你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
定义策略是不够的。 组织必须强制实施治理策略,以确保合规性。 云治理强制实施意味着实现控制、流程和工具,以便云使用情况遵守治理策略。 云治理团队设置策略并监督强制实施,但强制实施是共同的责任。 云平台和工作负荷团队在其范围内进行日常执行。 通常建议在可行的情况下自动执行,使用云原生工具强制实施或检查合规性。 仅当无法实现自动化时,才使用手动进程。
1.定义强制实施云治理策略的方法
首先,创建一个总体策略,了解如何在整个组织中强制实施策略。 主要注意事项包括:
委托治理责任。 授权个人和团队在其职责范围内实施治理。 例如,平台团队应应用工作负载可以继承的策略,工作负载团队应对其工作负载实施治理。 云治理团队不应负责应用强制控制。
采用继承模型。 应用分层治理模型,其中特定工作负荷从平台继承治理策略。 此模型有助于确保将组织标准应用于正确的环境,例如将购买要求应用于云服务。 遵循 Azure 登陆区域及其资源组织设计区域的设计原则,建立适当的继承模型。
讨论强制实施细节。 讨论应用治理策略的位置和方式。 目标是找到经济高效的方法来强制实施提高工作效率的合规性。 如果没有讨论,你可能会阻止特定团队的进度。 在有效管理风险的同时,必须找到支持业务目标的平衡。
采取监视器优先的策略。 除非先理解这些操作,否则不要阻止它们。 若要降低优先级风险,请首先监视云治理策略的符合性。 了解风险后,可以转向更严格的强制控制。 监视优先方法使你有机会讨论治理需求,并重新调整云治理策略,并对这些需求实施控制。
首选阻止列表。 首选阻止列表而不是允许列表。 阻止名单阻止部署特定服务。 最好有一个不该使用的服务的小清单,而不是一个可以使用的服务的长清单。 为了避免冗长的阻止列表,默认情况下不要向阻止列表添加新服务。
定义标记和命名策略。 建立用于命名和标记云资源的系统准则。 它提供了一个结构化框架,用于跨云环境进行资源分类、成本管理、安全性和合规性。 允许团队(如开发团队)为其独特的需求添加其他标记。
2. 自动强制实施云治理策略
使用 Azure 的管理和治理服务尽可能自动执行策略。 自动化强制可提高一致性,并减少手动工作量或错误。 实现自动化治理的步骤:
从一组小型自动化策略开始。 自动实现小型基本云治理策略集的合规性。 实施和测试自动化以避免运营中断。 准备就绪时扩展自动执行控制措施列表。
使用云治理工具。 使用云环境中提供的工具强制实施合规性。 Azure 的主要治理工具是 Azure Policy。 使用 Microsoft Defender for Cloud (安全性)、Microsoft Purview (数据)、Microsoft Entra ID Governance (标识)、Azure Monitor (操作)、管理组 (资源管理)、基础结构即代码(IaC) (资源管理),以及每个 Azure 服务中的配置,来补充 Azure Policy。
在正确的范围内应用治理策略。 使用在更高级别设置策略的继承系统(例如管理组)。 较高级别的策略会自动应用于较低级别,例如订阅和资源组。 即使云环境中发生更改,策略也会应用,从而降低管理开销。
使用策略强制执行点。 在自动应用治理规则的云环境中设置策略强制点。 请考虑部署前的检查、运行时监控和自动修正措施。
使用策略作为代码。 使用 IaC 工具 通过代码强制实施治理策略。 策略即代码可增强治理控件的自动化,并确保在不同环境中保持一致性。 请考虑使用 企业 Azure 策略即代码(EPAC)来管理与推荐的 Azure 登陆区策略一致的策略。
根据需要开发自定义解决方案。 对于自定义治理作,请考虑开发自定义脚本或应用程序。 使用 Azure 服务 API 直接收集数据或管理资源。
Azure 便利化:自动强制实施云治理策略
以下指南可帮助你找到适当的工具,以便自动遵守 Azure 中的云治理策略。 它为主要类别的云治理提供了一个示例起点。
自动化法规合规治理
应用法规符合性策略。 使用符合符合性标准的 内置法规符合性策略 ,例如 HITRUST/HIPAA、ISO 27001、CMMC、FedRamp 和 PCI DSSv4。
自动执行自定义限制。创建自定义策略 以定义自己的规则以使用 Azure。
自动执行安全治理
应用安全策略。 使用 内置安全策略 和 自动安全合规 以符合常见的安全标准。 内置了针对 NIST 800 SP 系列标准、Internet 安全中心基准和 Microsoft 云安全基准的策略。 使用内置策略自动执行特定 Azure 服务 的安全配置 。 创建自定义策略 以定义自己的规则以使用 Azure。
应用身份治理。 启用 Microsoft Entra 多重身份验证(MFA) 和 自助密码重置。 消除弱密码。 自动执行 标识治理的其他方面,例如访问请求工作流、访问评审和标识生命周期管理。 启用实时访问 以限制对重要资源的访问。 使用 条件访问 策略 授予或阻止 用户 和设备标识 对云服务的访问权限。
应用访问控制。 使用 Azure 基于角色的访问控制 (RBAC)和 基于属性的访问控制 (ABAC)来管理对特定资源的访问。 授予和拒绝对用户和用户组的权限。 在适当的 范围 (管理组、订阅、资源组或资源)应用权限,以仅提供所需的权限并限制管理开销。
自动化成本治理
自动执行部署限制。禁止某些云资源 ,以防止使用成本密集型资源。
自动执行自定义限制。创建自定义策略 以定义自己的规则以使用 Azure。
自动执行成本分配。 强制实施标记要求,跨环境(开发、测试、生产)、部门或项目 对成本进行分组和分配 。 使用标记识别和跟踪属于成本优化工作的一部分的资源。
自动化运营治理
自动实现冗余。 使用内置 Azure 策略需要指定级别的基础结构冗余,例如区域冗余和异地冗余实例。
应用备份策略。 使用 备份策略 控制备份频率、保留期和存储位置。 使备份策略与数据管理、法规合规性要求、恢复时间目标(RTO)和恢复点目标(RPO)保持一致。 使用单个 Azure 服务(如 Azure SQL 数据库)中的备份设置来配置所需的设置。
满足目标服务级别目标。 限制不满足目标服务级别目标的某些服务和服务层级(SKU)的部署。 例如,在 Azure Policy 中使用
Not allowed resource types策略定义。
自动执行数据管理
自动执行数据管理。 自动执行 数据管理 任务,例如编录、映射、安全共享和应用策略。
自动执行数据生命周期管理。 为存储实施存储策略和生命周期管理,以确保数据高效且合规。
数据安全自动化。 查看并强制实施 数据保护策略,例如数据隔离、加密和冗余。
自动执行资源管理治理
创建资源管理层次结构。 使用 管理组 来组织订阅,以便你能够有效地管理策略、访问和支出。 遵循 Azure 登陆区域 资源组织 最佳做法。
强制实施标记策略。 确保所有 Azure 资源都一致地标记,以提高可管理性、成本跟踪和合规性。 定义标记策略 并 管理标记治理。
限制可以部署的资源。禁止资源类型 限制添加不必要的风险的服务部署。
将部署限制为特定区域。 控制部署资源以符合法规要求、管理成本并减少延迟的位置。 例如,在 Azure Policy 中使用
Allowed locations策略定义。 此外,在部署管道中 强制实施区域限制 。使用基础设施即代码(IaC)。 使用 Bicep、Terraform 或 Azure 资源管理器模板(ARM 模板)自动执行基础结构部署。 将 IaC 配置存储在源代码管理系统(GitHub 或 Azure Repos)中,以跟踪更改和协作。 使用 Azure 登陆区域加速器 来管理平台和应用程序资源的部署,并避免一段时间内的配置偏移。
治理混合和多云环境。治理混合和多云资源。 在管理和策略强制实施方面保持一致性。
自动化的人工智能治理
使用检索增强生成(RAG)模式。 RAG 添加了一个信息检索系统,来控制语言模型用于生成响应的基础数据。 例如,可以在您自己的数据特性上使用 Azure OpenAI 服务,或使用Azure AI 搜索设置 RAG,将生成式 AI 限定于您的内容。
使用 AI 开发工具。 使用 AI 工具(如 Microsoft Agent Framework)在开发使用 AI 的应用程序时促进和标准化 AI 业务流程。
管理输出生成。 帮助 防止滥用和有害内容生成。 使用 AI 内容筛选 和 AI 滥用监视。
配置数据丢失防护。 为 Azure AI 服务配置数据丢失防护。 配置允许其 AI 服务资源访问的出站 URL 列表。
使用系统消息。 使用 系统消息 来指导 AI 系统的行为并定制输出。
应用 AI 安全基线。 使用 Azure AI 安全基线 来管理 AI 系统的安全性。
3. 手动强制实施云治理策略
并非一切可以完美地自动完成。 有时工具限制或成本使自动强制实施变得不实际。 在某些情况下,尤其是在最初或非常自定义的流程中,需要手动治理。 此外,在自动化之前,较小的组织可能从手动治理开始。 关键的手动强制做法包括:
使用清单。 使用治理清单使团队能够轻松遵循云治理策略。 有关详细信息,请参阅 示例符合性清单。
提供常规培训。 为所有相关团队成员进行频繁的培训课程,以确保他们了解治理策略。
安排定期评审。 实施定期评审和审核云资源和流程的计划,以确保符合治理策略。 这些评审对于识别与既定策略的偏差并采取纠正措施至关重要。
手动监视。 分配专用人员来监视云环境,以符合治理策略。 考虑跟踪资源的使用、管理访问控制并确保数据保护措施已到位,以便与策略保持一致。 例如,定义管理云成本 的综合成本管理方法 。
4. 审查策略执行情况
定期审查和更新合规性实施机制。 目标是使云治理策略强制实施符合当前需求,包括开发人员、架构师、工作负载、平台和业务需求。 若要审核策略的执行情况,请遵循以下建议:
与利益干系人互动。 与利益干系人讨论执法机制的有效性。 确保云治理强制实施符合业务目标和合规性要求。
监视要求。 更新或删除强制机制,以符合新的或更新的要求。 跟踪需要更新实施机制的法规和标准的更改。 例如,Azure 登陆区域建议的策略可能会随时间而变化。 应 检测 这些策略更改、 更新 到最新的 Azure 登陆区域自定义策略,或根据需要 迁移到 内置策略。
云治理合规性清单示例
合规性清单可帮助团队了解适用于它们的治理策略。 示例合规性清单使用 示例云治理策略 中的策略语句,并包含用于交叉引用的云治理策略 ID。
| 类别 | 符合性要求 |
|---|---|
| 法规符合性 | ☐ Microsoft Purview 必须用于监视敏感数据(RC01)。 ☐ 必须从 Microsoft Purview (RC02)生成每日敏感数据符合性报告。 |
| 安全性 | ☐ 必须为所有用户( SC01)启用 MFA。 ☐ 访问评审必须在 ID 治理 (SC02)中每月进行。 ☐ 使用指定的 GitHub 组织托管所有应用程序和基础结构代码(SC03)。 ☐ 使用来自公共源的库的团队必须采用隔离模式(SC04)。 |
| 操作 | ☐ 生产工作负荷应跨区域 (OP01)具有主动-被动体系结构。 ☐ 所有任务关键型工作负载都必须实现跨区域主动-主动体系结构 (OP02)。 |
| 成本 | ☐ 工作负荷团队必须在资源组级别设置预算警报(CM01)。 ☐ 必须查看 Azure Advisor 的成本建议(CM02)。 |
| 数据 | ☐ 传输中的加密和静态加密必须应用于所有敏感数据。
(DG01) ☐ 必须为所有敏感数据 (DG02)启用数据生命周期策略。 |
| 资源管理 | ☐ 必须将 Bicep 用于部署资源 (RM01)。 ☐ 必须使用 Azure Policy (RM02)对所有云资源强制实施标记。 |
| AI | ☐ AI 内容筛选配置必须设置为中等或更高版本(AI01)。 ☐ 必须对面向客户的 AI 系统执行每月红队测试 (AI02)。 |