Dokumentovat zásady správného řízení v cloudu
V tomto článku se dozvíte, jak definovat a dokumentovat zásady správného řízení v cloudu. Zásady správného řízení v cloudu určují, co by se mělo nebo nemělo v cloudu stát. Tým zásad správného řízení v cloudu by měl vytvořit jednu nebo více zásad správného řízení cloudu pro každé riziko zjištěné v posouzení rizik. Zásady správného řízení cloudu definují mantinely pro interakci s cloudem a v cloudu.
Definování přístupu pro dokumentaci zásad správného řízení v cloudu
Vytvořte přístup pro vytváření, údržbu a aktualizaci pravidel a pokynů, které řídí používání cloudových služeb. Zásady správného řízení v cloudu by neměly být jedinečné pro konkrétní úlohu. Cílem je vytvořit zásady správného řízení v cloudu, které nevyžadují časté aktualizace a které berou v úvahu účinky zásad správného řízení cloudu v cloudovém prostředí. Pokud chcete definovat přístup k dokumentaci k zásadám, postupujte podle těchto doporučení:
Definujte standardní jazyk zásad správného řízení. Vytvořte standardní strukturu a formát pro dokumentaci zásad správného řízení v cloudu. Zásady musí být jasné a autoritativní referenční informace pro zúčastněné strany.
Poznáte různé rozsahy zásad správného řízení. Definujte a přiřaďte konkrétní zodpovědnosti zásad správného řízení přizpůsobené jedinečným rolím ve vaší organizaci. Vývojář například řídí kód aplikace. Tým úloh zodpovídá za jednu úlohu a tým platformy zodpovídá za zásady správného řízení, které úlohy dědí.
Vyhodnoťte široké účinky zásad správného řízení v cloudu. Zásady správného řízení v cloudu vytvářejí třecí plochy. Najděte rovnováhu mezi třením a svobodou. Při vývoji zásad správného řízení v cloudu zvažte účinky zásad správného řízení na architekturu úloh, postupy vývoje softwaru a další oblasti. Například to, co povolíte nebo zakážete, určuje architekturu úloh a ovlivňuje postupy vývoje softwaru.
Definování zásad správného řízení v cloudu
Vytvořte zásady správného řízení cloudu, které popisují, jak používat a spravovat cloud ke zmírnění rizik. Minimalizujte potřebu častých aktualizací zásad. Pokud chcete definovat zásady správného řízení v cloudu, postupujte podle těchto doporučení:
Použijte ID zásady. Kategorie zásad a číslo použijte k jedinečné identifikaci jednotlivých zásad, například SC01 pro první zásady zásad správného řízení zabezpečení. Postupně navyšujte identifikátor při přidávání nových rizik. Pokud odeberete rizika, můžete nechat mezery v posloupnosti nebo použít nejnižší dostupné číslo.
Zahrňte prohlášení o zásadách. Vytvořte konkrétní prohlášení o zásadách, které řeší zjištěná rizika. Použijte konečný jazyk, například musí, nesmí a neměl by. Jako výchozí bod použijte kontrolní mechanismy vynucení ze seznamu rizik. Zaměřte se na výsledky a ne na kroky konfigurace. Pojmenujte nástroj potřebný k vynucení, abyste věděli, kde monitorovat dodržování předpisů.
Uveďte ID rizika. Uveďte riziko v zásadě. Přidružte všechny zásady zásad správného řízení cloudu k riziku.
Zahrňte kategorii zásad. Do kategorizace zásad zahrňte kategorie zásad, jako je zabezpečení, dodržování předpisů nebo správa nákladů. Kategorie pomáhají se řazením, filtrováním a hledáním zásad správného řízení v cloudu.
Zahrňte účel zásad. Uveďte účel každé zásady. Použijte riziko nebo požadavek na dodržování právních předpisů, které zásady splňují jako výchozí bod.
Definujte obor zásad. Definujte, na co a na koho se tato zásada vztahuje, například na všechny cloudové služby, oblasti, prostředí a úlohy. Zadejte všechny výjimky, které zajistí, že neexistuje nejednoznačnost. Používejte standardizovaný jazyk, abyste mohli snadno řadit, filtrovat a vyhledávat zásady.
Zahrňte strategie nápravy zásad. Definujte požadovanou odpověď na porušení zásad správného řízení v cloudu. Přizpůsobte reakce na závažnost rizika, například plánování diskuzí o neprodukčních porušeních a okamžité nápravě pro porušení výroby.
Další informace najdete v příkladu zásad správného řízení v cloudu.
Distribuce zásad správného řízení v cloudu
Udělte přístup všem, kteří potřebují dodržovat zásady správného řízení v cloudu. Hledejte způsoby, jak usnadnit dodržování zásad správného řízení v cloudu pro lidi ve vaší organizaci. Při distribuci zásad správného řízení v cloudu postupujte podle těchto doporučení:
Použijte centralizované úložiště zásad. Pro veškerou dokumentaci k zásadám správného řízení používejte centralizované a snadno přístupné úložiště. Zajistěte, aby všichni účastníci, týmy a jednotlivci měli přístup k nejnovějším verzím zásad a souvisejících dokumentů.
Vytváření kontrolních seznamů dodržování předpisů Poskytuje rychlý a použitelný přehled zásad. Usnadníte týmům dodržování předpisů, aniž byste museli procházet rozsáhlou dokumentaci. Další informace najdete v ukázkovém kontrolním seznamu dodržování předpisů.
Kontrola zásad správného řízení v cloudu
Vyhodnoťte a aktualizujte zásady správného řízení cloudu, abyste zajistili, že zůstanou relevantní a efektivní v řízení cloudových prostředí. Pravidelné kontroly pomáhají zajistit, aby zásady správného řízení v cloudu odpovídaly měnícím se zákonným požadavkům, novým technologiím a vyvíjejícím se obchodním cílům. Při kontrole zásad zvažte následující doporučení:
Implementujte mechanismy zpětné vazby. Nastavte způsoby, jak získat zpětnou vazbu k účinnosti zásad správného řízení v cloudu. Shromážděte vstup od jednotlivců ovlivněných zásadami, abyste měli jistotu, že budou moct svou práci efektivně provádět. Aktualizujte zásady správného řízení tak, aby odrážely praktické výzvy a potřeby.
Vytvořte kontroly založené na událostech. Zkontrolujte a aktualizujte zásady správného řízení v cloudu v reakci na události, jako jsou neúspěšné zásady správného řízení, změna technologií nebo změna dodržování právních předpisů.
Naplánujte pravidelné kontroly. Pravidelně kontrolujte zásady správného řízení, abyste měli jistotu, že jsou v souladu s měnícími se organizačními potřebami, riziky a pokroky v cloudu. Zahrnout například kontroly zásad správného řízení v pravidelných schůzkách zásad správného řízení v cloudu se zúčastněnými stranami.
Usnadnit řízení změn. Zahrňte proces kontroly a aktualizací zásad. Zajistěte, aby zásady správného řízení v cloudu zůstaly v souladu s organizačními, regulačními a technologickými změnami. Zrušte si přehled o tom, jak upravit, odebrat nebo přidat zásady.
Identifikace neekicience. Zkontrolujte zásady správného řízení a najděte a opravte nedostatky v cloudové architektuře a provozu. Místo toho, aby každá úloha musela používat vlastní bránu firewall webových aplikací, aktualizujte zásady tak, aby vyžadovaly použití centralizované brány firewall. Zkontrolujte zásady, které vyžadují duplicitní úsilí, a zjistěte, jestli existuje způsob, jak práci centralizovat.
Příklady zásad správného řízení v cloudu
Tady jsou příklady následujících zásad správného řízení v cloudu. Tyto zásady jsou založené na příkladech v ukázkovém seznamu rizik.
| ID zásady | Kategorie zásad | ID rizika | Prohlášení o zásadách | Účel | Obor | Náprava | Sledování |
|---|---|---|---|---|---|---|---|
| RC01 | Dodržování legislativní předpisů | R01 | Microsoft Purview se musí použít k monitorování citlivých dat. | Dodržování legislativní předpisů | Týmy úloh, tým platformy | Okamžitá akce ovlivněných týmů, školení dodržování předpisů | Microsoft Purview |
| RC02 | Dodržování legislativní předpisů | R01 | Sestavy dodržování předpisů pro citlivá data za den musí být generovány z Microsoft Purview. | Dodržování legislativní předpisů | Týmy úloh, tým platformy | Řešení do jednoho dne, audit potvrzení | Microsoft Purview |
| SC01 | Zabezpečení | R02 | Pro všechny uživatele musí být povolené vícefaktorové ověřování (MFA). | Zmírnění porušení zabezpečení dat a neoprávněného přístupu | Uživatelé Azure | Odvolání přístupu uživatele | Podmíněný přístup Microsoft Entra ID |
| SC02 | Zabezpečení | R02 | Kontroly přístupu se musí provádět každý měsíc v zásadách správného řízení Microsoft Entra ID. | Zajištění integrity dat a služeb | Uživatelé Azure | Okamžité odvolání přístupu kvůli nedodržení předpisů | ID – zásady správného řízení |
| SC03 | Zabezpečení | R03 | Týmy musí používat zadanou organizaci GitHubu pro zabezpečení hostování veškerého softwaru a kódu infrastruktury. | Zajištění zabezpečené a centralizované správy úložišť kódu | Vývojové týmy | Přenos neautorizovaných úložišť do zadané organizace GitHubu a potenciálních disciplinárních akcí pro nedodržení předpisů | Protokol auditu GitHubu |
| SC04 | Zabezpečení | R03 | Týmy, které používají knihovny z veřejných zdrojů, musí přijmout model karantény. | Před integrací do vývojového procesu se ujistěte, že knihovny jsou bezpečné a dodržují předpisy. | Vývojové týmy | Odebrání nekompatibilních knihoven a přezkum postupů integrace pro ovlivněné projekty | Ruční audit (měsíčně) |
| CM01 | Správa nákladů | R04 | Týmy úloh musí nastavit upozornění rozpočtů na úrovni skupiny prostředků. | Zabránění nadměrnému přespendingu | Týmy úloh, tým platformy | Okamžité kontroly, úpravy výstrah | Microsoft Cost Management |
| CM02 | Správa nákladů | R04 | Doporučení k nákladům azure Advisoru je potřeba zkontrolovat. | Optimalizace využití cloudu | Týmy úloh, tým platformy | Povinné optimalizace auditů po 60 dnech | Advisor |
| OP01 | Operace | R05 | Produkční úlohy by měly mít architekturu aktivní-pasivní napříč oblastmi. | Zajištění kontinuity služeb | Týmy úloh | Hodnocení architektury, biannual hodnocení | Ruční audit (pro produkční verzi) |
| OP02 | Operace | R05 | Všechny klíčové úlohy musí implementovat architekturu aktivní-aktivní napříč oblastmi. | Zajištění kontinuity služeb | Klíčové týmy úloh | Aktualizace do 90 dnů, recenze průběhu | Ruční audit (pro produkční verzi) |
| DG01 | Data | R06 | Šifrování přenášených dat a neaktivních uložených dat musí být použito na všechna citlivá data. | Ochrana citlivých dat | Týmy úloh | Okamžité vynucení šifrování a školení zabezpečení | Azure Policy |
| DG02 | Data | R06 | Zásady životního cyklu dat musí být povolené v Microsoft Purview pro všechna citlivá data. | Správa životního cyklu dat | Týmy úloh | Provádění do 60 dnů, čtvrtletní audity | Microsoft Purview |
| RM01 | Řízení zdrojů | R07 | Bicep se musí použít k nasazení prostředků. | Standardizace zřizování prostředků | Týmy úloh, tým platformy | Okamžitý plán přechodu Bicep | Kanál kontinuální integrace a průběžného doručování (CI/CD) |
| RM02 | Řízení zdrojů | R07 | Značky se musí vynucovat u všech cloudových prostředků pomocí služby Azure Policy. | Usnadnění sledování prostředků | Všechny cloudové prostředky | Správné označování do 30 dnů | Azure Policy |
| AI01 | Umělá inteligence | R08 | Konfigurace filtrování obsahu AI musí být nastavená na střední nebo vyšší. | Zmírnění škodlivých výstupů umělé inteligence | Týmy úloh | Okamžitá nápravná opatření | Azure OpenAI Service |
| AI02 | Umělá inteligence | R08 | Systémy umělé inteligence orientované na zákazníky musí být měsíčně seskupené červeně. | Identifikace předsudků AI | Týmy modelů AI | Okamžitá kontrola, nápravné akce pro chybějící | Ruční audit (měsíčně) |