Superviser la gouvernance cloud
Cet article vous présente comment surveiller la gouvernance cloud. Après avoir appliqué la gouvernance cloud, vous devez mesurer le degré d’alignement (de conformité) de votre environnement cloud par rapport à vos stratégies de gouvernance cloud. Commencez par effectuer une première évaluation de la conformité afin d’identifier les points à améliorer et aligner votre configuration cloud sur vos stratégies de gouvernance. Suivez l’évolution de la conformité dans le temps pour voir où la gouvernance cloud est efficace et où elle est inefficace. L’objectif est de surveiller la gouvernance et de réduire à zéro les problèmes de non-conformité.
Configurer la surveillance de la gouvernance cloud
Implémentez des solutions de surveillance pour contrôler le respect de vos politiques de gouvernance cloud. L’objectif est d’avoir une visibilité sur les équipes responsables de l’application de la conformité afin de pouvoir remédier rapidement à la non-conformité. Pour configurer la surveillance de la gouvernance, suivez ces recommandations :
Utilisez des outils de surveillance. Choisissez des outils de surveillance de la conformité qui offrent des capacités de surveillance en temps réel. Veillez à ce que ces derniers puissent vérifier le respect de vos stratégies de gouvernance spécifiques. Collectez les métriques et les journaux nécessaires au suivi de la gouvernance. Passez en revue les recommandations de visibilité et de surveillance dans la zone de conception de gestion des zones d’atterrissage Azure.
Surveillez manuellement si nécessaire. Passez en revue la conformité manuellement lorsque les mécanismes de surveillance automatisés ne sont pas disponibles.
Solution de monitoring de document. Suivez la manière dont vous surveillez chaque stratégie de gouvernance cloud afin de savoir où collecter les données relatives à la conformité. Dans la stratégie de gouvernance cloud, répertoriez l’outil de surveillance, tel qu’Azure Policy ou Microsoft Purview. S’il s’agit d’une approche manuelle, indiquez la fréquence des audits.
Centraliser la surveillance de la gouvernance. Utilisez ou créez une solution qui vous permette de visualiser en un seul endroit l’état de la conformité à la gouvernance cloud. Par exemple, le classeur de gouvernance Azure centralise de nombreux services de surveillance de gouvernance Azure.
Établissez une base de référence de conformité. Évaluez le degré de conformité de votre environnement cloud par rapport à vos stratégies de gouvernance cloud. Faites-en de votre base de référence. Suivez les progrès réalisés au fil du temps par rapport à votre base de référence.
Fournissez un accès à la surveillance de la gouvernance. Configurez le niveau d’accès approprié aux résultats de surveillance de la gouvernance afin que les équipes responsables de la gouvernance puissent évaluer l’efficacité des contrôles de mise en œuvre.
Auditez l’efficacité de la surveillance. Vérifiez manuellement la conformité pour vous assurer qu’elle est bien respectée. Par exemple, assurez-vous que les balises reçoivent les bonnes valeurs et non une valeur indésirable, telle que NA.
Facilitation Azure : configuration de la surveillance de la gouvernance cloud
Les conseils suivants sont destinés à vous aider à configurer la surveillance de la gouvernance cloud dans Azure. Ils fournissent un exemple de point de départ pour les principales catégories de gouvernance cloud. Pensez à regrouper ces signaux dans le classeur de gouvernance Azure. Pour configurer la surveillance de la gouvernance cloud, une identité Azure doit disposer des autorisations nécessaires à la collecte de données de surveillance à partir de vos abonnements.
Configurer la surveillance pour la gouvernance de la conformité réglementaire
Utilisez les tableaux de bord de conformité. Obtenez des données de conformité aux politiques sur les politiques que vous avez assignées.
Déterminez la conformité. Utilisez les données de conformité pour déterminer les causes de non-conformité.
Configurez la surveillance pour la gouvernance de la sécurité
Utilisez la surveillance de la gouvernance de la sécurité. Examinez les recommandations de sécurité et surveillez la gouvernance de la sécurité au fil du temps avec votre score de sécurité. La fonctionnalité fournit un tableau de bord pour surveiller la conformité réglementaire par rapport aux cadres de sécurité courants.
Configurer la surveillance de la gouvernance des identités. Configurez la surveillance des identités pour collecter les journaux d’audit, de connexion et d’approvisionnement. Passez également en revue votre score d’identité sécurisée et utilisez le tableau de bord de gouvernance des identités pour obtenir une vue unique des identités de votre client.
Configurez la surveillance pour la gouvernance de la gestion des coûts
Analysez les coûts du cloud. Effectuez une analyse des coûts dans Azure pour obtenir une visibilité complète sur vos coûts cloud.
Créez des budgets. Créez un budget qui correspond à votre investissement souhaité dans le cloud.
Collectez les données de coût. Utilisez les recommandations d’optimisation des coûts et le classeur d’optimisation des coûts pour guider les efforts de gestion des coûts, tels que la détection des ressources inactives. Identifiez les anomalies et les modifications inattendues des coûts.
Configurez la surveillance de la gouvernance des opérations
Surveillez les stratégies sur les opérations cloud. Utilisez Azure Policy pour suivre la conformité aux stratégies de gouvernance qui s’appliquent aux opérations.
Surveillez les journaux d’activité et métriques. Pour suivre la disponibilité et les performances, analysez les journaux et les indicateurs dans les environnements cloud.
Surveillez l’optimisation des ressources. Utilisez Azure Advisor pour surveiller les ressources Azure en termes de fiabilité, de sécurité, d’excellence opérationnelle, de performance et de coût. Créez des alertes pour recevoir les dernières recommandations Advisor.
Surveillez la santé des ressources. Surveillez la santé des services Azure et surveillez les événements impactant les services, la maintenance planifiée et d’autres changements pouvant affecter la disponibilité.
Configurez la surveillance pour la gouvernance des données
Surveillez la gouvernance des données. Surveillez la conformité, la gestion et l’utilisation des données.
Utiliser les tableaux de bord. Utilisez les tableaux de bord pour surveiller la conformité avec les stratégies de plan de données.
Configurez la surveillance pour la gouvernance de la gestion des ressources
- Surveillez les stratégies sur la gestion des ressources. Surveillez la conformité avec les stratégies de gouvernance cloud qui s’appliquent aux déploiements de ressources, tels que les stratégies d’application des balises.
Configurez la surveillance pour la gouvernance de l’IA
Surveillez les sorties du système IA. Utilisez Azure pour surveiller les abus et filtrer le contenu des systèmes IA.
Systèmes IA de l’équipe rouge. Vérifiez régulièrement les modèles de langage de l’équipe rouge pour identifier les données erronées. Utilisez à la fois des tests manuels et des outils automatisés pour examiner la base de référence des risques.
Configurer les alertes de gouvernance cloud
Configurez des alertes basées sur des métriques de conformité ou des événements spécifiques qui indiquent un décalage par rapport à vos stratégies de gouvernance. Pour configurer les alertes de la gouvernance cloud, suivez ces recommandations :
Utilisez des mécanismes d’alerte natifs cloud. Préférez les outils natifs cloud qui fournissent une surveillance et des alertes en temps réel pour les problèmes de conformité.
Définissez une non-conformité. Définissez des seuils clairs et des bases de référence pour la non-conformité. Définissez des alertes lorsque les données dépassent ces seuils ou lorsque des changements inattendus se produisent et pourraient indiquer une non-conformité.
Acheminez les alertes de manière appropriée. Envoyez des alertes à l’équipe ou à la personne chargée de veiller au respect des stratégies de gouvernance cloud.
Incluez des informations sur la non-conformité dans les alertes. Configurez les alertes de façon à ce qu’elles contiennent des informations détaillées sur l’événement de non-conformité. Dans l’idéal, indiquez la stratégie qui n’a pas été respectée, les ressources affectées ainsi que les mesures correctives suggérées.
Facilitation Azure : configuration des alertes de gouvernance cloud
Les conseils suivants vous aident à commencer à configurer des alertes de gouvernance cloud dans Azure. Ils fournissent un exemple de point de départ pour les principales catégories de gouvernance cloud.
Alertes de gouvernance de conformité réglementaire. Utilisez les journaux d’activité Azure pour générer des alertes pour la non-conformité dans Azure.
Alertes de gouvernance de la sécurité. Configurez les alertes de sécurité et les alertes de non-conformité.
Alertes de gouvernance des coûts. Configurez des alertes pour avertir les équipes des dépassements de coûts potentiels et des anomalies de dépense. Configurez les alertes de coût et les alertes d’anomalie de coût. Définissez des alertes d’utilisation des réservations pour conserver l’utilisation des réservations et des plans d’épargne à un niveau proche de la pleine utilisation.
Alertes de gouvernance des opérations. Configurez des alertes sur des journaux et des métriques spécifiques. Définissez des alertes pour les nouvelles recommandations alignées sur la fiabilité et les performances. Configurez les alertes d’intégrité des services pour recevoir une notification des problèmes d’intégrité des services actuels et à venir. Configurez les alertes d’intégrité des ressources pour recevoir une notification de l’état d’intégrité actuel et historique de vos ressources Azure.
Alertes de gouvernance des données. Configurez des alertes de gouvernance des données pour signaler les violations de la gouvernance des données.
Alertes de gouvernance de la gestion des ressources. Configurez les alertes pour le déploiement d’une ressource non conforme. Par exemple, utilisez des avertissements de build dans votre pipeline de déploiement ou surveillez les états de non-conformité.
Alertes de gouvernance de l’IA. Configurez les alertes en cas d’entrées et de productions nuisibles dans vos systèmes IA. Par exemple, surveillez les e-mails d’Azure OpenAI qui vous informent d’un comportement abusif.
Développer un plan de correction
Développez un plan d’action ciblé pour traiter les événements de non-conformité. Lorsqu’une non-conformité est détectée, enclenchez le plan de correction pour corriger les écarts et réduire le risque et l’impact. Ajoutez les détails de correction à la stratégie de gouvernance cloud pour faciliter l’accès. Suivez ces recommandations :
Discuter des chronologies de correction. Négociez une chronologie pour la correction en fonction de la priorité des risques. L’équipe responsable de la conformité doit corriger la conformité en temps voulu.
Corriger rapidement les violations à haut risque. Pour les alertes de non-conformité qui présentent un risque élevé, comme un point de terminaison de données exposé, ayez un plan d’escalade et de résolution de ces problèmes de non-conformité. Mettez à jour le mécanisme d’application de la stratégie pour éviter une répétition de cette violation à haut risque. Utilisez Azure pour réagir aux modifications de l’état de conformité, corriger les ressources non conformes aux stratégies et corriger les recommandations de sécurité.
Suivre les violations à faible risque. Ayez une position d’audit sur les stratégies à faible risque afin que vous puissiez avoir une discussion avec l’équipe qui a enfreint la stratégie de gouvernance cloud, comme le déploiement d’un service figurant sur une liste de blocage. Peut-être qu’il existe une nouvelle fonctionnalité disponible, un meilleur niveau de service (référence SKU) ou un meilleur prix dans une région spécifique. L’équipe de gouvernance cloud doit discuter des besoins de l’équipe et ajuster les stratégies et les mécanismes d’application conformément à la conversation.
Automatiser la correction le cas échéant. Configurez des flux de travail automatisés qui informent non seulement les équipes concernées, mais lancent également des processus de correction prédéfinis le cas échéant. Cette solution est principalement destinée aux solutions à haut risque connues que vous ne pouvez pas empêcher avec l’automatisation.
Mettre à jour les stratégies de gouvernance et les mécanismes d’application. En fonction des insights obtenus à partir de l’événement de non-conformité, mettez à jour vos stratégies de gouvernance et mécanismes d’application. Les mises à jour peuvent impliquer un renforcement des définitions de stratégie, l’amélioration des fonctionnalités de surveillance ou l’affinement des seuils d’alerte pour améliorer les temps de détection et de réponse.
Auditer régulièrement la gouvernance cloud
Même avec une surveillance automatisée, effectuez régulièrement des révisions et des audits manuels pour valider les processus de surveillance de conformité et pour vous assurer que les outils d’automatisation fonctionnent correctement. Pour auditer la gouvernance cloud, suivez ces recommandations :
Effectuer des audits internes. Effectuez des audits internes réguliers pour évaluer la conformité aux stratégies de gouvernance.
Effectuer des audits externes. Engagez des auditeurs externes selon les besoins pour valider la conformité aux exigences légales et réglementaires. Veillez à consulter des experts juridiques pour vérifier que vos stratégies de gouvernance sont conformes aux lois et réglementations applicables dans votre région.
Étapes suivantes
La gouvernance cloud est un processus continu qui nécessite une attention continue. Répétez constamment le processus de gouvernance d’évaluation des risques, de documentation des stratégies de gouvernance, d’application de ces stratégies et de surveillance de l’efficacité de l’application. L’équipe de gouvernance cloud doit également travailler via le processus de gouvernance cloud chaque fois qu’elle identifie les nouveaux risques liés au cloud.