Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tým teď pomocí přehledů z posouzení rizik formuluje zásady pro zvládnutí těchto rizik. Pro každé významné riziko nebo skupinu rizik by měla existovat jedna nebo více odpovídajících zásad správného řízení. Při dokumentaci zásad správného řízení v cloudu zvažte následující osvědčené postupy:
1. Vytvoření standardního formátu a jazyka zásad
Vytvořte konzistentní šablonu nebo formát pro všechny zásady. Každý dokument zásad (nebo oddíl) by měl obsahovat klíčové prvky, jako je ID, prohlášení, rozsah. Používejte jasný, jednoznačný jazyk. Zásady mají být autorativními referencemi, takže by měly být pro zainteresované strany jasně pochopitelné a bez možnosti nesprávné interpretace. Například se rozhodněte o standardním vyjádření, jako je "musí" nebo "nesmí" pro požadavky, a vyhněte se vágním termínům. Standardizovaný formát, například zásady s ID, kategorií, účelem, usnadňují navigaci a údržbu zásad.
2. Definování zásad správného řízení v cloudu
Vytvořte zásady správného řízení cloudu, které popisují, jak používat a spravovat cloud ke zmírnění rizik. Minimalizujte potřebu častých aktualizací zásad. Pokud chcete definovat zásady správného řízení v cloudu, postupujte podle těchto doporučení:
Použijte ID zásady. Kategorie zásad a číslo použijte k jedinečné identifikaci jednotlivých zásad, například SC01 pro první zásady zásad správného řízení zabezpečení. Postupně navyšujte identifikátor při přidávání nových rizik. Pokud odeberete rizika, můžete nechat mezery v posloupnosti nebo použít nejnižší dostupné číslo.
Zahrňte prohlášení o zásadách. Vytvořte konkrétní prohlášení o zásadách, které řeší zjištěná rizika. Použijte definitivní jazyk, jako je musí, by měl, nesmí a by neměl. Jako výchozí bod použijte kontrolní mechanismy vynucení ze seznamu rizik. Zaměřte se na výsledky a ne na kroky konfigurace. Pojmenujte nástroj potřebný k vynucení, abyste věděli, kde monitorovat dodržování předpisů.
Uveďte ID rizika. Uveďte riziko v politice. Přidružte všechny zásady zásad správného řízení cloudu k riziku.
Zahrňte kategorii zásad. Do kategorizace zásad zahrňte kategorie zásad, jako je zabezpečení, dodržování předpisů nebo správa nákladů. Kategorie pomáhají se řazením, filtrováním a hledáním zásad správného řízení v cloudu.
Zahrňte účel zásad. Uveďte účel každé zásady. Použijte riziko nebo požadavek na dodržování právních předpisů, které zásady splňují jako výchozí bod.
Definujte rozsah zásad. Definujte, na co a na koho se tato zásada vztahuje, například na všechny cloudové služby, oblasti, prostředí a úlohy. Zadejte všechny výjimky, které zajistí, že neexistuje nejednoznačnost. Používejte standardizovaný jazyk, abyste mohli snadno řadit, filtrovat a vyhledávat zásady.
Zahrňte strategie oprav politiky. Definujte požadovanou odpověď na porušení zásad správného řízení v cloudu. Přizpůsobte reakce na závažnost rizika, například plánování diskuzí o neprodukčních porušeních a okamžité nápravě pro porušení výroby.
Další informace najdete v příkladu zásad správného řízení v cloudu.
3. Distribuce zásad správného řízení v cloudu
Udělte přístup všem, kteří potřebují dodržovat zásady správného řízení v cloudu. Hledejte způsoby, jak usnadnit dodržování zásad správného řízení v cloudu pro lidi ve vaší organizaci. Při distribuci zásad správného řízení v cloudu postupujte podle těchto doporučení:
Použijte centralizované úložiště zásad. Pro veškerou dokumentaci k zásadám správného řízení používejte centralizované a snadno přístupné úložiště. Zajistěte, aby všichni účastníci, týmy a jednotlivci měli přístup k nejnovějším verzím zásad a souvisejících dokumentů.
Vytváření kontrolních seznamů dodržování předpisů Poskytuje rychlý a použitelný přehled zásad. Usnadníte týmům dodržování předpisů, aniž byste museli procházet rozsáhlou dokumentaci. Další informace najdete v ukázkovém kontrolním seznamu dodržování předpisů.
4. Kontrola zásad správného řízení v cloudu
Vyhodnoťte a aktualizujte zásady správného řízení cloudu, abyste zajistili, že zůstanou relevantní a efektivní v řízení cloudových prostředí. Pravidelné kontroly pomáhají zajistit, aby zásady správného řízení v cloudu odpovídaly měnícím se zákonným požadavkům, novým technologiím a vyvíjejícím se obchodním cílům. Při kontrole zásad zvažte následující doporučení:
Implementujte mechanismy zpětné vazby. Nastavte způsoby, jak získat zpětnou vazbu k účinnosti zásad správného řízení v cloudu. Shromážděte názory od jednotlivců ovlivněných zásadami, abyste měli jistotu, že budou moct svou práci efektivně vykonávat. Aktualizujte zásady správného řízení tak, aby odrážely praktické výzvy a potřeby.
Vytvořte revize založené na událostech. Zkontrolujte a aktualizujte zásady správného řízení v cloudu v reakci na události, jako jsou neúspěšné zásady správného řízení, změna technologií nebo změna dodržování právních předpisů.
Naplánujte pravidelné kontroly. Pravidelně kontrolujte zásady správného řízení, abyste měli jistotu, že jsou v souladu s měnícími se organizačními potřebami, riziky a pokroky v cloudu. Například zahrňte kontroly v rámci pravidelných schůzek týkajících se správy cloudu se zúčastněnými stranami.
Usnadnit řízení změn. Zahrňte proces kontroly a aktualizací zásad. Zajistěte, aby zásady správného řízení v cloudu zůstaly v souladu s organizačními, regulačními a technologickými změnami. Zrušte si přehled o tom, jak upravit, odebrat nebo přidat zásady.
Identifikujte neefektivnosti. Zkontrolujte zásady správného řízení a najděte a opravte nedostatky v cloudové architektuře a provozu. Místo toho, aby každá úloha musela používat vlastní bránu firewall webových aplikací, aktualizujte zásady tak, aby vyžadovaly použití centralizované brány firewall. Zkontrolujte zásady, které vyžadují duplicitní úsilí, a zjistěte, jestli existuje způsob, jak práci centralizovat.
Příklady zásad správného řízení v cloudu
Tady jsou příklady následujících zásad správného řízení v cloudu. Tyto zásady jsou založené na příkladech v ukázkovém seznamu rizik.
| ID zásady | Kategorie zásad | ID rizika | Prohlášení o zásadách | Účel | Scope | Remediation | Monitorování |
|---|---|---|---|---|---|---|---|
| RC01 | Dodržování právních předpisů | R01 | Microsoft Purview se musí použít k monitorování citlivých dat. | Dodržování právních předpisů | Týmy úloh, tým platformy | Okamžitá akce ovlivněných týmů, školení dodržování předpisů | Microsoft Purview |
| RC02 | Dodržování právních předpisů | R01 | Denně musí být generovány sestavy o dodržování předpisů pro citlivá data z Microsoft Purview. | Dodržování právních předpisů | Týmy úloh, tým platformy | Řešení do jednoho dne, potvrzovací audit | Microsoft Purview |
| SC01 | Zabezpečení | R02 | Pro všechny uživatele musí být povolené vícefaktorové ověřování (MFA). | Zmírnění porušení zabezpečení dat a neoprávněného přístupu | Uživatelé Azure | Odvolání přístupu uživatele | Podmíněný přístup Microsoft Entra ID |
| SC02 | Zabezpečení | R02 | Kontroly přístupu se musí provádět každý měsíc v Microsoft Entra ID Governance. | Zajištění integrity dat a služeb | Uživatelé Azure | Okamžité odvolání přístupu kvůli nedodržení předpisů | Zásady správného řízení ID |
| SC03 | Zabezpečení | R03 | Týmy musí používat zadanou organizaci GitHubu pro zabezpečení hostování veškerého softwaru a kódu infrastruktury. | Zajištění zabezpečené a centralizované správy úložišť kódu | Vývojové týmy | Přenos neautorizovaných úložišť do zadané organizace GitHubu a potenciálních disciplinárních akcí pro nedodržení předpisů | Protokol auditu GitHubu |
| SC04 | Zabezpečení | R03 | Týmy, které používají knihovny z veřejných zdrojů, musí přijmout model karantény. | Před integrací do vývojového procesu se ujistěte, že knihovny jsou bezpečné a dodržují předpisy. | Vývojové týmy | Odebrání nekompatibilních knihoven a přezkum postupů integrace pro ovlivněné projekty | Ruční audit (měsíčně) |
| CM01 | Správa nákladů | R04 | Týmy úloh musí nastavit upozornění rozpočtů na úrovni skupiny prostředků. | Zabránění nadměrnému přespendingu | Týmy úloh, tým platformy | Okamžité kontroly, úpravy výstrah | Microsoft Cost Management |
| CM02 | Správa nákladů | R04 | Doporučení k nákladům azure Advisoru je potřeba zkontrolovat. | Optimalizace využití cloudu | Týmy úloh, tým platformy | Povinné audity optimalizace po 60 dnech | Advisor |
| OP01 | Operations | R05 | Produkční úlohy by měly mít architekturu aktivní-pasivní napříč oblastmi. | Zajištění kontinuity služeb | Týmy pro pracovní zátěž | Hodnocení architektury, půlroční přezkoumání | Ruční audit (pro produkční verzi) |
| OP02 | Operations | R05 | Všechny klíčové úlohy musí implementovat architekturu aktivní-aktivní napříč oblastmi. | Zajištění kontinuity služeb | Týmy pro kritické zátěžové úlohy | Aktualizace do 90 dnů, recenze průběhu | Ruční audit (pro produkční verzi) |
| DG01 | Data | R06 | Šifrování přenášených dat a neaktivních uložených dat musí být použito na všechna citlivá data. | Ochrana citlivých dat | Týmy pro pracovní zátěž | Okamžité vynucení šifrování a školení zabezpečení | Azure Policy |
| DG02 | Data | R06 | Zásady životního cyklu dat musí být povolené v Microsoft Purview pro všechna citlivá data. | Správa životního cyklu dat | Týmy pro pracovní zátěž | Provádění do 60 dnů, čtvrtletní audity | Microsoft Purview |
| RM01 | Řízení zdrojů | R07 | Bicep se musí použít k nasazení prostředků. | Standardizace zajišťování prostředků | Týmy úloh, tým platformy | Okamžitý plán přechodu na Bicep | Potrubí pro kontinuální integraci a průběžné doručování (CI/CD) |
| RM02 | Řízení zdrojů | R07 | Značky se musí vynucovat u všech cloudových prostředků pomocí služby Azure Policy. | Usnadnění sledování prostředků | Všechny cloudové prostředky | Správné označování do 30 dnů | Azure Policy |
| AI01 | AI | R08 | Konfigurace filtrování obsahu AI musí být nastavená na střední nebo vyšší. | Zmírnění škodlivých výstupů umělé inteligence | Týmy pro pracovní zátěž | Okamžitá nápravná opatření | Azure OpenAI Service |
| AI02 | AI | R08 | Systémy umělé inteligence zaměřené na zákazníky musí být každý měsíc podrobeny bezpečnostním testům formou red teaming. | Identifikace předsudků AI | Týmy modelů AI | Okamžitá kontrola, nápravné akce na nedostatky | Ruční audit (měsíčně) |