強制執行雲端治理原則
本文說明如何強制執行雲端治理原則的合規性。 雲端治理強制執行是指您用來讓雲端使用與雲端治理原則保持一致的控件和程式。 雲端治理小組會評估雲端風險,並建立雲端治理原則來管理這些風險。 為了確保符合雲端治理原則,雲端治理小組必須委派強制執行責任。 他們必須授權每個小組或個人在其責任範圍內強制執行雲端治理原則。 雲端治理小組無法執行所有作業。 偏好使用自動化強制執行控件,但在您無法自動化的位置手動強制執行合規性。
定義強制執行雲端治理原則的方法
建立系統策略,以強制執行雲端治理原則的合規性。 目標是使用自動化工具和手動監督,有效率地強制執行合規性。 若要定義強制方法,請遵循下列建議:
委派治理責任。 讓個人和小組能夠在責任範圍內強制執行治理。 例如,平臺小組應套用工作負載繼承的原則,而工作負載小組應對其工作負載強制執行治理。 雲端治理小組不應負責套用強制控制。
採用繼承模型。 套用階層式治理模型,其中特定工作負載會從平臺繼承治理原則。 此模型有助於確保組織標準適用於正確的環境,例如購買雲端服務的需求。 遵循 Azure 登陸區域及其資源組織設計區域的設計原則,以建立適當的繼承模型。
討論強制執行細節。 討論套用治理原則的位置和方式。 目標是尋找符合成本效益的方法,以強制執行加速生產力的合規性。 若沒有討論,您就有可能封鎖特定小組的進度。 請務必找出支援業務目標的平衡,同時有效地管理風險。
具有監視優先的立場。 除非您先瞭解動作,否則請勿封鎖動作。 若要降低優先順序風險,請從監視雲端治理原則的合規性開始。 了解風險之後,您可以移至更嚴格的強制控制。 監視優先方法可讓您有機會討論治理需求,並重新調整雲端治理原則,並強制控制這些需求。
偏好封鎖清單。 偏好封鎖清單而不是allowlist。 封鎖清單可防止部署特定服務。 最好有一小份您不應該使用的服務清單,而不是您可以使用的一長串服務。 若要避免冗長的封鎖清單,請勿預設將新的服務新增至封鎖清單。
定義標記和命名策略。 建立命名和標記雲端資源的系統指導方針。 其提供結構化架構,用於跨雲端環境的資源分類、成本管理、安全性和合規性。 允許小組,例如開發小組,新增其他標籤以符合其獨特需求。
自動強制執行雲端治理原則
使用雲端管理和治理工具,將治理原則的合規性自動化。 這些工具有助於設定護欄、監視組態,並確保合規性。 若要設定自動強制執行,請遵循下列建議:
從一組小型自動化原則開始。 將一組基本雲端治理原則的合規性自動化。 實作及測試自動化,以避免作業中斷。 當您準備好時,請展開自動化強制執行控件清單。
使用雲端治理工具。 使用雲端環境中可用的工具來強制執行合規性。 Azure 的主要治理工具 Azure 原則。 補充 Azure 原則 適用於雲端的 Microsoft Defender(安全性)、Microsoft Purview(數據)、Microsoft Entra ID 控管(身分識別)、Azure 監視器(作業)、管理群組(資源管理)、基礎結構即程序代碼 (IaC)(資源管理),以及每個 Azure 服務內的組態。
在正確的範圍內套用治理原則。 使用在較高層級設定原則的繼承系統,例如管理群組。 較高層級的原則會自動套用至較低層級,例如訂用帳戶和資源群組。 即使雲端環境中有變更,原則也會套用,降低管理額外負荷。
使用原則強制執行點。 在您的雲端環境中設定原則強制執行點,以自動套用治理規則。 請考慮預先部署檢查、運行時間監視和自動化補救動作。
使用原則作為程序代碼。 使用 IaC 工具來 透過程式代碼強制執行治理原則。 原則即程式代碼可增強治理控件的自動化,並確保不同環境之間的一致性。 請考慮使用企業 Azure 原則 即程序代碼 (EPAC) 來管理與建議的 Azure 登陸區域原則一致的原則。
視需要開發自定義解決方案。 針對自訂治理動作,請考慮開發自定義腳本或應用程式。 使用 Azure 服務 API 來收集數據或直接管理資源。
Azure 便利化:自動強制執行雲端治理原則
下列指引可協助您尋找正確的工具,以自動符合 Azure 中的雲端治理原則。 它提供雲端治理主要類別的範例起點。
自動化法規合規性治理
套用法規合規性政策。 使用 符合合規性標準的內建法規合規性政策 ,例如 HITRUST/HIPAA、ISO 27001、CMMC、FedRamp 和 PCI DSSv4。
自動化自定義限制。 建立自定義原則 ,以定義您自己的規則以使用 Azure。
自動化安全性治理
套用安全策略。 使用內建的安全策略和自動化安全性合規性,以符合常見的安全性標準。 NIST 800 SP 系列、因特網安全性基準中心和 Microsoft 雲端安全性基準檢驗有內建原則。 使用內建原則, 將特定 Azure 服務的安全性設定 自動化。 建立自定義原則 ,以定義您自己的規則以使用 Azure。
套用身分識別治理。 啟用 Microsoft Entra 多重要素驗證 (MFA) 和 自助式密碼重設。 排除弱式密碼。 自動化身分識別治理的其他層面,例如存取要求工作流程、存取權檢閱和身分識別生命週期管理。 啟用 Just-In-Time 存取 ,以限制對重要資源的存取。 使用 條件式存取 原則來 授與或封鎖 使用者和 裝置身分 識別對雲端服務的存取權。
套用訪問控制。 使用 Azure 角色型存取控制 (RBAC) 和 屬性型存取權 (ABAC) 來管理特定資源的存取權。 授與和拒絕使用者和群組的許可權。 將許可權套用至適當的 範圍 (管理群組、訂用帳戶、資源群組或資源),只提供所需的許可權並限制管理額外負荷。
自動化成本控管
自動化部署限制。 不允許某些雲端資源 ,以避免使用耗用大量成本的資源。
自動化自定義限制。 建立自定義原則 ,以定義您自己的規則以使用 Azure。
自動化成本配置。 強制執行標記需求,以 跨環境分組和配置成本 (開發、測試、生產)、部門或專案。 使用標籤來識別和追蹤屬於成本優化工作一部分的資源。
自動化作業控管
自動化備援。 使用內建 Azure 原則來要求指定層級的基礎結構備援,例如區域備援和異地備援實例。
套用備份原則。 使用 備份原則 來管理備份頻率、保留期間和記憶體位置。 讓備份原則與數據控管、法規合規性需求、復原時間目標 (RTO) 和恢復點目標 (RPO) 保持一致。 使用個別 Azure 服務中的備份設定,例如 Azure SQL 資料庫,來設定您需要的設定。
符合目標服務層級目標。 限制不符合目標服務層級目標的特定服務和服務層級 (SKU) 的部署。 例如,在 Azure 原則 中使用
Not allowed resource types原則定義。
自動化數據控管
自動化數據控管。 自動化 數據控管 工作,例如編錄、對應、安全地共用和套用原則。
自動化數據生命週期管理。 實作記憶體的記憶體原則和生命週期管理,以確保數據有效率且符合規範地儲存。
自動化數據安全性。 檢閱並強制執行 數據保護策略,例如數據隔離、加密和備援。
自動化資源管理控管
建立資源管理階層。 使用 管理群組 來組織訂用帳戶,以便有效率地控管原則、存取和支出。 遵循 Azure 登陸區域 資源組織 最佳做法。
強制執行標記策略。 請確定所有 Azure 資源都會一致標記,以改善管理性、成本追蹤和合規性。 定義標記策略 並 管理標籤治理。
限制您可以部署的資源。 不允許資源類型 限制增加不必要的風險的服務部署。
將部署限制為特定區域。 控制部署資源以符合法規需求、管理成本及降低延遲的位置。 例如,在 Azure 原則 中使用原則
Allowed locations定義。 同時 在您的部署管線中強制執行區域限制 。使用基礎結構即程式代碼 (IaC) 。 使用 Bicep、Terraform 或 Azure Resource Manager 範本(ARM 範本)將基礎結構部署自動化。 將您的 IaC 組態儲存在原始檔控制系統 (GitHub 或 Azure Repos) 中,以追蹤變更並共同作業。 使用 Azure 登陸區域加速器 來管理平臺和應用程式資源的部署,並避免一段時間的設定漂移。
控管混合式和多重雲端環境。 治理混合式和多重雲端資源。 維持管理和原則強制執行的一致性。
自動化 AI 治理
使用擷取增強產生 (RAG) 模式。 RAG 新增資訊擷取系統來控制語言模型用來產生回應的地面數據。 例如,您可以在自己的數據功能上使用 Azure OpenAI 服務,或使用 Azure AI 搜尋來設定 RAG,以限制產生的 AI 與您的內容。
使用 AI 開發工具。 使用 AI 工具,例如語意核心,在開發使用 AI 的應用程式時,促進和標準化 AI 協調流程。
控管輸出產生。 協助 防止濫用和有害的內容產生。 使用 AI 內容篩選 和 AI 濫用監視。
設定數據外洩防護。 設定 Azure AI 服務的數據外洩防護。 設定允許其 AI 服務資源存取的輸出 URL 清單。
使用系統訊息。 使用 系統訊息 來引導 AI 系統的行為,並量身打造輸出。
套用 AI 安全性基準。 使用 Azure AI 安全性基準來管理 AI 系統的安全性。
手動強制執行雲端治理原則
有時候工具限制或成本會使自動強制執行變得不實用。 如果您無法自動強制執行,請手動強制執行雲端治理原則。 若要手動強制執行雲端治理,請遵循下列建議:
使用檢查清單。 使用治理檢查清單,讓您的小組能夠輕鬆遵循雲端治理原則。 如需詳細資訊,請參閱 範例合規性檢查清單。
提供一般訓練。 為所有相關小組成員進行頻繁的訓練課程,以確保他們知道治理原則。
排程定期檢閱。 實作定期檢閱和稽核雲端資源和程式的排程,以確保符合治理原則。 這些檢閱對於識別與已建立原則的偏差並採取更正動作至關重要。
手動監視。 指派專用人員來監視雲端環境,以符合治理原則。 請考慮追蹤資源的使用、管理訪問控制,以及確保數據保護措施已就緒,以符合原則。 例如,定義 管理雲端成本的完整成本管理方法 。
檢閱原則強制執行
定期檢閱及更新合規性強制執行機制。 目標是讓雲端治理原則強制執行符合目前的需求,包括開發人員、架構師、工作負載、平臺和商務需求。 若要檢閱原則強制執行,請遵循下列建議:
與項目關係人互動。 與項目關係人討論強制執行機制的有效性。 確保雲端治理強制執行符合商務目標和合規性需求。
監視需求。 更新或移除強制機制,以符合新的或更新的需求。 追蹤需要更新強制執行機制的法規和標準變更。 例如,Azure 登陸區域建議的原則可能會隨著時間而變更。 您應該 偵測 這些原則變更、 更新 至最新的 Azure 登陸區域自定義原則,或 視需要移 轉至內建原則。
雲端治理合規性檢查清單範例
合規性檢查清單可協助小組瞭解套用至它們的治理原則。 範例合規性檢查清單會使用範例雲端治理原則的原則聲明,並包含用於交叉參考的雲端治理原則標識符。
| 類別 | 合規性需求 |
|---|---|
| 法規合規性 | ☐ Microsoft Purview 必須用來監視敏感數據(RC01)。 ☐ 每日敏感數據合規性報告必須從 Microsoft Purview (RC02) 產生。 |
| 安全性 | ☐ 所有用戶都必須啟用 MFA(SC01)。 ☐ 存取權檢閱必須在標識碼治理 (SC02) 中每月進行。 ☐ 使用指定的 GitHub 組織來裝載所有應用程式和基礎結構程式代碼 (SC03)。 ☐ 使用公用來源連結庫的小組必須採用隔離模式 (SC04) 。 |
| Operations | ☐ 生產工作負載應具有跨區域 (OP01) 的主動-被動架構。 ☐ 所有工作關鍵性工作負載都必須實作跨區域主動 -主動架構 (OP02) 。 |
| 成本 | ☐ 工作負載小組必須在資源群組層級設定預算警示(CM01)。 ☐ 必須檢閱 Azure Advisor 成本建議 (CM02)。 |
| 資料 | ☐ 傳輸中的加密和待用加密必須套用至所有敏感數據。 (DG01) ☐ 所有敏感數據都必須啟用數據生命周期原則(DG02)。 |
| 資源管理 | ☐ Bicep 必須用來部署資源 (RM01) 。 ☐ 必須使用 Azure 原則 (RM02) 在所有雲端資源上強制執行標記。 |
| AI | ☐ AI 內容篩選組態必須設定為中型或更高 (AI01)。 ☐ 客戶面向 AI 系統必須是每月紅小組的 AI 系統(AI02)。 |