Ład, zabezpieczenia i zgodność na platformie Azure

Możesz użyć narzędzi i usług, takich jak Azure Policy i Microsoft Defender dla Chmury, aby ustanowić zasady firmowe i zaplanować strategie zapewniania ładu. Te narzędzia i usługi wymuszają i automatyzują decyzje organizacji dotyczące ładu. Przed rozpoczęciem planowania ładu użyj narzędzia do testów porównawczych ładu, aby zidentyfikować potencjalne luki w podejściu do zapewniania ładu w chmurze w organizacji. Aby uzyskać więcej informacji na temat opracowywania procesów ładu, zobacz Metodologia zarządzania.

Azure Policy

Usługa Azure Policy ułatwia tworzenie, przypisywanie i zarządzanie zasadami. Te zasady wymuszają reguły zasobów, dzięki czemu zasoby te pozostają zgodne ze standardami firmy i umowami dotyczącymi poziomu usług. Usługa Azure Policy skanuje zasoby w celu zidentyfikowania zasobów, które nie są zgodne z zasadami firmy. Można na przykład mieć zasady, które umożliwiają uruchamianie tylko określonego rozmiaru maszyny wirtualnej w danym środowisku. Podczas implementowania tych zasad usługa Azure Policy ocenia istniejące maszyny wirtualne w danym środowisku i wszelkie nowe wdrożone maszyny wirtualne. Ocena zasad generuje zdarzenia zgodności do użycia na potrzeby monitorowania i raportowania.

Użyj typowych zasad, aby:

• Wymuszanie tagowania zasobów i grup zasobów.
• Ograniczanie regionów dla wdrożonych zasobów.
• Ograniczanie użycia kosztownych jednostek SKU dla określonych zasobów.
• Przeprowadź inspekcję użycia ważnych funkcji opcjonalnych, takich jak dyski zarządzane przez platformę Azure.

Akcja

Przypisz wbudowane zasady do grupy zarządzania, subskrypcji lub grupy zasobów.

Stosowanie zasad

Aby zastosować zasady do grupy zasobów:

1. Przejdź do usługi Azure Policy.
2. Wybierz pozycję Przypisz zasady.

Dowiedz się więcej

Aby dowiedzieć się więcej, zobacz:

• Azure Policy
• Cloud Adoption Framework: Definiowanie zasad firmowych
• Portfolio zasad chmury dla suwerenności firmy Microsoft

Microsoft Defender dla Chmury

Microsoft Defender dla Chmury odgrywa ważną rolę w strategii zapewniania ładu. Pomaga to pozostać na bieżąco z zabezpieczeniami, ponieważ:

• Zapewnia ujednolicony widok zabezpieczeń w obciążeniach
• Zbiera, wyszukuje i analizuje dane zabezpieczeń z różnych źródeł, w tym zapory i inne rozwiązania partnerskie
• Udostępnia zalecenia dotyczące zabezpieczeń z możliwością działania, aby rozwiązać problemy przed ich wykorzystaniem
• Stosuje zasady zabezpieczeń w obciążeniach chmury hybrydowej, aby zapewnić zgodność ze standardami zabezpieczeń

Wiele funkcji zabezpieczeń, takich jak zasady zabezpieczeń i rekomendacje, jest dostępnych bezpłatnie. Niektóre bardziej zaawansowane funkcje, takie jak dostęp just in time do maszyny wirtualnej i obsługa obciążeń hybrydowych, są dostępne w warstwie Defender dla Chmury w warstwie Standardowa. Dostęp just in time do maszyn wirtualnych może pomóc w zmniejszeniu obszaru podatnego na ataki sieciowe dzięki kontroli dostępu do portów zarządzania na maszynach wirtualnych platformy Azure.

Napiwek

Defender dla Chmury jest domyślnie włączona w każdej subskrypcji. Zalecamy włączenie zbierania danych z maszyn wirtualnych w celu umożliwienia Defender dla Chmury zainstalowania agenta i rozpoczęcia zbierania danych.

Aby zapoznać się z Defender dla Chmury, przejdź do witryny Azure Portal.

Dowiedz się więcej

Aby uzyskać więcej informacji, zobacz następujące zasoby:

• Microsoft Defender dla Chmury
• Dostęp just in time do maszyny wirtualnej
• Defender dla Chmury warstw cenowych
• Cloud Adoption Framework: dziedzina Punkt odniesienia zabezpieczeń