Dokumentowanie zasad ładu w chmurze
W tym artykule przedstawiono sposób definiowania i dokumentowania zasad ładu w chmurze. Zasady ładu w chmurze określają, co powinno się zdarzyć lub nie powinno się zdarzyć w chmurze. Zespół ds. ładu w chmurze powinien utworzyć co najmniej jedną zasady ładu w chmurze dla każdego ryzyka określonego w ocenie ryzyka. Zasady ładu w chmurze definiują bariery zabezpieczające do interakcji z chmurą i w chmurze.
Definiowanie podejścia do dokumentowania zasad ładu w chmurze
Ustanów podejście do tworzenia, utrzymywania i aktualizowania reguł i wytycznych, które zarządzają korzystaniem z usług w chmurze. Zasady ładu w chmurze nie powinny być unikatowe dla określonego obciążenia. Celem jest utworzenie zasad ładu w chmurze, które nie wymagają częstych aktualizacji i które uwzględniają skutki zasad ładu w chmurze w środowisku chmury. Aby zdefiniować podejście do dokumentacji zasad, wykonaj następujące zalecenia:
Zdefiniuj standardowy język zapewniania ładu. Opracuj standardową strukturę i format dokumentujący zasady ładu w chmurze. Zasady muszą być jasnym i autorytatywnym odniesieniem dla uczestników projektu.
Rozpoznawanie różnych zakresów ładu. Definiowanie i przypisywanie określonych obowiązków związanych z ładem dostosowanych do unikatowych ról w organizacji. Na przykład deweloper zarządza kodem aplikacji. Zespół ds. obciążeń jest odpowiedzialny za pojedyncze obciążenie, a zespół platformy jest odpowiedzialny za nadzór, który dziedziczy obciążenia.
Oceń szerokie skutki utrzymania ładu w chmurze. Ład w chmurze stwarza problemy. Znajdź równowagę między tarciem a wolnością. Podczas opracowywania zasad ładu w chmurze należy wziąć pod uwagę wpływ ładu na architekturę obciążeń, praktyki programistyczne i inne obszary. Na przykład to, co zezwalasz lub nie zezwalasz, określa architekturę obciążenia i wpływa na praktyki programistyczne.
Definiowanie zasad ładu w chmurze
Utwórz zasady ładu w chmurze, które przedstawiają sposób używania chmury i zarządzania nią w celu ograniczenia ryzyka. Zminimalizuj potrzebę częstych aktualizacji zasad. Aby zdefiniować zasady ładu w chmurze, wykonaj następujące zalecenia:
Użyj identyfikatora zasad. Użyj kategorii zasad i liczby, aby jednoznacznie zidentyfikować poszczególne zasady, takie jak SC01 dla pierwszych zasad ładu zabezpieczeń. Zwiększaj identyfikator sekwencyjnie podczas dodawania nowych czynników ryzyka. Jeśli usuniesz ryzyko, możesz pozostawić luki w sekwencji lub użyć najniższej dostępnej liczby.
Dołącz instrukcję zasad. Utwórz konkretne instrukcje zasad, które dotyczą zidentyfikowanych czynników ryzyka. Użyj ostatecznego języka, takiego jak musi, powinien, nie może i nie powinien. Użyj mechanizmów kontroli wymuszania z listy ryzyka jako punktu wyjścia. Skoncentruj się na wynikach, a nie na krokach konfiguracji. Nadaj nazwę narzędziu wymaganemu do wymuszania, aby wiedzieć, gdzie monitorować zgodność.
Uwzględnij identyfikator ryzyka. Wyświetl listę ryzyka w zasadach. Skojarz wszystkie zasady ładu w chmurze z ryzykiem.
Uwzględnij kategorię zasad. Uwzględnij kategorie ładu, takie jak zabezpieczenia, zgodność lub zarządzanie kosztami, do kategoryzacji zasad. Kategorie ułatwiają sortowanie, filtrowanie i znajdowanie zasad ładu w chmurze.
Uwzględnij cel zasad. Podaj przeznaczenie poszczególnych zasad. Użyj ryzyka lub wymagania zgodności z przepisami, które zasady spełniają jako punkt wyjścia.
Zdefiniuj zakres zasad. Zdefiniuj, do czego mają zastosowanie te zasady, takie jak wszystkie usługi w chmurze, regiony, środowiska i obciążenia. Określ wszelkie wyjątki, aby upewnić się, że nie ma wątpliwości. Używaj standardowego języka, aby łatwo sortować, filtrować i znajdować zasady.
Uwzględnij strategie korygowania zasad. Zdefiniuj żądaną odpowiedź na naruszenie zasad ładu w chmurze. Dostosuj odpowiedzi na ważność ryzyka, takie jak planowanie dyskusji dotyczących naruszeń nieprodukcyjnych i natychmiastowe działania naprawcze w przypadku naruszeń produkcji.
Aby uzyskać więcej informacji, zobacz przykładowe zasady ładu w chmurze.
Dystrybuowanie zasad ładu w chmurze
Udziel dostępu wszystkim, którzy muszą przestrzegać zasad ładu w chmurze. Poszukaj sposobów ułatwienia przestrzegania zasad ładu w chmurze dla osób w organizacji. Aby dystrybuować zasady ładu w chmurze, postępuj zgodnie z następującymi zaleceniami:
Użyj scentralizowanego repozytorium zasad. Użyj scentralizowanego, łatwo dostępnego repozytorium dla całej dokumentacji ładu. Upewnij się, że wszyscy uczestnicy projektu, zespoły i osoby fizyczne mają dostęp do najnowszych wersji zasad i powiązanych dokumentów.
Tworzenie list kontrolnych zgodności. Podaj szybki i praktyczny przegląd zasad. Ułatwiaj zespołom zgodność bez konieczności przeglądania obszernej dokumentacji. Aby uzyskać więcej informacji, zobacz przykładowa lista kontrolna zgodności.
Przegląd zasad ładu w chmurze
Ocenianie i aktualizowanie zasad zapewniania ładu w chmurze w celu zapewnienia, że pozostają one istotne i skuteczne w zarządzaniu środowiskami chmury. Regularne przeglądy pomagają zapewnić, że zasady ładu w chmurze są zgodne ze zmieniającymi się wymaganiami prawnymi, nowymi technologiami i zmieniającymi się celami biznesowymi. Podczas przeglądania zasad należy wziąć pod uwagę następujące zalecenia:
Implementowanie mechanizmów przesyłania opinii. Ustanów sposoby otrzymywania opinii na temat skuteczności zasad ładu w chmurze. Zbierz dane wejściowe od osób, których dotyczą zasady, aby upewnić się, że nadal mogą wykonywać swoją pracę wydajnie. Aktualizowanie zasad ładu w celu odzwierciedlenia praktycznych wyzwań i potrzeb.
Ustanów przeglądy oparte na zdarzeniach. Przejrzyj i zaktualizuj zasady ładu w chmurze w odpowiedzi na zdarzenia, takie jak nieudane zasady ładu, zmiana technologii lub zmiana zgodności z przepisami.
Zaplanuj regularne przeglądy. Regularnie przeglądaj zasady ładu, aby upewnić się, że są one zgodne ze zmieniającymi się potrzebami organizacji, ryzykiem i postępami w chmurze. Na przykład należy uwzględnić przeglądy ładu w regularnych spotkaniach dotyczących ładu w chmurze z uczestnikami projektu.
Ułatwia sterowanie zmianami. Uwzględnij proces przeglądu zasad i aktualizacji. Upewnij się, że zasady ładu w chmurze są zgodne ze zmianami organizacyjnymi, regulacyjnymi i technologicznymi. Wyjaśnij, jak edytować, usuwać lub dodawać zasady.
Identyfikowanie nieefektywności. Przejrzyj zasady ładu, aby znaleźć i naprawić nieefektywność w architekturze i operacjach w chmurze. Na przykład zamiast wymuszać, że każde obciążenie musi używać własnej zapory aplikacji internetowej, zaktualizuj zasady, aby wymagać użycia scentralizowanej zapory. Przejrzyj zasady wymagające zduplikowanego nakładu pracy i sprawdź, czy istnieje sposób na scentralizowanie pracy.
Przykładowe zasady ładu w chmurze
Poniżej przedstawiono przykłady zasad zapewniania ładu w chmurze. Te zasady są oparte na przykładach na przykładowej liście ryzyka.
Identyfikator zasad | Kategoria zasad | Identyfikator ryzyka | Instrukcja zasad | Purpose | Scope | Korekty | Monitorowanie |
---|---|---|---|---|---|---|---|
RC01 | Zgodność z przepisami | R01 | Usługa Microsoft Purview musi być używana do monitorowania poufnych danych. | Zgodność z przepisami | Zespoły obciążeń, zespół platformy | Natychmiastowe działanie zespołu, którego dotyczy problem, szkolenie w zakresie zgodności | Microsoft Purview |
RC02 | Zgodność z przepisami | R01 | Codzienne raporty zgodności danych poufnych muszą być generowane na podstawie usługi Microsoft Purview. | Zgodność z przepisami | Zespoły obciążeń, zespół platformy | Rozwiązanie w ciągu jednego dnia, inspekcja potwierdzenia | Microsoft Purview |
SC01 | Zabezpieczenia | R02 | Uwierzytelnianie wieloskładnikowe (MFA) musi być włączone dla wszystkich użytkowników. | Ograniczanie naruszeń danych i nieautoryzowanego dostępu | Użytkownicy platformy Azure | Odwoływanie dostępu użytkowników | Dostęp warunkowy identyfikatora entra firmy Microsoft |
SC02 | Zabezpieczenia | R02 | Przeglądy dostępu muszą być przeprowadzane co miesiąc w Zarządzanie tożsamością Microsoft Entra. | Zapewnianie integralności danych i usług | Użytkownicy platformy Azure | Natychmiastowe odwołanie dostępu w przypadku niezgodności | Identyfikator ładu |
SC03 | Zabezpieczenia | R03 | Usługa Teams musi używać określonej organizacji usługi GitHub do bezpiecznego hostowania całego kodu oprogramowania i infrastruktury. | Zapewnianie bezpiecznego i scentralizowanego zarządzania repozytoriami kodu | Zespoły programistyczne | Przenoszenie nieautoryzowanych repozytoriów do określonej organizacji usługi GitHub i potencjalnych działań dyscyplinarnych w przypadku niezgodności | Dziennik inspekcji usługi GitHub |
SC04 | Zabezpieczenia | R03 | Zespoły korzystające z bibliotek ze źródeł publicznych muszą przyjąć wzorzec kwarantanny. | Upewnij się, że biblioteki są bezpieczne i zgodne przed integracją z procesem programowania | Zespoły programistyczne | Usuwanie niezgodnych bibliotek i przegląd praktyk integracji dla projektów, których dotyczy problem | Inspekcja ręczna (co miesiąc) |
CM01 | Zarządzanie kosztami | R04 | Zespoły obciążeń muszą ustawić alerty dotyczące budżetów na poziomie grupy zasobów. | Zapobieganie nadmiernym kosztom | Zespoły obciążeń, zespół platformy | Natychmiastowe przeglądy, korekty alertów | Microsoft Cost Management |
CM02 | Zarządzanie kosztami | R04 | Należy przejrzeć zalecenia dotyczące kosztów usługi Azure Advisor. | Optymalizowanie użycia chmury | Zespoły obciążeń, zespół platformy | Obowiązkowe inspekcje optymalizacji po upływie 60 dni | Advisor |
OP01 | Operacje | R05 | Obciążenia produkcyjne powinny mieć architekturę aktywne-pasywne w różnych regionach. | Zapewnianie ciągłości usługi | Zespoły obciążeń | Oceny architektury, przeglądy biannualne | Inspekcja ręczna (na wydanie produkcyjne) |
OP02 | Operacje | R05 | Wszystkie obciążenia o znaczeniu krytycznym muszą implementować architekturę aktywne-aktywne w wielu regionach. | Zapewnianie ciągłości usługi | Zespoły obciążeń o krytycznym znaczeniu | Aktualizacje w ciągu 90 dni przeglądy postępu | Inspekcja ręczna (na wydanie produkcyjne) |
DG01 | Data | R06 | Szyfrowanie podczas przesyłania i magazynowania musi być stosowane do wszystkich poufnych danych. | Ochrona poufnych danych | Zespoły obciążeń | Natychmiastowe wymuszanie szyfrowania i szkolenie zabezpieczeń | Azure Policy |
DG02 | Data | R06 | Zasady cyklu życia danych muszą być włączone w usłudze Microsoft Purview dla wszystkich poufnych danych. | Zarządzanie cyklem życia danych | Zespoły obciążeń | Implementacja w ciągu 60 dni, kwartalne inspekcje | Microsoft Purview |
RM01 | Zarządzanie zasobami | R07 | Bicep musi służyć do wdrażania zasobów. | Standaryzacja aprowizacji zasobów | Zespoły obciążeń, zespół platformy | Natychmiastowy plan przejścia Bicep | Potok ciągłej integracji i ciągłego dostarczania (CI/CD) |
RM02 | Zarządzanie zasobami | R07 | Tagi muszą być wymuszane na wszystkich zasobach w chmurze przy użyciu usługi Azure Policy. | Ułatwianie śledzenia zasobów | Wszystkie zasoby w chmurze | Poprawne tagowanie w ciągu 30 dni | Azure Policy |
AI01 | Sztuczna inteligencja | R08 | Konfiguracja filtrowania zawartości sztucznej inteligencji musi być ustawiona na średnią lub wyższą. | Eliminowanie szkodliwych danych wyjściowych sztucznej inteligencji | Zespoły obciążeń | Natychmiastowe środki naprawcze | Azure OpenAI Service |
AI02 | Sztuczna inteligencja | R08 | Systemy sztucznej inteligencji dostępne dla klientów muszą być co miesiąc ponownie połączone zespołem. | Identyfikowanie uprzedzeń sztucznej inteligencji | Zespoły modeli sztucznej inteligencji | Natychmiastowe przeglądy, akcje naprawcze w przypadku chybień | Inspekcja ręczna (co miesiąc) |