分享方式:


監視雲端治理

本文說明如何監視雲端治理。 強制執行雲端治理之後,您必須測量您的雲端環境與雲端治理原則的一致程度(相容)。 首先,採取初始合規性測量來識別需要改進的區域,以便讓雲端設定與您的治理原則保持一致。 追蹤一段時間的合規性,以查看雲端治理有效且無效的位置。 目標是要監視治理,並將不符合規範的問題減少為零。

此圖顯示設定和維護雲端治理的程式。此圖顯示五個循序步驟:建置雲端治理小組、記錄雲端治理原則、強制執行雲端治理原則,以及監視雲端治理。您執行的第一個步驟是一次。您執行的最後四個步驟是設定並持續維護雲端治理。

設定雲端治理監視

實作監視解決方案,以追蹤雲端治理原則的合規性。 目標是讓負責強制執行合規性的小組能夠快速補救不符合規範。 若要設定治理監視,請遵循下列建議:

  • 使用監視工具。 選擇提供即時監視功能的合規性監視工具。 請確定它們可以監視您特定治理原則的合規性。 收集治理監視所需的計量和記錄。 檢閱 Azure 登陸區域管理設計區域中的可見度監視 建議。

  • 視需要手動監視。 手動檢閱無法使用自動化監視機制的合規性。

  • 檔監視解決方案。 追蹤您監視每個雲端治理原則的方式,讓您知道收集合規性數據的位置。 在雲端治理原則中,列出監視工具,例如 Azure 原則 或 Microsoft Purview。 如果有手動方法,請列出稽核頻率。

  • 集中控管監視。 使用或建置解決方案,可讓您在一個地方檢視雲端治理合規性的狀態。 例如, Azure 治理活頁簿 會集中許多 Azure 治理監視服務。

  • 建立合規性基準。 評估您的雲端環境對您的雲端治理原則是否符合規範。 讓您的基準成為該基準。 追蹤一段時間基準的進度。

  • 提供治理監視的存取權。 設定適當的治理監視結果存取層級,讓負責治理的小組可以評估強制執行控件的有效性。

  • 稽核監視有效性。 手動檢閱合規性以驗證合規性。 例如,請確定標籤收到正確的值,而不是不想要的值,例如 NA

Azure 便利化:設定雲端治理監視

下列指引旨在協助您在 Azure 中設定雲端治理監視。 它提供雲端治理主要類別的範例起點。 請考慮在 Azure 治理活頁簿中匯總這些訊號。 若要設定雲端治理監視,您需要具有從訂用帳戶收集監視數據的 Azure 身分識別。

設定法規合規性治理的監視

設定安全性控管的監視

設定成本管理控管的監視

設定作業控管的監視

設定數據控管的監視

設定資源管理控管的監視

  • 監視資源管理的原則。 監視適用於資源部署的雲端治理原則合規性,例如標籤強制執行原則。

設定 AI 治理的監視

設定雲端治理警示

根據特定合規性計量或事件來設定警示,以指出您的治理原則偏差。 若要設定雲端治理警示,請遵循下列建議:

  • 使用雲端原生警示機制。 偏好使用雲端原生工具,以提供即時監視和警示的合規性問題。

  • 定義不符合規範。 定義不符合規範的清除閾值和基準。 當數據超過這些閾值或發生非預期的變更時,設定警示,表示不符合規範。

  • 適當地路由傳送警示。 將警示傳送給負責強制執行雲端治理原則合規性的適當小組或個人。

  • 在警示中包含不符合規範的資訊。 設定警示以包含不符合規範事件的詳細資訊。 在理想情況下,包括違反原則、受影響的資源,以及建議的補救。

Azure 便利化:設定雲端治理警示

下列指引可協助您開始在 Azure 中設定雲端治理警示。 它提供雲端治理主要類別的範例起點。

開發補救計劃

開發目標行動計劃,以解決任何不符合規範的事件。 當您偵測到不符合規範時,請執行補救計劃來更正偏差,並將風險和影響降到最低。 將補救詳細數據新增至雲端治理原則,以便輕鬆存取。 請遵循這些建議:

  • 討論補救時程表。 根據風險優先順序,交涉補救時程表。 負責合規性的小組必須及時補救合規性。

  • 快速補救高風險違規。 對於高風險的不符合規範警示,例如公開的數據端點,請規劃呈報並修正這些不符合規範的問題。 更新原則強制執行機制,以避免重複這種高風險違規。 使用 Azure 來 回應合規性狀態變更補救不符合原則的資源,以及 補救安全性建議

  • 追蹤低風險違規。 對低風險原則採取稽核優先立場,讓您可以與違反雲端治理原則的小組討論,例如在封鎖清單中部署服務。 也許有新功能可用,更好的服務層級(SKU),或特定區域中更好的價格。 雲端治理小組應討論小組的需求,並根據對話調整原則和強制執行機制。

  • 盡可能自動化補救。 設定自動化工作流程,不僅會通知相關小組,也會在適當情況下起始預先定義的補救程式。 此解決方案主要是針對您無法透過自動化防止的已知高風險解決方案。

  • 更新治理原則和強制執行機制。 根據從不符合規範事件取得的深入解析,更新您的治理原則和強制執行機制。 更新 可能牽涉到加強原則定義、增強監視功能,或精簡警示閾值以改善偵測和響應時間。

定期稽核雲端治理

即使使用自動化監視,仍要定期進行手動檢閱和稽核,以驗證合規性監視程序,並確保自動化工具正常運作。 若要稽核雲端治理,請遵循下列建議:

  • 進行內部稽核。 定期進行內部稽核,以評估治理原則的合規性。

  • 進行外部稽核。 視需要連絡外部稽核員,以驗證符合法律和法規需求的合規性。 請確定您洽詢法律專家,以確認您的治理原則符合您區域中適用的法律和法規。

下一步

雲端治理是需要持續注意的持續程式。 持續重複評估風險、記錄治理原則、強制執行這些原則,以及監視強制執行有效性的治理程式。 每當雲端治理小組識別新的雲端風險時,雲端治理小組也應該透過雲端治理程式工作。