Wymuszanie zasad ładu w chmurze

  • 10 min

Wymuszanie ładu w chmurze odnosi się do mechanizmów kontroli i procedur, które są uwzględniane w celu dostosowania chmury do zasad ładu w chmurze. Zespół ds. utrzymania ładu w chmurze musi delegować obowiązki wymuszania, aby każdy zespół lub osoba w organizacji mógł wymuszać zasady ładu w chmurze w ramach ich obszaru odpowiedzialności.

Aby skutecznie wymusić zasady ładu w chmurze:

Definiowanie podejścia do wymuszania zasad. Delegowanie obowiązków związanych z ładem, wdrożenie modelu dziedziczenia dla zasad, stosowanie konwencji tagowania i nazewnictwa do zasobów w modelu dziedziczenia oraz implementowanie podejścia opartego na monitorze w celu zapewnienia bezproblemowego przejścia do wymuszania.

Automatyzowanie ładu w chmurze. Użyj narzędzi do zapewniania ładu w chmurze, aby zautomatyzować zgodność z małym zestawem zasad, a następnie dodać więcej zasad. Dołączanie narzędzi infrastruktury jako kodu (IaC) lub niestandardowych skryptów lub aplikacji. Automatyzowanie obszarów ładu, takich jak:

  • Sztuczna inteligencja
  • Koszt
  • Data
  • Operacje
  • Zgodność z przepisami
  • Zarządzanie zasobami
  • Zabezpieczenia

Przegląd i aktualizowanie mechanizmów wymuszania. Wymuszanie zasad ładu w chmurze jest zgodne z bieżącymi potrzebami, w tym deweloperem, architektem, obciążeniem, platformą i wymaganiami biznesowymi. Śledzenie zmian w przepisach i standardach w celu zapewnienia zgodności.

Dopasowanie do zasad ładu w chmurze

Chmura zapewnia zabezpieczenia, które pomagają zmniejszyć nakład pracy człowieka z powodu cyklicznych procesów. Możesz użyć tych barier zabezpieczających, aby dopasować je do zasad, które zostały dołączone.

W poniższej tabeli przedstawiono wyzwalacze i akcje, które mogą sprostać zagrożeniom, które dotyczą CIO firmy Tailwind Traders. Akcje są zgodne z ich organizacją z nowymi zasadami.

Ryzyko Przykładowy wyzwalacz Przykładowe działanie
Nadmierne wydatki w chmurze Miesięczne wydatki na chmurę są o 20% wyższe niż oczekiwano. Powiadom lidera jednostki rozliczeniowej, aby mogli przejrzeć użycie zasobów.
Nadmierne wydatki w chmurze Wdrożone zasoby nie używają przydzielonego procesora CPU ani pamięci. Powiadomienie kierownika jednostki rozliczeniowej i automatyczne dopasowanie rozmiaru do rzeczywistego użycia, o ile jest to możliwe.
Nie spełnia wymagań dotyczących zabezpieczeń lub zgodności organizacji Odchylenia od zdefiniowanych wymagań dotyczących zabezpieczeń lub zgodności. Powiadomienie zespołu ds. zabezpieczeń IT i automatyczne korygowanie, o ile jest możliwe.
Konfiguracje zasobów tworzą problemy z zarządzaniem operacjami lub nadzoru Użycie procesora CPU dla obciążenia jest wyższe niż 90%. Powiadom zespół operacyjny IT i przeprowadź skalowanie w poziomie większej ilości zasobów w celu obsługi obciążenia.
Konfiguracje zasobów tworzą problemy z zarządzaniem operacjami lub nadzoru Zasoby, które nie spełniają wymagań dotyczących poprawek, ciągłości działania lub odzyskiwania po awarii, wyzwalają ostrzeżenie dotyczące zgodności operacyjnej. Powiadom zespół ds. zabezpieczeń IT i automatycznie rozwiąż odchylenie, jeśli to możliwe.
Nieautoryzowany dostęp, który narusza systemy lub dane Wzorce ruchu odbiegają od zatwierdzonych topologii sieci. Powiadom zespół ds. zabezpieczeń IT i automatycznie zamknij wektory ataków, jeśli to możliwe.
Nieautoryzowany dostęp, który narusza systemy lub dane Zasoby skonfigurowane bez odpowiedniego przypisania ról lub podniesionych przywilejów. Powiadom zespół ds. zabezpieczeń IT i automatycznie rozwiąż odchylenie, jeśli to możliwe.
Niedojrzałe procesy lub brak umiejętności zespołu tworzą niespójny nadzór Zidentyfikowane zasoby nie są uwzględniane w wymaganych procesach ładu. Powiadom zespół ds. ładu IT i automatycznie rozwiąż odchylenie, jeśli to możliwe.

Za pomocą narzędzi do zapewniania ładu platformy Azure można zautomatyzować powiadomienia dla każdego z tych wyzwalaczy. Inni dostawcy usług w chmurze mogą wymagać bardziej ręcznego podejścia, ale zdefiniowane zasady nadal mają zastosowanie. Nie należy definiować zasad blokujących korzystanie z określonego dostawcy, aby nie trzeba było powtarzać tego procesu w przyszłości.

Po ustanowieniu instrukcji zasad w chmurze i opracowaniu przewodnika projektowego należy utworzyć strategię w celu zapewnienia zgodności wdrożenia chmury z wymaganiami dotyczącymi zasad. Ta strategia musi obejmować ciągły proces przeglądu i komunikacji zespołu ds. utrzymania ładu w chmurze oraz ustanowić kryteria w przypadku, gdy naruszenia zasad wymagają działania. Ta strategia musi również definiować wymagania dotyczące zautomatyzowanych systemów monitorowania i zgodności, które wykrywają naruszenia i wyzwalają akcje korygowania.

Zagadnienia dotyczące projektowania ładu

Aby sprostać długoterminowym potrzebom w zakresie ładu, należy zastosować hierarchiczny model ładu, w którym określone obciążenia dziedziczą zasady ładu z platformy. Ten model pomaga zapewnić, że standardy organizacyjne mają zastosowanie do odpowiednich środowisk, takich jak wymagania dotyczące zakupów usług w chmurze.

Diagram przedstawiający hierarchię grup zarządzania.

  • Grupy zarządzania: takie jak jednostka biznesowa, lokalizacja geograficzna lub środowisko

  • Subskrypcje: dla każdej kategorii aplikacji, takich jak środowiska przedprodukcyjne, programistyczne i produkcyjne

  • Grupy zasobów: dla każdej aplikacji

Definiowanie strategii tagowania i nazewnictwa

Zdefiniuj strategię tagowania i nazewnictwa, aby zapewnić strukturę kategoryzacji zasobów, zarządzania kosztami, zabezpieczeń i zgodności w środowisku chmury. Tagowanie zasobów w celu skonfigurowania środowiska w celu korzystania z narzędzi automatycznych. Rozważ następujące sugerowane tagi dla obciążeń:

  • Obciążenie lub aplikacja
  • Czułość danych
  • Krytyczność misji
  • Właściciel
  • Dział, taki jak centrum kosztów
  • Środowisko

Aby uzyskać więcej informacji i przykładów, zobacz Definiowanie strategii tagowania.

Ćwiczenie: przypisywanie zasad tagowania

Zasady platformy Azure można stosować do wszystkich subskrypcji w grupie zarządzania. Aby zrozumieć rolę zasad w podstawach ładu, postępuj zgodnie z samouczkiem, aby przypisać zasady do jednej z grup zarządzania.

Zrzut ekranu przedstawiający przycisk przypisywania zasad w witrynie Azure Portal.

W kroku 4 samouczka wybierz grupę zarządzania, aby upewnić się, że zasady są stosowane do wszystkich subskrypcji w grupie zarządzania.

W krokach 6 i 7 samouczka wybierz jedną z wbudowanych zasad związanych z tagowaniem. W szczególności zasady, które wymagają tagu na wszystkich zasobach , ułatwiają ustanowienie podstaw ładu.

Ważne

W kroku 9 ustaw ustawienie Wymuszanie zasad na Wyłączone. Po wyłączeniu tego ustawienia możesz przeprowadzać inspekcję środowiska bez wprowadzania żadnych zmian i nie blokować przyszłych wdrożeń.

Przykład firmy Tailwind Traders

Aby wymusić nowe zasady "Unikaj nadmiernego nakładu pracy", firma Tailwind Traders może:

  • Zdefiniuj jasne limity wydatków dla każdej osoby lub zespołu w organizacji.
  • Utwórz budżet w usłudze Microsoft Cost Management, aby śledzić wydatki.
  • Utwórz alerty dotyczące nadmiernego nakładu pracy.
  • Odłóż dodatkowe fundusze na nieoczekiwane koszty.
  • Optymalizowanie użycia zasobów.