Sdílet prostřednictvím


Dokumentovat zásady správného řízení v cloudu

V tomto článku se dozvíte, jak definovat a dokumentovat zásady správného řízení v cloudu. Zásady správného řízení v cloudu určují, co by se mělo nebo nemělo v cloudu stát. Tým zásad správného řízení v cloudu by měl vytvořit jednu nebo více zásad správného řízení cloudu pro každé riziko zjištěné v posouzení rizik. Zásady správného řízení cloudu definují mantinely pro interakci s cloudem a v cloudu.

Diagram znázorňující proces nastavení a údržby zásad správného řízení v cloudu Diagram znázorňuje pět sekvenčních kroků: sestavte tým zásad správného řízení v cloudu, zdokumentujte zásady správného řízení v cloudu, vynucujte zásady správného řízení cloudu a monitorujte zásady správného řízení v cloudu. První krok, který provedete jednou. Poslední čtyři kroky, které provedete jednou, abyste nastavili zásady správného řízení v cloudu a nepřetržitě udržovali zásady správného řízení v cloudu.

Definování přístupu pro dokumentaci zásad správného řízení v cloudu

Vytvořte přístup pro vytváření, údržbu a aktualizaci pravidel a pokynů, které řídí používání cloudových služeb. Zásady správného řízení v cloudu by neměly být jedinečné pro konkrétní úlohu. Cílem je vytvořit zásady správného řízení v cloudu, které nevyžadují časté aktualizace a které berou v úvahu účinky zásad správného řízení cloudu v cloudovém prostředí. Pokud chcete definovat přístup k dokumentaci k zásadám, postupujte podle těchto doporučení:

  • Definujte standardní jazyk zásad správného řízení. Vytvořte standardní strukturu a formát pro dokumentaci zásad správného řízení v cloudu. Zásady musí být jasné a autoritativní referenční informace pro zúčastněné strany.

  • Poznáte různé rozsahy zásad správného řízení. Definujte a přiřaďte konkrétní zodpovědnosti zásad správného řízení přizpůsobené jedinečným rolím ve vaší organizaci. Vývojář například řídí kód aplikace. Tým úloh zodpovídá za jednu úlohu a tým platformy zodpovídá za zásady správného řízení, které úlohy dědí.

  • Vyhodnoťte široké účinky zásad správného řízení v cloudu. Zásady správného řízení v cloudu vytvářejí třecí plochy. Najděte rovnováhu mezi třením a svobodou. Při vývoji zásad správného řízení v cloudu zvažte účinky zásad správného řízení na architekturu úloh, postupy vývoje softwaru a další oblasti. Například to, co povolíte nebo zakážete, určuje architekturu úloh a ovlivňuje postupy vývoje softwaru.

Definování zásad správného řízení v cloudu

Vytvořte zásady správného řízení cloudu, které popisují, jak používat a spravovat cloud ke zmírnění rizik. Minimalizujte potřebu častých aktualizací zásad. Pokud chcete definovat zásady správného řízení v cloudu, postupujte podle těchto doporučení:

  • Použijte ID zásady. Kategorie zásad a číslo použijte k jedinečné identifikaci jednotlivých zásad, například SC01 pro první zásady zásad správného řízení zabezpečení. Postupně navyšujte identifikátor při přidávání nových rizik. Pokud odeberete rizika, můžete nechat mezery v posloupnosti nebo použít nejnižší dostupné číslo.

  • Zahrňte prohlášení o zásadách. Vytvořte konkrétní prohlášení o zásadách, které řeší zjištěná rizika. Použijte konečný jazyk, například musí, nesmí a neměl by. Jako výchozí bod použijte kontrolní mechanismy vynucení ze seznamu rizik. Zaměřte se na výsledky a ne na kroky konfigurace. Pojmenujte nástroj potřebný k vynucení, abyste věděli, kde monitorovat dodržování předpisů.

  • Uveďte ID rizika. Uveďte riziko v zásadě. Přidružte všechny zásady zásad správného řízení cloudu k riziku.

  • Zahrňte kategorii zásad. Do kategorizace zásad zahrňte kategorie zásad, jako je zabezpečení, dodržování předpisů nebo správa nákladů. Kategorie pomáhají se řazením, filtrováním a hledáním zásad správného řízení v cloudu.

  • Zahrňte účel zásad. Uveďte účel každé zásady. Použijte riziko nebo požadavek na dodržování právních předpisů, které zásady splňují jako výchozí bod.

  • Definujte obor zásad. Definujte, na co a na koho se tato zásada vztahuje, například na všechny cloudové služby, oblasti, prostředí a úlohy. Zadejte všechny výjimky, které zajistí, že neexistuje nejednoznačnost. Používejte standardizovaný jazyk, abyste mohli snadno řadit, filtrovat a vyhledávat zásady.

  • Zahrňte strategie nápravy zásad. Definujte požadovanou odpověď na porušení zásad správného řízení v cloudu. Přizpůsobte reakce na závažnost rizika, například plánování diskuzí o neprodukčních porušeních a okamžité nápravě pro porušení výroby.

Další informace najdete v příkladu zásad správného řízení v cloudu.

Distribuce zásad správného řízení v cloudu

Udělte přístup všem, kteří potřebují dodržovat zásady správného řízení v cloudu. Hledejte způsoby, jak usnadnit dodržování zásad správného řízení v cloudu pro lidi ve vaší organizaci. Při distribuci zásad správného řízení v cloudu postupujte podle těchto doporučení:

  • Použijte centralizované úložiště zásad. Pro veškerou dokumentaci k zásadám správného řízení používejte centralizované a snadno přístupné úložiště. Zajistěte, aby všichni účastníci, týmy a jednotlivci měli přístup k nejnovějším verzím zásad a souvisejících dokumentů.

  • Vytváření kontrolních seznamů dodržování předpisů Poskytuje rychlý a použitelný přehled zásad. Usnadníte týmům dodržování předpisů, aniž byste museli procházet rozsáhlou dokumentaci. Další informace najdete v ukázkovém kontrolním seznamu dodržování předpisů.

Kontrola zásad správného řízení v cloudu

Vyhodnoťte a aktualizujte zásady správného řízení cloudu, abyste zajistili, že zůstanou relevantní a efektivní v řízení cloudových prostředí. Pravidelné kontroly pomáhají zajistit, aby zásady správného řízení v cloudu odpovídaly měnícím se zákonným požadavkům, novým technologiím a vyvíjejícím se obchodním cílům. Při kontrole zásad zvažte následující doporučení:

  • Implementujte mechanismy zpětné vazby. Nastavte způsoby, jak získat zpětnou vazbu k účinnosti zásad správného řízení v cloudu. Shromážděte vstup od jednotlivců ovlivněných zásadami, abyste měli jistotu, že budou moct svou práci efektivně provádět. Aktualizujte zásady správného řízení tak, aby odrážely praktické výzvy a potřeby.

  • Vytvořte kontroly založené na událostech. Zkontrolujte a aktualizujte zásady správného řízení v cloudu v reakci na události, jako jsou neúspěšné zásady správného řízení, změna technologií nebo změna dodržování právních předpisů.

  • Naplánujte pravidelné kontroly. Pravidelně kontrolujte zásady správného řízení, abyste měli jistotu, že jsou v souladu s měnícími se organizačními potřebami, riziky a pokroky v cloudu. Zahrnout například kontroly zásad správného řízení v pravidelných schůzkách zásad správného řízení v cloudu se zúčastněnými stranami.

  • Usnadnit řízení změn. Zahrňte proces kontroly a aktualizací zásad. Zajistěte, aby zásady správného řízení v cloudu zůstaly v souladu s organizačními, regulačními a technologickými změnami. Zrušte si přehled o tom, jak upravit, odebrat nebo přidat zásady.

  • Identifikace neekicience. Zkontrolujte zásady správného řízení a najděte a opravte nedostatky v cloudové architektuře a provozu. Místo toho, aby každá úloha musela používat vlastní bránu firewall webových aplikací, aktualizujte zásady tak, aby vyžadovaly použití centralizované brány firewall. Zkontrolujte zásady, které vyžadují duplicitní úsilí, a zjistěte, jestli existuje způsob, jak práci centralizovat.

Příklady zásad správného řízení v cloudu

Tady jsou příklady následujících zásad správného řízení v cloudu. Tyto zásady jsou založené na příkladech v ukázkovém seznamu rizik.

ID zásady Kategorie zásad ID rizika Prohlášení o zásadách Účel Obor Náprava Sledování
RC01 Dodržování legislativní předpisů R01 Microsoft Purview se musí použít k monitorování citlivých dat. Dodržování legislativní předpisů Týmy úloh, tým platformy Okamžitá akce ovlivněných týmů, školení dodržování předpisů Microsoft Purview
RC02 Dodržování legislativní předpisů R01 Sestavy dodržování předpisů pro citlivá data za den musí být generovány z Microsoft Purview. Dodržování legislativní předpisů Týmy úloh, tým platformy Řešení do jednoho dne, audit potvrzení Microsoft Purview
SC01 Zabezpečení R02 Pro všechny uživatele musí být povolené vícefaktorové ověřování (MFA). Zmírnění porušení zabezpečení dat a neoprávněného přístupu Uživatelé Azure Odvolání přístupu uživatele Podmíněný přístup Microsoft Entra ID
SC02 Zabezpečení R02 Kontroly přístupu se musí provádět každý měsíc v zásadách správného řízení Microsoft Entra ID. Zajištění integrity dat a služeb Uživatelé Azure Okamžité odvolání přístupu kvůli nedodržení předpisů ID –⁠ zásady správného řízení
SC03 Zabezpečení R03 Týmy musí používat zadanou organizaci GitHubu pro zabezpečení hostování veškerého softwaru a kódu infrastruktury. Zajištění zabezpečené a centralizované správy úložišť kódu Vývojové týmy Přenos neautorizovaných úložišť do zadané organizace GitHubu a potenciálních disciplinárních akcí pro nedodržení předpisů Protokol auditu GitHubu
SC04 Zabezpečení R03 Týmy, které používají knihovny z veřejných zdrojů, musí přijmout model karantény. Před integrací do vývojového procesu se ujistěte, že knihovny jsou bezpečné a dodržují předpisy. Vývojové týmy Odebrání nekompatibilních knihoven a přezkum postupů integrace pro ovlivněné projekty Ruční audit (měsíčně)
CM01 Správa nákladů R04 Týmy úloh musí nastavit upozornění rozpočtů na úrovni skupiny prostředků. Zabránění nadměrnému přespendingu Týmy úloh, tým platformy Okamžité kontroly, úpravy výstrah Microsoft Cost Management
CM02 Správa nákladů R04 Doporučení k nákladům azure Advisoru je potřeba zkontrolovat. Optimalizace využití cloudu Týmy úloh, tým platformy Povinné optimalizace auditů po 60 dnech Advisor
OP01 Operace R05 Produkční úlohy by měly mít architekturu aktivní-pasivní napříč oblastmi. Zajištění kontinuity služeb Týmy úloh Hodnocení architektury, biannual hodnocení Ruční audit (pro produkční verzi)
OP02 Operace R05 Všechny klíčové úlohy musí implementovat architekturu aktivní-aktivní napříč oblastmi. Zajištění kontinuity služeb Klíčové týmy úloh Aktualizace do 90 dnů, recenze průběhu Ruční audit (pro produkční verzi)
DG01 Data R06 Šifrování přenášených dat a neaktivních uložených dat musí být použito na všechna citlivá data. Ochrana citlivých dat Týmy úloh Okamžité vynucení šifrování a školení zabezpečení Azure Policy
DG02 Data R06 Zásady životního cyklu dat musí být povolené v Microsoft Purview pro všechna citlivá data. Správa životního cyklu dat Týmy úloh Provádění do 60 dnů, čtvrtletní audity Microsoft Purview
RM01 Řízení zdrojů R07 Bicep se musí použít k nasazení prostředků. Standardizace zřizování prostředků Týmy úloh, tým platformy Okamžitý plán přechodu Bicep Kanál kontinuální integrace a průběžného doručování (CI/CD)
RM02 Řízení zdrojů R07 Značky se musí vynucovat u všech cloudových prostředků pomocí služby Azure Policy. Usnadnění sledování prostředků Všechny cloudové prostředky Správné označování do 30 dnů Azure Policy
AI01 Umělá inteligence R08 Konfigurace filtrování obsahu AI musí být nastavená na střední nebo vyšší. Zmírnění škodlivých výstupů umělé inteligence Týmy úloh Okamžitá nápravná opatření Azure OpenAI Service
AI02 Umělá inteligence R08 Systémy umělé inteligence orientované na zákazníky musí být měsíčně seskupené červeně. Identifikace předsudků AI Týmy modelů AI Okamžitá kontrola, nápravné akce pro chybějící Ruční audit (měsíčně)

Další krok