Kebijakan tata kelola cloud dokumen
Artikel ini memperlihatkan kepada Anda cara menentukan dan mendokumen kebijakan tata kelola cloud. Kebijakan tata kelola cloud menentukan apa yang harus atau tidak boleh terjadi di cloud. Tim tata kelola cloud harus membuat satu atau beberapa kebijakan tata kelola cloud untuk setiap risiko yang diidentifikasi dalam penilaian risiko. Kebijakan tata kelola cloud menentukan pagar pembatas untuk berinteraksi dengan dan di cloud.
Menentukan pendekatan untuk mendokumen kebijakan tata kelola cloud
Buat pendekatan untuk membuat, memelihara, dan memperbarui aturan dan panduan yang mengatur penggunaan layanan cloud. Kebijakan tata kelola cloud tidak boleh unik untuk beban kerja tertentu. Tujuannya adalah untuk menghasilkan kebijakan tata kelola cloud yang tidak memerlukan pembaruan yang sering dan yang mempertimbangkan efek kebijakan tata kelola cloud di seluruh lingkungan cloud. Untuk menentukan pendekatan dokumentasi kebijakan, ikuti rekomendasi berikut:
Tentukan bahasa tata kelola standar. Kembangkan struktur dan format standar untuk mendokumenkan kebijakan tata kelola cloud. Kebijakan harus menjadi referensi yang jelas dan otoritatif bagi pemangku kepentingan.
Kenali berbagai cakupan tata kelola. Tentukan dan tetapkan tanggung jawab tata kelola tertentu yang disesuaikan dengan peran unik dalam organisasi Anda. Misalnya, pengembang mengatur kode aplikasi. Tim beban kerja bertanggung jawab atas satu beban kerja, dan tim platform bertanggung jawab atas tata kelola yang diwarisi beban kerja.
Mengevaluasi efek luas tata kelola cloud. Tata kelola cloud menciptakan gesekan. Temukan keseimbangan antara gesekan dan kebebasan. Pertimbangkan efek tata kelola pada arsitektur beban kerja, praktik pengembangan perangkat lunak, dan area lain saat Anda mengembangkan kebijakan tata kelola cloud. Misalnya, apa yang Anda izinkan atau larang menentukan arsitektur beban kerja dan memengaruhi praktik pengembangan perangkat lunak.
Menentukan kebijakan tata kelola cloud
Buat kebijakan tata kelola cloud yang menguraikan cara menggunakan dan mengelola cloud untuk mengurangi risiko. Minimalkan kebutuhan akan pembaruan kebijakan yang sering. Untuk menentukan kebijakan tata kelola cloud, ikuti rekomendasi berikut:
Gunakan ID kebijakan. Gunakan kategori kebijakan dan angka untuk mengidentifikasi setiap kebijakan secara unik, seperti SC01 untuk kebijakan tata kelola keamanan pertama. Tingkatkan pengidentifikasi secara berurutan saat Anda menambahkan risiko baru. Jika Anda menghapus risiko, Anda dapat meninggalkan celah dalam urutan atau menggunakan angka terendah yang tersedia.
Sertakan pernyataan kebijakan. Buat pernyataan kebijakan tertentu yang mengatasi risiko yang diidentifikasi. Gunakan bahasa definitif seperti harus, harus, tidak boleh, dan tidak boleh. Gunakan kontrol penegakan dari daftar risiko sebagai titik awal. Fokus pada hasil daripada langkah-langkah konfigurasi. Beri nama alat yang diperlukan untuk penegakan sehingga Anda tahu di mana harus memantau kepatuhan.
Sertakan ID risiko. Cantumkan risiko dalam kebijakan. Kaitkan setiap kebijakan tata kelola cloud dengan risiko.
Sertakan kategori kebijakan. Sertakan kategori tata kelola, seperti keamanan, kepatuhan, atau manajemen biaya, ke dalam kategorisasi kebijakan. Kategori membantu mengurutkan, memfilter, dan menemukan kebijakan tata kelola cloud.
Sertakan tujuan kebijakan. Menyatakan tujuan setiap kebijakan. Gunakan risiko atau persyaratan kepatuhan peraturan yang dipenuhi kebijakan sebagai titik awal.
Tentukan cakupan kebijakan. Tentukan apa dan siapa kebijakan ini berlaku, seperti semua layanan cloud, wilayah, lingkungan, dan beban kerja. Tentukan pengecualian apa pun untuk memastikan tidak ada ambiguitas. Gunakan bahasa standar sehingga mudah untuk mengurutkan, memfilter, dan menemukan kebijakan.
Sertakan strategi remediasi kebijakan. Tentukan respons yang diinginkan terhadap pelanggaran kebijakan tata kelola cloud. Menyesuaikan respons terhadap tingkat keparahan risiko, seperti menjadwalkan diskusi untuk pelanggaran nonproduksi dan upaya remediasi segera untuk pelanggaran produksi.
Untuk informasi selengkapnya, lihat contoh kebijakan tata kelola cloud.
Mendistribusikan kebijakan tata kelola cloud
Berikan akses ke semua orang yang perlu mematuhi kebijakan tata kelola cloud. Cari cara untuk mempermudah kepatuhan terhadap kebijakan tata kelola cloud bagi orang-orang di organisasi Anda. Untuk mendistribusikan kebijakan tata kelola cloud, ikuti rekomendasi berikut:
Gunakan repositori kebijakan terpusat. Gunakan repositori terpusat dan mudah diakses untuk semua dokumentasi tata kelola. Pastikan semua pemangku kepentingan, tim, dan individu memiliki akses ke versi terbaru kebijakan dan dokumen terkait.
Membuat daftar periksa kepatuhan. Berikan gambaran umum kebijakan yang cepat dan dapat ditindakkan. Jadikan lebih mudah bagi tim untuk mematuhi tanpa harus menavigasi melalui dokumentasi yang luas. Untuk informasi selengkapnya, lihat contoh daftar periksa kepatuhan.
Meninjau kebijakan tata kelola cloud
Menilai dan memperbarui kebijakan tata kelola cloud untuk memastikan kebijakan tersebut tetap relevan dan efektif dalam mengatur lingkungan cloud. Tinjauan rutin membantu memastikan bahwa kebijakan tata kelola cloud selaras dengan perubahan persyaratan peraturan, teknologi baru, dan tujuan bisnis yang berkembang. Saat Anda meninjau kebijakan, pertimbangkan rekomendasi berikut:
Menerapkan mekanisme umpan balik. Tetapkan cara untuk menerima umpan balik tentang efektivitas kebijakan tata kelola cloud. Kumpulkan masukan dari individu yang terpengaruh oleh kebijakan untuk memastikan mereka masih dapat melakukan pekerjaan mereka secara efisien. Perbarui kebijakan tata kelola untuk mencerminkan tantangan dan kebutuhan praktis.
Menetapkan tinjauan berbasis peristiwa. Tinjau dan perbarui kebijakan tata kelola cloud sebagai respons terhadap peristiwa, seperti kebijakan tata kelola yang gagal, perubahan teknologi, atau perubahan kepatuhan peraturan.
Jadwalkan ulasan reguler. Tinjau kebijakan tata kelola secara teratur untuk memastikan kebijakan tersebut selaras dengan kebutuhan organisasi, risiko, dan kemajuan cloud yang terus berkembang. Misalnya, sertakan tinjauan tata kelola dalam rapat tata kelola cloud reguler dengan pemangku kepentingan.
Memfasilitasi kontrol perubahan. Sertakan proses untuk peninjauan dan pembaruan kebijakan. Pastikan kebijakan tata kelola cloud tetap selaras dengan perubahan organisasi, peraturan, dan teknologi. Perjelas cara mengedit, menghapus, atau menambahkan kebijakan.
Identifikasi inefisiensi. Tinjau kebijakan tata kelola untuk menemukan dan memperbaiki inefisiensi dalam arsitektur dan operasi cloud. Misalnya, alih-alih mengamanatkan bahwa setiap beban kerja harus menggunakan firewall aplikasi webnya sendiri, perbarui kebijakan untuk mewajibkan penggunaan firewall terpusat. Tinjau kebijakan yang memerlukan upaya duplikat dan lihat apakah ada cara untuk memusatkan pekerjaan.
Contoh kebijakan tata kelola cloud
Kebijakan tata kelola cloud berikut adalah contoh untuk referensi. Kebijakan ini didasarkan pada contoh dalam contoh daftar risiko.
ID Azure Policy | Kategori kebijakan | ID Risiko | Pernyataan kebijakan | Tujuan | Cakupan | Remediasi | Pemantauan |
---|---|---|---|---|---|---|---|
RC01 | Kepatuhan peraturan | R01 | Microsoft Purview harus digunakan untuk memantau data sensitif. | Kepatuhan peraturan | Tim beban kerja, tim platform | Tindakan langsung oleh tim yang terpengaruh, pelatihan kepatuhan | Microsoft Purview |
RC02 | Kepatuhan peraturan | R01 | Laporan kepatuhan data sensitif harian harus dibuat dari Microsoft Purview. | Kepatuhan peraturan | Tim beban kerja, tim platform | Resolusi dalam satu hari, audit konfirmasi | Microsoft Purview |
SC01 | Keamanan | R02 | Autentikasi multifaktor (MFA) harus diaktifkan untuk semua pengguna. | Mengurangi pelanggaran data dan akses yang tidak sah | Pengguna Azure | Mencabut akses pengguna | Akses Bersyar id Microsoft Entra |
SC02 | Keamanan | R02 | Tinjauan akses harus dilakukan setiap bulan dalam Tata Kelola ID Microsoft Entra. | Memastikan integritas data dan layanan | Pengguna Azure | Pencabutan akses segera untuk ketidakpatuhan | Tata Kelola ID |
SC03 | Keamanan | R03 | Teams harus menggunakan organisasi GitHub yang ditentukan untuk hosting yang aman dari semua kode perangkat lunak dan infrastruktur. | Memastikan manajemen repositori kode yang aman dan terpusat | Tim pengembangan | Transfer repositori yang tidak sah ke organisasi GitHub yang ditentukan dan potensi tindakan disipliner untuk ketidakpatuhan | Log audit GitHub |
SC04 | Keamanan | R03 | Tim yang menggunakan pustaka dari sumber publik harus mengadopsi pola karantina. | Pastikan pustaka aman dan sesuai sebelum integrasi ke dalam proses pengembangan | Tim pengembangan | Penghapusan pustaka yang tidak patuh dan tinjau praktik integrasi untuk proyek yang terpengaruh | Audit manual (bulanan) |
CM01 | Cost management | R04 | Tim beban kerja harus menetapkan pemberitahuan anggaran di tingkat grup sumber daya. | Mencegah pengeluaran berlebih | Tim beban kerja, tim platform | Tinjauan segera, penyesuaian untuk pemberitahuan | Microsoft Cost Management |
CM02 | Cost management | R04 | Rekomendasi biaya Azure Advisor harus ditinjau. | Mengoptimalkan penggunaan cloud | Tim beban kerja, tim platform | Audit pengoptimalan wajib setelah 60 hari | Penasihat |
OP01 | Operasional | R05 | Beban kerja produksi harus memiliki arsitektur pasif aktif di seluruh wilayah. | Memastikan kelangsungan layanan | Tim beban kerja | Evaluasi arsitektur, ulasan dua tahunan | Audit manual (per rilis produksi) |
OP02 | Operasional | R05 | Semua beban kerja misi penting harus menerapkan arsitektur aktif-aktif lintas wilayah. | Memastikan kelangsungan layanan | Tim beban kerja misi penting | Pembaruan dalam waktu 90 hari, ulasan kemajuan | Audit manual (per rilis produksi) |
DG01 | Data | R06 | Enkripsi saat transit dan tidak aktif harus diterapkan ke semua data sensitif. | Melindungi data sensitif | Tim beban kerja | Penerapan enkripsi segera dan pelatihan keamanan | Kebijakan Azure |
DG02 | Data | R06 | Kebijakan siklus hidup data harus diaktifkan di Microsoft Purview untuk semua data sensitif. | Mengelola siklus hidup data | Tim beban kerja | Implementasi dalam waktu 60 hari, audit triwulanan | Microsoft Purview |
RM01 | Manajemen sumber daya | R07 | Bicep harus digunakan untuk menyebarkan sumber daya. | Menstandarkan provisi sumber daya | Tim beban kerja, tim platform | Rencana transisi Bicep langsung | Alur integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) |
RM02 | Manajemen sumber daya | R07 | Tag harus diberlakukan pada semua sumber daya cloud menggunakan Azure Policy. | Memfasilitasi pelacakan sumber daya | Semua sumber daya cloud | Pemberian tag yang benar dalam waktu 30 hari | Kebijakan Azure |
AI01 | AI | R08 | Konfigurasi pemfilteran konten AI harus diatur ke sedang atau lebih tinggi. | Mengurangi output berbahaya AI | Tim beban kerja | Langkah-langkah korektif segera | Azure OpenAI Service |
AI02 | AI | R08 | Sistem AI yang menghadap pelanggan harus digabungkan secara merah setiap bulan. | Mengidentifikasi bias AI | Tim model AI | Tinjauan segera, tindakan korektif untuk kesalahan | Audit manual (bulanan) |