理配置监视

为操作治理配置监视

  • 监视云操作的策略。 使用 Azure Policy 跟踪适用于操作的治理策略的符合性。

  • 监视日志和指标。 若要跟踪可用性和性能,请跨云环境分析日志指标

  • 监视资源优化。使用 Azure 顾问监视 Azure 资源的可靠性、安全性、卓越运营、性能和成本。 为任何新的顾问建议设置警报

  • 监视资源运行状况。监视 Azure 服务的运行状况,并监视影响服务的事件、计划内维护和其他可能影响可用性的更改。

为数据管理配置监视

为资源管理治理配置监视

  • 监视有关资源管理的策略。 监视适用于资源部署的云治理策略(例如标记强制策略)的合规性。

为 AI 治理配置监视

配置云治理警报

根据特定合规性指标或事件配置警报,这些指标或事件表明偏离了治理策略。 若要配置云治理警报,请遵循以下建议:

  • 使用云原生警报机制。 首选云原生工具,这些工具提供实时监视和警报来解决合规性问题。

  • 定义不符合。 为不符合定义明确的阈值和基线。 当数据超过这些阈值或发生意外更改时(可能表示不符合)时设置警报。

  • 适当地路由警报。 将警报发送到负责强制实施云治理策略的相应团队或个人。

  • 在警报中包含不符合信息。 配置警报以包含有关不符合事件的详细信息。 理想情况下包括违反的策略、受影响的资源和建议的修正。

Azure 便利化:配置云治理警报

以下指南可帮助你开始在 Azure 中配置云治理警报。 它为主要类别的云治理提供了一个示例起点。

制定修正计划

制定有针对性的行动计划,以解决任何不合规事件。 检测到不符合时,请执行修正计划来更正偏差,并将风险和影响降到最低。 将修正详细信息添加到云治理策略,以便轻松访问。 遵循以下建议:

  • 讨论修正时间线。 根据风险优先级协商修正时间线。 负责合规性的团队必须及时修正合规性。

  • 快速修正高风险冲突。 对于高风险的非合规警报(例如公开的数据终结点),计划升级并解决这些不符合问题。 更新策略强制机制,以避免重复这种高风险冲突。 使用 Azure 对符合性状态更改做出反应, 修正不符合策略的资源,并 修正安全建议

  • 跟进低风险冲突。 对低风险策略采取审核优先立场,以便你可以与违反云治理策略的团队进行讨论,例如在阻止列表中部署服务。 也许有一项新功能可用、更好的服务层级(SKU)或特定区域中的更好价格。 云治理团队应讨论团队的需求,并根据对话调整策略和执行机制。

  • 尽可能自动进行修正。 设置自动化工作流,不仅通知相关团队,还可以在适当情况下启动预定义的修正流程。 此解决方案主要适用于无法通过自动化进行预防的已知高风险解决方案。

  • 更新治理策略和强制机制。 根据从不符合事件中获得的见解,更新治理策略和强制机制。 更新可能涉及收紧策略定义、增强监视功能或优化警报阈值,以提高检测和响应时间。

定期审核云治理

即使使用自动监视,也会定期进行手动评价和审核,以验证合规性监视过程,并确保自动化工具正常运行。 若要审核云治理,请遵循以下建议:

  • 进行内部审核。 定期进行内部审核,以评估治理策略的符合性。

  • 进行外部审核。 根据需要与外部审核员联系,以验证符合法律和法规要求。 确保与法律专家协商,确认治理策略符合你所在地区的适用法律和法规。

后续步骤

云治理是一个持续的过程,需要持续关注。 一贯重复评估风险、记录治理策略、强制实施这些策略以及监视强制实施有效性的治理过程。 每当云治理团队发现新的云风险时,云治理团队也应通过云治理过程。