Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как обеспечить соответствие политикам управления облаком. Принудительное применение управления облаком относится к элементам управления и процедурам, используемым для выравнивания использования облака с политиками управления облаком. Команда управления облаком оценивает облачные риски и создает политики управления облаком для управления этими рисками. Чтобы обеспечить соответствие политикам управления облаком, команда управления облаком должна делегировать обязанности по обеспечению соблюдения. Они должны предоставить каждой команде или отдельной группе возможность применять политики управления облаком в рамках своей области ответственности. Команда управления облаком не может сделать все это. Предпочитайте автоматизированные средства обеспечения соблюдения правил, но обеспечивайте соблюдение вручную, где не удается автоматизировать.
Определение подхода к применению политик управления облаком
Создайте системную стратегию для обеспечения соответствия политикам управления облаком. Цель заключается в использовании автоматизированных средств и ручного надзора для эффективного обеспечения соответствия требованиям. Чтобы определить подход к принудительному применению, выполните следующие рекомендации.
Делегировать обязанности по управлению. Предоставление отдельным лицам и командам возможности обеспечить управление в рамках их ответственности. Например, команды платформ должны применять политики, которые наследуют рабочие нагрузки и группы рабочей нагрузки должны применять управление для своей рабочей нагрузки. Команда управления облаком не должна отвечать за применение механизмов принудительного контроля.
Внедрение модели наследования. Примените иерархическую модель управления, в которой определенные рабочие нагрузки наследуют политики управления от платформы. Эта модель помогает гарантировать, что организационные стандарты применяются к правильным средам, таким как требования к приобретению облачных служб. Следуйте принципам проектирования зон приземления Azure и его области проектирования организации ресурсов, чтобы установить правильную модель наследования.
Обсудите особенности применения. Обсудите, где и как применять политики управления. Цель состоит в том, чтобы найти экономичные способы обеспечения соответствия требованиям, которые ускоряют производительность. Без обсуждения вы рискуете заблокировать прогресс конкретных команд. Важно найти баланс, поддерживающий бизнес-цели при эффективном управлении рисками.
Ставьте использование монитора на первое место. Не блокируйте действия, если сначала их не поймёте. Для снижения риска приоритета начните с мониторинга соответствия политикам управления облаком. После того как вы понимаете риск, вы можете перейти к более строгим элементам контроля за применением. Подход с первоочередным мониторингом дает возможность обсудить потребности управления и перенастроить политику управления облаком и контроль ее выполнения в соответствии с этими потребностями.
Предпочитать блоклисты. Предпочитайте списки блокировок по спискам разрешений. Списки блокировок препятствуют развертыванию определенных служб. Лучше иметь небольшой список служб, которые не следует использовать, чем длинный список служб, которые можно использовать. Чтобы избежать длинных списков блокировок, не добавляйте новые службы в список блокировок по умолчанию.
Определите стратегию добавления тегов и именования. Установите систематические рекомендации по именованию и тегам облачных ресурсов. Она предоставляет структурированную платформу для классификации ресурсов, управления затратами, безопасности и соответствия требованиям в облачной среде. Разрешите командам, таким как команды разработчиков, добавлять другие теги для своих уникальных потребностей.
Автоматическое применение политик управления облаком
Используйте средства управления и контроля облачными ресурсами для автоматизации соблюдения политик управления. Эти инструменты могут помочь в установке ограждающих мер, мониторинге конфигураций и обеспечении соответствия требованиям. Чтобы настроить автоматическое применение, выполните следующие рекомендации.
Начните с небольшого набора автоматических политик. Автоматизация соответствия для небольшого набора основных политик управления облаком. Реализуйте и тестируйте автоматизацию, чтобы избежать сбоев в работе. Разверните список автоматических мер принуждения, как только будете готовы.
Используйте средства управления облаком. Используйте средства, доступные в облачной среде, для обеспечения соответствия требованиям. Основное средство управления Azure — политика Azure. Дополните политику Azure с помощью Microsoft Defender для облака (безопасность), Microsoft Purview (данные), управления идентификацией Microsoft Entra (удостоверение), Azure Monitor (операции), групп управления (управление ресурсами), инфраструктуры как код (IaC) (управление ресурсами), а также конфигурации в каждой службе Azure.
Применение политик управления в нужной области. Используйте систему наследования, в которой политики устанавливаются на более высоком уровне, например группы управления. Политики на более высоких уровнях автоматически применяются к более низким уровням, таким как подписки и группы ресурсов. Политики применяются даже при изменении в облачной среде, что снижает затраты на управление.
Используйте точки применения политик. Настройте точки применения политик в облачных средах, которые автоматически применяют правила управления. Рассмотрите возможность проверок предварительной установки, мониторинга во время выполнения и действий по автоматическому исправлению.
Используйте политику в качестве кода. Используйте средства IaC для применения политик управления с помощью кода. Политика как код улучшает автоматизацию элементов управления и обеспечивает согласованность в разных средах. Рекомендуется использовать корпоративную политику Azure в качестве кода (EPAC) для управления политиками, согласованными с рекомендуемыми политиками целевой зоны Azure.
При необходимости разрабатывайте пользовательские решения. Для действий пользовательского управления рассмотрите возможность разработки пользовательских скриптов или приложений. Используйте API-интерфейсы службы Azure для сбора данных или управления ресурсами напрямую.
Автоматизация Azure: автоматическое соблюдение политик управления облаком
Приведенные ниже рекомендации помогут вам найти правильные инструменты для автоматизации соответствия политикам управления облаком в Azure. Он предоставляет пример отправной точки для основных категорий управления облаком.
Автоматизация управления соответствием нормативным требованиям
Применение политик соответствия нормативным требованиям. Используйте встроенные политики соответствия нормативным требованиям , которые соответствуют стандартам соответствия, таким как HITRUST/HIPAA, ISO 27001, CMMC, FedRamp и PCI DSSv4.
Автоматизация пользовательских ограничений. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация управления безопасностью
Применение политик безопасности. Используйте встроенные политики безопасности и автоматическое соответствие требованиям безопасности , чтобы соответствовать общим стандартам безопасности. Существуют встроенные политики для серии NIST 800 SP, эталонных показателей Центра обеспечения безопасности Интернета и эталонных показателей Microsoft Cloud Security. Используйте встроенные политики для автоматизации конфигурации безопасности определенных служб Azure. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Применение управления удостоверениями. Включите многофакторную проверку подлинности (MFA) Microsoft Entra и самостоятельный сброс пароля. Устранение слабых паролей. Автоматизация других аспектов управления удостоверениями, таких как рабочие процессы запросов на доступ, проверки доступа и управление жизненным циклом удостоверений. Включите JIT-доступ, чтобы ограничить доступ к важным ресурсам. Используйте политики условного доступа для предоставления или блокировки доступа пользователей и удостоверений устройств к облачным службам.
Применение элементов управления доступом. Используйте управление доступом на основе ролей Azure (RBAC) и управление доступом на основе атрибутов (ABAC) для управления доступом к определенным ресурсам. Предоставление и запрет разрешений пользователям и группам. Примените разрешение на соответствующую область (группу управления, подписку, группу ресурсов или ресурс), чтобы предоставить только необходимые разрешения и ограничить затраты на управление.
Автоматизация управления затратами
Автоматизация ограничений развертывания. Запретить использование некоторых облачных ресурсов , чтобы предотвратить использование ресурсоемких ресурсов.
Автоматизация пользовательских ограничений. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация распределения затрат. Обеспечение соблюдения требований к тегированию для группирования и выделения затрат в этапах разработки, тестирования, производства — отделах или проектах. Используйте теги для выявления и отслеживания ресурсов, которые являются частью усилий по оптимизации затрат.
Автоматизация управления операциями
Автоматизируйте резервирование. Используйте встроенные политики Azure для обеспечения указанного уровня избыточности инфраструктуры, например, уровня избыточности зон и геоизбыточных экземпляров.
Применение политик резервного копирования. Используйте политики резервного копирования для управления частотой резервного копирования , периодом хранения и расположением хранилища. Выравнивание политик резервного копирования с учетом требований к управлению данными, нормативным требованиям, целевому времени восстановления (RTO) и целевой точке восстановления (RPO). Используйте параметры резервного копирования в отдельных службах Azure, таких как База данных SQL Azure, для настройки необходимых параметров.
Соответствует целевой цели уровня обслуживания. Ограничить развертывание определенных служб и уровней служб (SKU), которые не соответствуют целевой цели уровня обслуживания. Например, используйте определение политики в политике
Not allowed resource typesAzure.
Автоматизация управления данными
Автоматизация управления данными. Автоматизация задач управления данными , таких как каталогизация, сопоставление, безопасное совместное использование и применение политик.
Автоматизация управления жизненным циклом данных. Реализуйте политики хранения и управление жизненным циклом для хранения , чтобы обеспечить эффективное хранение данных и соответствие требованиям.
Автоматизация безопасности данных. Просмотрите и примените стратегии защиты данных, такие как разделение данных, шифрование и избыточность.
Автоматизация управления ресурсами
Создайте иерархию управления ресурсами. Используйте группы управления для организации подписок, чтобы эффективно управлять политиками, доступом и расходами. Следуйте рекомендациям организации ресурсов целевой зоны Azure.
Применение стратегии добавления тегов. Убедитесь, что все ресурсы Azure последовательно помечены для повышения управляемости, отслеживания затрат и соответствия требованиям. Определите стратегию добавлениятегов и управляйте управлением тегами.
Ограничьте, какие ресурсы можно развернуть. Запретить типы ресурсов для ограничения развертываний служб, которые добавляют ненужный риск.
Ограничить развертывание определенными регионами. Управление развертыванием ресурсов для соблюдения нормативных требований, управления затратами и уменьшения задержки. Например, используйте определение политики в политике
Allowed locationsAzure. Также обеспечьте соблюдение региональных ограничений в вашем конвейере развертывания.Используйте инфраструктуру в качестве кода (IaC). Автоматизация развертываний инфраструктуры с помощью шаблонов Bicep, Terraform или Azure Resource Manager (шаблонов ARM). Сохраните конфигурации IaC в системе управления версиями (GitHub или Azure Repos) для отслеживания изменений и совместной работы. Используйте акселераторы целевой зоны Azure для управления развертыванием ресурсов платформы и приложений и избегайте смещения конфигурации с течением времени.
Управление гибридными и многооблачными средами. Управление гибридными и многооблачными ресурсами. Обеспечение согласованности в управлении и применении политик.
Автоматизация управления ИИ
Используйте шаблон получения дополненной генерации (RAG). RAG добавляет систему поиска информации для управления основными данными, которые используются языковой моделью для генерации ответа. Например, вы можете использовать службу Azure OpenAI на собственных данных или настроить RAG с помощью поиска ИИ Azure для ограничения генеративного ИИ на вашей информации.
Используйте средства разработки ИИ. Используйте такие средства ИИ, как семантический ядро, которые упрощают и стандартизуют оркестрацию ИИ при разработке приложений, использующих ИИ.
Управление созданием выходных данных. Помогите предотвратить злоупотребление и создание вредного содержимого. Используйте фильтрацию содержимого ИИ и мониторинг злоупотреблений ИИ.
Настройте защиту от потери данных. Настройте защиту от потери данных для служб ИИ Azure. Настройте список исходящих URL-адресов, к которым могут получить доступ ресурсы служб ИИ.
Используйте системные сообщения. Используйте системные сообщения , чтобы управлять поведением системы ИИ и настраивать выходные данные.
Примените базовые показатели безопасности ИИ. Используйте базовые показатели безопасности ИИ Azure для управления безопасностью систем ИИ.
Применение политик управления облаком вручную
Иногда ограничение или стоимость средства делает автоматическое применение нецелесообразным. В случаях, когда вы не можете автоматизировать принудительное применение, принудительно примените политики управления облаком вручную. Чтобы вручную применить управление облаком, следуйте приведенным ниже рекомендациям.
Используйте контрольные списки. Используйте контрольные списки управления, чтобы упростить выполнение командой политик управления облаком. Дополнительные сведения см. в примерах контрольных списков соответствия.
Предоставьте регулярное обучение. Проводите частые учебные сессии для всех соответствующих членов команды, чтобы убедиться, что они знают о политиках управления.
Планирование регулярных проверок. Реализуйте расписание для регулярных проверок и аудита облачных ресурсов и процессов, чтобы обеспечить соответствие политикам управления. Эти проверки критически важны для выявления отклонений от установленных политик и принятия корректирующих действий.
Отслеживайте вручную. Назначьте выделенным сотрудникам мониторинг облачной среды для соответствия политикам управления. Рассмотрите возможность отслеживания использования ресурсов, управления средствами управления доступом и обеспечения того, чтобы меры защиты данных были установлены в соответствии с политиками. Например, определите комплексный подход к управлению затратами для управления облачными затратами.
Проверка применения политики
Регулярно просматривайте и обновляйте механизмы обеспечения соблюдения требований. Цель состоит в том, чтобы обеспечить соблюдение политики управления облаком в соответствии с текущими потребностями, включая разработчика, архитектора, рабочей нагрузки, платформы и бизнес-требований. Чтобы проверить применение политик, следуйте приведенным ниже рекомендациям.
Взаимодействие с заинтересованными лицами. Обсудите эффективность механизмов применения с заинтересованными лицами. Убедитесь, что соблюдение требований к управлению облаком соответствует бизнес-целям и требованиям к соответствию требованиям.
Мониторинг требований. Обновление или удаление механизмов принудительного применения для соответствия новым или обновленным требованиям. Отслеживайте изменения в правилах и стандартах, требующих обновления механизмов применения. Например, рекомендуемые политики целевой зоны Azure могут меняться со временем. Эти изменения следует обнаружить , обновить до последних пользовательских политик целевой зоны Azure или перенести в встроенные политики по мере необходимости.
Пример контрольных списков соответствия требованиям облачного управления
Контрольные списки соответствия помогают командам понять политики управления, которые применяются к ним. Примеры контрольных списков соответствия используют инструкцию политики из примера политик управления облаком и содержат идентификатор политики управления облаком для перекрестной ссылки.
| Категория | Требование соответствия требованиям |
|---|---|
| Соответствие нормативным требованиям | ☐ Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных (RC01). ☐ Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview (RC02). |
| Безопасность | ☐ MFA должна быть включена для всех пользователей (SC01). ☐ Проверки доступа должны выполняться ежемесячно в системе управления идентификаторами (SC02). ☐ Используйте указанную организацию GitHub для размещения всего кода приложения и инфраструктуры (SC03). ☐ Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина (SC04). |
| Операции | ☐ Рабочие нагрузки должны иметь активно-пассивную архитектуру между регионами (OP01). ☐ Все критически важные задачи должны реализовать межрегионную архитектуру active-active (OP02). |
| Себестоимость | ☐ Команды по рабочей нагрузке должны устанавливать оповещения о бюджетах на уровне группы ресурсов (CM01). ☐ Рекомендации по затратам помощника по Azure должны быть проверены (CM02). |
| Данные | ☐ Шифрование должно применяться ко всем конфиденциальным данным как во время передачи, так и в состоянии покоя.
(ДГ01) ☐ Политики жизненного цикла данных должны быть включены для всех конфиденциальных данных (DG02). |
| Управление ресурсами | ☐ Bicep должен быть использован для развертывания ресурсов (RM01). ☐ Теги должны применяться ко всем облачным ресурсам с помощью политики Azure (RM02). |
| Искусственный интеллект | ☐ Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень (AI01). ☐ Системы искусственного интеллекта, взаимодействующие с клиентами, должны проходить проверку методом «красная команда» ежемесячно (AI02). |