Documentare i criteri di governance del cloud
Questo articolo illustra come definire e documentare i criteri di governance del cloud. I criteri di governance del cloud specificano cosa deve o non deve accadere nel cloud. Il team di governance del cloud deve creare uno o più criteri di governance del cloud per ogni rischio identificato nella valutazione dei rischi. I criteri di governance del cloud definiscono le protezioni per interagire con e nel cloud.
Definire un approccio per documentare i criteri di governance del cloud
Stabilire un approccio per la creazione, la gestione e l'aggiornamento delle regole e delle linee guida che regolano l'uso dei servizi cloud. I criteri di governance del cloud non devono essere univoci per un carico di lavoro specifico. L'obiettivo è quello di produrre criteri di governance del cloud che non richiedono aggiornamenti frequenti e che considerino gli effetti dei criteri di governance cloud nell'ambiente cloud. Per definire un approccio alla documentazione dei criteri, seguire queste indicazioni:
Definire il linguaggio di governance standard. Sviluppare una struttura e un formato standard per documentare i criteri di governance del cloud. I criteri devono essere un riferimento chiaro e autorevole per gli stakeholder.
Riconoscere i diversi ambiti di governance. Definire e assegnare responsabilità di governance specifiche personalizzate ai ruoli univoci all'interno dell'organizzazione. Ad esempio, uno sviluppatore regola il codice dell'applicazione. Un team del carico di lavoro è responsabile di un singolo carico di lavoro e il team della piattaforma è responsabile della governance ereditata dai carichi di lavoro.
Valutare gli effetti generali della governance del cloud. La governance del cloud crea attriti. Trovare un equilibrio tra attrito e libertà. Prendere in considerazione gli effetti della governance sull'architettura del carico di lavoro, sulle procedure di sviluppo software e su altre aree durante lo sviluppo di criteri di governance del cloud. Ad esempio, ciò che si consente o non consente determina l'architettura del carico di lavoro e influisce sulle procedure di sviluppo software.
Definire i criteri di governance del cloud
Creare criteri di governance del cloud che descrivono come usare e gestire il cloud per attenuare i rischi. Ridurre al minimo la necessità di aggiornamenti frequenti dei criteri. Per definire i criteri di governance del cloud, seguire queste raccomandazioni:
Usare un ID criterio. Usare la categoria di criteri e un numero per identificare in modo univoco ogni criterio, ad esempio SC01 per i primi criteri di governance della sicurezza. Incrementare l'identificatore in sequenza man mano che si aggiungono nuovi rischi. Se si rimuovono i rischi, è possibile lasciare le lacune nella sequenza o usare il numero disponibile più basso.
Includere l'istruzione dei criteri. Creare istruzioni di criteri specifiche che risolvano i rischi identificati. Usare un linguaggio definitivo, ad esempio must, non deve e non deve. Usare i controlli di imposizione dall'elenco di rischi come punto di partenza. Concentrarsi sui risultati anziché sui passaggi di configurazione. Denominare lo strumento necessario per l'imposizione in modo da sapere dove monitorare la conformità.
Includere un ID rischio. Elencare il rischio nei criteri. Associare ogni criterio di governance del cloud a un rischio.
Includere la categoria di criteri. Includere categorie di governance, ad esempio sicurezza, conformità o gestione dei costi, nella categorizzazione dei criteri. Le categorie consentono di ordinare, filtrare e trovare criteri di governance del cloud.
Includere lo scopo del criterio. Specificare lo scopo di ogni criterio. Usare il rischio o il requisito di conformità alle normative che il criterio soddisfa come punto di partenza.
Definire l'ambito dei criteri. Definire a cosa e a chi si applica questo criterio, ad esempio tutti i servizi cloud, le aree, gli ambienti e i carichi di lavoro. Specificare eventuali eccezioni per assicurarsi che non ci siano ambiguità. Usare il linguaggio standardizzato in modo che sia facile ordinare, filtrare e trovare criteri.
Includere le strategie di correzione dei criteri. Definire la risposta desiderata a una violazione dei criteri di governance del cloud. Adattare le risposte alla gravità del rischio, ad esempio pianificare discussioni per violazioni non di produzione e interventi immediati di correzione per le violazioni di produzione.
Per altre informazioni, vedere i criteri di governance del cloud di esempio.
Distribuire i criteri di governance del cloud
Concedere l'accesso a tutti gli utenti che devono rispettare i criteri di governance del cloud. Cercare modi per semplificare il rispetto dei criteri di governance del cloud per gli utenti dell'organizzazione. Per distribuire i criteri di governance del cloud, seguire queste raccomandazioni:
Usare un repository di criteri centralizzato. Usare un repository centralizzato e facilmente accessibile per tutta la documentazione sulla governance. Assicurarsi che tutti gli stakeholder, i team e i singoli utenti abbiano accesso alle versioni più recenti dei criteri e dei documenti correlati.
Creare elenchi di controllo di conformità. Fornire una panoramica rapida e pratica dei criteri. Semplificare la conformità dei team senza dover passare alla documentazione completa. Per altre informazioni, vedere l'elenco di controllo di conformità di esempio.
Esaminare i criteri di governance del cloud
Valutare e aggiornare i criteri di governance del cloud per assicurarsi che rimangano pertinenti ed efficaci nella governance degli ambienti cloud. Le revisioni regolari consentono di garantire che i criteri di governance del cloud siano allineati ai requisiti normativi, alle nuove tecnologie e agli obiettivi aziendali in continua evoluzione. Quando si esaminano i criteri, considerare le raccomandazioni seguenti:
Implementare meccanismi di feedback. Stabilire modi per ricevere feedback sull'efficacia dei criteri di governance del cloud. Raccogliere l'input degli utenti interessati dai criteri per garantire che possano comunque svolgere il proprio lavoro in modo efficiente. Aggiornare i criteri di governance per riflettere sfide e esigenze pratiche.
Stabilire revisioni basate su eventi. Esaminare e aggiornare i criteri di governance del cloud in risposta a eventi, ad esempio criteri di governance non riusciti, cambiamento tecnologico o modifica della conformità alle normative.
Pianificare revisioni regolari. Esaminare regolarmente i criteri di governance per assicurarsi che siano allineati alle esigenze organizzative in continua evoluzione, ai rischi e ai progressi del cloud. Ad esempio, includere revisioni della governance nelle normali riunioni di governance del cloud con gli stakeholder.
Facilitare il controllo delle modifiche. Includere un processo per la revisione e gli aggiornamenti dei criteri. Assicurarsi che i criteri di governance del cloud rimangano allineati ai cambiamenti organizzativi, normativi e tecnologici. Chiarire come modificare, rimuovere o aggiungere criteri.
Identificare le inefficienze. Esaminare i criteri di governance per trovare e correggere le inefficienze nell'architettura e nelle operazioni cloud. Ad esempio, invece di imporre che ogni carico di lavoro debba usare il proprio web application firewall, aggiornare i criteri per richiedere l'uso di un firewall centralizzato. Esaminare i criteri che richiedono uno sforzo duplicato e verificare se esiste un modo per centralizzare il lavoro.
Criteri di governance cloud di esempio
I criteri di governance cloud seguenti sono esempi di riferimento. Questi criteri sono basati sugli esempi nell'elenco di rischi di esempio.
ID criterio | Categoria di criteri | ID rischio | Istruzione del criterio | Scopo | Ambito | Correzione | Monitoraggio |
---|---|---|---|---|---|---|---|
RC01 | Conformità alle normative | R01 | Microsoft Purview deve essere usato per monitorare i dati sensibili. | Conformità alle normative | Team del carico di lavoro, team della piattaforma | Azione immediata da parte del team interessato, formazione sulla conformità | Microsoft Purview |
RC02 | Conformità alle normative | R01 | I report di conformità dei dati sensibili giornalieri devono essere generati da Microsoft Purview. | Conformità alle normative | Team del carico di lavoro, team della piattaforma | Risoluzione entro un giorno, controllo di conferma | Microsoft Purview |
SC01 | Sicurezza | R02 | L'autenticazione a più fattori (MFA) deve essere abilitata per tutti gli utenti. | Attenuare le violazioni dei dati e l'accesso non autorizzato | Utenti di Azure | Revocare l'accesso utente | Accesso condizionale a Microsoft Entra ID |
SC02 | Sicurezza | R02 | Le verifiche di accesso devono essere eseguite mensilmente in Microsoft Entra ID Governance. | Verificare l'integrità dei dati e dei servizi | Utenti di Azure | Revoca immediata dell'accesso per la mancata conformità | ID Governance |
SC03 | Sicurezza | R03 | Teams deve usare l'organizzazione GitHub specificata per l'hosting sicuro di tutto il codice software e dell'infrastruttura. | Garantire una gestione sicura e centralizzata dei repository di codice | Team di sviluppo | Trasferimento di repository non autorizzati all'organizzazione GitHub specificata e azioni disciplinari potenziali per la mancata conformità | Log di controllo di GitHub |
SC04 | Sicurezza | R03 | I team che usano librerie da origini pubbliche devono adottare il modello di quarantena. | Assicurarsi che le librerie siano sicure e conformi prima dell'integrazione nel processo di sviluppo | Team di sviluppo | Rimozione di librerie non conformi e revisione delle procedure di integrazione per i progetti interessati | Controllo manuale (mensile) |
CM01 | Gestione costi | R04 | I team del carico di lavoro devono impostare gli avvisi dei budget a livello di gruppo di risorse. | Impedire l'overspending | Team del carico di lavoro, team della piattaforma | Revisioni immediate, regolazioni per gli avvisi | Gestione dei costi Microsoft |
CM02 | Gestione costi | R04 | È necessario esaminare le raccomandazioni sui costi di Azure Advisor. | Ottimizzare l'utilizzo del cloud | Team del carico di lavoro, team della piattaforma | Controlli di ottimizzazione obbligatori dopo 60 giorni | Advisor |
OP01 | Operazioni | R05 | I carichi di lavoro di produzione devono avere un'architettura attiva-passiva tra aree. | Garantire la continuità del servizio | Team del carico di lavoro | Valutazioni dell'architettura, revisioni biannuali | Controllo manuale (per versione di produzione) |
OP02 | Operazioni | R05 | Tutti i carichi di lavoro cruciali devono implementare un'architettura attiva-attiva tra aree. | Garantire la continuità del servizio | Team del carico di lavoro cruciali | Aggiornamenti entro 90 giorni, revisioni di stato | Controllo manuale (per versione di produzione) |
DG01 | Dati | R06 | La crittografia in transito e inattivi deve essere applicata a tutti i dati sensibili. | Proteggere i dati sensibili | Team del carico di lavoro | Applicazione immediata della crittografia e formazione sulla sicurezza | Criteri di Azure |
DG02 | Dati | R06 | I criteri relativi al ciclo di vita dei dati devono essere abilitati in Microsoft Purview per tutti i dati sensibili. | Gestire il ciclo di vita dei dati | Team del carico di lavoro | Implementazione entro 60 giorni, controlli trimestrali | Microsoft Purview |
RM01 | Gestione delle risorse | R07 | Per distribuire le risorse, è necessario usare Bicep. | Standardizzare il provisioning delle risorse | Team del carico di lavoro, team della piattaforma | Piano di transizione Bicep immediato | Pipeline di integrazione continua e recapito continuo (CI/CD) |
RM02 | Gestione delle risorse | R07 | I tag devono essere applicati a tutte le risorse cloud usando Criteri di Azure. | Facilitare il rilevamento delle risorse | Tutte le risorse cloud | Correzione dell'assegnazione di tag entro 30 giorni | Criteri di Azure |
AI01 | AI | R08 | La configurazione del filtro dei contenuti di intelligenza artificiale deve essere impostata su media o superiore. | Attenuare gli output dannosi dell'intelligenza artificiale | Team del carico di lavoro | Misure correttive immediate | Servizio OpenAI di Azure |
AI02 | AI | R08 | I sistemi di intelligenza artificiale rivolti ai clienti devono essere raggruppati in modo rosso ogni mese. | Identificare i pregiudizi di intelligenza artificiale | Team del modello di intelligenza artificiale | Revisione immediata, azioni correttive per i mancati riscontri | Controllo manuale (mensile) |