Monitorowanie ładu w chmurze
W tym artykule pokazano, jak monitorować ład w chmurze. Po wymusieniu ładu w chmurze należy zmierzyć, jak dopasowane (zgodne) środowisko chmury jest zgodne z zasadami ładu w chmurze. Zacznij od utworzenia początkowego pomiaru zgodności w celu zidentyfikowania obszarów wymagających poprawy w celu dostosowania konfiguracji chmury do zasad ładu. Śledzenie zgodności w miarę upływu czasu w celu sprawdzenia, gdzie ład w chmurze jest skuteczny i nieskuteczny. Celem jest monitorowanie ładu i zmniejszanie problemów z niezgodnością do zera.
Konfigurowanie monitorowania ładu w chmurze
Zaimplementuj rozwiązania do monitorowania, aby śledzić zgodność z zasadami ładu w chmurze. Celem jest zapewnienie widoczności zespołów odpowiedzialnych za wymuszanie zgodności, dzięki czemu można szybko skorygować niezgodność. Aby skonfigurować monitorowanie ładu, wykonaj następujące zalecenia:
Korzystanie z narzędzi do monitorowania. Wybierz narzędzia do monitorowania zgodności, które oferują funkcje monitorowania w czasie rzeczywistym. Upewnij się, że mogą monitorować zgodność z określonymi zasadami ładu. Zbierz metryki i dzienniki zgodnie z wymaganiami monitorowania ładu. Przejrzyj zalecenia dotyczące widoczności i monitorowania w obszarze projektowania zarządzania strefami docelowymi platformy Azure.
Ręczne monitorowanie w razie potrzeby. Przejrzyj zgodność ręcznie, gdy automatyczne mechanizmy monitorowania nie są dostępne.
Rozwiązanie do monitorowania dokumentów. Śledź sposób monitorowania poszczególnych zasad ładu w chmurze, aby wiedzieć, gdzie zbierać dane zgodności. W zasadach ładu w chmurze wyświetl listę narzędzi do monitorowania, takich jak Azure Policy lub Microsoft Purview. Jeśli istnieje podejście ręczne, wyświetl listę częstotliwości inspekcji.
Scentralizowane monitorowanie ładu. Użyj lub utwórz rozwiązanie, które umożliwia wyświetlanie stanu zgodności ładu w chmurze w jednym miejscu. Na przykład skoroszyt ładu platformy Azure centralizuje wiele usług monitorowania ładu platformy Azure.
Ustanów punkt odniesienia zgodności. Oceń, jak zgodne jest środowisko chmury z zasadami ładu w chmurze. Utwórz punkt odniesienia. Śledzenie postępu względem punktu odniesienia w czasie.
Zapewnianie dostępu do monitorowania ładu. Skonfiguruj odpowiedni poziom dostępu do wyników monitorowania ładu, aby zespoły odpowiedzialne za nadzór mogły ocenić skuteczność mechanizmów kontroli wymuszania.
Skuteczność monitorowania inspekcji. Ręcznie przejrzyj zgodność, aby zweryfikować zgodność. Na przykład upewnij się, że tagi otrzymują odpowiednie wartości, a nie niepożądane wartości, takie jak NA.
Ułatwienia na platformie Azure: Konfigurowanie monitorowania ładu w chmurze
Poniższe wskazówki ułatwiają konfigurowanie monitorowania ładu w chmurze na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze. Rozważ agregowanie tych sygnałów w skoroszycie ładu platformy Azure. Aby skonfigurować monitorowanie ładu w chmurze, potrzebna jest tożsamość platformy Azure, która ma uprawnienia do zbierania danych monitorowania z subskrypcji.
Konfigurowanie monitorowania ładu zgodności z przepisami
Korzystanie z pulpitów nawigacyjnych zgodności. Pobieranie danych zgodności zasad dotyczących przypisanych zasad.
Określanie zgodności. Użyj danych zgodności, aby określić przyczyny niezgodności.
Konfigurowanie monitorowania ładu zabezpieczeń
Użyj monitorowania ładu zabezpieczeń. Przejrzyj zalecenia dotyczące zabezpieczeń i monitoruj nadzór nad zabezpieczeniami w czasie przy użyciu wskaźnika bezpieczeństwa. Ta funkcja udostępnia pulpit nawigacyjny do monitorowania zgodności z przepisami pod kątem typowych struktur zabezpieczeń.
Konfigurowanie monitorowania ładu tożsamości. Konfigurowanie monitorowania tożsamości w celu zbierania dzienników inspekcji, logowania i aprowizacji. Przejrzyj również wskaźnik bezpieczeństwa tożsamości i użyj pulpitu nawigacyjnego zarządzania tożsamościami, aby uzyskać pojedynczy widok tożsamości w dzierżawie.
Konfigurowanie monitorowania ładu w usłudze Cost Management
Analizowanie kosztów chmury. Przeprowadź analizę kosztów na platformie Azure, aby uzyskać pełny wgląd w koszty chmury.
Tworzenie budżetów. Utwórz budżet zgodny z potrzebną inwestycją w chmurę.
Zbieranie danych kosztów. Skorzystaj z zaleceń dotyczących optymalizacji kosztów i skoroszytu optymalizacji kosztów, aby kierować działaniami dotyczącymi zarządzania kosztami, takimi jak wykrywanie bezczynnych zasobów. Zidentyfikuj anomalie i nieoczekiwane zmiany kosztów.
Konfigurowanie monitorowania ładu operacji
Monitorowanie zasad dotyczących operacji w chmurze. Użyj usługi Azure Policy, aby śledzić zgodność z zasadami ładu, które mają zastosowanie do operacji.
Monitorowanie dzienników i metryk. Aby śledzić dostępność i wydajność, przeanalizuj dzienniki i metryki w różnych środowiskach chmury.
Monitorowanie optymalizacji zasobów. Usługa Azure Advisor umożliwia monitorowanie zasobów platformy Azure pod kątem niezawodności, zabezpieczeń, doskonałości operacyjnej, wydajności i kosztów. Ustaw alerty dla wszystkich nowych zaleceń usługi Advisor.
Monitorowanie kondycji zasobów. Monitoruj kondycję usług platformy Azure i monitoruj zdarzenia wpływające na usługę, planowaną konserwację i inne zmiany, które mogą mieć wpływ na dostępność.
Konfigurowanie monitorowania ładu danych
Monitorowanie ładu danych. Monitorowanie zgodności danych, zarządzania i użycia.
Korzystanie z pulpitów nawigacyjnych. Używanie pulpitów nawigacyjnych do monitorowania zgodności z dowolnymi zasadami płaszczyzny danych.
Konfigurowanie monitorowania ładu zarządzania zasobami
- Monitorowanie zasad zarządzania zasobami. Monitorowanie zgodności z zasadami ładu w chmurze, które mają zastosowanie do wdrożeń zasobów, takich jak zasady wymuszania tagów.
Konfigurowanie monitorowania ładu w zakresie sztucznej inteligencji
Monitorowanie danych wyjściowych systemu sztucznej inteligencji. Platforma Azure służy do monitorowania nadużyć i filtrowania zawartości systemów sztucznej inteligencji.
Systemy sztucznej inteligencji zespołu czerwonego zespołu. Regularnie czerwone modele językowe zespołu w celu znalezienia szkodliwych danych wyjściowych. Skorzystaj zarówno z testów ręcznych, jak i zautomatyzowanych narzędzi, aby przejrzeć plan bazowy ryzyka.
Konfigurowanie alertów dotyczących ładu w chmurze
Skonfiguruj alerty na podstawie określonych metryk zgodności lub zdarzeń, które wskazują odchylenie od zasad ładu. Aby skonfigurować alerty ładu w chmurze, wykonaj następujące zalecenia:
Użyj natywnych dla chmury mechanizmów zgłaszania alertów. Preferuj narzędzia natywne dla chmury, które zapewniają monitorowanie i alerty w czasie rzeczywistym dotyczące problemów ze zgodnością.
Zdefiniuj niezgodność. Zdefiniuj jasne progi i punkty odniesienia dla niezgodności. Ustaw alerty, gdy dane przekraczają te progi lub gdy wystąpią nieoczekiwane zmiany, które mogą wskazywać na niezgodność.
Odpowiednio rozsyłaj alerty. Wysyłaj alerty do odpowiedniego zespołu lub osoby odpowiedzialnej za wymuszanie zgodności z zasadami ładu w chmurze.
Uwzględnij informacje o niezgodności w alertach. Skonfiguruj alerty, aby zawierały szczegółowe informacje o zdarzeniu niezgodności. Najlepiej uwzględnić zasady naruszone, objęte zasobami i sugerowane korygowanie.
Ułatwienia na platformie Azure: Konfigurowanie alertów ładu w chmurze
Poniższe wskazówki ułatwiają rozpoczęcie konfigurowania alertów ładu w chmurze na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze.
Alerty dotyczące ładu zgodności z przepisami. Użyj dzienników aktywności platformy Azure, aby wygenerować alerty dotyczące niezgodności na platformie Azure.
Alerty dotyczące ładu zabezpieczeń. Konfigurowanie alertów zabezpieczeń i alertów niezgodności.
Alerty dotyczące ładu kosztów. Skonfiguruj alerty, aby powiadamiać zespoły o potencjalnych przekroczeniach kosztów i anomaliach wydatków. Konfigurowanie alertów dotyczących kosztów i alertów dotyczących anomalii kosztów. Ustaw alerty użycia rezerwacji, aby zachować użycie rezerwacji i planów oszczędnościowych przy lub blisko pełnego użycia.
Alerty ładu operacji. Konfigurowanie alertów dotyczących określonych dzienników i metryk. Ustaw alerty dla nowych zaleceń dostosowanych do niezawodności i wydajności. Skonfiguruj alerty dotyczące kondycji usługi, aby otrzymywać powiadomienia o bieżących i nadchodzących problemach z kondycją usługi. Skonfiguruj alerty dotyczące kondycji zasobów, aby otrzymywać powiadomienia o bieżącym i historycznym stanie kondycji zasobów platformy Azure.
Alerty dotyczące ładu danych. Skonfiguruj alerty ładu danych w celu zgłaszania naruszeń ładu danych.
Alerty ładu zarządzania zasobami. Skonfiguruj alerty dotyczące wdrażania zasobu niezgodnego. Na przykład użyj ostrzeżeń kompilacji w potoku wdrażania lub monitoruj stany niezgodności.
Alerty dotyczące ładu w zakresie sztucznej inteligencji. Skonfiguruj alerty, gdy są szkodliwe dane wejściowe i wyjściowe w systemach sztucznej inteligencji. Na przykład monitoruj wiadomości e-mail z usługi Azure OpenAI, które powiadamiają o obraźliwym zachowaniu.
Opracowywanie planu korygowania
Opracuj docelowy plan działania w celu rozwiązania wszelkich zdarzeń niezgodności. Po wykryciu niezgodności wykonaj plan korygowania w celu skorygowania odchyleń i zminimalizowania ryzyka i wpływu. Dodaj szczegóły korygowania do zasad ładu w chmurze, aby ułatwić dostęp. Postępuj zgodnie z następującymi zaleceniami:
Omówienie osi czasu korygowania. Negocjowanie osi czasu korygowania w zależności od priorytetu ryzyka. Zespół odpowiedzialny za zgodność musi skorygować zgodność w odpowiednim czasie.
Szybkie korygowanie naruszeń wysokiego ryzyka. W przypadku alertów o niezgodności, które są wysokim ryzykiem, takich jak uwidoczniony punkt końcowy danych, należy zaplanować eskalację i rozwiązać te problemy z niezgodnością. Zaktualizuj mechanizm wymuszania zasad, aby uniknąć powtarzania tego naruszenia wysokiego ryzyka. Platforma Azure umożliwia reagowanie na zmiany stanu zgodności, korygowanie niezgodnych zasobów za pomocą zasad i korygowanie zaleceń dotyczących zabezpieczeń.
Obserwowanie naruszeń niskiego ryzyka. Masz pierwsze stanowisko dotyczące zasad o niskim ryzyku inspekcji, dzięki czemu możesz zapoznać się z zespołem, który naruszył zasady ładu w chmurze, takie jak wdrażanie usługi na liście zablokowanych. Może jest dostępna nowa funkcja, lepsza warstwa usług (SKU) lub lepsza cena w określonym regionie. Zespół ds. ładu w chmurze powinien omawiać potrzeby zespołu oraz dostosowywać zasady i mechanizmy wymuszania zgodnie z konwersacją.
Automatyzowanie korygowania tam, gdzie to możliwe. Skonfiguruj zautomatyzowane przepływy pracy, które nie tylko powiadamiają odpowiednie zespoły, ale także inicjują wstępnie zdefiniowane procesy korygowania. To rozwiązanie jest przeznaczone przede wszystkim dla znanych rozwiązań o wysokim ryzyku, których nie można zapobiec automatyzacji.
Aktualizowanie zasad ładu i mechanizmów wymuszania. Na podstawie szczegółowych informacji uzyskanych ze zdarzenia niezgodności zaktualizuj zasady ładu i mechanizmy wymuszania. Aktualizacje mogą obejmować zaostrzenie definicji zasad, zwiększenie możliwości monitorowania lub uściślinie progów alertów w celu poprawy czasów wykrywania i reagowania.
Regularnie przeprowadzaj inspekcję ładu w chmurze
Nawet w przypadku zautomatyzowanego monitorowania przeprowadzaj okresowe ręczne przeglądy i inspekcje w celu weryfikowania procesów monitorowania zgodności i zapewnienia prawidłowego działania narzędzi automatyzacji. Aby przeprowadzić inspekcję ładu w chmurze, wykonaj następujące zalecenia:
Przeprowadzanie inspekcji wewnętrznych. Przeprowadzanie regularnych inspekcji wewnętrznych w celu oceny zgodności z zasadami ładu.
Przeprowadzanie inspekcji zewnętrznych. Skontaktuj się z zewnętrznymi audytorami zgodnie z wymaganiami prawnymi i prawnymi. Upewnij się, że skontaktujesz się z ekspertami prawnymi, aby potwierdzić, że zasady ładu są zgodne z obowiązującymi przepisami i przepisami w Twoim regionie.
Następne kroki
Ład w chmurze to ciągły proces, który wymaga ciągłej uwagi. Konsekwentnie powtarzaj proces zapewniania ładu podczas oceniania zagrożeń, dokumentowania zasad ładu, wymuszania tych zasad i monitorowania skuteczności wymuszania wymuszania. Zespół ds. utrzymania ładu w chmurze powinien również pracować nad procesem zapewniania ładu w chmurze przy każdym zidentyfikowaniu nowych zagrożeń związanych z chmurą.