監視雲端治理
本文說明如何監視雲端治理。 強制執行雲端治理之後,您必須測量您的雲端環境與雲端治理原則的一致程度(相容)。 首先,採取初始合規性測量來識別需要改進的區域,以便讓雲端設定與您的治理原則保持一致。 追蹤一段時間的合規性,以查看雲端治理有效且無效的位置。 目標是要監視治理,並將不符合規範的問題減少為零。
設定雲端治理監視
實作監視解決方案,以追蹤雲端治理原則的合規性。 目標是讓負責強制執行合規性的小組能夠快速補救不符合規範。 若要設定治理監視,請遵循下列建議:
使用監視工具。 選擇提供即時監視功能的合規性監視工具。 請確定它們可以監視您特定治理原則的合規性。 收集治理監視所需的計量和記錄。 檢閱 Azure 登陸區域管理設計區域中的可見度 和 監視 建議。
視需要手動監視。 手動檢閱無法使用自動化監視機制的合規性。
檔監視解決方案。 追蹤您監視每個雲端治理原則的方式,讓您知道收集合規性數據的位置。 在雲端治理原則中,列出監視工具,例如 Azure 原則 或Microsoft Purview。 如果有手動方法,請列出稽核頻率。
集中控管監視。 使用或建置解決方案,可讓您在一個地方檢視雲端治理合規性的狀態。 例如, Azure 治理活頁簿 會集中許多 Azure 治理監視服務。
建立合規性基準。 評估您的雲端環境對您的雲端治理原則是否符合規範。 讓您的基準成為該基準。 追蹤一段時間基準的進度。
提供治理監視的存取權。 設定適當的治理監視結果存取層級,讓負責治理的小組可以評估強制執行控件的有效性。
稽核監視有效性。 手動檢閱合規性以驗證合規性。 例如,請確定標籤收到正確的值,而不是不想要的值,例如 NA。
Azure 便利化:設定雲端治理監視
下列指引旨在協助您在 Azure 中設定雲端治理監視。 它提供雲端治理主要類別的範例起點。 請考慮在 Azure 治理活頁簿中匯總這些訊號。 若要設定雲端治理監視,您需要具有從訂用帳戶收集監視數據的 Azure 身分識別。
設定法規合規性治理的監視
使用合規性儀錶板。取得您所指派原則的原則合規性數據。
判斷合規性。 使用合規性數據來 判斷不符合規範的原因。
設定安全性控管的監視
使用安全性治理監視。檢閱安全性建議,並使用您的安全分數監視一段時間的安全性治理。此功能提供儀錶板,以針對常見的安全性架構監視法規合規性。
設定身分識別治理監視。設定身分識別監視以收集稽核、登入和布建記錄。 也請檢閱您的 身分識別安全分數,並使用 身分識別控管儀錶板 來取得租使用者中身分識別的單一檢視。
設定成本管理控管的監視
分析雲端成本。 在 Azure 中執行成本分析,以充分瞭解您的雲端成本。
建立預算。建立符合您在雲端中所需投資的預算。
收集成本數據。 使用 成本優化建議 和 成本優化活頁簿 來引導成本管理工作,例如偵測閑置資源。 識別成本異常和非預期的變更。
設定作業控管的監視
監視雲端作業的原則。 使用 Azure 原則 來追蹤適用於作業的治理原則合規性。
監視資源優化。使用 Azure Advisor 監視 Azure 資源,以取得可靠性、安全性、卓越營運、效能和成本。 設定任何新 Advisor 建議的警示 。
監視資源健康情況。監視 Azure 服務的健康情況,並監視可能影響可用性的服務影響事件、計劃性維護和其他變更。
設定數據控管的監視
監視數據控管。監視數據合規性、管理和使用量。
使用儀錶板。 使用儀錶板來監視任何數據平面原則的合規性。
設定資源管理控管的監視
- 監視資源管理的原則。 監視適用於資源部署的雲端治理原則合規性,例如標籤強制執行原則。
設定 AI 治理的監視
監視 AI 系統輸出。 使用 Azure 來 濫用 AI 系統的監視 和 內容篩選 。
Red team AI 系統。 定期 使用紅色小組語言模型 來尋找有害的輸出。 使用手動測試和自動化工具來檢閱風險基準。
設定雲端治理警示
根據特定合規性計量或事件來設定警示,以指出您的治理原則偏差。 若要設定雲端治理警示,請遵循下列建議:
使用雲端原生警示機制。 偏好使用雲端原生工具,以提供即時監視和警示的合規性問題。
定義不符合規範。 定義不符合規範的清除閾值和基準。 當數據超過這些閾值或發生非預期的變更時,設定警示,表示不符合規範。
適當地路由傳送警示。 將警示傳送給負責強制執行雲端治理原則合規性的適當小組或個人。
在警示中包含不符合規範的資訊。 設定警示以包含不符合規範事件的詳細資訊。 在理想情況下,包括違反原則、受影響的資源,以及建議的補救。
Azure 便利化:設定雲端治理警示
下列指引可協助您開始在 Azure 中設定雲端治理警示。 它提供雲端治理主要類別的範例起點。
法規合規性治理警示。 使用 Azure 活動記錄來 產生跨 Azure 不符合規範的警示 。
成本治理警示。 設定警示,以通知小組潛在的成本超支和支出異常。 設定 成本警示 和 成本異常警示。 設定 保留使用率警示 ,以保留保留並節省方案使用量,或接近完整使用量。
作業治理警示。針對特定記錄和計量設定警示。 針對符合可靠性和效能的新建議設定警示 。 設定服務健康情況警示,以取得目前和即將發生之服務健康情況問題的通知。 設定 資源健康狀態警示 ,以取得 Azure 資源目前和歷程記錄健康狀態的通知。
數據控管警示。設定數據控管警示以報告數據控管違規。
資源管理治理警示。 設定不符合規範資源部署時的警示。 例如,在您的部署管線中使用組建警告,或監視不符合規範的狀態。
AI 治理警示。 在 AI 系統中有害的輸入和輸出時設定警示。 例如,監視來自 Azure OpenAI 的電子郵件,通知您 濫用行為。
開發補救計劃
開發目標行動計劃,以解決任何不符合規範的事件。 當您偵測到不符合規範時,請執行補救計劃來更正偏差,並將風險和影響降到最低。 將補救詳細數據新增至雲端治理原則,以便輕鬆存取。 請遵循這些建議:
討論補救時程表。 根據風險優先順序,交涉補救時程表。 負責合規性的小組必須及時補救合規性。
快速補救高風險違規。 對於高風險的不符合規範警示,例如公開的數據端點,請規劃呈報並修正這些不符合規範的問題。 更新原則強制執行機制,以避免重複這種高風險違規。 使用 Azure 來 回應合規性狀態變更、 補救不符合原則的資源,以及 補救安全性建議。
追蹤低風險違規。 對低風險原則採取稽核優先立場,讓您可以與違反雲端治理原則的小組討論,例如在封鎖清單中部署服務。 也許有新功能可用,更好的服務層級(SKU),或特定區域中更好的價格。 雲端治理小組應討論小組的需求,並根據對話調整原則和強制執行機制。
盡可能自動化補救。 設定自動化工作流程,不僅會通知相關小組,也會在適當情況下起始預先定義的補救程式。 此解決方案主要是針對您無法透過自動化防止的已知高風險解決方案。
更新治理原則和強制執行機制。 根據從不符合規範事件取得的深入解析,更新您的治理原則和強制執行機制。 更新可能涉及收緊原則定義、增強監視功能,或精簡警示閾值以改善偵測和響應時間。
定期稽核雲端治理
即使使用自動化監視,仍要定期進行手動檢閱和稽核,以驗證合規性監視程序,並確保自動化工具正常運作。 若要稽核雲端治理,請遵循下列建議:
進行內部稽核。 定期進行內部稽核,以評估治理原則的合規性。
進行外部稽核。 視需要連絡外部稽核員,以驗證符合法律和法規需求的合規性。 請確定您洽詢法律專家,以確認您的治理原則符合您區域中適用的法律和法規。
下一步
雲端治理是需要持續注意的持續程式。 持續重複評估風險、記錄治理原則、強制執行這些原則,以及監視強制執行有效性的治理程式。 每當雲端治理小組識別新的雲端風險時,雲端治理小組也應該透過雲端治理程式工作。