Freigeben über


Dokumentieren von Cloudgovernance-Richtlinien

In diesem Artikel erfahren Sie, wie Sie Cloudgovernance-Richtlinien definieren und dokumentieren. Cloudgovernance-Richtlinien geben an, was in der Cloud stattfinden soll oder nicht. Ihr Cloudgovernanceteam sollte eine oder mehrere Cloudgovernance-Richtlinien für jedes identifizierte Risiko erstellen. Cloudgovernance-Richtlinien definieren die Schutzmaßnahmen für die Interaktion mit und in der Cloud.

Diagramm, das den Prozess zum Einrichten und Aufrechterhalten der Cloudgovernance zeigt. Das Diagramm zeigt fünf sequenzielle Schritte: Zusammenstellen eines Cloudgovernanceteams, Dokumentieren von Cloudgovernance-Richtlinien, Durchsetzen von Cloudgovernance-Richtlinien und Überwachen der Cloudgovernance. Den ersten Schritt führen Sie einmal aus. Die anderen vier Schritte führen Sie einmal aus, um Cloudgovernance einzurichten, und dann kontinuierlich, um die Cloudgovernance aufrechtzuerhalten.

Definieren einen Ansatzes für die Dokumentation von Cloudgovernance-Richtlinien

Richten Sie einen Ansatz zum Erstellen, Verwalten und Aktualisieren der Regeln und Richtlinien ein, die die Verwendung Ihrer Clouddienste regeln. Cloudgovernance-Richtlinien sollten nicht nur für einen bestimmten Workload gelten. Das Ziel ist es, Cloudgovernance-Richtlinien zu erstellen, die keine häufigen Aktualisierungen erfordern und die die Auswirkungen von Cloudgovernance-Richtlinien auf die gesamte Cloudumgebung berücksichtigen. Befolgen Sie diese Empfehlungen, um ein Konzept für die Dokumentation von Richtlinien festzulegen:

  • Definieren Sie eine Standard-Governance-Sprache. Entwickeln Sie eine Standardstruktur und ein Standardformat für die Dokumentation von Cloudgovernance-Richtlinien. Die Richtlinien müssen für die Stakeholder*innen eine klare und maßgebliche Referenz darstellen.

  • Erkennen Sie die verschiedenen Bereiche der Governance. Definieren und weisen Sie spezifische Governanceverantwortlichkeiten zu, die auf die einzelnen Rollen innerhalb Ihrer Organisation zugeschnitten sind. Entwickler*innen steuern z. B. den Anwendungscode. Ein Workloadteam ist für einen einzelnen Workload zuständig, und das Plattformteam ist für die Governance verantwortlich, die die Workloads erben.

  • Bewerten Sie die umfassenden Auswirkungen der Cloudgovernance. Cloudgovernance schafft Reibung. Es ist Ihre Aufgabe, ein Gleichgewicht zwischen Reibung und Freiheit zu finden. Berücksichtigen Sie bei der Erstellung von Cloudgovernance-Richtlinien die Auswirkungen der Governance auf die Workloadarchitektur, Softwareentwicklungspraktiken und andere Bereiche. Was Sie beispielsweise zulassen oder verbieten, bestimmt die Workloadarchitektur und wirkt sich auf die Methoden der Softwareentwicklung aus.

Definieren von Cloudgovernancerichtlinien

Erstellen Sie Cloudgovernance-Richtlinien, die beschreiben, wie Sie die Cloud verwenden und verwalten, um Risiken zu mindern. Minimieren Sie die Notwendigkeit einer häufigen Aktualisierung der Richtlinien. Zur Festlegung von Cloudgovernance-Richtlinien sollten Sie diese Empfehlungen befolgen:

  • Verwenden Sie eine Richtlinien-ID. Verwenden Sie die Richtlinienkategorie und eine Nummer, um jede Richtlinie eindeutig zu bezeichnen, z. B. SC01 für die erste Sicherheitsgovernance-Richtlinie. Erhöhen Sie den Bezeichner fortlaufend, während Sie neue Risiken hinzufügen. Wenn Sie Risiken entfernen, können Sie Lücken in der Reihenfolge hinterlassen oder die niedrigste verfügbare Zahl verwenden.

  • Schließen Sie die Richtlinienanweisung ein. Erstellen Sie spezifische Richtlinienanweisungen, die identifizierte Risiken behandeln. Verwenden Sie definitive Formulierungen wie muss, sollte, darf nicht und sollte nicht. Verwenden Sie die Durchsetzungskontrollen aus der Risikoliste als Ausgangspunkt. Konzentrieren Sie sich nicht auf Konfigurationsschritte, sondern auf Ergebnisse. Benennen Sie das für die Durchsetzung erforderliche Tool, damit Sie wissen, wo die Compliance überwacht werden soll.

  • Schließen Sie eine Risiko-ID ein. Listen Sie das Risiko in der Richtlinie auf. Verbinden Sie jede Cloudgovernance-Richtlinie mit einem Risiko.

  • Schließen Sie die Richtlinienkategorie ein. Nehmen Sie Governancekategorien wie Sicherheit, Compliance oder Kostenmanagement in die Kategorisierung der Richtlinien auf. Kategorien helfen beim Sortieren, Filtern und Suchen von Cloudgovernance-Richtlinien.

  • Schließen Sie den Richtlinienzweck ein. Geben Sie den Zweck jeder Richtlinie an. Als Ausgangspunkt sollten Sie das Risiko oder die Anforderung an die Compliance verwenden, die die Richtlinie erfüllt.

  • Definieren Sie den Richtlinienbereich. Legen Sie fest, für wen und was diese Richtlinie gilt, z. B. für alle Clouddienste, Regionen, Umgebungen und Workloads. Geben Sie Ausnahmen an, um sicherzustellen, dass keine Mehrdeutigkeit besteht. Verwenden Sie eine standardisierte Sprache, damit Sie Richtlinien leicht sortieren, filtern und finden können.

  • Schließen Sie die Strategien zur Richtlinienkorrektur ein. Definieren Sie die gewünschte Reaktion auf eine Verletzung einer Cloudgovernance-Richtlinie. Passen Sie die Reaktionen an die Schwere des Risikos an, z. B. die Planung von Gesprächen bei Verstößen, die nicht die Produktion betreffen, und sofortige Abhilfemaßnahmen bei Verstößen, die die Produktion betreffen.

Weitere Informationen finden Sie in den Beispielen für Cloudgovernance-Richtlinien.

Verteilen von Cloudgovernance-Richtlinien

Gewähren Sie allen Benutzer*innen Zugriff, die den Cloudgovernance-Richtlinien entsprechen müssen. Suchen Sie nach Möglichkeiten, um die Einhaltung der Cloudgovernance-Richtlinien für Personen in Ihrer Organisation zu vereinfachen. Zur Verteilung von Cloudgovernance-Richtlinien sollten Sie diese Empfehlungen befolgen:

  • Verwenden Sie ein zentrales Richtlinien-Repository. Verwenden Sie ein zentrales, leicht zugängliches Repository für alle Governancedokumentationen. Stellen Sie sicher, dass alle Stakeholder*innen, Teams und Einzelpersonen Zugriff auf die neuesten Versionen von Richtlinien und verwandten Dokumenten haben.

  • Erstellen Sie Complianceprüflisten. Stellen Sie eine schnelle und umsetzbare Übersicht über die Richtlinien bereit. Erleichtern Sie den Teams die Einhaltung der Vorschriften, ohne dass sie sich durch umfangreiche Unterlagen wühlen müssen. Weitere Informationen finden Sie in der Beispiel-Complianceprüfliste.

Überprüfen von Cloudgovernance-Richtlinien

Bewerten und Aktualisieren von Cloudgovernance-Richtlinien, um sicherzustellen, dass sie in cloudbasierten Umgebungen relevant und effektiv bleiben. Regelmäßige Überprüfungen tragen dazu bei, dass die Cloudgovernance-Richtlinien mit den sich ändernden rechtlichen Anforderungen, neuen Technologien und den sich entwickelnden Geschäftszielen in Einklang stehen. Berücksichtigen Sie beim Überprüfen von Richtlinien die folgenden Empfehlungen:

  • Implementieren Sie Feedbackmechanismen. Es sollte die Möglichkeit geschaffen werden, Feedback über die Wirksamkeit der Cloudgovernance-Richtlinien zu erhalten. Holen Sie die Meinung der Personen ein, die von den Richtlinien betroffen sind, um sicherzustellen, dass sie ihre Arbeit weiterhin effizient erledigen können. Aktualisieren Sie Governancerichtlinien, um praktische Herausforderungen und Anforderungen zu berücksichtigen.

  • Führen Sie ereignisbezogene Überprüfungen durch. Überprüfen und aktualisieren Sie Cloudgovernance-Richtlinien als Reaktion auf Ereignisse, wie z. B. eine fehlgeschlagene Richtlinie, einen Technologiewechsel oder eine Änderung der Compliancevorschriften.

  • Planen Sie regelmäßige Überprüfungen. Überprüfen Sie Governancerichtlinien regelmäßig, um sicherzustellen, dass sie sich an den sich geänderte organisatorischen Anforderungen, Risiken und Cloudfortschritten orientieren. Nehmen Sie beispielsweise Governanceüberprüfungen in die regelmäßigen Cloudgovernancebesprechungen mit Stakeholder*innen auf.

  • Ermöglichen Sie die Änderungssteuerung. Fügen Sie einen Prozess für die Richtlinienüberprüfung und -aktualisierung hinzu. Stellen Sie sicher, dass die Cloudgovernance-Richtlinien mit organisatorischen, behördlichen und technologischen Veränderungen in Einklang bleiben. Machen Sie klar, wie Sie Richtlinien bearbeiten, entfernen oder hinzufügen.

  • Identifizieren Sie Ineffizienzen. Überprüfen Sie Governancerichtlinien, um Ineffizienzen in Cloudarchitektur und -vorgänge zu finden und zu beheben. Statt beispielsweise vorzuschreiben, dass jeder Workload seine eigene Web Application Firewall verwenden muss, sollten Sie die Richtlinie dahingehend aktualisieren, dass die Verwendung einer zentralen Firewall vorgeschrieben wird. Überprüfen Sie Richtlinien, die doppelten Aufwand erfordern, und prüfen Sie, ob es eine Möglichkeit gibt, die Arbeit zu zentralisieren.

Beispiel für Cloudgovernance-Richtlinien

Die folgenden Cloudgovernance-Richtlinien sind als Beispiele zu verstehen. Diese Richtlinien beruhen auf den Beispielen in der Liste der Beispielrisiken.

Richtlinien-ID Richtlinienkategorie Risiko-ID Richtlinienanweisung Zweck Bereich Wartung Überwachung
RC01 Einhaltung gesetzlicher Bestimmungen R01 Microsoft Purview muss zur Überwachung vertraulicher Daten verwendet werden. Einhaltung gesetzlicher Bestimmungen Workloadteams, Plattformteam Sofortiges Handeln durch betroffenes Team, Compliance-Schulung Microsoft Purview
RC02 Einhaltung gesetzlicher Bestimmungen R01 Tägliche Complianceberichte für vertrauliche Daten müssen aus Microsoft Purview generiert werden. Einhaltung gesetzlicher Bestimmungen Workloadteams, Plattformteam Lösung innerhalb eines Tages, Bestätigungsüberwachung Microsoft Purview
SC01 Sicherheit R02 Die Multifaktor-Authentifizierung (MFA) muss für alle Benutzer*innen aktiviert sein. Eindämmung von Datenverstößen und unbefugtem Zugriff Azure-Benutzer*innen Widerruf des Benutzerszugriff Bedingter Zugriff von Microsoft Entra ID
SC02 Sicherheit R02 Die Zugriffsüberprüfungen müssen monatlich in Microsoft Entra ID Governance durchgeführt werden. Gewährleisten der Integrität von Daten und Diensten Azure-Benutzer*innen Sofortiger Entzug des Zugangs bei Compliance-Verstößen ID-Governance
SC03 Sicherheit R03 Die Teams müssen die angegebene GitHub-Organisation für das sichere Hosting des gesamten Software- und Infrastrukturcodes verwenden. Sorgen Sie für eine sichere und zentralisierte Verwaltung von Code-Repositories Entwicklungsteams Übertragung nicht autorisierter Repositories an die angegebene GitHub-Organisation und mögliche disziplinarische Maßnahmen bei Nichteinhaltung GitHub-Überwachungsprotokoll
SC04 Sicherheit R03 Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantänemuster anwenden. Stellen Sie sicher, dass die Bibliotheken sicher und konform sind, bevor sie in den Entwicklungsprozess integriert werden Entwicklungsteams Entfernen nicht kompatibler Bibliotheken und Überprüfung von Integrationsmethoden für betroffene Projekte Manuelle Überwachung (monatlich)
CM01 Kostenverwaltung R04 Workloadteams müssen Budgetwarnungen auf Ressourcengruppenebene festlegen. Vermeidung zu hoher Ausgaben Workloadteams, Plattformteam Sofortige Überprüfungen, Anpassungen bei Warnungen Microsoft Cost Management
CM02 Kostenverwaltung R04 Die Kostenempfehlungen von Azure Advisor müssen überprüft werden. Optimierung der Cloudnutzung Workloadteams, Plattformteam Obligatorische Optimierungsprüfungen nach 60 Tagen Advisor
OP01 Betrieb R05 Produktionsworkloads sollten eine aktiv-passive Architektur über verschiedene Regionen hinweg haben. Sicherstellen der Dienstkontinuität Workloadteams Architekturbewertungen, halbjährliche Überprüfungen Manuelle Überwachung (pro Produktions-Release)
OP02 Betrieb R05 Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur implementieren. Sicherstellen der Dienstkontinuität Unternehmenskritische Workloadteams Updates innerhalb von 90 Tagen, Statusüberprüfungen Manuelle Überwachung (pro Produktions-Release)
DG01 Daten R06 Alle vertraulichen Daten müssen bei sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden. Schützen von vertraulichen Daten Workloadteams Unverzügliche Durchsetzung der Verschlüsselung und Sicherheitsschulung Azure Policy
DG02 Daten R06 Datenlebenszyklusrichtlinien müssen in Microsoft Purview für alle vertraulichen Daten aktiviert werden. Verwalten des Datenlebenszyklus Workloadteams Umsetzung innerhalb von 60 Tagen, vierteljährliche Überwachung Microsoft Purview
RM01 Ressourcenverwaltung R07 Für die Bereitstellung von Ressourcen muss Bicep verwendet werden. Standardisieren der Ressourcenbereitstellung Workloadteams, Plattformteam Sofortiger Bicep-Übergangsplan Pipeline für Continuous Integration und Continuous Delivery (CI/CD)
RM02 Ressourcenverwaltung R07 Tags müssen auf allen Cloud-Ressourcen mithilfe von Azure Policy durchgesetzt werden. Vereinfachen der Ressourcennachverfolgung Alle Cloud-Ressourcen Korrigieren von Tagging innerhalb von 30 Tagen Azure Policy
AI01 KI R08 Die Konfiguration der KI-Inhaltsfilterung muss auf mittel oder höher eingestellt sein. Minimierung schädlicher KI-Ausgaben Workloadteams Sofortige Korrekturmaßnahmen Azure OpenAI Service
AI02 KI R08 Kundenseitige KI-Systeme müssen monatlich red-teamed werden. Identifizieren von KI-Voreingenommenheiten KI-Modellteams Sofortige Überprüfung, Korrekturmaßnahmen für Fehler Manuelle Überwachung (monatlich)

Nächster Schritt