Bulut idare ilkelerini zorunlu kılma
Bu makalede, bulut idare ilkeleriyle uyumluluğun nasıl zorunlu kılınması gösterilmektedir. Bulut idaresi zorlaması, bulut kullanımını bulut idare ilkeleriyle hizalamak için kullandığınız denetimleri ve yordamları ifade eder. Bulut idaresi ekibi, bulut risklerini değerlendirir ve bu riskleri yönetmek için bulut idare ilkeleri oluşturur. Bulut idare ilkeleriyle uyumluluğu sağlamak için bulut idare takımının zorlama sorumluluklarını devretmesi gerekir. Her ekibe veya bireye kendi sorumluluk alanları içinde bulut idare ilkelerini zorunlu kılma yetkisi vermeleri gerekir. Bulut idaresi ekibi her şeyi yapamaz. Otomatik zorlama denetimlerini tercih edin, ancak otomatikleştiremezseniz uyumluluğu el ile zorunlu kılın.
Bulut idare ilkelerini zorunlu kılmaya yönelik bir yaklaşım tanımlama
Bulut idare ilkeleriyle uyumluluğu zorunlu kılmak için sistematik bir strateji oluşturun. Amaç, uyumluluğu verimli bir şekilde uygulamak için otomatik araçlar ve el ile gözetim kullanmaktır. Zorlama yaklaşımı tanımlamak için şu önerileri izleyin:
İdare sorumluluklarını devretme. Bireyleri ve ekipleri kendi sorumlulukları dahilinde idareyi zorunlu kılma konusunda güçlendirin. Örneğin, platform ekipleri iş yüklerinin devraldığı ve iş yükü ekiplerinin iş yükleri için idareyi zorunlu kılması gereken ilkeler uygulamalıdır. Zorlama denetimlerini uygulamak bulut idaresi ekibinin sorumluluğunda olmamalıdır.
Devralma modelini benimseme. Belirli iş yüklerinin idare ilkelerini platformdan devraldığı hiyerarşik bir idare modeli uygulayın. Bu model, bulut hizmetleri için satın alma gereksinimleri gibi kuruluş standartlarının doğru ortamlara uygulanmasını sağlamaya yardımcı olur. Uygun bir devralma modeli oluşturmak için Azure giriş bölgelerinin ve kaynak kuruluş tasarım alanının tasarım ilkelerini izleyin.
Zorlama ayrıntılarını tartışın. İdare ilkelerini nereye ve nasıl uyguladığınızı tartışın. Amaç, üretkenliği hızlandıran uyumluluğu zorunlu kılmanın uygun maliyetli yollarını bulmaktır. Tartışma olmadan belirli ekiplerin ilerlemesini engelleme riskiyle karşınıza olur. Riski etkili bir şekilde yönetirken iş hedeflerini destekleyen bir denge bulmak önemlidir.
Monitör öncelikli bir duruşa sahip olun. Eylemleri önce anlamadığınız sürece engellemeyin. Düşük öncelikli risk için öncelikle bulut idare ilkeleriyle uyumluluğu izleyin. Riski anladıktan sonra daha kısıtlayıcı zorlama denetimlerine geçebilirsiniz. İzleyici öncelikli bir yaklaşım, idare gereksinimlerini tartışma ve bulut idare ilkesini ve zorlama denetimini bu gereksinimlere göre yeniden hizalama fırsatı sunar.
Blok listelerini tercih edin. İzin verilenler yerine blok listelerini tercih edin. Blok listeleri belirli hizmetlerin dağıtımını engeller. Kullanmamanız gereken hizmetlerin küçük bir listesine sahip olmak, kullanabileceğiniz uzun bir hizmet listesinden daha iyidir. Uzun blok listelerini önlemek için, blok listesine varsayılan olarak yeni hizmetler eklemeyin.
Etiketleme ve adlandırma stratejisi tanımlama. Bulut kaynaklarını adlandırmak ve etiketlemek için sistematik yönergeler oluşturun. Bulut ortamında kaynak kategorilere ayırma, maliyet yönetimi, güvenlik ve uyumluluk için yapılandırılmış bir çerçeve sağlar. Geliştirme ekipleri gibi ekiplerin benzersiz ihtiyaçları için başka etiketler eklemesine izin verin.
Bulut idare ilkelerini otomatik olarak zorunlu kılma
İdare ilkeleriyle uyumluluğu otomatikleştirmek için bulut yönetimi ve idare araçlarını kullanın. Bu araçlar korumaların ayarlanmasına, yapılandırmaların izlenmesine ve uyumluluğun sağlanmasına yardımcı olabilir. Otomatik zorlamayı ayarlamak için şu önerileri izleyin:
Küçük bir otomatik ilke kümesiyle başlayın. Küçük bir temel bulut idare ilkeleri kümesinde uyumluluğu otomatikleştirin. Operasyonel kesintileri önlemek için otomasyon uygulama ve test etme. Hazır olduğunuzda otomatik zorlama denetimleri listenizi genişletin.
Bulut idare araçlarını kullanın. Uyumluluğu zorlamak için bulut ortamınızda bulunan araçları kullanın. Azure'ın birincil idare aracı Azure İlkesi. Azure İlkesi Bulut için Microsoft Defender (güvenlik), Microsoft Purview (veri), Microsoft Entra Kimlik Yönetimi (kimlik), Azure İzleyici (işlemler), yönetim grupları (kaynak yönetimi), kod olarak altyapı (IaC) (kaynak yönetimi) ve her Azure hizmeti içindeki yapılandırmalar.
İdare ilkelerini doğru kapsama uygulayın. İlkelerin yönetim grupları gibi daha yüksek bir düzeyde ayarlandığı bir devralma sistemi kullanın. Daha yüksek düzeylerdeki ilkeler abonelikler ve kaynak grupları gibi daha düşük düzeylere otomatik olarak uygulanır. İlkeler, bulut ortamında değişiklik olduğunda bile geçerlidir ve bu da yönetim ek yükünü azaltır.
İlke zorlama noktalarını kullanın. Bulut ortamlarınızda idare kurallarını otomatik olarak uygulayan ilke zorlama noktaları ayarlayın. Dağıtım öncesi denetimleri, çalışma zamanı izleme ve otomatik düzeltme eylemlerini göz önünde bulundurun.
İlkeyi kod olarak kullanın. IaC araçlarını kullanarak idare ilkelerini kod aracılığıyla zorunlu kılın. Kod olarak ilke, idare denetimlerinin otomasyonunu geliştirir ve farklı ortamlarda tutarlılık sağlar. Önerilen Azure giriş bölgesi ilkeleriyle uyumlu ilkeleri yönetmek için Kod olarak Kurumsal Azure İlkesi (EPAC) kullanmayı göz önünde bulundurun.
Gerektiğinde özel çözümler geliştirin. Özel idare eylemleri için özel betikler veya uygulamalar geliştirmeyi göz önünde bulundurun. Veri toplamak veya kaynakları doğrudan yönetmek için Azure hizmet API'lerini kullanın.
Azure kolaylaştırma: Bulut idare ilkelerini otomatik olarak zorunlu tutma
Aşağıdaki kılavuz, Azure'da bulut idare ilkeleriyle uyumluluğu otomatikleştirmek için doğru araçları bulmanıza yardımcı olabilir. Temel bulut idaresi kategorileri için örnek bir başlangıç noktası sağlar.
Mevzuat uyumluluğu idaresi otomatikleştirme
Mevzuat uyumluluğu ilkelerini uygulayın. HITRUST/HIPAA, ISO 27001, CMMC, FedRamp ve PCI DSSv4 gibi uyumluluk standartlarına uygun yerleşik mevzuat uyumluluğu ilkeleri kullanın.
Özel kısıtlamaları otomatikleştirin. Azure ile çalışmak için kendi kurallarınızı tanımlamak için özel ilkeler oluşturun.
Güvenlik idaresi otomatikleştirme
Güvenlik ilkelerini uygulama. Ortak güvenlik standartlarıyla uyumlu olması için yerleşik güvenlik ilkelerini ve otomatik güvenlik uyumluluğunu kullanın. NIST 800 SP serisi, internet güvenliği karşılaştırmaları merkezi ve Microsoft bulut güvenliği karşılaştırması için yerleşik ilkeler vardır. Belirli Azure hizmetlerinin güvenlik yapılandırmasını otomatikleştirmek için yerleşik ilkeleri kullanın. Azure ile çalışmak için kendi kurallarınızı tanımlamak için özel ilkeler oluşturun.
Kimlik idaresi uygulama. Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) ve self servis parola sıfırlamayı etkinleştirin. Zayıf parolaları ortadan kaldırın. Erişim isteği iş akışları, erişim gözden geçirmeleri ve kimlik yaşam döngüsü yönetimi gibi kimlik idaresinin diğer yönlerini otomatikleştirin. Önemli kaynaklara erişimi sınırlamak için tam zamanında erişimi etkinleştirin. Kullanıcı ve cihaz kimliklerine bulut hizmetlerine erişim vermek veya bunları engellemek için koşullu erişim ilkelerini kullanın.
Erişim denetimleri uygulama. Belirli kaynaklara erişimi yönetmek için Azure rol tabanlı erişim denetimini (RBAC) ve öznitelik tabanlı erişim denetimini (ABAC) kullanın. Kullanıcılara ve gruplara izin verme ve reddetme. Yalnızca gerekli izni sağlamak ve yönetim ek yükünü sınırlamak için uygun kapsamda (yönetim grubu, abonelik, kaynak grubu veya kaynak) izni uygulayın.
Maliyet idaresi otomatikleştirme
Dağıtım kısıtlamalarını otomatikleştirme. Yoğun maliyetli kaynakların kullanımını önlemek için belirli bulut kaynaklarına izin verme.
Özel kısıtlamaları otomatikleştirin. Azure ile çalışmak için kendi kurallarınızı tanımlamak için özel ilkeler oluşturun.
Maliyet ayırmayı otomatikleştirme. Ortamlar (geliştirme, test, üretim), departmanlar veya projeler arasında maliyetleri gruplandırmak ve ayırmak için etiketleme gereksinimlerini zorunlu kılın. Bir maliyet iyileştirme çalışmasının parçası olan kaynakları tanımlamak ve izlemek için etiketleri kullanın.
İşlem idaresi otomatikleştirme
Yedekliliği otomatikleştirme. Alanlar arası yedekli ve coğrafi olarak yedekli örnekler gibi belirli bir altyapı yedekliliği düzeyi gerektirmek için yerleşik Azure ilkelerini kullanın.
Yedekleme ilkelerini uygulama. Yedekleme sıklığını, saklama süresini ve depolama konumunu yönetmek için yedekleme ilkelerini kullanın. Yedekleme ilkelerini veri idaresi, mevzuat uyumluluğu gereksinimleri, kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) ile uyumlu hale getirme. İhtiyacınız olan ayarları yapılandırmak için Azure SQL Veritabanı gibi tek tek Azure hizmetlerindeki yedekleme ayarlarını kullanın.
Hedef hizmet düzeyi hedefini karşılayın. Hedef hizmet düzeyi hedefinize uymayen belirli hizmet ve hizmet katmanlarının (SKU) dağıtımını kısıtlayın. Örneğin, Azure İlkesi'da ilke tanımını kullanın
Not allowed resource types
.
Veri yönetimini otomatikleştirme
Veri yönetimini otomatikleştirme. Kataloglama, eşleme, güvenli bir şekilde paylaşma ve ilkeleri uygulama gibi veri idaresi görevlerini otomatikleştirin.
Veri yaşam döngüsü yönetimini otomatikleştirme. Verilerin verimli ve uyumlu bir şekilde depolandığından emin olmak için depolama için depolama ilkeleri ve yaşam döngüsü yönetimi uygulayın.
Veri güvenliğini otomatikleştirme. Veri ayırma, şifreleme ve yedeklilik gibi veri koruma stratejilerini gözden geçirin ve uygulayın.
Kaynak yönetimi idaresi otomatikleştirme
Kaynak yönetimi hiyerarşisi oluşturun. İlkeleri, erişimi ve harcamaları verimli bir şekilde yönetebilmeniz için aboneliklerinizi düzenlemek için yönetim gruplarını kullanın. Azure giriş bölgesi kaynak kuruluşu en iyi yöntemlerini izleyin.
Etiketleme stratejisini zorunlu kılma. Yönetilebilirliği, maliyet izlemeyi ve uyumluluğu iyileştirmek için tüm Azure kaynaklarının tutarlı bir şekilde etiketlenmiş olduğundan emin olun. Etiketleme stratejinizi tanımlayın ve etiket idaresini yönetin.
Dağıtabileceğiniz kaynakları kısıtlayın. Gereksiz riskler ekleyen hizmetlerin dağıtımlarını kısıtlamak için kaynak türlerine izin verme.
Dağıtımları belirli bölgelerle kısıtlayın. Yasal gereksinimlere uymak, maliyetleri yönetmek ve gecikme süresini azaltmak için kaynakların dağıtılacağı yeri denetleyin. Örneğin, Azure İlkesi'da ilke tanımını kullanın
Allowed locations
. Ayrıca dağıtım işlem hattınızda bölgesel kısıtlamaları zorunlu kılın.Kod olarak altyapıyı (IaC) kullanın. Bicep, Terraform veya Azure Resource Manager şablonlarını (ARM şablonları) kullanarak altyapı dağıtımlarını otomatikleştirin. Değişiklikleri izlemek ve işbirliği yapmak için IaC yapılandırmalarınızı bir kaynak denetim sisteminde (GitHub veya Azure Repos) depolayın. Platform ve uygulama kaynaklarınızın dağıtımını yönetmek ve zaman içinde yapılandırma kaymasını önlemek için Azure giriş bölgesi hızlandırıcılarını kullanın.
Karma ve çoklu bulut ortamlarını idare edin. Karma ve çoklu bulut kaynaklarını idare edin. Yönetim ve ilke zorlamada tutarlılığı koruyun.
Yapay zeka idaresi otomatikleştirme
Alma artırılmış nesil (RAG) desenini kullanın. RAG, bir dil modelinin yanıt oluşturmak için kullandığı topraklama verilerini denetlemek için bir bilgi alma sistemi ekler. Örneğin, Azure OpenAI Hizmeti'ni kendi veri özelliğinizde kullanabilir veya içeriğinizde üretken yapay zekayı kısıtlamak için Azure AI Search ile RAG ayarlayabilirsiniz.
Yapay zeka geliştirme araçlarını kullanın. Yapay zeka kullanan uygulamalar geliştirirken yapay zeka düzenlemesini kolaylaştıran ve standartlaştıran AnlamSal Çekirdek gibi yapay zeka araçlarını kullanın.
Çıkış oluşturmayı idare edin. Uygunsuz kullanımı ve zararlı içerik oluşturmayı önlemeye yardımcı olun. Yapay zeka içerik filtreleme veyapay zeka kötüye kullanımı izlemesini kullanın.
Veri kaybı önlemeyi yapılandırın. Azure AI hizmetleri için veri kaybı önlemeyi yapılandırın. Yapay zeka hizmetleri kaynaklarının erişmesine izin verilen giden URL'lerin listesini yapılandırın.
Sistem iletilerini kullanın. Bir yapay zeka sisteminin davranışına yol göstermek ve çıkışları uyarlamak için sistem iletilerini kullanın.
Yapay zeka güvenlik temelini uygulayın. Yapay zeka sistemlerinin güvenliğini yönetmek için Azure AI güvenlik temelini kullanın.
Bulut idare ilkelerini el ile zorunlu kılma
Bazen bir araç sınırlaması veya maliyet, otomatik zorlamayı pratik hale getirir. Zorlamayı otomatikleştirememenize neden olan durumlarda, bulut idare ilkelerini el ile zorunlu kılın. Bulut idaresini el ile zorunlu kılmak için şu önerileri izleyin:
Denetim listelerini kullanın. Ekiplerinizin bulut idare ilkelerini izlemesini kolaylaştırmak için idare denetim listelerini kullanın. Daha fazla bilgi için örnek uyumluluk denetim listelerine bakın.
Düzenli eğitim sağlayın. İdare ilkelerinin farkında olduklarından emin olmak için ilgili tüm ekip üyeleri için sık sık eğitim oturumları gerçekleştirin.
Düzenli incelemeler zamanlayın. İdare ilkelerine uyumluluğu sağlamak için bulut kaynaklarının ve süreçlerinin düzenli gözden geçirilmesi ve denetlenmesi için bir zamanlama uygulayın. Bu incelemeler, oluşturulan ilkelerden sapmaları belirlemek ve düzeltici eylemlerde bulunmak için kritik öneme sahiptir.
El ile izleyin. İdare ilkeleriyle uyumluluk için bulut ortamını izlemek için ayrılmış personel atayın. Kaynak kullanımını izlemeyi, erişim denetimlerini yönetmeyi ve veri koruma önlemlerinin ilkelerle uyumlu olmasını sağlamayı göz önünde bulundurun. Örneğin, bulut maliyetlerini idare etmek için kapsamlı bir maliyet yönetimi yaklaşımı tanımlayın.
İlke zorlamayı gözden geçirme
Uyumluluk uygulama mekanizmalarını düzenli olarak gözden geçirin ve güncelleştirin. Hedef, bulut idare ilkesi zorlamasını geliştirici, mimar, iş yükü, platform ve iş gereksinimleri gibi geçerli gereksinimlerle uyumlu tutmaktır. İlke uygulamasını gözden geçirmek için şu önerileri izleyin:
Paydaşlarla etkileşim kurun. Proje katılımcılarıyla uygulama mekanizmalarının etkinliğini tartışın. Bulut idaresi uygulamasının iş hedeflerine ve uyumluluk gereksinimlerine uygun olduğundan emin olun.
Gereksinimleri izleyin. Yeni veya güncelleştirilmiş gereksinimlerle uyumlu hale getirmek için zorlama mekanizmalarını güncelleştirin veya kaldırın. Uygulama mekanizmalarınızı güncelleştirmenizi gerektiren düzenlemelerdeki ve standartlardaki değişiklikleri izleyin. Örneğin, Azure giriş bölgesi için önerilen ilkeler zaman içinde değişebilir. Bu ilke değişikliklerini algılamanız, en son Azure giriş bölgesi özel ilkelerine güncelleştirmeniz veya gerektiğinde yerleşik ilkelere geçmeniz gerekir.
Örnek bulut idaresi uyumluluk denetim listeleri
Uyumluluk denetim listeleri, ekiplerin kendilerine uygulanan idare ilkelerini anlamasına yardımcı olur. Örnek uyumluluk denetim listeleri, örnek bulut idare ilkelerinin ilke deyimini kullanır ve çapraz başvuru için bulut idare ilkesi kimliğini içerir.
Kategori | Uyumluluk gereksinimi |
---|---|
Mevzuata uyumluluk | ☐ Hassas verileri (RC01) izlemek için Microsoft Purview kullanılmalıdır. ☐ Günlük hassas veri uyumluluk raporları Microsoft Purview'dan (RC02) oluşturulmalıdır. |
Güvenlik | ☐ MFA tüm kullanıcılar (SC01) için etkinleştirilmelidir. ☐ Erişim gözden geçirmeleri kimlik idaresi (SC02) içinde aylık olarak yapılmalıdır. ☐ Tüm uygulama ve altyapı kodunu (SC03) barındırmak için belirtilen GitHub kuruluşunu kullanın. ☐ Genel kaynaklardan kitaplıkları kullanan ekiplerin karantina düzenini (SC04) benimsemesi gerekir. |
Operations | ☐ Üretim iş yüklerinin bölgeler arasında etkin-pasif bir mimariye (OP01) sahip olması gerekir. ☐ Görev açısından kritik tüm iş yüklerinin bölgeler arası etkin-etkin mimari (OP02) uygulaması gerekir. |
Maliyet | ☐ İş yükü ekiplerinin kaynak grubu düzeyinde (CM01) bütçe uyarıları ayarlaması gerekir. ☐ Azure Danışmanı maliyet önerileri gözden geçirilmelidir (CM02). |
Veri | ☐ Aktarımdaki ve bekleyen şifreleme tüm hassas verilere uygulanmalıdır. (DG01) ☐ Tüm hassas veriler (DG02) için veri yaşam döngüsü ilkeleri etkinleştirilmelidir. |
Kaynak yönetimi | ☐ Kaynakları (RM01) dağıtmak için Bicep kullanılmalıdır. ☐ Etiketlerin Azure İlkesi (RM02) kullanılarak tüm bulut kaynaklarına uygulanması gerekir. |
AI | ☐ Yapay zeka içerik filtreleme yapılandırması orta veya daha yüksek (AI01) olarak ayarlanmalıdır. ☐ Müşteriye yönelik yapay zeka sistemlerinin aylık (AI02) kırmızı takımlı olması gerekir. |