Поделиться через


Документирование политик управления облаком

В этой статье показано, как определить и документировать политики управления облаком. Политики управления облаком указывают, что или не должно происходить в облаке. Команда управления облаком должна создать одну или несколько политик управления облаком для каждого риска, определенного в оценке рисков. Политики управления облаком определяют охранники для взаимодействия с облаком и в облаке.

Схема, показывающая процесс настройки и поддержания управления облаком. На схеме показаны пять последовательных шагов: создание группы управления облаком, политики управления облаком, применение политик управления облаком и мониторинг управления облаком. Первый шаг, который вы выполняете один раз. Последние четыре шага, которые необходимо выполнить один раз, чтобы настроить управление облаком и непрерывно поддерживать управление облаком.

Определение подхода к документированием политик управления облаком

Установите подход к созданию, обслуживанию и обновлению правил и рекомендаций, которые управляют использованием облачных служб. Политики управления облаком не должны быть уникальными для определенной рабочей нагрузки. Цель заключается в том, чтобы создавать политики управления облаком, которые не требуют частых обновлений и которые учитывают последствия политик управления облаком в облачной среде. Чтобы определить подход к документации по политике, следуйте приведенным ниже рекомендациям.

  • Определите стандартный язык управления. Разработка стандартной структуры и формата для документирования политик управления облаком. Политика должна быть четкой и авторитетной ссылкой для заинтересованных лиц.

  • Распознайте различные область управления. Определите и назначьте определенные обязанности по управлению, адаптированные к уникальным ролям в организации. Например, разработчик управляет кодом приложения. Группа рабочей нагрузки отвечает за одну рабочую нагрузку, и команда платформы отвечает за управление, наследуемое рабочими нагрузками.

  • Оцените широкие последствия управления облаком. Управление облаком создает трения. Найти баланс между трением и свободой. Учитывайте влияние управления на архитектуру рабочей нагрузки, методики разработки программного обеспечения и другие области при разработке политик управления облаком. Например, то, что можно разрешить или запретить, определяет архитектуру рабочей нагрузки и влияет на методики разработки программного обеспечения.

Определение политик управления облаком

Создайте политики управления облаком, которые описывают использование облака и управление им для устранения рисков. Свести к минимуму потребность в частых обновлениях политики. Чтобы определить политики управления облаком, выполните следующие рекомендации.

  • Используйте идентификатор политики. Используйте категорию политики и число для уникальной идентификации каждой политики, например SC01 для первой политики управления безопасностью. Приращение идентификатора последовательно при добавлении новых рисков. При удалении рисков можно оставить пробелы в последовательности или использовать наименьшее доступное число.

  • Включите инструкцию политики. Создание конкретных инструкций политики, которые устраняют выявленные риски. Используйте окончательный язык, например должен, не должен и не должен. Используйте элементы управления принудительного применения из списка рисков в качестве отправной точки. Сосредоточьтесь на результатах, а не на шагах конфигурации. Присвойте средству, необходимому для принудительного применения, чтобы узнать, где отслеживать соответствие требованиям.

  • Включите идентификатор риска. Перечислить риск в политике. Свяжите каждую политику управления облаком с риском.

  • Включите категорию политики. Включите категории управления, такие как безопасность, соответствие или управление затратами, в категорию политик. Категории помогают с сортировкой, фильтрацией и поиском политик управления облаком.

  • Включите назначение политики. Укаите назначение каждой политики. Используйте риск или требование соответствия нормативным требованиям, удовлетворяющие политике в качестве отправной точки.

  • Определите политику область. Определите, к кому применяется эта политика, например ко всем облачным службам, регионам, средам и рабочим нагрузкам. Укажите все исключения, чтобы убедиться, что неоднозначность отсутствует. Используйте стандартизованный язык, чтобы легко сортировать, фильтровать и находить политики.

  • Включите стратегии исправления политики. Определите требуемый ответ на нарушение политики управления облаком. Адаптировать ответы на серьезность риска, такие как планирование обсуждений по нарушениям непроизводства и немедленные усилия по устранению нарушений производства.

Дополнительные сведения см. в примере политик управления облаком.

Распространение политик управления облаком

Предоставьте доступ всем, кто должен соответствовать политикам управления облаком. Ищите способы упрощения соблюдения политик управления облаком для пользователей в организации. Чтобы распространить политики управления облаком, следуйте приведенным ниже рекомендациям.

  • Используйте централизованный репозиторий политик. Используйте централизованный, легкодоступный репозиторий для всех документации по управлению. Убедитесь, что у всех заинтересованных лиц, команд и отдельных лиц есть доступ к последним версиям политик и связанных документов.

  • Создайте списки соответствия требованиям проверка. Предоставьте краткий и практический обзор политик. Упростить выполнение команд, не перейдя по обширной документации. Дополнительные сведения см. в примере списка проверка соответствия требованиям.

Проверка политик управления облаком

Оцените и обновите политики управления облаком, чтобы они оставались актуальными и эффективными в управлении облачными средами. Регулярные проверки помогают обеспечить соответствие политик управления облаком изменяющимся нормативным требованиям, новым технологиям и изменяющимся бизнес-целям. При проверке политик рассмотрите следующие рекомендации:

  • Реализуйте механизмы обратной связи. Создание способов получения отзывов об эффективности политик управления облаком. Соберите входные данные от лиц, затронутых политикой, чтобы убедиться, что они по-прежнему могут эффективно выполнять свою работу. Обновите политики управления, чтобы отразить практические проблемы и потребности.

  • Установка проверок на основе событий. Просмотрите и обновите политики управления облаком в ответ на события, такие как политика управления сбоем, изменение технологий или изменение соответствия нормативным требованиям.

  • Планирование регулярных проверок. Регулярно просматривайте политики управления, чтобы обеспечить соответствие изменяющимся потребностям организации, рискам и улучшению облака. Например, включите проверки системы управления в регулярных собраниях по управлению облаком с заинтересованными лицами.

  • Упрощение управления изменениями. Включите процесс проверки и обновления политики. Убедитесь, что политики управления облаком соответствуют организационным, нормативным и технологическим изменениям. Узнайте, как редактировать, удалять или добавлять политики.

  • Определите неэффективность. Просмотрите политики управления, чтобы найти и исправить неэффективность в облачной архитектуре и операциях. Например, вместо того, чтобы указать, что каждая рабочая нагрузка должна использовать собственный брандмауэр веб-приложения, обновите политику, чтобы требовать использования централизованного брандмауэра. Просмотрите политики, требующие повторяющихся усилий, и проверьте, существует ли способ централизации работы.

Примеры политик управления облаком

Ниже приведены примеры политик управления облаком. Эти политики основаны на примерах в примере списка рисков.

ИД политики Категория политики Идентификатор риска Правило политики Характер использования Область Серверы Наблюдение
RC01 Соблюдение нормативных требований R01 Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных. Соблюдение нормативных требований Команды рабочей нагрузки, команда платформы Немедленное действие затронутой команды, обучение соответствия требованиям Microsoft Purview
RC02 Соблюдение нормативных требований R01 Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview. Соблюдение нормативных требований Команды рабочей нагрузки, команда платформы Разрешение в течение одного дня, аудит подтверждения Microsoft Purview
SC01 Безопасность R02 Многофакторная проверка подлинности (MFA) должна быть включена для всех пользователей. Устранение нарушений данных и несанкционированного доступа Пользователи Azure Отзыв доступа пользователей Условный доступ идентификатора Microsoft Entra
SC02 Безопасность R02 Проверки доступа должны выполняться ежемесячно в Управление идентификацией Microsoft Entra. Обеспечение целостности данных и служб Пользователи Azure Немедленная отмена доступа для несоответствия Управление идентификацией
SC03 Безопасность R03 Teams должна использовать указанную организацию GitHub для безопасного размещения всего кода программного обеспечения и инфраструктуры. Обеспечение безопасного и централизованного управления репозиториями кода Команды разработчиков Передача несанкционированных репозиториев в указанную организацию GitHub и потенциальные дисциплинарные действия для несоответствия Журнал аудита GitHub
SC04 Безопасность R03 Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина. Убедитесь, что библиотеки безопасны и совместимы перед интеграцией в процесс разработки Команды разработчиков Удаление несоответствующих библиотек и проверка методик интеграции для затронутых проектов Аудит вручную (ежемесячно)
CM01 Управление затратами R04 Группы рабочей нагрузки должны задать оповещения о бюджетах на уровне группы ресурсов. Предотвращение перерасхода Команды рабочей нагрузки, команда платформы Немедленные проверки, корректировки оповещений Управление затратами Microsoft
CM02 Управление затратами R04 Рекомендации по затратам помощника по Azure должны быть проверены. Оптимизация использования облака Команды рабочей нагрузки, команда платформы Обязательные аудиты оптимизации через 60 дней Помощник
OP01 Операции R05 Рабочие нагрузки должны иметь активную-пассивной архитектуру в разных регионах. Обеспечение непрерывности служб Команды рабочей нагрузки Оценки архитектуры, biannual reviews Аудит вручную (на рабочий выпуск)
OP02 Операции R05 Все критически важные рабочие нагрузки должны реализовать архитектуру с активными регионами. Обеспечение непрерывности служб Группы критически важных рабочих нагрузок Обновления в течение 90 дней, проверки хода выполнения Аудит вручную (на рабочий выпуск)
DG01 Data R06 Шифрование во время передачи и неактивных данных должно применяться ко всем конфиденциальным данным. Защита конфиденциальных данных Команды рабочей нагрузки Немедленное применение шифрования и обучение безопасности Политика Azure
DG02 Data R06 Политики жизненного цикла данных должны быть включены в Microsoft Purview для всех конфиденциальных данных. Управление жизненным циклом данных Команды рабочей нагрузки Реализация в течение 60 дней, квартальные аудиты Microsoft Purview
RM01 Управление ресурсами R07 Bicep необходимо использовать для развертывания ресурсов. Стандартизация подготовки ресурсов Команды рабочей нагрузки, команда платформы Немедленный план перехода Bicep Конвейер непрерывной интеграции и непрерывной доставки (CI/CD)
RM02 Управление ресурсами R07 Теги должны быть применены ко всем облачным ресурсам с помощью Политика Azure. Упрощение отслеживания ресурсов Все облачные ресурсы Исправление тегов в течение 30 дней Политика Azure
AI01 ИИ R08 Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень. Устранение вредоносных выходных данных искусственного интеллекта Команды рабочей нагрузки Немедленные корректирующие меры Служба Azure OpenAI
AI02 ИИ R08 Системы искусственного интеллекта, которые сталкиваются с клиентами, должны выполняться ежемесячно. Определение предвзятости ИИ Команды моделей ИИ Немедленный просмотр, исправление действий для промахов Аудит вручную (ежемесячно)

Следующий шаг