Документирование политик управления облаком
В этой статье показано, как определить и документировать политики управления облаком. Политики управления облаком указывают, что или не должно происходить в облаке. Команда управления облаком должна создать одну или несколько политик управления облаком для каждого риска, определенного в оценке рисков. Политики управления облаком определяют охранники для взаимодействия с облаком и в облаке.
Определение подхода к документированием политик управления облаком
Установите подход к созданию, обслуживанию и обновлению правил и рекомендаций, которые управляют использованием облачных служб. Политики управления облаком не должны быть уникальными для определенной рабочей нагрузки. Цель заключается в том, чтобы создавать политики управления облаком, которые не требуют частых обновлений и которые учитывают последствия политик управления облаком в облачной среде. Чтобы определить подход к документации по политике, следуйте приведенным ниже рекомендациям.
Определите стандартный язык управления. Разработка стандартной структуры и формата для документирования политик управления облаком. Политика должна быть четкой и авторитетной ссылкой для заинтересованных лиц.
Распознайте различные область управления. Определите и назначьте определенные обязанности по управлению, адаптированные к уникальным ролям в организации. Например, разработчик управляет кодом приложения. Группа рабочей нагрузки отвечает за одну рабочую нагрузку, и команда платформы отвечает за управление, наследуемое рабочими нагрузками.
Оцените широкие последствия управления облаком. Управление облаком создает трения. Найти баланс между трением и свободой. Учитывайте влияние управления на архитектуру рабочей нагрузки, методики разработки программного обеспечения и другие области при разработке политик управления облаком. Например, то, что можно разрешить или запретить, определяет архитектуру рабочей нагрузки и влияет на методики разработки программного обеспечения.
Определение политик управления облаком
Создайте политики управления облаком, которые описывают использование облака и управление им для устранения рисков. Свести к минимуму потребность в частых обновлениях политики. Чтобы определить политики управления облаком, выполните следующие рекомендации.
Используйте идентификатор политики. Используйте категорию политики и число для уникальной идентификации каждой политики, например SC01 для первой политики управления безопасностью. Приращение идентификатора последовательно при добавлении новых рисков. При удалении рисков можно оставить пробелы в последовательности или использовать наименьшее доступное число.
Включите инструкцию политики. Создание конкретных инструкций политики, которые устраняют выявленные риски. Используйте окончательный язык, например должен, не должен и не должен. Используйте элементы управления принудительного применения из списка рисков в качестве отправной точки. Сосредоточьтесь на результатах, а не на шагах конфигурации. Присвойте средству, необходимому для принудительного применения, чтобы узнать, где отслеживать соответствие требованиям.
Включите идентификатор риска. Перечислить риск в политике. Свяжите каждую политику управления облаком с риском.
Включите категорию политики. Включите категории управления, такие как безопасность, соответствие или управление затратами, в категорию политик. Категории помогают с сортировкой, фильтрацией и поиском политик управления облаком.
Включите назначение политики. Укаите назначение каждой политики. Используйте риск или требование соответствия нормативным требованиям, удовлетворяющие политике в качестве отправной точки.
Определите политику область. Определите, к кому применяется эта политика, например ко всем облачным службам, регионам, средам и рабочим нагрузкам. Укажите все исключения, чтобы убедиться, что неоднозначность отсутствует. Используйте стандартизованный язык, чтобы легко сортировать, фильтровать и находить политики.
Включите стратегии исправления политики. Определите требуемый ответ на нарушение политики управления облаком. Адаптировать ответы на серьезность риска, такие как планирование обсуждений по нарушениям непроизводства и немедленные усилия по устранению нарушений производства.
Дополнительные сведения см. в примере политик управления облаком.
Распространение политик управления облаком
Предоставьте доступ всем, кто должен соответствовать политикам управления облаком. Ищите способы упрощения соблюдения политик управления облаком для пользователей в организации. Чтобы распространить политики управления облаком, следуйте приведенным ниже рекомендациям.
Используйте централизованный репозиторий политик. Используйте централизованный, легкодоступный репозиторий для всех документации по управлению. Убедитесь, что у всех заинтересованных лиц, команд и отдельных лиц есть доступ к последним версиям политик и связанных документов.
Создайте списки соответствия требованиям проверка. Предоставьте краткий и практический обзор политик. Упростить выполнение команд, не перейдя по обширной документации. Дополнительные сведения см. в примере списка проверка соответствия требованиям.
Проверка политик управления облаком
Оцените и обновите политики управления облаком, чтобы они оставались актуальными и эффективными в управлении облачными средами. Регулярные проверки помогают обеспечить соответствие политик управления облаком изменяющимся нормативным требованиям, новым технологиям и изменяющимся бизнес-целям. При проверке политик рассмотрите следующие рекомендации:
Реализуйте механизмы обратной связи. Создание способов получения отзывов об эффективности политик управления облаком. Соберите входные данные от лиц, затронутых политикой, чтобы убедиться, что они по-прежнему могут эффективно выполнять свою работу. Обновите политики управления, чтобы отразить практические проблемы и потребности.
Установка проверок на основе событий. Просмотрите и обновите политики управления облаком в ответ на события, такие как политика управления сбоем, изменение технологий или изменение соответствия нормативным требованиям.
Планирование регулярных проверок. Регулярно просматривайте политики управления, чтобы обеспечить соответствие изменяющимся потребностям организации, рискам и улучшению облака. Например, включите проверки системы управления в регулярных собраниях по управлению облаком с заинтересованными лицами.
Упрощение управления изменениями. Включите процесс проверки и обновления политики. Убедитесь, что политики управления облаком соответствуют организационным, нормативным и технологическим изменениям. Узнайте, как редактировать, удалять или добавлять политики.
Определите неэффективность. Просмотрите политики управления, чтобы найти и исправить неэффективность в облачной архитектуре и операциях. Например, вместо того, чтобы указать, что каждая рабочая нагрузка должна использовать собственный брандмауэр веб-приложения, обновите политику, чтобы требовать использования централизованного брандмауэра. Просмотрите политики, требующие повторяющихся усилий, и проверьте, существует ли способ централизации работы.
Примеры политик управления облаком
Ниже приведены примеры политик управления облаком. Эти политики основаны на примерах в примере списка рисков.
| ИД политики | Категория политики | Идентификатор риска | Правило политики | Характер использования | Область | Серверы | Наблюдение |
|---|---|---|---|---|---|---|---|
| RC01 | Соблюдение нормативных требований | R01 | Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных. | Соблюдение нормативных требований | Команды рабочей нагрузки, команда платформы | Немедленное действие затронутой команды, обучение соответствия требованиям | Microsoft Purview |
| RC02 | Соблюдение нормативных требований | R01 | Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview. | Соблюдение нормативных требований | Команды рабочей нагрузки, команда платформы | Разрешение в течение одного дня, аудит подтверждения | Microsoft Purview |
| SC01 | Безопасность | R02 | Многофакторная проверка подлинности (MFA) должна быть включена для всех пользователей. | Устранение нарушений данных и несанкционированного доступа | Пользователи Azure | Отзыв доступа пользователей | Условный доступ идентификатора Microsoft Entra |
| SC02 | Безопасность | R02 | Проверки доступа должны выполняться ежемесячно в Управление идентификацией Microsoft Entra. | Обеспечение целостности данных и служб | Пользователи Azure | Немедленная отмена доступа для несоответствия | Управление идентификацией |
| SC03 | Безопасность | R03 | Teams должна использовать указанную организацию GitHub для безопасного размещения всего кода программного обеспечения и инфраструктуры. | Обеспечение безопасного и централизованного управления репозиториями кода | Команды разработчиков | Передача несанкционированных репозиториев в указанную организацию GitHub и потенциальные дисциплинарные действия для несоответствия | Журнал аудита GitHub |
| SC04 | Безопасность | R03 | Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина. | Убедитесь, что библиотеки безопасны и совместимы перед интеграцией в процесс разработки | Команды разработчиков | Удаление несоответствующих библиотек и проверка методик интеграции для затронутых проектов | Аудит вручную (ежемесячно) |
| CM01 | Управление затратами | R04 | Группы рабочей нагрузки должны задать оповещения о бюджетах на уровне группы ресурсов. | Предотвращение перерасхода | Команды рабочей нагрузки, команда платформы | Немедленные проверки, корректировки оповещений | Управление затратами Microsoft |
| CM02 | Управление затратами | R04 | Рекомендации по затратам помощника по Azure должны быть проверены. | Оптимизация использования облака | Команды рабочей нагрузки, команда платформы | Обязательные аудиты оптимизации через 60 дней | Помощник |
| OP01 | Операции | R05 | Рабочие нагрузки должны иметь активную-пассивной архитектуру в разных регионах. | Обеспечение непрерывности служб | Команды рабочей нагрузки | Оценки архитектуры, biannual reviews | Аудит вручную (на рабочий выпуск) |
| OP02 | Операции | R05 | Все критически важные рабочие нагрузки должны реализовать архитектуру с активными регионами. | Обеспечение непрерывности служб | Группы критически важных рабочих нагрузок | Обновления в течение 90 дней, проверки хода выполнения | Аудит вручную (на рабочий выпуск) |
| DG01 | Data | R06 | Шифрование во время передачи и неактивных данных должно применяться ко всем конфиденциальным данным. | Защита конфиденциальных данных | Команды рабочей нагрузки | Немедленное применение шифрования и обучение безопасности | Политика Azure |
| DG02 | Data | R06 | Политики жизненного цикла данных должны быть включены в Microsoft Purview для всех конфиденциальных данных. | Управление жизненным циклом данных | Команды рабочей нагрузки | Реализация в течение 60 дней, квартальные аудиты | Microsoft Purview |
| RM01 | Управление ресурсами | R07 | Bicep необходимо использовать для развертывания ресурсов. | Стандартизация подготовки ресурсов | Команды рабочей нагрузки, команда платформы | Немедленный план перехода Bicep | Конвейер непрерывной интеграции и непрерывной доставки (CI/CD) |
| RM02 | Управление ресурсами | R07 | Теги должны быть применены ко всем облачным ресурсам с помощью Политика Azure. | Упрощение отслеживания ресурсов | Все облачные ресурсы | Исправление тегов в течение 30 дней | Политика Azure |
| AI01 | ИИ | R08 | Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень. | Устранение вредоносных выходных данных искусственного интеллекта | Команды рабочей нагрузки | Немедленные корректирующие меры | Служба Azure OpenAI |
| AI02 | ИИ | R08 | Системы искусственного интеллекта, которые сталкиваются с клиентами, должны выполняться ежемесячно. | Определение предвзятости ИИ | Команды моделей ИИ | Немедленный просмотр, исправление действий для промахов | Аудит вручную (ежемесячно) |