Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit den Erkenntnissen aus der Risikobewertung formuliert das Team jetzt Richtlinien zur Behandlung dieser Risiken. Für jedes signifikante Risiko oder jede Risikogruppe sollte mindestens eine entsprechende Governance-Richtlinie vorhanden sein. Berücksichtigen Sie beim Dokumentieren von Cloud-Governance-Richtlinien die folgenden bewährten Methoden:
1. Einrichten eines Standardrichtlinienformats und einer Standardsprache
Erstellen Sie eine konsistente Vorlage oder ein einheitliches Format für alle Richtlinien. Jedes Richtliniendokument (oder jeder Abschnitt) sollte Schlüsselelemente wie ID, Anweisung, Bereich enthalten. Verwenden Sie klare, eindeutige Sprache. Richtlinien sollen maßgebliche Referenzen sein, die für die Beteiligten leicht verständlich sind und keinen Raum für Fehlinterpretationen lassen. Entscheiden Sie sich beispielsweise für Standardausdrücke wie "muss" oder "darf nicht" für Anforderungen, und vermeiden Sie vage Begriffe. Ein standardisiertes Format, z. B. eine Richtlinie mit ID, Kategorie, Zweck, erleichtert das Navigieren und Verwalten von Richtlinien.
2. Definieren von Cloudgovernancerichtlinien
Erstellen Sie Cloudgovernancerichtlinien, die beschreiben, wie Sie die Cloud verwenden und verwalten, um Risiken zu mindern. Minimieren Sie die Notwendigkeit häufiger Richtlinienupdates. Befolgen Sie die folgenden Empfehlungen, um Cloud-Governance-Richtlinien zu definieren:
Verwenden Sie eine Richtlinien-ID. Verwenden Sie die Richtlinienkategorie und eine Zahl, um jede Richtlinie eindeutig zu identifizieren, z. B. SC01 für die erste Sicherheitsgovernance-Richtlinie. Erhöhen Sie den Bezeichner sequenziell, während Sie neue Risiken hinzufügen. Wenn Sie Risiken entfernen, können Sie Lücken in der Sequenz hinterlassen oder die niedrigste verfügbare Zahl verwenden.
Fügen Sie die Richtlinienaussage ein. Erstellen Sie spezifische Richtlinienanweisungen, die identifizierte Risiken behandeln. Verwenden Sie die endgültige Sprache, wie z. B. muss, darf nicht und nicht. Verwenden Sie die Durchsetzungsmaßnahmen aus der Risikoliste als Ausgangspunkt. Konzentrieren Sie sich nicht auf Konfigurationsschritte, sondern auf Ergebnisse. Benennen Sie das für die Erzwingung erforderliche Tool, damit Sie wissen, wo die Compliance überwacht werden soll.
Fügen Sie eine Risiko-ID ein. Listen Sie das Risiko in der Richtlinie auf. Ordnen Sie jede Cloud-Governance-Richtlinie einem Risiko zu.
Schließen Sie die Richtlinienkategorie ein. Schließen Sie Governancekategorien wie Sicherheit, Compliance oder Kostenverwaltung in die Richtlinienkategorien ein. Kategorien helfen beim Sortieren, Filtern und Suchen von Cloudgovernancerichtlinien.
Schließen Sie den Richtlinienzweck ein. Geben Sie den Zweck jeder Politik an. Verwenden Sie das Risiko oder das regulatorische Compliance-Erfordernis, das die Richtlinie erfüllt, als Ausgangspunkt.
Definieren Sie den Richtlinienbereich. Definieren Sie, für welche und wen diese Richtlinie gilt, z. B. für alle Clouddienste, Regionen, Umgebungen und Workloads. Geben Sie ausnahmen an, um sicherzustellen, dass keine Mehrdeutigkeit besteht. Verwenden Sie standardisierte Begriffe oder Formulierungen, um Richtlinien einfach zu sortieren, zu filtern und zu finden.
Schließen Sie die Strategien zur Richtlinienkorrektur ein. Definieren Sie die gewünschte Antwort auf einen Verstoß gegen eine Cloud-Governance-Richtlinie. Passen Sie Antworten auf den Schweregrad des Risikos an, z. B. die Planung von Diskussionen für Verstöße gegen nichtproduktion und sofortige Abhilfemaßnahmen für Produktionsverletzungen.
Weitere Informationen finden Sie in den Beispielrichtlinien zur Cloudgovernance.
3. Verteilen von Cloudgovernancerichtlinien
Gewähren Sie allen Benutzern Zugriff, die den Cloud-Governance-Richtlinien entsprechen müssen. Suchen Sie nach Möglichkeiten, um die Einhaltung der Cloud-Governance-Richtlinien für Personen in Ihrer Organisation zu vereinfachen. Befolgen Sie die folgenden Empfehlungen, um Cloudgovernancerichtlinien zu verteilen:
Verwenden Sie ein zentrales Richtlinien-Repository. Verwenden Sie ein zentrales, leicht zugängliches Repository für alle Governance-Dokumentationen. Stellen Sie sicher, dass alle Projektbeteiligten, Teams und Einzelpersonen Zugriff auf die neuesten Versionen von Richtlinien und verwandten Dokumenten haben.
Erstellen Sie Compliance-Checklisten. Stellen Sie eine schnelle und umsetzbare Übersicht über die Richtlinien bereit. Vereinfachen Sie die Einhaltung von Vorschriften für Teams, ohne durch umfangreiche Dokumentation navigieren zu müssen. Weitere Informationen finden Sie in der Beispielprüfliste zur Compliance.
4. Überprüfen von Cloudgovernancerichtlinien
Bewerten und Aktualisieren von Cloudgovernancerichtlinien, um sicherzustellen, dass sie in cloudbasierten Umgebungen relevant und effektiv bleiben. Regelmäßige Überprüfungen tragen dazu bei, dass Cloud-Governance-Richtlinien den sich ändernden regulatorischen Anforderungen, neuen Technologien und sich entwickelnden Geschäftszielen entsprechen. Berücksichtigen Sie beim Überprüfen von Richtlinien die folgenden Empfehlungen:
Implementieren Sie Feedbackmechanismen. Richten Sie Möglichkeiten ein, Feedback zur Effektivität von Cloud-Governance-Richtlinien zu erhalten. Sammeln Sie Eingaben von Personen, die von den Richtlinien betroffen sind, um sicherzustellen, dass sie ihre Arbeit weiterhin effizient erledigen können. Aktualisieren Sie Governancerichtlinien, um praktische Herausforderungen und Anforderungen widerzuspiegeln.
Richten Sie ereignisbasierte Rezensionen ein. Überprüfen und aktualisieren Sie Cloud-Governance-Richtlinien als Reaktion auf Ereignisse, z. B. eine fehlgeschlagene Governance-Richtlinie, Technologieänderung oder Änderungen an der Einhaltung gesetzlicher Vorschriften.
Planen Sie regelmäßige Überprüfungen. Überprüfen Sie regelmäßig Governancerichtlinien, um sicherzustellen, dass sie sich an den sich entwickelnden Organisatorischen Anforderungen, Risiken und Cloud-Fortschritten orientieren. Nehmen Sie beispielsweise Governanceüberprüfungen in die regelmäßigen Cloud-Governance-Besprechungen mit Stakeholdern auf.
Erleichtern Sie die Änderungssteuerung. Fügen Sie einen Prozess für die Richtlinienüberprüfung und -updates hinzu. Stellen Sie sicher, dass die Cloud-Governance-Richtlinien mit organisatorischen, behördlichen und technologischen Veränderungen in Einklang bleiben. Machen Sie klar, wie Sie Richtlinien bearbeiten, entfernen oder hinzufügen.
Identifizieren von Ineffizienzen. Überprüfen Sie Governancerichtlinien, um Ineffizienzen in der Cloudarchitektur und -vorgänge zu finden und zu beheben. Statt beispielsweise zuzuweisen, dass jede Workload eine eigene Webanwendungsfirewall verwenden muss, aktualisieren Sie die Richtlinie so, dass eine zentrale Firewall verwendet werden muss. Überprüfen Sie Richtlinien, die doppelten Aufwand erfordern, und überprüfen Sie, ob es eine Möglichkeit gibt, die Arbeit zu zentralisieren.
Beispiel für Cloud-Governance-Richtlinien
Die folgenden Cloud-Governance-Richtlinien sind Beispiele zur Orientierung. Diese Richtlinien basieren auf den Beispielen in der Beispielrisikoliste.
| Richtlinien-ID | Richtlinienkategorie | Risiko-ID | Richtlinienerklärung | Zweck | Umfang | Wartung | Überwachung |
|---|---|---|---|---|---|---|---|
| RC01 | Regulierungskonformität | R01 | Microsoft Purview muss zum Überwachen vertraulicher Daten verwendet werden. | Regulierungskonformität | Workload-Teams, Plattformteam | Sofortiges Handeln durch betroffenes Team, Compliance-Schulung | Microsoft Purview |
| RC02 | Regulierungskonformität | R01 | Tägliche Berichte zur Einhaltung vertraulicher Daten müssen aus Microsoft Purview generiert werden. | Regulierungskonformität | Workload-Teams, Plattformteam | Lösung innerhalb eines Tages, Bestätigungsüberwachung | Microsoft Purview |
| SC01 | Sicherheit | R02 | Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) muss für alle Benutzer aktiviert sein. | Minimieren von Datenschutzverletzungen und unbefugtem Zugriff | Azure-Benutzer | Widerrufen des Benutzerzugriffs | Bedingter Zugriff auf Microsoft Entra-ID |
| SC02 | Sicherheit | R02 | Zugriffsüberprüfungen müssen monatlich in Microsoft Entra ID Governance durchgeführt werden. | Sicherstellen der Daten- und Dienstintegrität | Azure-Benutzer | Sofortige Zugriffssperrung für Nichtcompliance | ID-Governance |
| SC03 | Sicherheit | R03 | Teams muss die angegebene GitHub-Organisation für sicheres Hosting aller Software- und Infrastrukturcodes verwenden. | Sicherstellen der sicheren und zentralisierten Verwaltung von Coderepositorys | Entwicklungsteams | Übertragung nicht autorisierter Repositorys an die angegebene GitHub-Organisation und potenzielle Disziplinaraktionen für Nichtcompliance | GitHub-Überwachungsprotokoll |
| SC04 | Sicherheit | R03 | Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantäne-Pattern übernehmen. | Sicherstellen, dass Bibliotheken sicher und konform sind, bevor sie in den Entwicklungsprozess integriert werden | Entwicklungsteams | Entfernen nicht kompatibler Bibliotheken und Überprüfung von Integrationsmethoden für betroffene Projekte | Manuelle Überwachung (monatlich) |
| CM01 | Kostenverwaltung | R04 | Teams für Arbeitsauslastung müssen Budgetwarnungen auf der Ebene von Ressourcengruppen festlegen. | Verhindern von übermäßigen Ausgaben | Workload-Teams, Plattformteam | Sofortige Überprüfungen, Anpassungen für Alarmmeldungen | Microsoft Cost Management |
| CM02 | Kostenverwaltung | R04 | Azure Advisor-Kostenempfehlungen müssen überprüft werden. | Optimieren der Cloudnutzung | Workload-Teams, Plattformteam | Obligatorische Optimierungsprüfungen nach 60 Tagen | Advisor |
| OP01 | Operationen | R05 | Produktionsworkloads sollten über eine aktiv passive Architektur in allen Regionen verfügen. | Sicherstellen der Dienstkontinuität | Arbeitsauslastungsteams | Architekturbewertungen, halbjährliche Überprüfungen | Manuelle Prüfung (je Produktionsfreigabe) |
| OP02 | Operationen | R05 | Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur implementieren. | Sicherstellen der Dienstkontinuität | Geschäftskritische Workload-Teams | Aktualisierungen innerhalb von 90 Tagen, Statusüberprüfungen | Manuelle Prüfung (je Produktionsfreigabe) |
| DG01 | Daten | R06 | Verschlüsselung während der Übertragung und im Ruhezustand muss auf alle vertraulichen Daten angewendet werden. | Schützen vertraulicher Daten | Arbeitsauslastungsteams | Sofortige Verschlüsselungserzwingung und Sicherheitsschulung | Azure-Richtlinie |
| DG02 | Daten | R06 | Datenlebenszyklusrichtlinien müssen in Microsoft Purview für alle vertraulichen Daten aktiviert sein. | Verwalten des Datenlebenszyklus | Arbeitsauslastungsteams | Umsetzung innerhalb von 60 Tagen, vierteljährliche Audits | Microsoft Purview |
| RM01 | Ressourcenverwaltung | R07 | Bicep muss zur Bereitstellung von Ressourcen verwendet werden. | Standardisieren der Ressourcenbereitstellung | Workload-Teams, Plattformteam | Sofortiger Bicep-Übergangsplan | Kontinuierliche Integration und kontinuierliche Lieferung (CI/CD)-Pipeline |
| RM02 | Ressourcenverwaltung | R07 | Tags müssen auf allen Cloudressourcen mithilfe von Azure Policy-Richtlinien erzwungen werden. | Vereinfachen der Ressourcennachverfolgung | Alle Cloudressourcen | Korrigiertes Tagging innerhalb von 30 Tagen | Azure-Richtlinie |
| AI01 | Künstliche Intelligenz | R08 | Die Konfiguration der KI-Inhaltsfilterung muss auf "mittel" oder "höher" festgelegt werden. | Milderung schädlicher KI-Ergebnisse | Arbeitsauslastungsteams | Sofortige Korrekturmaßnahmen | Azure OpenAI-Dienst |
| AI02 | Künstliche Intelligenz | R08 | Kundenorientierte KI-Systeme müssen monatlich rot teamiert werden. | Identifizieren von KI-Verzerrungen | KI-Modellteams | Sofortige Überprüfung, Korrekturmaßnahmen für Fehler | Manuelle Überwachung (monatlich) |