Vynucení zásad správného řízení v cloudu
V tomto článku se dozvíte, jak vynutit dodržování zásad správného řízení v cloudu. Vynucení zásad správného řízení v cloudu odkazuje na ovládací prvky a postupy, které používáte k sladění cloudu se zásadami zásad správného řízení v cloudu. Tým zásad správného řízení cloudu vyhodnocuje cloudová rizika a vytváří zásady zásad správného řízení cloudu pro správu těchto rizik. Aby se zajistilo dodržování zásad správného řízení v cloudu, musí tým zásad správného řízení cloudu delegovat povinnosti vynucování. Každý tým nebo jednotlivec musí umožnit vynucovat zásady správného řízení v cloudu v rámci své oblasti odpovědnosti. Tým zásad správného řízení v cloudu to nemůže udělat vůbec. Preferujte automatizované kontrolní mechanismy vynucování, ale vynucujte dodržování předpisů ručně, kde nemůžete automatizovat.
Definování přístupu pro vynucování zásad správného řízení v cloudu
Vytvořte systematickou strategii pro vynucování dodržování zásad správného řízení v cloudu. Cílem je efektivně vynucovat dodržování předpisů pomocí automatizovaných nástrojů a ručního dohledu. Pokud chcete definovat přístup k vynucení, postupujte podle těchto doporučení:
Delegujte povinnosti zásad správného řízení. Umožněte jednotlivcům a týmům vynucovat zásady správného řízení v rámci jejich odpovědnosti. Například týmy platforem by měly uplatňovat zásady, které úlohy dědí a týmy úloh by měly vynucovat zásady správného řízení pro úlohu. Tým zásad správného řízení v cloudu by neměl být zodpovědný za uplatňování kontrolních mechanismů vynucování.
Přijetí modelu dědičnosti Použijte hierarchický model zásad správného řízení, kde konkrétní úlohy dědí zásady správného řízení z platformy. Tento model pomáhá zajistit, aby se standardy organizace vztahovaly na správná prostředí, jako jsou požadavky na nákup cloudových služeb. Při vytváření správného modelu dědičnosti dodržujte principy návrhu cílových zón Azure a oblasti návrhu organizace prostředků.
Prodiskutujte specifika vynucení. Prodiskutujte, kde a jak se používají zásady správného řízení. Cílem je najít nákladově efektivní způsoby vynucení dodržování předpisů, které urychlují produktivitu. Bez diskuze riskujete blokování průběhu konkrétních týmů. Je důležité najít rovnováhu, která podporuje obchodní cíle při efektivní správě rizik.
Mít první monitor-první postoj. Nezablokujte akce, pokud jim nejdřív nerozumíte. V případě rizika s nižší prioritou začněte monitorováním dodržování zásad správného řízení v cloudu. Jakmile pochopíte riziko, můžete přejít na přísnější kontrolní mechanismy vynucování. Přístup zaměřený na monitorování vám dává příležitost prodiskutovat potřeby zásad správného řízení a reálně probrat zásady správného řízení v cloudu a řízení vynucování těchto potřeb.
Preferujte seznamy blokovaných položek. Upřednostňujte seznamy blokovaných před seznamy povolených. Seznamy blokování brání nasazení konkrétních služeb. Je lepší mít malý seznam služeb, které byste neměli používat, než dlouhý seznam služeb, které můžete použít. Abyste se vyhnuli zdlouhavým seznamům blokovaných položek, nepřidávejte do seznamu blokovaných ve výchozím nastavení nové služby.
Definujte strategii označování a pojmenování. Vytvořte systematická pravidla pro pojmenování a označování cloudových prostředků. Poskytuje strukturovanou architekturu pro kategorizaci prostředků, správu nákladů, zabezpečení a dodržování předpisů v cloudovém prostředí. Povolte týmům, jako jsou vývojové týmy, přidat další značky pro jejich jedinečné potřeby.
Automatické vynucení zásad správného řízení v cloudu
Využijte nástroje pro správu cloudu a zásady správného řízení k automatizaci dodržování zásad správného řízení. Tyto nástroje vám můžou pomoct s nastavením mantinely, monitorováním konfigurací a zajištěním dodržování předpisů. Pokud chcete nastavit automatizované vynucování, postupujte podle těchto doporučení:
Začněte malou sadou automatizovaných zásad. Automatizace dodržování předpisů u malé sady základních zásad správného řízení v cloudu Implementujte a otestujte automatizaci, abyste se vyhnuli přerušení provozu. Rozbalte seznam automatizovaných ovládacích prvků vynucení, až budou připravené.
Používejte nástroje zásad správného řízení v cloudu. K vynucení dodržování předpisů použijte nástroje dostupné ve vašem cloudovém prostředí. Primárním nástrojem zásad správného řízení Azure je Azure Policy. Doplňte Azure Policy do Programu Microsoft Defender pro cloud (zabezpečení), Microsoft Purview (data), zásad správného řízení (identita), Azure Monitor (operace), skupiny pro správu (správa prostředků), infrastruktura jako kód (IaC) (správa prostředků) a konfigurace v rámci každé služby Azure.
Použijte zásady správného řízení ve správném rozsahu. Použijte systém dědičnosti, kde jsou zásady nastavené na vyšší úrovni, například skupiny pro správu. Zásady na vyšších úrovních se automaticky vztahují na nižší úrovně, jako jsou předplatná a skupiny prostředků. Zásady se použijí i v případě, že dojde ke změnám v cloudovém prostředí, čímž se sníží režijní náklady na správu.
Použijte body vynucení zásad. Nastavte body vynucení zásad v cloudových prostředích, které automaticky aplikují pravidla zásad správného řízení. Zvažte kontroly předběžného nasazení, monitorování modulu runtime a automatizované akce nápravy.
Použijte zásadu jako kód. Pomocí nástrojů IaC vynucujte zásady správného řízení prostřednictvím kódu. Zásady jako kód vylepšují automatizaci ovládacích prvků zásad správného řízení a zajišťují konzistenci v různých prostředích. Zvažte použití služby Enterprise Azure Policy jako kódu (EPAC) ke správě zásad v souladu s doporučenými zásadami cílové zóny Azure.
Podle potřeby vyvíjejte vlastní řešení. U vlastních akcí zásad správného řízení zvažte vývoj vlastních skriptů nebo aplikací. Pomocí rozhraní API služby Azure můžete shromažďovat data nebo spravovat prostředky přímo.
Usnadnění Azure: Automatické vynucování zásad správného řízení v cloudu
Následující doprovodné materiály vám pomůžou najít správné nástroje pro automatizaci dodržování zásad správného řízení v cloudu v Azure. Poskytuje ukázkový výchozí bod pro hlavní kategorie zásad správného řízení v cloudu.
Automatizace zásad správného řízení dodržování právních předpisů
Použijte zásady dodržování právních předpisů. Používejte integrované zásady dodržování právních předpisů, které odpovídají standardům dodržování předpisů, jako jsou HITRUST/HIPAA, ISO 27001, CMMC, FedRamp a PCI DSSv4.
Automatizace vlastních omezení Vytvořte vlastní zásady pro definování vlastních pravidel pro práci s Azure.
Automatizace zásad správného řízení zabezpečení
Použijte zásady zabezpečení. Použijte předdefinované zásady zabezpečení a automatizované dodržování předpisů zabezpečení k zajištění souladu s běžnými standardy zabezpečení. Existují integrované zásady pro řadu NIST 800 SP, Center for Internet Security benchmarks a srovnávací test zabezpečení cloudu Microsoftu. Pomocí předdefinovaných zásad můžete automatizovat konfiguraci zabezpečení konkrétních služeb Azure. Vytvořte vlastní zásady pro definování vlastních pravidel pro práci s Azure.
Použijte zásady správného řízení identit. Povolte vícefaktorové ověřování Microsoft Entra (MFA) a samoobslužné resetování hesla. Odstraňte slabá hesla. Automatizujte další aspekty zásad správného řízení identit, jako jsou pracovní postupy žádostí o přístup, kontroly přístupu a správa životního cyklu identit. Povolte přístup za běhu, abyste omezili přístup k důležitým prostředkům. Pomocí zásad podmíněného přístupu udělte nebo zablokujte přístup identit uživatelů a zařízení ke cloudovým službám.
Použijte řízení přístupu. Řízení přístupu na základě role v Azure (RBAC) a řízení přístupu na základě atributů (ABAC) k řízení přístupu ke konkrétním prostředkům. Udělte uživatelům a skupinám oprávnění a odepříte je. Použijte oprávnění v příslušném oboru (skupina pro správu, předplatné, skupina prostředků nebo prostředek) a poskytněte jenom potřebná oprávnění a omezte režii na správu.
Automatizace zásad správného řízení nákladů
Automatizace omezení nasazení Zakázat určité cloudové prostředky , aby se zabránilo použití nákladově náročných prostředků.
Automatizace vlastních omezení Vytvořte vlastní zásady pro definování vlastních pravidel pro práci s Azure.
Automatizace přidělování nákladů Vynucujte požadavky na označování, abyste seskupily a přidělily náklady napříč prostředími (vývoj, testování, produkce), oddělení nebo projekty. Značky slouží k identifikaci a sledování prostředků, které jsou součástí úsilí o optimalizaci nákladů.
Automatizace zásad správného řízení provozu
Automatizace redundance Použijte předdefinované zásady Azure, které vyžadují zadanou úroveň redundance infrastruktury, jako jsou zónově redundantní a geograficky redundantní instance.
Použijte zásady zálohování. Zásady zálohování slouží k řízení frekvence zálohování, doby uchovávání a umístění úložiště. Zásady zálohování odpovídají zásadám správného řízení dat, požadavkům na dodržování právních předpisů, cíli doby obnovení (RTO) a cíli bodu obnovení (RPO). Pomocí nastavení zálohování v jednotlivých službách Azure, jako je Azure SQL Database, nakonfigurujte potřebná nastavení.
Splnění cíle na úrovni cílové služby Omezte nasazení určitých služeb a úrovní služeb (SKU), které nesplňují cíl na úrovni služby. Například použijte definici zásad ve službě
Not allowed resource types
Azure Policy.
Automatizace zásad správného řízení dat
Automatizace zásad správného řízení dat Automatizujte úlohy zásad správného řízení dat, jako jsou katalogizace, mapování, bezpečné sdílení a použití zásad.
Automatizace správy životního cyklu dat Implementujte zásady úložiště a správu životního cyklu pro úložiště , abyste zajistili efektivní a vyhovující ukládání dat.
Automatizace zabezpečení dat Zkontrolujte a vynucujte strategie ochrany dat, jako je oddělení dat, šifrování a redundance.
Automatizace zásad správného řízení správy prostředků
Vytvořte hierarchii správy prostředků. Pomocí skupin pro správu uspořádejte svá předplatná, abyste mohli efektivně řídit zásady, přístup a výdaje. Postupujte podle osvědčených postupů organizace prostředků cílové zóny Azure.
Vynucujte strategii označování. Zajistěte, aby všechny prostředky Azure byly trvale označené, aby se zlepšila možnosti správy, sledování nákladů a dodržování předpisů. Definujte strategii označování a spravujte zásady správného řízení značek.
Omezte, které prostředky můžete nasadit. Zakážete typy prostředků, abyste omezili nasazení služeb, které přidávají zbytečné riziko.
Omezte nasazení na konkrétní oblasti. Určete, kde se prostředky nasazují, aby splňovaly zákonné požadavky, spravovaly náklady a snížily latenci. Například použijte definici zásad ve službě
Allowed locations
Azure Policy. V kanálu nasazení také vynucujte regionální omezení .Použití infrastruktury jako kódu (IaC) Automatizujte nasazení infrastruktury pomocí šablon Bicep, Terraformu nebo Azure Resource Manageru (šablon ARM). Uložte konfigurace IaC do systému správy zdrojového kódu (GitHub nebo Azure Repos), abyste mohli sledovat změny a spolupracovat. Pomocí akcelerátorů cílových zón Azure můžete řídit nasazení prostředků platformy a aplikací a vyhnout se posunu konfigurace v průběhu času.
Řízení hybridních a multicloudových prostředí Řízení hybridních a multicloudových prostředků Udržujte konzistenci v oblasti správy a vynucování zásad.
Automatizace zásad správného řízení AI
Použijte model rozšířené generace (RAG). RAG přidá systém načítání informací, který řídí základní data, která jazykový model používá k vygenerování odpovědi. Službu Azure OpenAI můžete například použít ve vlastní funkci dat nebo nastavit RAG s Azure AI Search k omezení generování umělé inteligence na váš obsah.
Používejte vývojové nástroje AI. Při vývoji aplikací používajících AI, které využívají AI, používejte nástroje AI, jako je sémantické jádro, které usnadňují a standardizují orchestraci AI.
Řízení generování výstupu Pomozte zabránit zneužití a generování škodlivého obsahu. Používejte filtrování obsahu AI a monitorování zneužití AI.
Konfigurace ochrany před únikem informací Nakonfigurujte ochranu před únikem informací pro služby Azure AI. Nakonfigurujte seznam odchozích adres URL, ke kterým mají přístup prostředky služeb AI.
Používejte systémové zprávy. Pomocí systémových zpráv můžete řídit chování systému AI a přizpůsobit výstupy.
Použijte standardní hodnoty zabezpečení AI. Pomocí standardních hodnot zabezpečení Azure AI můžete řídit zabezpečení systémů AI.
Ruční vynucení zásad správného řízení v cloudu
Někdy omezení nástroje nebo náklady způsobí, že automatizované vynucování není praktické. V případech, kdy nemůžete automatizovat vynucování, vynucujte zásady správného řízení cloudu ručně. Pokud chcete zásady správného řízení v cloudu vynutit ručně, postupujte podle těchto doporučení:
Použijte kontrolní seznamy. Kontrolní seznamy zásad správného řízení usnadňují týmům sledování zásad správného řízení v cloudu. Další informace najdete v příkladu kontrolních seznamů dodržování předpisů.
Poskytněte pravidelné školení. Proveďte časté školení pro všechny relevantní členy týmu, abyste měli jistotu, že o zásadách správného řízení vědí.
Naplánujte pravidelné kontroly. Implementujte plán pravidelných kontrol a auditů cloudových prostředků a procesů, abyste zajistili dodržování zásad správného řízení. Tyto kontroly jsou kritické pro identifikaci odchylek od zavedených zásad a provádění nápravných akcí.
Monitorování ručně. Přiřaďte vyhrazené pracovníky k monitorování cloudového prostředí pro dodržování zásad správného řízení. Zvažte sledování používání prostředků, správu řízení přístupu a zajištění toho, aby opatření ochrany dat byla v souladu se zásadami. Můžete například definovat komplexní přístup ke správě nákladů na cloud.
Kontrola vynucení zásad
Pravidelně kontrolujte a aktualizujte mechanismy vynucování dodržování předpisů. Cílem je zachovat vynucování zásad správného řízení v cloudu v souladu s aktuálními potřebami, včetně vývojářských, architektů, úloh, platforem a obchodních požadavků. Pokud chcete zkontrolovat vynucování zásad, postupujte podle těchto doporučení:
Spojte se se zúčastněnými stranami. Prodiskutujte účinnost mechanismů vynucování se zúčastněnými stranami. Zajistěte, aby vynucení zásad správného řízení v cloudu odpovídalo obchodním cílům a požadavkům na dodržování předpisů.
Monitorujte požadavky. Aktualizujte nebo odeberte mechanismy vynucení tak, aby odpovídaly novým nebo aktualizovaným požadavkům. Sledujte změny v pravidlech a standardech, které vyžadují aktualizace mechanismů vynucení. Doporučené zásady cílové zóny Azure se například můžou v průběhu času měnit. Tyto změny zásad byste měli zjistit , aktualizovat na nejnovější vlastní zásady cílové zóny Azure nebo podle potřeby migrovat na předdefinované zásady.
Příklady kontrolních seznamů pro dodržování zásad správného řízení v cloudu
Kontrolní seznamy dodržování předpisů pomáhají týmům pochopit zásady správného řízení, které se na ně vztahují. Ukázkové kontrolní seznamy dodržování předpisů používají prohlášení o zásadách z ukázkových zásad správného řízení v cloudu a obsahují ID zásad správného řízení cloudu pro křížové odkazy.
Kategorie | Požadavek na dodržování předpisů |
---|---|
Dodržování legislativní předpisů | ☐ Microsoft Purview se musí použít k monitorování citlivých dat (RC01). ☐ Sestavy dodržování denních citlivých dat musí být generovány z Microsoft Purview (RC02). |
Zabezpečení | ☐ Vícefaktorové ověřování musí být povolené pro všechny uživatele (SC01). ☐ Kontroly přístupu se musí provádět každý měsíc v zásadách správného řízení ID (SC02). ☐ Použijte zadanou organizaci GitHubu k hostování veškerého kódu aplikace a infrastruktury (SC03). ☐ Týmy, které používají knihovny z veřejných zdrojů, musí přijmout model karantény (SC04). |
Operace | ☐ Produkční úlohy by měly mít architekturu aktivní-pasivní napříč oblastmi (OP01). ☐ Všechny klíčové úlohy musí implementovat architekturu aktivní-aktivní mezi oblastmi (OP02). |
Náklady | ☐ Týmy úloh musí nastavit upozornění rozpočtů na úrovni skupiny prostředků (CM01). ☐ Doporučení k nákladům služby Azure Advisor je potřeba zkontrolovat (CM02).< |
Data | ☐ Šifrování přenášených dat a neaktivních uložených dat musí být použito na všechna citlivá data. (DG01) ☐ Zásady životního cyklu dat musí být povolené pro všechna citlivá data (DG02). |
Řízení zdrojů | ☐ Bicep se musí použít k nasazení prostředků (RM01). ☐ Značky se musí vynucovat u všech cloudových prostředků pomocí Azure Policy (RM02). |
Umělá inteligence | ☐ Konfigurace filtrování obsahu AI musí být nastavená na střední nebo vyšší (AI01). ☐ Systémy umělé inteligence orientované na zákazníky musí být červeně seskupené měsíčně (AI02). |