Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Korzystając ze szczegółowych informacji z oceny ryzyka, zespół formułuje teraz zasady do obsługi tych zagrożeń. Dla każdego znaczącego ryzyka lub grupy ryzyka należy zastosować co najmniej jedną odpowiednią politykę ładu. Podczas dokumentowania zasad ładu w chmurze należy wziąć pod uwagę następujące najlepsze rozwiązania:
1. Ustanowienie standardowego formatu zasad i języka
Utwórz spójny szablon lub format dla wszystkich zasad. Każdy dokument zasad (lub sekcja) powinien zawierać kluczowe elementy, takie jak ID, oświadczenie, zakres. Używaj jasnego, jednoznacznego języka. Zasady mają być autorytatywnymi odwołaniami, więc powinny one być łatwe do zrozumienia przez uczestników projektu bez miejsca na błędną interpretację. Na przykład należy zdecydować się na standardowe sformułowanie, takie jak "musi" lub "nie wolno" dla wymagań, i unikać niejasnych terminów. Standardowy format, taki jak zasady z identyfikatorem, kategorią, celem, ułatwia nawigację i konserwację zasad.
2. Definiowanie zasad ładu w chmurze
Utwórz zasady ładu w chmurze, które przedstawiają sposób używania chmury i zarządzania nią w celu ograniczenia ryzyka. Zminimalizuj potrzebę częstych aktualizacji zasad. Aby zdefiniować zasady ładu w chmurze, wykonaj następujące zalecenia:
Użyj identyfikatora polityki. Użyj kategorii zasad i liczby, aby jednoznacznie zidentyfikować poszczególne zasady, takie jak SC01 dla pierwszych zasad ładu zabezpieczeń. Zwiększaj identyfikator sekwencyjnie podczas dodawania nowych czynników ryzyka. Jeśli usuniesz ryzyko, możesz pozostawić luki w sekwencji lub użyć najniższej dostępnej liczby.
Dołącz oświadczenie polityki. Utwórz konkretne zasady, które dotyczą zidentyfikowanych zagrożeń. Użyj ostatecznego języka, takiego jak musi, powinien, nie może i nie powinien. Użyj mechanizmów egzekwowania z listy ryzyka jako punktu startowego. Skoncentruj się na wynikach, a nie na krokach konfiguracji. Nadaj nazwę narzędziu wymaganemu do wymuszania, aby wiedzieć, gdzie monitorować zgodność.
Uwzględnij identyfikator ryzyka. Wymień ryzyko w polityce. Skojarz wszystkie zasady ładu w chmurze z ryzykiem.
Uwzględnij kategorię zasad. Uwzględnij kategorie ładu, takie jak zabezpieczenia, zgodność lub zarządzanie kosztami, do kategoryzacji zasad. Kategorie ułatwiają sortowanie, filtrowanie i znajdowanie zasad ładu w chmurze.
Uwzględnij cel zasad. Podaj przeznaczenie poszczególnych zasad. Użyj ryzyka lub wymagania zgodności z przepisami, które zasady spełniają jako punkt wyjścia.
Zdefiniuj zakres zasad. Zdefiniuj, do czego mają zastosowanie te zasady, takie jak wszystkie usługi w chmurze, regiony, środowiska i obciążenia. Określ wszelkie wyjątki, aby upewnić się, że nie ma wątpliwości. Używaj standardowego języka, aby łatwo sortować, filtrować i znajdować zasady.
Uwzględnij strategie korygowania zasad. Zdefiniuj żądaną odpowiedź na naruszenie zasad ładu w chmurze. Dostosuj odpowiedzi na ważność ryzyka, takie jak planowanie dyskusji dotyczących naruszeń nieprodukcyjnych i natychmiastowe działania naprawcze w przypadku naruszeń produkcji.
Aby uzyskać więcej informacji, zobacz przykładowe zasady ładu w chmurze.
3. Dystrybuowanie zasad ładu w chmurze
Udziel dostępu wszystkim, którzy muszą przestrzegać zasad ładu w chmurze. Poszukaj sposobów ułatwienia przestrzegania zasad ładu w chmurze dla osób w organizacji. Aby dystrybuować zasady ładu w chmurze, postępuj zgodnie z następującymi zaleceniami:
Użyj scentralizowanego repozytorium zasad. Użyj scentralizowanego, łatwo dostępnego repozytorium dla całej dokumentacji zarządzania. Upewnij się, że wszyscy uczestnicy projektu, zespoły i osoby fizyczne mają dostęp do najnowszych wersji zasad i powiązanych dokumentów.
Utwórz listy kontrolne zgodności. Podaj szybki i praktyczny przegląd zasad. Ułatwiaj zespołom przestrzeganie zasad bez potrzeby przeszukiwania obszernej dokumentacji. Aby uzyskać więcej informacji, zobacz przykładowa lista kontrolna zgodności.
4. Przegląd zasad ładu w chmurze
Ocenianie i aktualizowanie zasad zapewniania ładu w chmurze w celu zapewnienia, że pozostają one istotne i skuteczne w zarządzaniu środowiskami chmury. Regularne przeglądy pomagają zapewnić, że zasady ładu w chmurze są zgodne ze zmieniającymi się wymaganiami prawnymi, nowymi technologiami i zmieniającymi się celami biznesowymi. Podczas przeglądania zasad należy wziąć pod uwagę następujące zalecenia:
Implementowanie mechanizmów przesyłania opinii. Ustanów sposoby otrzymywania opinii na temat skuteczności zasad ładu w chmurze. Zbierz dane wejściowe od osób, których dotyczą zasady, aby upewnić się, że nadal mogą wykonywać swoją pracę wydajnie. Aktualizowanie zasad ładu w celu odzwierciedlenia praktycznych wyzwań i potrzeb.
Utwórz przeglądy oparte na zdarzeniach. Przejrzyj i zaktualizuj zasady ładu w chmurze w odpowiedzi na zdarzenia, takie jak nieudane zasady ładu, zmiana technologii lub zmiana zgodności z przepisami.
Zaplanuj regularne przeglądy. Regularnie przeglądaj zasady ładu, aby upewnić się, że są one zgodne ze zmieniającymi się potrzebami organizacji, ryzykiem i postępami w chmurze. Na przykład należy uwzględnić przeglądy ładu w regularnych spotkaniach dotyczących ładu w chmurze z uczestnikami projektu.
Ułatwia sterowanie zmianami. Uwzględnij proces przeglądu zasad i aktualizacji. Upewnij się, że zasady ładu w chmurze są zgodne ze zmianami organizacyjnymi, regulacyjnymi i technologicznymi. Wyjaśnij, jak edytować, usuwać lub dodawać zasady.
Identyfikowanie nieefektywności. Przejrzyj zasady ładu, aby znaleźć i naprawić nieefektywność w architekturze i operacjach w chmurze. Na przykład, zamiast narzucać, aby każde obciążenie musiało używać własnej webowej zapory aplikacyjnej, zaktualizuj politykę, aby wymagała użycia scentralizowanej zapory sieciowej. Przejrzyj zasady wymagające zduplikowanego nakładu pracy i sprawdź, czy istnieje sposób na scentralizowanie pracy.
Przykładowe zasady ładu w chmurze
Poniżej przedstawiono przykłady zasad zapewniania ładu w chmurze. Te zasady są oparte na przykładach na przykładowej liście ryzyka.
| Identyfikator zasad | Kategoria zasad | Identyfikator ryzyka | Oświadczenie polityki | Przeznaczenie | Scope | Remediation | Nadzorowanie |
|---|---|---|---|---|---|---|---|
| RC01 | Zgodność z przepisami | R01 | Usługa Microsoft Purview musi być używana do monitorowania poufnych danych. | Zgodność z przepisami | Zespoły obciążeń, zespół platformy | Natychmiastowe działanie zespołu, którego dotyczy problem, szkolenie w zakresie zgodności | Microsoft Purview |
| RC02 | Zgodność z przepisami | R01 | Codzienne raporty zgodności danych poufnych muszą być generowane na podstawie usługi Microsoft Purview. | Zgodność z przepisami | Zespoły obciążeń, zespół platformy | Rozwiązanie w ciągu jednego dnia oraz audyt potwierdzający | Microsoft Purview |
| SC01 | Zabezpieczenia | R02 | Uwierzytelnianie wieloskładnikowe (MFA) musi być włączone dla wszystkich użytkowników. | Ograniczanie naruszeń danych i nieautoryzowanego dostępu | Użytkownicy platformy Azure | Odwoływanie dostępu użytkowników | Microsoft Entra ID — dostęp warunkowy firmy Microsoft |
| SC02 | Zabezpieczenia | R02 | Przeglądy dostępu muszą być przeprowadzane co miesiąc w usłudze Microsoft Entra ID Governance. | Zapewnianie integralności danych i usług | Użytkownicy platformy Azure | Natychmiastowe odwołanie dostępu w przypadku niezgodności | Zarządzanie identyfikatorami |
| SC03 | Zabezpieczenia | R03 | Zespoły muszą używać określonej organizacji GitHub do bezpiecznego hostowania całego kodu oprogramowania i infrastruktury. | Zapewnianie bezpiecznego i scentralizowanego zarządzania repozytoriami kodu | Zespoły deweloperskie | Przeniesienie nieautoryzowanych repozytoriów do określonej organizacji GitHub i możliwe działania dyscyplinarne w przypadku naruszenia zgodności | Dziennik inspekcji usługi GitHub |
| SC04 | Zabezpieczenia | R03 | Zespoły korzystające z bibliotek ze źródeł publicznych muszą przyjąć wzorzec kwarantanny. | Upewnij się, że biblioteki są bezpieczne i zgodne przed integracją z procesem programowania | Zespoły deweloperskie | Usuwanie niezgodnych bibliotek i przegląd praktyk integracji dla projektów, których dotyczy problem | Inspekcja ręczna (co miesiąc) |
| CM01 | Zarządzanie kosztami | R04 | Zespoły zarządzające obciążeniem muszą ustawić alerty budżetowe na poziomie grupy zasobów. | Zapobieganie nadmiernym kosztom | Zespoły obciążeń, zespół platformy | Natychmiastowe przeglądy, korekty alertów | Microsoft Cost Management |
| CM02 | Zarządzanie kosztami | R04 | Należy przejrzeć zalecenia dotyczące kosztów usługi Azure Advisor. | Optymalizowanie użycia chmury | Zespoły obciążeń, zespół platformy | Obowiązkowe inspekcje optymalizacji po upływie 60 dni | Advisor |
| OP01 | Operations | R05 | Obciążenia produkcyjne powinny mieć architekturę aktywne-pasywne w różnych regionach. | Zapewnianie ciągłości usługi | Zespoły ds. obciążenia pracą | Oceny architektury, przeglądy biannualne | Audyt ręczny (dla każdego wydania produkcyjnego) |
| OP02 | Operations | R05 | Wszystkie obciążenia o znaczeniu krytycznym muszą implementować architekturę aktywne-aktywne w wielu regionach. | Zapewnianie ciągłości usługi | Zespoły obciążeń pracy kluczowych dla misji | Aktualizacje w ciągu 90 dni, przeglądy postępu | Audyt ręczny (dla każdego wydania produkcyjnego) |
| DG01 | Dane | R06 | Szyfrowanie podczas przesyłania i magazynowania musi być stosowane do wszystkich poufnych danych. | Ochrona poufnych danych | Zespoły ds. obciążenia pracą | Natychmiastowe wymuszanie szyfrowania i szkolenie zabezpieczeń | Azure Policy |
| DG02 | Dane | R06 | Zasady cyklu życia danych muszą być włączone w usłudze Microsoft Purview dla wszystkich poufnych danych. | Zarządzanie cyklem życia danych | Zespoły ds. obciążenia pracą | Implementacja w ciągu 60 dni, kwartalne inspekcje | Microsoft Purview |
| RM01 | Zarządzanie zasobami | R07 | Do wdrażania zasobów należy używać Bicepa. | Standaryzacja dostarczania zasobów | Zespoły obciążeń, zespół platformy | Natychmiastowy plan przejścia dla Bicep | Ścieżka ciągłej integracji i ciągłego dostarczania (CI/CD) |
| RM02 | Zarządzanie zasobami | R07 | Tagi muszą być wymuszane na wszystkich zasobach w chmurze przy użyciu usługi Azure Policy. | Ułatwianie śledzenia zasobów | Wszystkie zasoby w chmurze | Poprawne tagowanie w ciągu 30 dni | Azure Policy |
| AI01 | AI | R08 | Konfiguracja filtrowania zawartości sztucznej inteligencji musi być ustawiona na średnią lub wyższą. | Eliminowanie szkodliwych danych wyjściowych sztucznej inteligencji | Zespoły ds. obciążenia pracą | Natychmiastowe środki naprawcze | Azure OpenAI Service |
| AI02 | AI | R08 | Systemy sztucznej inteligencji dostępne dla klientów muszą być co miesiąc ponownie połączone zespołem. | Identyfikowanie uprzedzeń sztucznej inteligencji | Zespoły modeli sztucznej inteligencji | Natychmiastowe przeglądy, akcje naprawcze w przypadku chybień | Inspekcja ręczna (co miesiąc) |