Documenter les stratégies de gouvernance cloud
Cet article explique comment définir et documenter des stratégies de gouvernance cloud. Les stratégies de gouvernance cloud spécifient ce qui doit ou ne doit pas se produire dans le cloud. Votre équipe de gouvernance cloud doit créer une ou plusieurs stratégies de gouvernance cloud pour chaque risque identifié dans l’évaluation des risques. Les stratégies de gouvernance cloud définissent les garde-fous pour interagir avec et dans le cloud.
Définir une approche pour documenter les stratégies de gouvernance cloud
Établissez une approche pour la création, la maintenance et la mise à jour des règles et des recommandations qui régissent l’utilisation des services cloud. Les stratégies de gouvernance cloud ne doivent pas être propres à une charge de travail spécifique. L’objectif est de produire des stratégies de gouvernance cloud qui ne nécessitent pas de mises à jour fréquentes et qui prennent en compte les effets de ces stratégies dans l’ensemble de l’environnement cloud. Pour définir une approche de documentation de stratégie, suivez ces recommandations :
Définir le langage de gouvernance standard. Développez une structure et un format standard pour documenter les stratégies de gouvernance cloud. Les stratégies doivent être une référence claire et faisant autorité pour les parties prenantes.
Reconnaître les différentes étendues de gouvernance. Définissez et attribuez des responsabilités de gouvernance spécifiques adaptées aux rôles uniques au sein de votre organisation. Par exemple, un développeur régit le code d’application. Une équipe de charge de travail est responsable d’une charge de travail unique, et l’équipe de plateforme est chargée de la gouvernance que les charges de travail héritent.
Évaluer les effets généraux de la gouvernance cloud. La gouvernance cloud crée des frictions. Trouvez un équilibre entre friction et liberté. Tenez compte des effets de la gouvernance sur l’architecture des charges de travail, les pratiques de développement de logiciels et d’autres domaines à mesure que vous développez des stratégies de gouvernance cloud. Par exemple, ce que vous autorisez ou interdisez détermine l’architecture de la charge de travail et affecte les pratiques de développement de logiciels.
Définir des stratégies de gouvernance cloud
Créez des stratégies de gouvernance cloud qui décrivent la façon d’utiliser et de gérer le cloud pour atténuer les risques. Réduisez le besoin de mises à jour fréquentes de stratégie. Pour définir des stratégies de gouvernance cloud, suivez ces recommandations :
Utiliser un ID de stratégie. Utilisez la catégorie de stratégie et un nombre pour identifier de manière unique chaque stratégie, telle que SC01 pour la première stratégie de gouvernance de la sécurité. Incrémentez l’identifiant séquentiellement au fur et à mesure que vous ajoutez de nouveaux risques. Si vous supprimez des risques, vous pouvez laisser des lacunes dans la séquence ou utiliser le numéro disponible le plus bas.
Inclure la déclaration de stratégie. Créez des déclarations de stratégie spécifiques qui traitent des risques identifiés. Utilisez un langage définitif tel que doit, devrait, ne doit pas, et ne devrait pas. Utilisez les contrôles d’application provenant de la liste des risques comme point de départ. Concentrez-vous sur les résultats plutôt que sur les étapes de configuration. Nommez l’outil requis pour l’application afin de savoir où surveiller la conformité.
Inclure un ID de risque. Répertoriez le risque dans la stratégie. Associez chaque stratégie de gouvernance cloud à un risque.
Inclure la catégorie de stratégie. Incluez des catégories de gouvernance, telles que la sécurité, la conformité ou la gestion des coûts, dans la catégorisation de la stratégie. Les catégories aident à trier, filtrer et rechercher des stratégies de gouvernance cloud.
Inclure l’objectif de la stratégie. Indiquez l’objectif de chaque stratégie. Utilisez le risque ou l’exigence de conformité réglementaire que la stratégie satisfait comme point de départ.
Définir l’étendue de la stratégie. Définissez ce à quoi et à qui cette stratégie s’applique, par exemple à tous les services cloud, régions, environnements et charges de travail. Spécifiez les exceptions pour vous assurer qu’il n’y a aucune ambiguïté. Utilisez un langage standardisé afin qu’il soit aisé de trier, de filtrer et de rechercher des stratégies.
Inclure les stratégies de correction de stratégie. Définissez la réponse souhaitée à une violation d’une stratégie de gouvernance cloud. Adaptez les réponses à la gravité du risque, telles que la planification des discussions pour les violations de non-production et les efforts de correction immédiats pour les violations de production.
Pour plus d’informations, consultez les exemples de stratégies de gouvernance cloud.
Distribuer des stratégies de gouvernance cloud
Octroyez l’accès à toutes les personnes qui doivent adhérer aux stratégies de gouvernance cloud. Cherchez des moyens de faciliter l’adhésion aux stratégies de gouvernance cloud pour les personnes de votre organisation. Pour distribuer des stratégies de gouvernance cloud, suivez ces recommandations :
Utiliser un référentiel de stratégie centralisé. Utilisez un référentiel centralisé et facilement accessible pour toutes les documentations de gouvernance. Assurez-vous que toutes les parties prenantes, équipes et personnes ont accès aux dernières versions des stratégies et documents associés.
Créer des listes de contrôle de conformité. Fournissez une vue d’ensemble rapide et exploitable des stratégies. Facilitez la conformité des équipes sans avoir à parcourir une documentation complète. Pour plus d’informations, consultez l’exemple de liste de contrôle de conformité.
Passer en revue des stratégies de gouvernance cloud
Évaluez et mettez à jour les stratégies de gouvernance cloud afin de vérifier qu’elles restent pertinentes et efficaces pour la gouvernance des environnements cloud. Les révisions régulières permettent de s’assurer que les stratégies de gouvernance cloud s’alignent sur la modification des exigences réglementaires, les nouvelles technologies et l’évolution des objectifs stratégiques. Lorsque vous passez en revue les stratégies, tenez compte des recommandations suivantes :
Implémenter des mécanismes de retour d’expérience. Établissez des moyens de recevoir des retours d’expérience sur l’efficacité des stratégies de gouvernance cloud. Recueillez les avis des personnes concernées par les stratégies pour garantir qu’elles puissent continuer à faire leur travail de manière efficace. Mettez à jour les stratégies de gouvernance pour refléter les défis et les besoins pratiques.
Mettre en place des révisions basées sur des événements. Passez en revue et mettez à jour les stratégies de gouvernance cloud en réponse à des événements, tels qu’une stratégie de gouvernance défaillante, un changement technologique ou un changement de conformité réglementaire.
Planifier des révisions régulières. Passez régulièrement en revue les stratégies de gouvernance pour s’assurer qu’elles s’alignent sur les besoins, les risques et les avancées en matière de cloud en constante évolution. Par exemple, incluez des révisions de gouvernance dans les réunions de gouvernance cloud régulières avec les parties prenantes.
Faciliter le contrôle des modifications. Incluez un processus pour l’examen et les mises à jour de stratégie. Assurez-vous que les stratégies de gouvernance cloud restent alignées sur les changements organisationnels, réglementaires et technologiques. Indiquez clairement comment modifier, supprimer ou ajouter des stratégies.
Identifier les inefficacités. Passez en revue les stratégies de gouvernance pour rechercher et corriger les inefficacités dans l’architecture et les opérations cloud. Par exemple, au lieu de demander à chaque charge de travail d’utiliser son propre pare-feu d’applications Web, mettez à jour la stratégie pour exiger l’utilisation d’un pare-feu centralisé. Passez en revue les stratégies qui nécessitent un effort en double et vérifiez s’il existe un moyen de centraliser le travail.
Exemples de stratégies de gouvernance cloud
Les stratégies de gouvernance cloud suivantes sont des exemples de référence. Ces stratégies sont basées sur les exemples issus de la liste d’exemples de risques.
ID de stratégie | Catégorie Policy | ID de risque | Instruction de la stratégie | Objectif | Étendue | Correction | Surveillance |
---|---|---|---|---|---|---|---|
RC01 | Conformité réglementaire | R01 | Microsoft Purview doit être utilisé pour surveiller les données sensibles. | Conformité réglementaire | Équipes de charge de travail, équipe de plateforme | Action immédiate de l’équipe concernée, formation sur la conformité | Microsoft Purview |
RC02 | Conformité réglementaire | R01 | Les rapports de conformité des données sensibles quotidiens doivent être générés à partir de Microsoft Purview. | Conformité réglementaire | Équipes de charge de travail, équipe de plateforme | Résolution dans un délai d’un jour, audit de confirmation | Microsoft Purview |
SC01 | Sécurité | R02 | L’authentification multifacteur (MFA) doit être activée pour tous les utilisateurs. | Atténuer les violations de données et l’accès non autorisé | Utilisateurs Azure | Révoquer l’accès d’un utilisateur | Accès conditionnel Microsoft Entra ID |
SC02 | Sécurité | R02 | Les révisions d’accès doivent être effectuées tous les mois dans Gouvernance des ID Microsoft Entra. | Garantir l’intégrité des données et des services | Utilisateurs Azure | Révocation d’accès immédiat pour la non-conformité | Gouvernance informatique |
SC03 | Sécurité | R03 | Teams doit utiliser l’organisation GitHub spécifiée pour sécuriser l’hébergement de tous les logiciels et du code d’infrastructure. | Garantir la gestion sécurisée et centralisée des référentiels de code | Équipes chargées du développement | Transfert de dépôts non autorisés vers l’organisation GitHub spécifiée et les actions disciplinaires potentielles pour la non-conformité | Journal d’audit GitHub |
SC04 | Sécurité | R03 | Les équipes qui utilisent des bibliothèques provenant de sources publiques doivent adopter le modèle de quarantaine. | Vérifier que les bibliothèques sont sécurisées et conformes avant l’intégration au processus de développement | Équipes chargées du développement | Suppression de bibliothèques non conformes et examen des pratiques d’intégration pour les projets affectés | Audit manuel (mensuel) |
CM01 | Gestion des coûts | R04 | Les équipes de charge de travail doivent définir des alertes de budgets au niveau du groupe de ressources. | Empêcher les dépassements de dépenses | Équipes de charge de travail, équipe de plateforme | Révisions immédiates, ajustements pour les alertes | Microsoft Cost Management |
CM02 | Gestion des coûts | R04 | Les recommandations en matière de coûts d’Azure Advisor doivent être examinées. | Optimiser l’utilisation du cloud | Équipes de charge de travail, équipe de plateforme | Audits d’optimisation obligatoires après 60 jours | Advisor |
OP01 | Opérations | R05 | Les charges de travail de production doivent avoir une architecture active–passive dans l’ensemble des régions. | Garantir la continuité du service | Équipes de charge de travail | Évaluations d’architecture, révisions bisannuelles | Audit manuel (par version de production) |
OP02 | Opérations | R05 | Toutes les charges de travail stratégique doivent implémenter une architecture active-active interrégion. | Garantir la continuité du service | Équipes de charge de travail stratégique | Mises à jour dans les 90 jours, révisions de progression | Audit manuel (par version de production) |
DG01 | Données | R06 | Le chiffrement en transit et au repos doit être appliqué à toutes les données sensibles. | Protection des données sensibles | Équipes de charge de travail | Application immédiate du chiffrement et formation sur la sécurité | Azure Policy |
DG02 | Données | R06 | Les stratégies de cycle de vie des données doivent être activées dans Microsoft Purview pour toutes les données sensibles. | Gérer le cycle de vie des données | Équipes de charge de travail | Implémentation dans les 60 jours, audits trimestriels | Microsoft Purview |
RM01 | Gestion des ressources | R07 | Bicep doit être utilisé pour déployer des ressources. | Normaliser l’approvisionnement des ressources | Équipes de charge de travail, équipe de plateforme | Plan de transition Bicep immédiat | Pipeline d’intégration continue et livraison continue (CI/CD) |
RM02 | Gestion des ressources | R07 | Les balises doivent être appliquées à toutes les ressources cloud à l’aide d’Azure Policy. | Faciliter le suivi des ressources | Toutes les ressources cloud | Correction de la catégorisation dans les 30 jours | Azure Policy |
AI01 | Intelligence artificielle | R08 | La configuration du filtrage de contenu IA doit être définie sur « moyen » ou un niveau supérieur. | Atténuer les productions nuisibles de l’IA | Équipes de charge de travail | Mesures correctives immédiates | Azure OpenAI Service |
AI02 | Intelligence artificielle | R08 | Les systèmes IA côté client doivent être mis en équipe tous les mois. | Identifier les biais d’IA | Équipes de modèles IA | Révision immédiate, actions correctives pour les échecs | Audit manuel (mensuel) |