Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Определение политик недостаточно. Организация должна применять политики управления, чтобы обеспечить соответствие требованиям. Принудительное применение облачного управления означает реализацию элементов управления, процессов и инструментов, чтобы использование облака придерживалось политик управления. Команда управления облаком устанавливает стратегию и контролирует принудительное применение, но принудительное применение является общей ответственностью. Команды облачной платформы и рабочей нагрузки берут на себя повседневное осуществление контроля в своих зонах ответственности. Обычно рекомендуется автоматизировать принудительное применение везде, где это возможно, с помощью облачных средств для принудительного применения или проверки соответствия требованиям. Используйте процессы вручную, только если автоматизация невозможна.
1. Определение подхода к применению политик управления облаком
Начните с создания всеобъемлющей стратегии по внедрению политики в организации. К ключевым соображениям относятся:
Делегировать обязанности по управлению. Предоставление отдельным лицам и командам возможности обеспечить управление в рамках их ответственности. Например, команды платформ должны применять политики, которые наследуют рабочие нагрузки и группы рабочей нагрузки должны применять управление для своей рабочей нагрузки. Команда управления облаком не должна отвечать за применение механизмов принудительного контроля.
Внедрение модели наследования. Примените иерархическую модель управления, в которой определенные рабочие нагрузки наследуют политики управления от платформы. Эта модель помогает гарантировать, что организационные стандарты применяются к правильным средам, таким как требования к приобретению облачных служб. Следуйте принципам проектирования зон приземления Azure и его области проектирования организации ресурсов, чтобы установить правильную модель наследования.
Обсудите особенности применения. Обсудите, где и как применять политики управления. Цель состоит в том, чтобы найти экономичные способы обеспечения соответствия требованиям, которые ускоряют производительность. Без обсуждения вы рискуете заблокировать прогресс конкретных команд. Важно найти баланс, поддерживающий бизнес-цели при эффективном управлении рисками.
Придерживайтесь подхода «сначала монитор». Не блокируйте действия, если сначала их не поймёте. Для снижения риска приоритета начните с мониторинга соответствия политикам управления облаком. После того как вы понимаете риск, вы можете перейти к более строгим элементам контроля за применением. Подход с первоочередным мониторингом дает возможность обсудить потребности управления и перенастроить политику управления облаком и контроль ее выполнения в соответствии с этими потребностями.
Предпочитать блок-списки. Предпочитайте списки блокировок по спискам разрешений. Списки блокировок препятствуют развертыванию определенных служб. Лучше иметь небольшой список служб, которые не следует использовать, чем длинный список служб, которые можно использовать. Чтобы избежать длинных списков блокировок, не добавляйте новые службы в список блокировок по умолчанию.
Определите стратегию добавления тегов и именования. Установите систематические рекомендации по именованию и тегам облачных ресурсов. Она предоставляет структурированную платформу для классификации ресурсов, управления затратами, безопасности и соответствия требованиям в облачной среде. Разрешите командам, таким как команды разработчиков, добавлять другие теги для своих уникальных потребностей.
2. Автоматическое применение политик управления облаком
Используйте службы управления и администрирования Azure, чтобы максимально автоматизировать применение политик. Автоматизация контроля повышает согласованность и снижает потребность в ручном труде и количество ошибок. Шаги по реализации автоматизированного управления:
Начните с небольшого набора автоматических политик. Автоматизация соответствия для небольшого набора основных политик управления облаком. Реализуйте и тестируйте автоматизацию, чтобы избежать сбоев в работе. Разверните список автоматических мер принуждения, как только будете готовы.
Используйте средства управления облаком. Используйте средства, доступные в облачной среде, для обеспечения соответствия требованиям. Основное средство управления Azure — политика Azure. Дополните политику Azure с помощью Microsoft Defender для облака (безопасность), Microsoft Purview (данные), управления идентификацией Microsoft Entra (удостоверение), Azure Monitor (операции), групп управления (управление ресурсами), инфраструктуры как код (IaC) (управление ресурсами), а также конфигурации в каждой службе Azure.
Применяйте политики управления в нужном масштабе. Используйте систему наследования, в которой политики устанавливаются на более высоком уровне, например группы управления. Политики на более высоких уровнях автоматически применяются к более низким уровням, таким как подписки и группы ресурсов. Политики применяются даже при изменении в облачной среде, что снижает затраты на управление.
Используйте точки применения политик. Настройте точки применения политик в облачных средах, которые автоматически применяют правила управления. Рассмотрите возможность проверок предварительной установки, мониторинга во время выполнения и действий по автоматическому исправлению.
Используйте политику в качестве кода. Используйте средства IaC для применения политик управления с помощью кода. Политика как код улучшает автоматизацию элементов управления и обеспечивает согласованность в разных средах. Рекомендуется использовать корпоративную политику Azure в качестве кода (EPAC) для управления политиками, согласованными с рекомендуемыми политиками целевой зоны Azure.
При необходимости разрабатывайте пользовательские решения. Для действий пользовательского управления рассмотрите возможность разработки пользовательских скриптов или приложений. Используйте API-интерфейсы службы Azure для сбора данных или управления ресурсами напрямую.
Автоматизация Azure: автоматическое соблюдение политик управления облаком
Приведенные ниже рекомендации помогут вам найти правильные инструменты для автоматизации соответствия политикам управления облаком в Azure. Он предоставляет пример отправной точки для основных категорий управления облаком.
Автоматизация управления соответствием нормативным требованиям
Применение политик соответствия нормативным требованиям. Используйте встроенные политики соответствия нормативным требованиям , которые соответствуют стандартам соответствия, таким как HITRUST/HIPAA, ISO 27001, CMMC, FedRamp и PCI DSSv4.
Автоматизация пользовательских ограничений.Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация управления безопасностью
Применение политик безопасности. Используйте встроенные политики безопасности и автоматическое соответствие требованиям безопасности , чтобы соответствовать общим стандартам безопасности. Существуют встроенные политики для серии NIST 800 SP, эталонных показателей Центра обеспечения безопасности Интернета и эталонных показателей Microsoft Cloud Security. Используйте встроенные политики для автоматизации конфигурации безопасности определенных служб Azure. Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Примените управление удостоверениями. Включите многофакторную проверку подлинности (MFA) Microsoft Entra и самостоятельный сброс пароля. Устранение слабых паролей. Автоматизация других аспектов управления удостоверениями, таких как рабочие процессы запросов на доступ, проверки доступа и управление жизненным циклом удостоверений. Включите JIT-доступ, чтобы ограничить доступ к важным ресурсам. Используйте политики условного доступа для предоставления или блокировки доступа пользователей и удостоверений устройств к облачным службам.
Применение элементов управления доступом. Используйте управление доступом на основе ролей Azure (RBAC) и управление доступом на основе атрибутов (ABAC) для управления доступом к определенным ресурсам. Предоставление и запрет разрешений пользователям и группам. Примените разрешение на соответствующую область (группу управления, подписку, группу ресурсов или ресурс), чтобы предоставить только необходимые разрешения и ограничить затраты на управление.
Автоматизация управления затратами
Автоматизация ограничений развертывания.Запретить использование некоторых облачных ресурсов , чтобы предотвратить использование ресурсоемких ресурсов.
Автоматизация пользовательских ограничений.Создайте настраиваемые политики , чтобы определить собственные правила для работы с Azure.
Автоматизация распределения затрат. Обеспечение соблюдения требований к тегированию для группирования и выделения затрат в этапах разработки, тестирования, производства — отделах или проектах. Используйте теги для выявления и отслеживания ресурсов, которые являются частью усилий по оптимизации затрат.
Автоматизация управления операциями
Автоматизируйте избыточность. Используйте встроенные политики Azure для обеспечения указанного уровня избыточности инфраструктуры, например, уровня избыточности зон и геоизбыточных экземпляров.
Применение политик резервного копирования. Используйте политики резервного копирования для управления частотой резервного копирования , периодом хранения и расположением хранилища. Выравнивание политик резервного копирования с учетом требований к управлению данными, нормативным требованиям, целевому времени восстановления (RTO) и целевой точке восстановления (RPO). Используйте параметры резервного копирования в отдельных службах Azure, таких как База данных SQL Azure, для настройки необходимых параметров.
Соответствует целевой цели уровня обслуживания. Ограничить развертывание определенных служб и уровней служб (SKU), которые не соответствуют целевой цели уровня обслуживания. Например, используйте определение политики в политике
Not allowed resource typesAzure.
Автоматизация управления данными
Автоматизация управления данными. Автоматизация задач управления данными , таких как каталогизация, сопоставление, безопасное совместное использование и применение политик.
Автоматизация управления жизненным циклом данных. Реализуйте политики хранения и управление жизненным циклом для хранения , чтобы обеспечить эффективное хранение данных и соответствие требованиям.
Автоматизация безопасности данных. Просмотрите и примените стратегии защиты данных, такие как разделение данных, шифрование и избыточность.
Автоматизация управления ресурсами
Создайте иерархию управления ресурсами. Используйте группы управления для организации подписок, чтобы эффективно управлять политиками, доступом и расходами. Следуйте рекомендациям организации ресурсов целевой зоны Azure.
Применение стратегии добавления тегов. Убедитесь, что все ресурсы Azure последовательно помечены для повышения управляемости, отслеживания затрат и соответствия требованиям. Определите стратегию добавлениятегов и управляйте управлением тегами.
Ограничьте, какие ресурсы вы можете развернуть.Запретите типы ресурсов для ограничения развертывания служб, которые добавляют ненужный риск.
Ограничить развертывание определенными регионами. Управление развертыванием ресурсов для соблюдения нормативных требований, управления затратами и уменьшения задержки. Например, используйте определение политики в политике
Allowed locationsAzure. Также обеспечьте соблюдение региональных ограничений в вашем конвейере развертывания.Используйте инфраструктуру в качестве кода (IaC). Автоматизация развертываний инфраструктуры с помощью шаблонов Bicep, Terraform или Azure Resource Manager (шаблонов ARM). Сохраните конфигурации IaC в системе управления версиями (GitHub или Azure Repos) для отслеживания изменений и совместной работы. Используйте акселераторы целевой зоны Azure для управления развертыванием ресурсов платформы и приложений и избегайте смещения конфигурации с течением времени.
Управление гибридными и многооблачными средами.Управление гибридными и многооблачными ресурсами. Обеспечение согласованности в управлении и применении политик.
Автоматизация управления ИИ
Используйте шаблон генерации с дополненным извлечением (RAG). RAG добавляет систему поиска информации для управления основными данными, которые используются языковой моделью для генерации ответа. Например, вы можете использовать службу Azure OpenAI на собственных данных или настроить RAG с помощью поиска ИИ Azure для ограничения генеративного ИИ на вашей информации.
Используйте средства разработки ИИ. Используйте средства ИИ, такие как Microsoft Agent Framework, которые упрощают и стандартизуют оркестрацию ИИ при разработке приложений, использующих ИИ.
Управление созданием выходных данных. Помогите предотвратить злоупотребление и создание вредного содержимого. Используйте фильтрацию содержимого ИИ и мониторинг злоупотреблений ИИ.
Настройте защиту от потери данных. Настройте защиту от потери данных для служб ИИ Azure. Настройте список исходящих URL-адресов, к которым могут получить доступ ресурсы служб ИИ.
Используйте системные сообщения. Используйте системные сообщения , чтобы управлять поведением системы ИИ и настраивать выходные данные.
Примените базовые показатели безопасности ИИ. Используйте базовые показатели безопасности ИИ Azure для управления безопасностью систем ИИ.
3. Применение политик управления облаком вручную
Не все может быть полностью автоматизировано. Иногда ограничение или стоимость средства делает автоматическое применение нецелесообразным. Будут случаи, особенно на начальном этапе или для сильно кастомизированных процессов, где необходимо ручное руководство. Кроме того, небольшие организации могут начинаться с ручного управления перед автоматизацией. Ключевые методики ручного принудительного применения включают:
Используйте контрольные списки. Используйте контрольные списки управления, чтобы упростить выполнение командой политик управления облаком. Дополнительные сведения см. в примерах контрольных списков соответствия.
Предоставьте регулярное обучение. Проводите частые учебные сессии для всех соответствующих членов команды, чтобы убедиться, что они знают о политиках управления.
Планирование регулярных проверок. Реализуйте расписание для регулярных проверок и аудита облачных ресурсов и процессов, чтобы обеспечить соответствие политикам управления. Эти проверки критически важны для выявления отклонений от установленных политик и принятия корректирующих действий.
Отслеживайте вручную. Назначьте выделенным сотрудникам мониторинг облачной среды для соответствия политикам управления. Рассмотрите возможность отслеживания использования ресурсов, управления средствами управления доступом и обеспечения того, чтобы меры защиты данных были установлены в соответствии с политиками. Например, определите комплексный подход к управлению затратами для управления облачными затратами.
4. Проверка применения политик
Регулярно просматривайте и обновляйте механизмы обеспечения соблюдения требований. Цель состоит в том, чтобы обеспечить соблюдение политики управления облаком в соответствии с текущими потребностями, включая разработчика, архитектора, рабочей нагрузки, платформы и бизнес-требований. Чтобы проверить применение политик, следуйте приведенным ниже рекомендациям.
Взаимодействие с заинтересованными лицами. Обсудите эффективность механизмов применения с заинтересованными лицами. Убедитесь, что соблюдение требований к управлению облаком соответствует бизнес-целям и требованиям к соответствию требованиям.
Мониторинг требований. Обновление или удаление механизмов принудительного применения для соответствия новым или обновленным требованиям. Отслеживайте изменения в правилах и стандартах, требующих обновления механизмов применения. Например, рекомендуемые политики целевой зоны Azure могут меняться со временем. Эти изменения следует обнаружить , обновить до последних пользовательских политик целевой зоны Azure или перенести в встроенные политики по мере необходимости.
Пример контрольных списков соответствия требованиям облачного управления
Контрольные списки соответствия помогают командам понять политики управления, которые применяются к ним. Примеры контрольных списков соответствия используют инструкцию политики из примера политик управления облаком и содержат идентификатор политики управления облаком для перекрестной ссылки.
| Категория | Требование соответствия требованиям |
|---|---|
| Соответствие нормативным требованиям | ☐ Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных (RC01). ☐ Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview (RC02). |
| Безопасность | ☐ MFA должна быть включена для всех пользователей (SC01). ☐ Проверки доступа должны выполняться ежемесячно в системе управления идентификаторами (SC02). ☐ Используйте указанную организацию GitHub для размещения всего кода приложения и инфраструктуры (SC03). ☐ Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина (SC04). |
| Операции | ☐ Рабочие нагрузки должны иметь активно-пассивную архитектуру между регионами (OP01). ☐ Все критически важные задачи должны реализовать межрегионную архитектуру active-active (OP02). |
| Себестоимость | ☐ Команды по рабочей нагрузке должны устанавливать оповещения о бюджетах на уровне группы ресурсов (CM01). ☐ Рекомендации по затратам помощника по Azure должны быть проверены (CM02). |
| Данные | ☐ Шифрование должно применяться ко всем конфиденциальным данным как во время передачи, так и в состоянии покоя.
(ДГ01) ☐ Политики жизненного цикла данных должны быть включены для всех конфиденциальных данных (DG02). |
| Управление ресурсами | ☐ Bicep должен быть использован для развертывания ресурсов (RM01). ☐ Теги должны применяться ко всем облачным ресурсам с помощью политики Azure (RM02). |
| Искусственный интеллект | ☐ Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень (AI01). ☐ Системы искусственного интеллекта, взаимодействующие с клиентами, должны проходить проверку методом «красная команда» ежемесячно (AI02). |