Dokumentera principer för molnstyrning
Den här artikeln visar hur du definierar och dokumenterar principer för molnstyrning. Molnstyrningsprinciper anger vad som ska eller inte ska hända i molnet. Molnstyrningsteamet bör skapa en eller flera molnstyrningsprinciper för varje risk som identifieras i riskbedömningen. Principer för molnstyrning definierar skyddsmekanismer för interaktion med och i molnet.
Definiera en metod för att dokumentera principer för molnstyrning
Upprätta en metod för att skapa, underhålla och uppdatera de regler och riktlinjer som styr användningen av molntjänster. Molnstyrningsprinciper bör inte vara unika för en specifik arbetsbelastning. Målet är att skapa molnstyrningsprinciper som inte kräver frekventa uppdateringar och som tar hänsyn till effekterna av molnstyrningsprinciper i molnmiljön. Följ dessa rekommendationer för att definiera en principdokumentationsmetod:
Definiera standardstyrningsspråk. Utveckla en standardstruktur och ett format för att dokumentera principer för molnstyrning. Principerna måste vara en tydlig och auktoritativ referens för intressenter.
Identifiera olika styrningsomfång. Definiera och tilldela specifika styrningsansvar som är anpassade till de unika rollerna i din organisation. En utvecklare styr till exempel programkoden. Ett arbetsbelastningsteam ansvarar för en enda arbetsbelastning och plattformsteamet ansvarar för styrning som arbetsbelastningar ärver.
Utvärdera de breda effekterna av molnstyrning. Molnstyrning skapar friktion. Hitta en balans mellan friktion och frihet. Tänk på effekterna av styrning på arbetsbelastningsarkitektur, metoder för programvaruutveckling och andra områden när du utvecklar principer för molnstyrning. Vad du till exempel tillåter eller inte tillåter avgör arbetsbelastningsarkitekturen och påverkar metoder för programvaruutveckling.
Definiera principer för molnstyrning
Skapa principer för molnstyrning som beskriver hur du använder och hanterar molnet för att minska riskerna. Minimera behovet av frekventa principuppdateringar. Om du vill definiera principer för molnstyrning följer du dessa rekommendationer:
Använd ett princip-ID. Använd principkategorin och ett tal för att unikt identifiera varje princip, till exempel SC01 för den första säkerhetsstyrningsprincipen. Öka identifieraren sekventiellt när du lägger till nya risker. Om du tar bort risker kan du lämna luckor i sekvensen eller använda det lägsta tillgängliga talet.
Inkludera policy-instruktionen. Skapa specifika principinstruktioner som hanterar identifierade risker. Använd ett definitivt språk som måste, bör, inte och bör inte. Använd tvingande kontroller från risklistan som utgångspunkt. Fokusera på resultat i stället för konfigurationssteg. Namnge det verktyg som krävs för tvingande så att du vet var du ska övervaka efterlevnaden.
Inkludera ett risk-ID. Visa en lista över riskerna i principen. Associera varje molnstyrningsprincip med en risk.
Inkludera principkategorin. Inkludera styrningskategorier, till exempel säkerhet, efterlevnad eller kostnadshantering, i principkategoriseringen. Kategorier hjälper dig att sortera, filtrera och hitta principer för molnstyrning.
Inkludera principsyftet. Ange syftet med varje princip. Använd den risk eller det regelefterlevnadskrav som principen uppfyller som utgångspunkt.
Definiera principomfånget. Definiera vad och vem den här principen gäller för, till exempel alla molntjänster, regioner, miljöer och arbetsbelastningar. Ange eventuella undantag för att säkerställa att det inte finns någon tvetydighet. Använd standardiserat språk så att det är enkelt att sortera, filtrera och hitta principer.
Inkludera strategierna för principreparation. Definiera önskat svar på ett brott mot en molnstyrningsprincip. Skräddarsy svar på riskens allvarlighetsgrad, till exempel schemaläggning av diskussioner om icke-produktionsöverträdelser och omedelbara reparationsåtgärder för produktionsöverträdelser.
Mer information finns i exemplet på molnstyrningsprinciper.
Distribuera principer för molnstyrning
Bevilja åtkomst till alla som behöver följa molnstyrningsprinciper. Leta efter sätt att underlätta efterlevnaden av molnstyrningsprinciperna för personer i din organisation. Följ dessa rekommendationer för att distribuera principer för molnstyrning:
Använd en centraliserad principlagringsplats. Använd en centraliserad, lättillgänglig lagringsplats för all styrningsdokumentation. Se till att alla intressenter, team och individer har åtkomst till de senaste versionerna av principer och relaterade dokument.
Skapa checklistor för efterlevnad. Ge en snabb och användbar översikt över principerna. Gör det enklare för team att följa kraven utan att behöva gå igenom omfattande dokumentation. Mer information finns i exempelchecklistan för efterlevnad.
Granska principer för molnstyrning
Utvärdera och uppdatera molnstyrningsprinciper för att säkerställa att de förblir relevanta och effektiva för att styra molnmiljöer. Regelbundna granskningar hjälper till att säkerställa att molnstyrningsprinciperna överensstämmer med ändrade regelkrav, ny teknik och föränderliga affärsmål. När du granskar principer bör du överväga följande rekommendationer:
Implementera feedbackmekanismer. Upprätta sätt att ta emot feedback om effektiviteten i molnstyrningsprinciper. Samla in indata från de personer som påverkas av principerna för att säkerställa att de fortfarande kan göra sitt jobb effektivt. Uppdatera styrningsprinciper för att återspegla praktiska utmaningar och behov.
Upprätta händelsebaserade granskningar. Granska och uppdatera molnstyrningsprinciper som svar på händelser, till exempel en misslyckad styrningsprincip, teknikändring eller regelefterlevnadsändring.
Schemalägg regelbundna granskningar. Granska regelbundet styrningsprinciper för att säkerställa att de överensstämmer med föränderliga organisationsbehov, risker och molnframsteg. Inkludera till exempel styrningsgranskningar i de regelbundna molnstyrningsmötena med intressenter.
Underlätta ändringskontroll. Inkludera en process för principgranskning och uppdateringar. Se till att molnstyrningsprinciperna överensstämmer med organisatoriska, regelmässiga och tekniska förändringar. Gör det tydligt hur du redigerar, tar bort eller lägger till principer.
Identifiera ineffektivitet. Granska styrningsprinciper för att hitta och åtgärda ineffektivitet i molnarkitektur och -åtgärder. I stället för att ge varje arbetsbelastning behörighet att använda en egen brandvägg för webbprogram uppdaterar du till exempel principen så att en centraliserad brandvägg krävs. Granska principer som kräver duplicerad ansträngning och se om det finns ett sätt att centralisera arbetet.
Exempel på principer för molnstyrning
Följande principer för molnstyrning är exempel som referens. Dessa principer baseras på exemplen i exempellistan över risker.
| Policy-ID | Principkategori | Risk-ID | Principuttryck | Syfte | Omfattning | Åtgärder | Övervakning |
|---|---|---|---|---|---|---|---|
| RC01 | Regelefterlevnad | R01 | Microsoft Purview måste användas för att övervaka känsliga data. | Regelefterlevnad | Arbetsbelastningsteam, plattformsteam | Omedelbar åtgärd från berört team, efterlevnadsutbildning | Microsoft Purview |
| RC02 | Regelefterlevnad | R01 | Dagliga rapporter om efterlevnad av känsliga data måste genereras från Microsoft Purview. | Regelefterlevnad | Arbetsbelastningsteam, plattformsteam | Lösning inom en dag, bekräftelsegranskning | Microsoft Purview |
| SC01 | Säkerhet | R02 | Multifaktorautentisering (MFA) måste vara aktiverat för alla användare. | Minimera dataintrång och obehörig åtkomst | Azure-användare | Återkalla användaråtkomst | Villkorsstyrd åtkomst för Microsoft Entra-ID |
| SC02 | Säkerhet | R02 | Åtkomstgranskningar måste utföras varje månad i Microsoft Entra ID-styrning. | Säkerställa data- och tjänstintegritet | Azure-användare | Omedelbart återkallande av åtkomst för inkompatibilitet | ID-styrning |
| SC03 | Säkerhet | R03 | Teams måste använda den angivna GitHub-organisationen för säker värdhantering av all program- och infrastrukturkod. | Säkerställa säker och centraliserad hantering av kodlagringsplatser | Utvecklingsteam | Överföring av obehöriga lagringsplatser till den angivna GitHub-organisationen och potentiella disciplinära åtgärder för inkompatibilitet | GitHub-granskningslogg |
| SC04 | Säkerhet | R03 | Team som använder bibliotek från offentliga källor måste använda karantänmönstret. | Se till att biblioteken är säkra och kompatibla innan de integreras i utvecklingsprocessen | Utvecklingsteam | Borttagning av icke-kompatibla bibliotek och översyn av integrationsmetoder för berörda projekt | Manuell granskning (månadsvis) |
| CM01 | Kostnadshantering | R04 | Arbetsbelastningsteam måste ange budgetaviseringar på resursgruppsnivå. | Förhindra överförbrukning | Arbetsbelastningsteam, plattformsteam | Omedelbara granskningar, justeringar för aviseringar | Microsoft Cost Management |
| CM02 | Kostnadshantering | R04 | Kostnadsrekommendationer för Azure Advisor måste granskas. | Optimera molnanvändning | Arbetsbelastningsteam, plattformsteam | Obligatoriska optimeringsgranskningar efter 60 dagar | Advisor |
| OP01 | Operations | R05 | Produktionsarbetsbelastningar bör ha en aktiv-passiv arkitektur mellan regioner. | Säkerställa tjänstkontinuitet | Arbetsbelastningsteam | Arkitekturutvärderingar, halvårsvisa granskningar | Manuell granskning (per produktionsversion) |
| OP02 | Operations | R05 | Alla verksamhetskritiska arbetsbelastningar måste implementera en aktiv-aktiv arkitektur mellan regioner. | Säkerställa tjänstkontinuitet | Verksamhetskritiska arbetsbelastningsteam | Uppdateringar inom 90 dagar, förloppsgranskningar | Manuell granskning (per produktionsversion) |
| DG01 | Data | R06 | Kryptering under överföring och i vila måste tillämpas på alla känsliga data. | Skydda känsliga data | Arbetsbelastningsteam | Omedelbar krypteringsframtvingande och säkerhetsutbildning | Azure Policy |
| DG02 | Data | R06 | Datalivscykelprinciper måste vara aktiverade i Microsoft Purview för alla känsliga data. | Hantera datalivscykeln | Arbetsbelastningsteam | Implementering inom 60 dagar, kvartalsvisa granskningar | Microsoft Purview |
| RM01 | Resurshantering | R07 | Bicep måste användas för att distribuera resurser. | Standardisera resursetablering | Arbetsbelastningsteam, plattformsteam | Omedelbar Bicep-övergångsplan | Pipeline för kontinuerlig integrering och kontinuerlig leverans (CI/CD) |
| RM02 | Resurshantering | R07 | Taggar måste tillämpas på alla molnresurser med hjälp av Azure Policy. | Underlätta resursspårning | Alla molnresurser | Korrigera taggning inom 30 dagar | Azure Policy |
| AI01 | AI | R08 | Konfigurationen för AI-innehållsfiltrering måste vara inställd på medelhög eller högre. | Minimera skadliga AI-utdata | Arbetsbelastningsteam | Omedelbara korrigerande åtgärder | Azure OpenAI Service |
| AI02 | AI | R08 | Kundinriktade AI-system måste vara red-teamed varje månad. | Identifiera AI-fördomar | AI-modellteam | Omedelbar granskning, korrigerande åtgärder för fel | Manuell granskning (månadsvis) |
Gå vidare
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för