Udostępnij za pośrednictwem


Dokumentowanie zasad ładu w chmurze

W tym artykule przedstawiono sposób definiowania i dokumentowania zasad ładu w chmurze. Zasady ładu w chmurze określają, co powinno się zdarzyć lub nie powinno się zdarzyć w chmurze. Zespół ds. ładu w chmurze powinien utworzyć co najmniej jedną zasady ładu w chmurze dla każdego ryzyka określonego w ocenie ryzyka. Zasady ładu w chmurze definiują bariery zabezpieczające do interakcji z chmurą i w chmurze.

Diagram przedstawiający proces konfigurowania i utrzymania ładu w chmurze. Na diagramie przedstawiono pięć kroków sekwencyjnych: tworzenie zespołu ds. ładu w chmurze, dokumentowanie zasad ładu w chmurze, wymuszanie zasad ładu w chmurze i monitorowanie ładu w chmurze. Pierwszy krok, który należy wykonać raz. Ostatnie cztery kroki wykonywane raz w celu skonfigurowania ładu w chmurze i ciągłego utrzymania ładu w chmurze.

Definiowanie podejścia do dokumentowania zasad ładu w chmurze

Ustanów podejście do tworzenia, utrzymywania i aktualizowania reguł i wytycznych, które zarządzają korzystaniem z usług w chmurze. Zasady ładu w chmurze nie powinny być unikatowe dla określonego obciążenia. Celem jest utworzenie zasad ładu w chmurze, które nie wymagają częstych aktualizacji i które uwzględniają skutki zasad ładu w chmurze w środowisku chmury. Aby zdefiniować podejście do dokumentacji zasad, wykonaj następujące zalecenia:

  • Zdefiniuj standardowy język zapewniania ładu. Opracuj standardową strukturę i format dokumentujący zasady ładu w chmurze. Zasady muszą być jasnym i autorytatywnym odniesieniem dla uczestników projektu.

  • Rozpoznawanie różnych zakresów ładu. Definiowanie i przypisywanie określonych obowiązków związanych z ładem dostosowanych do unikatowych ról w organizacji. Na przykład deweloper zarządza kodem aplikacji. Zespół ds. obciążeń jest odpowiedzialny za pojedyncze obciążenie, a zespół platformy jest odpowiedzialny za nadzór, który dziedziczy obciążenia.

  • Oceń szerokie skutki utrzymania ładu w chmurze. Ład w chmurze stwarza problemy. Znajdź równowagę między tarciem a wolnością. Podczas opracowywania zasad ładu w chmurze należy wziąć pod uwagę wpływ ładu na architekturę obciążeń, praktyki programistyczne i inne obszary. Na przykład to, co zezwalasz lub nie zezwalasz, określa architekturę obciążenia i wpływa na praktyki programistyczne.

Definiowanie zasad ładu w chmurze

Utwórz zasady ładu w chmurze, które przedstawiają sposób używania chmury i zarządzania nią w celu ograniczenia ryzyka. Zminimalizuj potrzebę częstych aktualizacji zasad. Aby zdefiniować zasady ładu w chmurze, wykonaj następujące zalecenia:

  • Użyj identyfikatora zasad. Użyj kategorii zasad i liczby, aby jednoznacznie zidentyfikować poszczególne zasady, takie jak SC01 dla pierwszych zasad ładu zabezpieczeń. Zwiększaj identyfikator sekwencyjnie podczas dodawania nowych czynników ryzyka. Jeśli usuniesz ryzyko, możesz pozostawić luki w sekwencji lub użyć najniższej dostępnej liczby.

  • Dołącz instrukcję zasad. Utwórz konkretne instrukcje zasad, które dotyczą zidentyfikowanych czynników ryzyka. Użyj ostatecznego języka, takiego jak musi, powinien, nie może i nie powinien. Użyj mechanizmów kontroli wymuszania z listy ryzyka jako punktu wyjścia. Skoncentruj się na wynikach, a nie na krokach konfiguracji. Nadaj nazwę narzędziu wymaganemu do wymuszania, aby wiedzieć, gdzie monitorować zgodność.

  • Uwzględnij identyfikator ryzyka. Wyświetl listę ryzyka w zasadach. Skojarz wszystkie zasady ładu w chmurze z ryzykiem.

  • Uwzględnij kategorię zasad. Uwzględnij kategorie ładu, takie jak zabezpieczenia, zgodność lub zarządzanie kosztami, do kategoryzacji zasad. Kategorie ułatwiają sortowanie, filtrowanie i znajdowanie zasad ładu w chmurze.

  • Uwzględnij cel zasad. Podaj przeznaczenie poszczególnych zasad. Użyj ryzyka lub wymagania zgodności z przepisami, które zasady spełniają jako punkt wyjścia.

  • Zdefiniuj zakres zasad. Zdefiniuj, do czego mają zastosowanie te zasady, takie jak wszystkie usługi w chmurze, regiony, środowiska i obciążenia. Określ wszelkie wyjątki, aby upewnić się, że nie ma wątpliwości. Używaj standardowego języka, aby łatwo sortować, filtrować i znajdować zasady.

  • Uwzględnij strategie korygowania zasad. Zdefiniuj żądaną odpowiedź na naruszenie zasad ładu w chmurze. Dostosuj odpowiedzi na ważność ryzyka, takie jak planowanie dyskusji dotyczących naruszeń nieprodukcyjnych i natychmiastowe działania naprawcze w przypadku naruszeń produkcji.

Aby uzyskać więcej informacji, zobacz przykładowe zasady ładu w chmurze.

Dystrybuowanie zasad ładu w chmurze

Udziel dostępu wszystkim, którzy muszą przestrzegać zasad ładu w chmurze. Poszukaj sposobów ułatwienia przestrzegania zasad ładu w chmurze dla osób w organizacji. Aby dystrybuować zasady ładu w chmurze, postępuj zgodnie z następującymi zaleceniami:

  • Użyj scentralizowanego repozytorium zasad. Użyj scentralizowanego, łatwo dostępnego repozytorium dla całej dokumentacji ładu. Upewnij się, że wszyscy uczestnicy projektu, zespoły i osoby fizyczne mają dostęp do najnowszych wersji zasad i powiązanych dokumentów.

  • Tworzenie list kontrolnych zgodności. Podaj szybki i praktyczny przegląd zasad. Ułatwiaj zespołom zgodność bez konieczności przeglądania obszernej dokumentacji. Aby uzyskać więcej informacji, zobacz przykładowa lista kontrolna zgodności.

Przegląd zasad ładu w chmurze

Ocenianie i aktualizowanie zasad zapewniania ładu w chmurze w celu zapewnienia, że pozostają one istotne i skuteczne w zarządzaniu środowiskami chmury. Regularne przeglądy pomagają zapewnić, że zasady ładu w chmurze są zgodne ze zmieniającymi się wymaganiami prawnymi, nowymi technologiami i zmieniającymi się celami biznesowymi. Podczas przeglądania zasad należy wziąć pod uwagę następujące zalecenia:

  • Implementowanie mechanizmów przesyłania opinii. Ustanów sposoby otrzymywania opinii na temat skuteczności zasad ładu w chmurze. Zbierz dane wejściowe od osób, których dotyczą zasady, aby upewnić się, że nadal mogą wykonywać swoją pracę wydajnie. Aktualizowanie zasad ładu w celu odzwierciedlenia praktycznych wyzwań i potrzeb.

  • Ustanów przeglądy oparte na zdarzeniach. Przejrzyj i zaktualizuj zasady ładu w chmurze w odpowiedzi na zdarzenia, takie jak nieudane zasady ładu, zmiana technologii lub zmiana zgodności z przepisami.

  • Zaplanuj regularne przeglądy. Regularnie przeglądaj zasady ładu, aby upewnić się, że są one zgodne ze zmieniającymi się potrzebami organizacji, ryzykiem i postępami w chmurze. Na przykład należy uwzględnić przeglądy ładu w regularnych spotkaniach dotyczących ładu w chmurze z uczestnikami projektu.

  • Ułatwia sterowanie zmianami. Uwzględnij proces przeglądu zasad i aktualizacji. Upewnij się, że zasady ładu w chmurze są zgodne ze zmianami organizacyjnymi, regulacyjnymi i technologicznymi. Wyjaśnij, jak edytować, usuwać lub dodawać zasady.

  • Identyfikowanie nieefektywności. Przejrzyj zasady ładu, aby znaleźć i naprawić nieefektywność w architekturze i operacjach w chmurze. Na przykład zamiast wymuszać, że każde obciążenie musi używać własnej zapory aplikacji internetowej, zaktualizuj zasady, aby wymagać użycia scentralizowanej zapory. Przejrzyj zasady wymagające zduplikowanego nakładu pracy i sprawdź, czy istnieje sposób na scentralizowanie pracy.

Przykładowe zasady ładu w chmurze

Poniżej przedstawiono przykłady zasad zapewniania ładu w chmurze. Te zasady są oparte na przykładach na przykładowej liście ryzyka.

Identyfikator zasad Kategoria zasad Identyfikator ryzyka Instrukcja zasad Purpose Scope Korekty Monitorowanie
RC01 Zgodność z przepisami R01 Usługa Microsoft Purview musi być używana do monitorowania poufnych danych. Zgodność z przepisami Zespoły obciążeń, zespół platformy Natychmiastowe działanie zespołu, którego dotyczy problem, szkolenie w zakresie zgodności Microsoft Purview
RC02 Zgodność z przepisami R01 Codzienne raporty zgodności danych poufnych muszą być generowane na podstawie usługi Microsoft Purview. Zgodność z przepisami Zespoły obciążeń, zespół platformy Rozwiązanie w ciągu jednego dnia, inspekcja potwierdzenia Microsoft Purview
SC01 Zabezpieczenia R02 Uwierzytelnianie wieloskładnikowe (MFA) musi być włączone dla wszystkich użytkowników. Ograniczanie naruszeń danych i nieautoryzowanego dostępu Użytkownicy platformy Azure Odwoływanie dostępu użytkowników Dostęp warunkowy identyfikatora entra firmy Microsoft
SC02 Zabezpieczenia R02 Przeglądy dostępu muszą być przeprowadzane co miesiąc w Zarządzanie tożsamością Microsoft Entra. Zapewnianie integralności danych i usług Użytkownicy platformy Azure Natychmiastowe odwołanie dostępu w przypadku niezgodności Identyfikator ładu
SC03 Zabezpieczenia R03 Usługa Teams musi używać określonej organizacji usługi GitHub do bezpiecznego hostowania całego kodu oprogramowania i infrastruktury. Zapewnianie bezpiecznego i scentralizowanego zarządzania repozytoriami kodu Zespoły programistyczne Przenoszenie nieautoryzowanych repozytoriów do określonej organizacji usługi GitHub i potencjalnych działań dyscyplinarnych w przypadku niezgodności Dziennik inspekcji usługi GitHub
SC04 Zabezpieczenia R03 Zespoły korzystające z bibliotek ze źródeł publicznych muszą przyjąć wzorzec kwarantanny. Upewnij się, że biblioteki są bezpieczne i zgodne przed integracją z procesem programowania Zespoły programistyczne Usuwanie niezgodnych bibliotek i przegląd praktyk integracji dla projektów, których dotyczy problem Inspekcja ręczna (co miesiąc)
CM01 Zarządzanie kosztami R04 Zespoły obciążeń muszą ustawić alerty dotyczące budżetów na poziomie grupy zasobów. Zapobieganie nadmiernym kosztom Zespoły obciążeń, zespół platformy Natychmiastowe przeglądy, korekty alertów Microsoft Cost Management
CM02 Zarządzanie kosztami R04 Należy przejrzeć zalecenia dotyczące kosztów usługi Azure Advisor. Optymalizowanie użycia chmury Zespoły obciążeń, zespół platformy Obowiązkowe inspekcje optymalizacji po upływie 60 dni Advisor
OP01 Operacje R05 Obciążenia produkcyjne powinny mieć architekturę aktywne-pasywne w różnych regionach. Zapewnianie ciągłości usługi Zespoły obciążeń Oceny architektury, przeglądy biannualne Inspekcja ręczna (na wydanie produkcyjne)
OP02 Operacje R05 Wszystkie obciążenia o znaczeniu krytycznym muszą implementować architekturę aktywne-aktywne w wielu regionach. Zapewnianie ciągłości usługi Zespoły obciążeń o krytycznym znaczeniu Aktualizacje w ciągu 90 dni przeglądy postępu Inspekcja ręczna (na wydanie produkcyjne)
DG01 Data R06 Szyfrowanie podczas przesyłania i magazynowania musi być stosowane do wszystkich poufnych danych. Ochrona poufnych danych Zespoły obciążeń Natychmiastowe wymuszanie szyfrowania i szkolenie zabezpieczeń Azure Policy
DG02 Data R06 Zasady cyklu życia danych muszą być włączone w usłudze Microsoft Purview dla wszystkich poufnych danych. Zarządzanie cyklem życia danych Zespoły obciążeń Implementacja w ciągu 60 dni, kwartalne inspekcje Microsoft Purview
RM01 Zarządzanie zasobami R07 Bicep musi służyć do wdrażania zasobów. Standaryzacja aprowizacji zasobów Zespoły obciążeń, zespół platformy Natychmiastowy plan przejścia Bicep Potok ciągłej integracji i ciągłego dostarczania (CI/CD)
RM02 Zarządzanie zasobami R07 Tagi muszą być wymuszane na wszystkich zasobach w chmurze przy użyciu usługi Azure Policy. Ułatwianie śledzenia zasobów Wszystkie zasoby w chmurze Poprawne tagowanie w ciągu 30 dni Azure Policy
AI01 Sztuczna inteligencja R08 Konfiguracja filtrowania zawartości sztucznej inteligencji musi być ustawiona na średnią lub wyższą. Eliminowanie szkodliwych danych wyjściowych sztucznej inteligencji Zespoły obciążeń Natychmiastowe środki naprawcze Azure OpenAI Service
AI02 Sztuczna inteligencja R08 Systemy sztucznej inteligencji dostępne dla klientów muszą być co miesiąc ponownie połączone zespołem. Identyfikowanie uprzedzeń sztucznej inteligencji Zespoły modeli sztucznej inteligencji Natychmiastowe przeglądy, akcje naprawcze w przypadku chybień Inspekcja ręczna (co miesiąc)

Następny krok