Share via


Beleid voor cloudgovernance documenteer

In dit artikel leest u hoe u beleidsregels voor cloudgovernance definieert en documenteren. Beleidsregels voor cloudgovernance geven aan wat er wel of niet moet gebeuren in de cloud. Het cloudgovernanceteam moet een of meer beleidsregels voor cloudgovernance maken voor elk risico dat in de risicoanalyse wordt geïdentificeerd. Beleidsregels voor cloudgovernance definiëren de kaders voor interactie met en in de cloud.

Diagram met het proces voor het instellen en onderhouden van cloudgovernance. In het diagram ziet u vijf opeenvolgende stappen: een cloudgovernanceteam bouwen, cloudgovernancebeleid documenteer, beleid voor cloudgovernance afdwingen en cloudgovernance bewaken. De eerste stap die u eenmaal uitvoert. De laatste vier stappen die u eenmaal uitvoert om cloudgovernance in te stellen en continu cloudgovernance te onderhouden.

Een benadering definiëren voor het documenteren van cloudgovernancebeleid

Bepaal een benadering voor het maken, onderhouden en bijwerken van de regels en richtlijnen die het gebruik van cloudservices bepalen. Cloudgovernancebeleid mag niet uniek zijn voor een specifieke workload. Het doel is om cloudgovernancebeleid te produceren waarvoor geen frequente updates nodig zijn en die rekening houden met de effecten van cloudgovernancebeleid in de cloudomgeving. Volg deze aanbevelingen om een beleidsdocumentatiebenadering te definiëren:

  • Definieer de standaardgovernancetaal. Ontwikkel een standaardstructuur en -indeling voor het documenteren van beleid voor cloudgovernance. Het beleid moet een duidelijke en gezaghebbende verwijzing zijn voor belanghebbenden.

  • De verschillende governancebereiken herkennen. Definieer en wijs specifieke governanceverantwoordelijkheden toe die zijn afgestemd op de unieke rollen binnen uw organisatie. Een ontwikkelaar bepaalt bijvoorbeeld toepassingscode. Een workloadteam is verantwoordelijk voor één workload en het platformteam is verantwoordelijk voor governance die workloads overnemen.

  • Evalueer de brede effecten van cloudgovernance. Cloudgovernance creëert wrijving. Zoek een balans tussen wrijving en vrijheid. Houd rekening met de effecten van governance op workloadarchitectuur, softwareontwikkelingsprocedures en andere gebieden tijdens het ontwikkelen van beleid voor cloudgovernance. Wat u bijvoorbeeld toestaat of niet toestaat, bepaalt de workloadarchitectuur en beïnvloedt softwareontwikkelingsprocedures.

Cloudgovernancebeleid definiëren

Maak beleidsregels voor cloudgovernance waarin wordt beschreven hoe u de cloud kunt gebruiken en beheren om risico's te beperken. Minimaliseer de noodzaak van frequente beleidsupdates. Volg deze aanbevelingen om beleidsregels voor cloudgovernance te definiëren:

  • Gebruik een beleids-id. Gebruik de beleidscategorie en een getal om elk beleid uniek te identificeren, zoals SC01 voor het eerste beveiligingsbeheerbeleid. De id opeenvolgend verhogen wanneer u nieuwe risico's toevoegt. Als u risico's verwijdert, kunt u hiaten in de reeks achterlaten of het laagste beschikbare aantal gebruiken.

  • Neem de beleidsinstructie op. Specifieke beleidsinstructies maken waarmee geïdentificeerde risico's worden aangepakt. Gebruik een definitieve taal zoals must, should, must, not en should niet. Gebruik de afdwingingscontroles uit de risicolijst als uitgangspunt. Richt u op resultaten in plaats van configuratiestappen. Geef het hulpprogramma een naam die is vereist voor afdwinging, zodat u weet waar u naleving moet controleren.

  • Neem een risico-id op. Vermeld het risico in het beleid. Koppel elk cloudgovernancebeleid aan een risico.

  • Neem de beleidscategorie op. Neem governancecategorieën op, zoals beveiliging, naleving of kostenbeheer, in de beleidscategorisatie. Categorieën helpen bij het sorteren, filteren en vinden van cloudgovernancebeleid.

  • Neem het beleidsdoel op. Vermeld het doel van elk beleid. Gebruik het risico of de nalevingsvereiste voor regelgeving die het beleid als uitgangspunt heeft.

  • Definieer het beleidsbereik. Definieer op welke en wie dit beleid van toepassing is, zoals alle cloudservices, regio's, omgevingen en workloads. Geef eventuele uitzonderingen op om ervoor te zorgen dat er geen dubbelzinnigheid is. Gebruik gestandaardiseerde taal, zodat u eenvoudig beleid kunt sorteren, filteren en zoeken.

  • Neem de beleidsherstelstrategieën op. Definieer het gewenste antwoord op een schending van een cloudgovernancebeleid. Pas reacties op de ernst van het risico aan, zoals het plannen van discussies over schendingen van niet-productie en onmiddellijke herstelinspanningen voor productieschendingen.

Zie het voorbeeld van beleidsregels voor cloudgovernance voor meer informatie.

Cloudgovernancebeleid distribueren

Toegang verlenen aan iedereen die zich moet houden aan het cloudgovernancebeleid. Zoek naar manieren om naleving van het cloudgovernancebeleid eenvoudiger te maken voor personen in uw organisatie. Volg deze aanbevelingen om beleidsregels voor cloudgovernance te distribueren:

  • Gebruik een gecentraliseerde beleidsopslagplaats. Gebruik een gecentraliseerde, gemakkelijk toegankelijke opslagplaats voor alle governancedocumentatie. Zorg ervoor dat alle belanghebbenden, teams en personen toegang hebben tot de nieuwste versies van beleidsregels en gerelateerde documenten.

  • Controlelijsten voor naleving maken. Geef een snel en uitvoerbaar overzicht van het beleid. Maak het voor teams gemakkelijker om te voldoen zonder uitgebreide documentatie te hoeven doorlopen. Zie de controlelijst voor voorbeeldnaleving voor meer informatie.

Cloudgovernancebeleid controleren

Evalueer en werk beleidsregels voor cloudgovernance bij om ervoor te zorgen dat ze relevant en effectief blijven in het beheren van cloudomgevingen. Regelmatige beoordelingen zorgen ervoor dat het cloudgovernancebeleid overeenkomt met veranderende wettelijke vereisten, nieuwe technologieën en veranderende bedrijfsdoelstellingen. Houd rekening met de volgende aanbevelingen wanneer u beleidsregels bekijkt:

  • Feedbackmechanismen implementeren. Bepaal manieren om feedback te ontvangen over de effectiviteit van cloudgovernancebeleid. Verzamel invoer van de personen die worden beïnvloed door het beleid om ervoor te zorgen dat ze hun werk nog steeds efficiënt kunnen doen. Beheerbeleid bijwerken om praktische uitdagingen en behoeften weer te geven.

  • Op gebeurtenissen gebaseerde beoordelingen tot stand brengen. Controleer en werk cloudgovernancebeleid bij als reactie op gebeurtenissen, zoals een mislukt governancebeleid, technologiewijziging of wijziging in naleving van regelgeving.

  • Plan regelmatig beoordelingen. Controleer regelmatig governancebeleid om ervoor te zorgen dat ze in overeenstemming zijn met veranderende behoeften, risico's en cloudverbeteringen. Neem bijvoorbeeld governancebeoordelingen op in de reguliere vergaderingen voor cloudgovernance met belanghebbenden.

  • Vergemakkelijken van wijzigingsbeheer. Neem een proces op voor beleidsbeoordeling en updates. Zorg ervoor dat het beleid voor cloudgovernance afgestemd blijft op organisatie-, regelgevings- en technologische veranderingen. Maak duidelijk hoe u beleidsregels bewerkt, verwijdert of toevoegt.

  • Identificeer inefficiënties. Controleer het governancebeleid om inefficiënties in de cloudarchitectuur en -bewerkingen te vinden en op te lossen. In plaats van bijvoorbeeld te vereisen dat elke workload een eigen Web Application Firewall moet gebruiken, moet u het beleid bijwerken om het gebruik van een gecentraliseerde firewall te vereisen. Bekijk beleidsregels waarvoor dubbele inspanning is vereist en kijk of er een manier is om het werk te centraliseren.

Voorbeeld van beleid voor cloudgovernance

De volgende beleidsregels voor cloudgovernance zijn voorbeelden voor naslaginformatie. Deze beleidsregels zijn gebaseerd op de voorbeelden in de voorbeeldrisicolijst.

Beleids-id Beleidscategorie Risico-id Beleidsinstructie Doel Bereik Herstel Controleren
RC01 Naleving van regelgeving R01 Microsoft Purview moet worden gebruikt om gevoelige gegevens te bewaken. Naleving van regelgeving Workloadteams, platformteam Onmiddellijke actie door getroffen team, nalevingstraining Microsoft Purview
RC02 Naleving van regelgeving R01 Dagelijkse rapporten over naleving van gevoelige gegevens moeten worden gegenereerd vanuit Microsoft Purview. Naleving van regelgeving Workloadteams, platformteam Oplossing binnen één dag, bevestigingscontrole Microsoft Purview
SC01 Beveiliging R02 Meervoudige verificatie (MFA) moet zijn ingeschakeld voor alle gebruikers. Gegevensschendingen en onbevoegde toegang beperken Azure-gebruikers Gebruikerstoegang intrekken Voorwaardelijke toegang voor Microsoft Entra-id
SC02 Beveiliging R02 Toegangsbeoordelingen moeten maandelijks worden uitgevoerd in Microsoft Entra ID-governance. Gegevens- en service-integriteit garanderen Azure-gebruikers Onmiddellijke toegang intrekken voor niet-naleving ID-beheer
SC03 Beveiliging R03 Teams moet de opgegeven GitHub-organisatie gebruiken voor veilige hosting van alle software- en infrastructuurcode. Veilig en gecentraliseerd beheer van codeopslagplaatsen garanderen Ontwikkelteams Overdracht van niet-geautoriseerde opslagplaatsen naar de opgegeven GitHub-organisatie en mogelijke disciplinaire acties voor niet-naleving GitHub-auditlogboek
SC04 Beveiliging R03 Teams die gebruikmaken van bibliotheken uit openbare bronnen, moeten het quarantainepatroon aannemen. Zorg ervoor dat bibliotheken veilig en compatibel zijn voordat ze worden geïntegreerd in het ontwikkelingsproces Ontwikkelteams Verwijdering van niet-compatibele bibliotheken en beoordeling van integratieprocedures voor betrokken projecten Handmatige controle (maandelijks)
CM01 Kostenbeheer R04 Workloadteams moeten budgetwaarschuwingen instellen op resourcegroepniveau. Overbesteding voorkomen Workloadteams, platformteam Directe beoordelingen, aanpassingen voor waarschuwingen Microsoft Cost Management
CM02 Kostenbeheer R04 Aanbevelingen voor azure Advisor-kosten moeten worden gecontroleerd. Cloudgebruik optimaliseren Workloadteams, platformteam Verplichte optimalisatiecontroles na 60 dagen Advisor
OP01 Operations R05 Productieworkloads moeten een actief-passieve architectuur hebben in verschillende regio's. Servicecontinuïteit garanderen Workloadteams Architectuurevaluaties, biannual reviews Handmatige controle (per productierelease)
OP02 Operations R05 Alle bedrijfskritieke workloads moeten een actief-actief-architectuur in meerdere regio's implementeren. Servicecontinuïteit garanderen Bedrijfskritieke workloadteams Updates binnen 90 dagen, voortgangsbeoordelingen Handmatige controle (per productierelease)
DG01 Gegevens R06 Versleuteling in transit en at rest moet worden toegepast op alle gevoelige gegevens. Gevoelige gegevens beveiligen Workloadteams Onmiddellijke afdwinging van versleuteling en beveiligingstraining Azure Policy
DG02 Gegevens R06 Het levenscyclusbeleid voor gegevens moet zijn ingeschakeld in Microsoft Purview voor alle gevoelige gegevens. De levenscyclus van gegevens beheren Workloadteams Implementatie binnen 60 dagen, kwartaalcontroles Microsoft Purview
RM01 Resourcebeheer R07 Bicep moet worden gebruikt om resources te implementeren. Resourceinrichting standaardiseren Workloadteams, platformteam Directe Bicep-overgangsplan Pijplijn voor continue integratie en continue levering (CI/CD)
RM02 Resourcebeheer R07 Tags moeten worden afgedwongen voor alle cloudresources met behulp van Azure Policy. Het bijhouden van resources vergemakkelijken Alle cloudresources Taggen binnen 30 dagen corrigeren Azure Policy
AI01 AI R08 De configuratie voor het filteren van AI-inhoud moet zijn ingesteld op gemiddeld of hoger. Schadelijke AI-uitvoer beperken Workloadteams Onmiddellijke corrigerende maatregelen Azure OpenAI Service
AI02 AI R08 Klantgerichte AI-systemen moeten maandelijks opnieuw worden gekoppeld. AI-vooroordelen identificeren AI-modelteams Onmiddellijke beoordeling, corrigerende acties voor gemiste acties Handmatige controle (maandelijks)

Volgende stap