强制实施云治理策略
云治理强制实施是指你纳入的用于确保云使用情况符合云治理策略的控制措施和过程。 云治理团队必须委派强制实施责任,以便使组织中的每个团队或个人都可以在其责任范围内强制实施云治理策略。
为了有效地强制实施云治理策略,请执行以下操作:
定义强制实施策略的方法。 委托治理职责、采用策略继承模型、将标记和命名约定应用于继承模型中的资源,并实施监视优先的方法,以确保顺利过渡到强制实施。
实现云治理的自动化。 使用云治理工具自动确保遵守一小部分策略,然后添加更多策略。 纳入基础结构即代码 (IaC) 工具或者自定义脚本或应用程序。 自动执行各个治理领域,例如:
- AI
- 成本
- Data
- Operations
- 法规符合性
- 资源管理
- 安全性
查看和更新强制实施机制。 使云治理策略强制实施符合当前需求,包括开发人员、架构师、工作负载、平台和业务需求。 跟踪法规和标准的更改,以确保合规性。
遵守云治理策略
云将提供防护措施,帮助减少因定期流程造成的人工开销。 你可以使用这些防护措施来帮助确保遵循纳入的策略。
下表列出了可帮助解决 Tailwind Traders 首席信息官所关注的风险的触发器和操作。 这些操作可确保其组织遵循其新策略。
风险 | 示例触发器 | 示例操作 |
---|---|---|
云端超支 | 每月云支出比预期高出 20%。 | 通知计费部门负责人,以便他们可以查看资源使用情况。 |
云端超支 | 已部署的资产不使用分配的 CPU 或内存。 | 通知计费单位负责人并自动调整大小以适应实际使用情况(如果可能)。 |
不符合组织的安全性或合规性要求 | 偏离定义的安全性或合规性要求。 | 通知 IT 安全团队并自动修正(如果可能)。 |
资产配置导致运营管理问题或疏忽 | 工作负载的 CPU 使用率高于 90%。 | 通知 IT 运营团队并横向扩展更多资源来处理负载。 |
资产配置导致运营管理问题或疏忽 | 无法满足修补、业务连续性或灾难恢复要求的资产将触发操作合规性警告。 | 通知 IT 安全团队并自动解决偏差(如果可能)。 |
危及系统或数据的未经授权的访问 | 流量模式与批准的网络拓扑不相同。 | 通知 IT 安全团队并自动关闭攻击途径(如果可能)。 |
危及系统或数据的未经授权的访问 | 配置资产时没有适当分配角色或提升权限。 | 通知 IT 安全团队并自动解决偏差(如果可能)。 |
不成熟的流程或缺乏团队技能导致治理的不一致 | 标识的资产不包括在所需的治理流程中。 | 通知 IT 治理团队并自动解决偏差(如果可能)。 |
你可以使用 Azure 治理工具自动发送上述每个触发器对应的通知。 其他云提供商可能需要手动程度更高的方法,但定义的策略仍适用。 请勿定义将你限制为仅能使用特定供应商的策略,这样就不必在将来重复此流程。
建立云策略声明并起草设计指南后,你需要制定一个策略来确保云部署一直符合策略要求。 此策略必须包含云治理团队的持续审查和沟通流程,并建立有关何时需要对违反策略的行为采取行动的标准。 此策略还必须围绕检测违规行为并触发修正操作的自动监视和合规性系统定义相关要求。
治理设计注意事项
为了满足长期治理需求,请应用分层治理模型,从而使特定工作负载从平台继承治理策略。 此模型有助于确保将组织标准应用于正确的环境,例如将购买要求应用于云服务。
管理组:例如业务部门、地理位置或环境
订阅:对于每个应用程序类别,例如预生产、开发和生产环境
资源组:对于每个应用程序
定义标记和命名策略
定义标记和命名策略,从而为整个云环境中的资源分类、成本管理、安全性和合规性提供结构化框架。 标记资源以设置环境,以便可以利用自动化工具。 请考虑适用于工作负载的以下建议标记:
- 工作负载或应用程序
- 数据敏感性
- 任务重要程度
- “所有者”
- 部门,如成本中心
- 环境
有关详细信息和示例,请参阅定义标记策略。
练习:分配标记策略
可以将 Azure 策略应用于管理组的所有订阅。 若要了解策略在治理基础中的角色,请按照教程将策略分配给其中一个管理组。
在该教程的步骤 4 中,选择一个管理组,以确保将策略应用到管理组中的所有订阅。
在该教程的步骤 6 和 7 中,选择一个与标记相关的内置策略。 具体而言,要求标记所有资源的策略将有助于建立治理基础。
重要
在步骤 9 中,将“策略强制实施”设置为“禁用”。 禁用此设置后,无需进行任何更改即可审核环境,并且不会阻止将来的部署。
Tailwind Traders 示例
若要强制实施“避免超支”这一新策略,Tailwind Traders 可以:
- 为组织中的每个个人或团队定义明确的支出限制。
- 在 Microsoft 成本管理中创建预算来跟踪支出。
- 创建超支警报。
- 留出应对意外成本的额外资金。
- 优化资源使用情况。