Beleid voor cloudgovernance documenteer
In dit artikel leest u hoe u beleidsregels voor cloudgovernance definieert en documenteren. Beleidsregels voor cloudgovernance geven aan wat er wel of niet moet gebeuren in de cloud. Het cloudgovernanceteam moet een of meer beleidsregels voor cloudgovernance maken voor elk risico dat in de risicoanalyse wordt geïdentificeerd. Beleidsregels voor cloudgovernance definiëren de kaders voor interactie met en in de cloud.
Een benadering definiëren voor het documenteren van cloudgovernancebeleid
Bepaal een benadering voor het maken, onderhouden en bijwerken van de regels en richtlijnen die het gebruik van cloudservices bepalen. Cloudgovernancebeleid mag niet uniek zijn voor een specifieke workload. Het doel is om cloudgovernancebeleid te produceren waarvoor geen frequente updates nodig zijn en die rekening houden met de effecten van cloudgovernancebeleid in de cloudomgeving. Volg deze aanbevelingen om een beleidsdocumentatiebenadering te definiëren:
Definieer de standaardgovernancetaal. Ontwikkel een standaardstructuur en -indeling voor het documenteren van beleid voor cloudgovernance. Het beleid moet een duidelijke en gezaghebbende verwijzing zijn voor belanghebbenden.
De verschillende governancebereiken herkennen. Definieer en wijs specifieke governanceverantwoordelijkheden toe die zijn afgestemd op de unieke rollen binnen uw organisatie. Een ontwikkelaar bepaalt bijvoorbeeld toepassingscode. Een workloadteam is verantwoordelijk voor één workload en het platformteam is verantwoordelijk voor governance die workloads overnemen.
Evalueer de brede effecten van cloudgovernance. Cloudgovernance creëert wrijving. Zoek een balans tussen wrijving en vrijheid. Houd rekening met de effecten van governance op workloadarchitectuur, softwareontwikkelingsprocedures en andere gebieden tijdens het ontwikkelen van beleid voor cloudgovernance. Wat u bijvoorbeeld toestaat of niet toestaat, bepaalt de workloadarchitectuur en beïnvloedt softwareontwikkelingsprocedures.
Cloudgovernancebeleid definiëren
Maak beleidsregels voor cloudgovernance waarin wordt beschreven hoe u de cloud kunt gebruiken en beheren om risico's te beperken. Minimaliseer de noodzaak van frequente beleidsupdates. Volg deze aanbevelingen om beleidsregels voor cloudgovernance te definiëren:
Gebruik een beleids-id. Gebruik de beleidscategorie en een getal om elk beleid uniek te identificeren, zoals SC01 voor het eerste beveiligingsbeheerbeleid. De id opeenvolgend verhogen wanneer u nieuwe risico's toevoegt. Als u risico's verwijdert, kunt u hiaten in de reeks achterlaten of het laagste beschikbare aantal gebruiken.
Neem de beleidsinstructie op. Specifieke beleidsinstructies maken waarmee geïdentificeerde risico's worden aangepakt. Gebruik een definitieve taal zoals must, should, must, not en should niet. Gebruik de afdwingingscontroles uit de risicolijst als uitgangspunt. Richt u op resultaten in plaats van configuratiestappen. Geef het hulpprogramma een naam die is vereist voor afdwinging, zodat u weet waar u naleving moet controleren.
Neem een risico-id op. Vermeld het risico in het beleid. Koppel elk cloudgovernancebeleid aan een risico.
Neem de beleidscategorie op. Neem governancecategorieën op, zoals beveiliging, naleving of kostenbeheer, in de beleidscategorisatie. Categorieën helpen bij het sorteren, filteren en vinden van cloudgovernancebeleid.
Neem het beleidsdoel op. Vermeld het doel van elk beleid. Gebruik het risico of de nalevingsvereiste voor regelgeving die het beleid als uitgangspunt heeft.
Definieer het beleidsbereik. Definieer op welke en wie dit beleid van toepassing is, zoals alle cloudservices, regio's, omgevingen en workloads. Geef eventuele uitzonderingen op om ervoor te zorgen dat er geen dubbelzinnigheid is. Gebruik gestandaardiseerde taal, zodat u eenvoudig beleid kunt sorteren, filteren en zoeken.
Neem de beleidsherstelstrategieën op. Definieer het gewenste antwoord op een schending van een cloudgovernancebeleid. Pas reacties op de ernst van het risico aan, zoals het plannen van discussies over schendingen van niet-productie en onmiddellijke herstelinspanningen voor productieschendingen.
Zie het voorbeeld van beleidsregels voor cloudgovernance voor meer informatie.
Cloudgovernancebeleid distribueren
Toegang verlenen aan iedereen die zich moet houden aan het cloudgovernancebeleid. Zoek naar manieren om naleving van het cloudgovernancebeleid eenvoudiger te maken voor personen in uw organisatie. Volg deze aanbevelingen om beleidsregels voor cloudgovernance te distribueren:
Gebruik een gecentraliseerde beleidsopslagplaats. Gebruik een gecentraliseerde, gemakkelijk toegankelijke opslagplaats voor alle governancedocumentatie. Zorg ervoor dat alle belanghebbenden, teams en personen toegang hebben tot de nieuwste versies van beleidsregels en gerelateerde documenten.
Controlelijsten voor naleving maken. Geef een snel en uitvoerbaar overzicht van het beleid. Maak het voor teams gemakkelijker om te voldoen zonder uitgebreide documentatie te hoeven doorlopen. Zie de controlelijst voor voorbeeldnaleving voor meer informatie.
Cloudgovernancebeleid controleren
Evalueer en werk beleidsregels voor cloudgovernance bij om ervoor te zorgen dat ze relevant en effectief blijven in het beheren van cloudomgevingen. Regelmatige beoordelingen zorgen ervoor dat het cloudgovernancebeleid overeenkomt met veranderende wettelijke vereisten, nieuwe technologieën en veranderende bedrijfsdoelstellingen. Houd rekening met de volgende aanbevelingen wanneer u beleidsregels bekijkt:
Feedbackmechanismen implementeren. Bepaal manieren om feedback te ontvangen over de effectiviteit van cloudgovernancebeleid. Verzamel invoer van de personen die worden beïnvloed door het beleid om ervoor te zorgen dat ze hun werk nog steeds efficiënt kunnen doen. Beheerbeleid bijwerken om praktische uitdagingen en behoeften weer te geven.
Op gebeurtenissen gebaseerde beoordelingen tot stand brengen. Controleer en werk cloudgovernancebeleid bij als reactie op gebeurtenissen, zoals een mislukt governancebeleid, technologiewijziging of wijziging in naleving van regelgeving.
Plan regelmatig beoordelingen. Controleer regelmatig governancebeleid om ervoor te zorgen dat ze in overeenstemming zijn met veranderende behoeften, risico's en cloudverbeteringen. Neem bijvoorbeeld governancebeoordelingen op in de reguliere vergaderingen voor cloudgovernance met belanghebbenden.
Vergemakkelijken van wijzigingsbeheer. Neem een proces op voor beleidsbeoordeling en updates. Zorg ervoor dat het beleid voor cloudgovernance afgestemd blijft op organisatie-, regelgevings- en technologische veranderingen. Maak duidelijk hoe u beleidsregels bewerkt, verwijdert of toevoegt.
Identificeer inefficiënties. Controleer het governancebeleid om inefficiënties in de cloudarchitectuur en -bewerkingen te vinden en op te lossen. In plaats van bijvoorbeeld te vereisen dat elke workload een eigen Web Application Firewall moet gebruiken, moet u het beleid bijwerken om het gebruik van een gecentraliseerde firewall te vereisen. Bekijk beleidsregels waarvoor dubbele inspanning is vereist en kijk of er een manier is om het werk te centraliseren.
Voorbeeld van beleid voor cloudgovernance
De volgende beleidsregels voor cloudgovernance zijn voorbeelden voor naslaginformatie. Deze beleidsregels zijn gebaseerd op de voorbeelden in de voorbeeldrisicolijst.
| Beleids-id | Beleidscategorie | Risico-id | Beleidsinstructie | Doel | Bereik | Herstel | Controleren |
|---|---|---|---|---|---|---|---|
| RC01 | Naleving van regelgeving | R01 | Microsoft Purview moet worden gebruikt om gevoelige gegevens te bewaken. | Naleving van regelgeving | Workloadteams, platformteam | Onmiddellijke actie door getroffen team, nalevingstraining | Microsoft Purview |
| RC02 | Naleving van regelgeving | R01 | Dagelijkse rapporten over naleving van gevoelige gegevens moeten worden gegenereerd vanuit Microsoft Purview. | Naleving van regelgeving | Workloadteams, platformteam | Oplossing binnen één dag, bevestigingscontrole | Microsoft Purview |
| SC01 | Beveiliging | R02 | Meervoudige verificatie (MFA) moet zijn ingeschakeld voor alle gebruikers. | Gegevensschendingen en onbevoegde toegang beperken | Azure-gebruikers | Gebruikerstoegang intrekken | Voorwaardelijke toegang voor Microsoft Entra-id |
| SC02 | Beveiliging | R02 | Toegangsbeoordelingen moeten maandelijks worden uitgevoerd in Microsoft Entra ID-governance. | Gegevens- en service-integriteit garanderen | Azure-gebruikers | Onmiddellijke toegang intrekken voor niet-naleving | ID-beheer |
| SC03 | Beveiliging | R03 | Teams moet de opgegeven GitHub-organisatie gebruiken voor veilige hosting van alle software- en infrastructuurcode. | Veilig en gecentraliseerd beheer van codeopslagplaatsen garanderen | Ontwikkelteams | Overdracht van niet-geautoriseerde opslagplaatsen naar de opgegeven GitHub-organisatie en mogelijke disciplinaire acties voor niet-naleving | GitHub-auditlogboek |
| SC04 | Beveiliging | R03 | Teams die gebruikmaken van bibliotheken uit openbare bronnen, moeten het quarantainepatroon aannemen. | Zorg ervoor dat bibliotheken veilig en compatibel zijn voordat ze worden geïntegreerd in het ontwikkelingsproces | Ontwikkelteams | Verwijdering van niet-compatibele bibliotheken en beoordeling van integratieprocedures voor betrokken projecten | Handmatige controle (maandelijks) |
| CM01 | Kostenbeheer | R04 | Workloadteams moeten budgetwaarschuwingen instellen op resourcegroepniveau. | Overbesteding voorkomen | Workloadteams, platformteam | Directe beoordelingen, aanpassingen voor waarschuwingen | Microsoft Cost Management |
| CM02 | Kostenbeheer | R04 | Aanbevelingen voor azure Advisor-kosten moeten worden gecontroleerd. | Cloudgebruik optimaliseren | Workloadteams, platformteam | Verplichte optimalisatiecontroles na 60 dagen | Advisor |
| OP01 | Operations | R05 | Productieworkloads moeten een actief-passieve architectuur hebben in verschillende regio's. | Servicecontinuïteit garanderen | Workloadteams | Architectuurevaluaties, biannual reviews | Handmatige controle (per productierelease) |
| OP02 | Operations | R05 | Alle bedrijfskritieke workloads moeten een actief-actief-architectuur in meerdere regio's implementeren. | Servicecontinuïteit garanderen | Bedrijfskritieke workloadteams | Updates binnen 90 dagen, voortgangsbeoordelingen | Handmatige controle (per productierelease) |
| DG01 | Gegevens | R06 | Versleuteling in transit en at rest moet worden toegepast op alle gevoelige gegevens. | Gevoelige gegevens beveiligen | Workloadteams | Onmiddellijke afdwinging van versleuteling en beveiligingstraining | Azure Policy |
| DG02 | Gegevens | R06 | Het levenscyclusbeleid voor gegevens moet zijn ingeschakeld in Microsoft Purview voor alle gevoelige gegevens. | De levenscyclus van gegevens beheren | Workloadteams | Implementatie binnen 60 dagen, kwartaalcontroles | Microsoft Purview |
| RM01 | Resourcebeheer | R07 | Bicep moet worden gebruikt om resources te implementeren. | Resourceinrichting standaardiseren | Workloadteams, platformteam | Directe Bicep-overgangsplan | Pijplijn voor continue integratie en continue levering (CI/CD) |
| RM02 | Resourcebeheer | R07 | Tags moeten worden afgedwongen voor alle cloudresources met behulp van Azure Policy. | Het bijhouden van resources vergemakkelijken | Alle cloudresources | Taggen binnen 30 dagen corrigeren | Azure Policy |
| AI01 | AI | R08 | De configuratie voor het filteren van AI-inhoud moet zijn ingesteld op gemiddeld of hoger. | Schadelijke AI-uitvoer beperken | Workloadteams | Onmiddellijke corrigerende maatregelen | Azure OpenAI Service |
| AI02 | AI | R08 | Klantgerichte AI-systemen moeten maandelijks opnieuw worden gekoppeld. | AI-vooroordelen identificeren | AI-modelteams | Onmiddellijke beoordeling, corrigerende acties voor gemiste acties | Handmatige controle (maandelijks) |