Dela via

Dokumentera principer för molnstyrning

  • Artikel

Den här artikeln visar hur du definierar och dokumenterar principer för molnstyrning. Molnstyrningsprinciper anger vad som ska eller inte ska hända i molnet. Molnstyrningsteamet bör skapa en eller flera molnstyrningsprinciper för varje risk som identifieras i riskbedömningen. Principer för molnstyrning definierar skyddsmekanismer för interaktion med och i molnet.

Diagram som visar processen för att konfigurera och underhålla molnstyrning. Diagrammet visar fem sekventiella steg: skapa ett molnstyrningsteam, dokumentera principer för molnstyrning, tillämpa principer för molnstyrning och övervaka molnstyrning. Det första steget du utför en gång. De sista fyra stegen du utför en gång för att konfigurera molnstyrning och kontinuerligt upprätthålla molnstyrning.

Definiera en metod för att dokumentera principer för molnstyrning

Upprätta en metod för att skapa, underhålla och uppdatera de regler och riktlinjer som styr användningen av molntjänster. Molnstyrningsprinciper bör inte vara unika för en specifik arbetsbelastning. Målet är att skapa molnstyrningsprinciper som inte kräver frekventa uppdateringar och som tar hänsyn till effekterna av molnstyrningsprinciper i molnmiljön. Följ dessa rekommendationer för att definiera en principdokumentationsmetod:

  • Definiera standardstyrningsspråk. Utveckla en standardstruktur och ett format för att dokumentera principer för molnstyrning. Principerna måste vara en tydlig och auktoritativ referens för intressenter.

  • Identifiera olika styrningsomfång. Definiera och tilldela specifika styrningsansvar som är anpassade till de unika rollerna i din organisation. En utvecklare styr till exempel programkoden. Ett arbetsbelastningsteam ansvarar för en enda arbetsbelastning och plattformsteamet ansvarar för styrning som arbetsbelastningar ärver.

  • Utvärdera de breda effekterna av molnstyrning. Molnstyrning skapar friktion. Hitta en balans mellan friktion och frihet. Tänk på effekterna av styrning på arbetsbelastningsarkitektur, metoder för programvaruutveckling och andra områden när du utvecklar principer för molnstyrning. Vad du till exempel tillåter eller inte tillåter avgör arbetsbelastningsarkitekturen och påverkar metoder för programvaruutveckling.

Definiera principer för molnstyrning

Skapa principer för molnstyrning som beskriver hur du använder och hanterar molnet för att minska riskerna. Minimera behovet av frekventa principuppdateringar. Om du vill definiera principer för molnstyrning följer du dessa rekommendationer:

  • Använd ett princip-ID. Använd principkategorin och ett tal för att unikt identifiera varje princip, till exempel SC01 för den första säkerhetsstyrningsprincipen. Öka identifieraren sekventiellt när du lägger till nya risker. Om du tar bort risker kan du lämna luckor i sekvensen eller använda det lägsta tillgängliga talet.

  • Inkludera policy-instruktionen. Skapa specifika principinstruktioner som hanterar identifierade risker. Använd ett definitivt språk som måste, bör, inte och bör inte. Använd tvingande kontroller från risklistan som utgångspunkt. Fokusera på resultat i stället för konfigurationssteg. Namnge det verktyg som krävs för tvingande så att du vet var du ska övervaka efterlevnaden.

  • Inkludera ett risk-ID. Visa en lista över riskerna i principen. Associera varje molnstyrningsprincip med en risk.

  • Inkludera principkategorin. Inkludera styrningskategorier, till exempel säkerhet, efterlevnad eller kostnadshantering, i principkategoriseringen. Kategorier hjälper dig att sortera, filtrera och hitta principer för molnstyrning.

  • Inkludera principsyftet. Ange syftet med varje princip. Använd den risk eller det regelefterlevnadskrav som principen uppfyller som utgångspunkt.

  • Definiera principomfånget. Definiera vad och vem den här principen gäller för, till exempel alla molntjänster, regioner, miljöer och arbetsbelastningar. Ange eventuella undantag för att säkerställa att det inte finns någon tvetydighet. Använd standardiserat språk så att det är enkelt att sortera, filtrera och hitta principer.

  • Inkludera strategierna för principreparation. Definiera önskat svar på ett brott mot en molnstyrningsprincip. Skräddarsy svar på riskens allvarlighetsgrad, till exempel schemaläggning av diskussioner om icke-produktionsöverträdelser och omedelbara reparationsåtgärder för produktionsöverträdelser.

Mer information finns i exemplet på molnstyrningsprinciper.

Distribuera principer för molnstyrning

Bevilja åtkomst till alla som behöver följa molnstyrningsprinciper. Leta efter sätt att underlätta efterlevnaden av molnstyrningsprinciperna för personer i din organisation. Följ dessa rekommendationer för att distribuera principer för molnstyrning:

  • Använd en centraliserad principlagringsplats. Använd en centraliserad, lättillgänglig lagringsplats för all styrningsdokumentation. Se till att alla intressenter, team och individer har åtkomst till de senaste versionerna av principer och relaterade dokument.

  • Skapa checklistor för efterlevnad. Ge en snabb och användbar översikt över principerna. Gör det enklare för team att följa kraven utan att behöva gå igenom omfattande dokumentation. Mer information finns i exempelchecklistan för efterlevnad.

Granska principer för molnstyrning

Utvärdera och uppdatera molnstyrningsprinciper för att säkerställa att de förblir relevanta och effektiva för att styra molnmiljöer. Regelbundna granskningar hjälper till att säkerställa att molnstyrningsprinciperna överensstämmer med ändrade regelkrav, ny teknik och föränderliga affärsmål. När du granskar principer bör du överväga följande rekommendationer:

  • Implementera feedbackmekanismer. Upprätta sätt att ta emot feedback om effektiviteten i molnstyrningsprinciper. Samla in indata från de personer som påverkas av principerna för att säkerställa att de fortfarande kan göra sitt jobb effektivt. Uppdatera styrningsprinciper för att återspegla praktiska utmaningar och behov.

  • Upprätta händelsebaserade granskningar. Granska och uppdatera molnstyrningsprinciper som svar på händelser, till exempel en misslyckad styrningsprincip, teknikändring eller regelefterlevnadsändring.

  • Schemalägg regelbundna granskningar. Granska regelbundet styrningsprinciper för att säkerställa att de överensstämmer med föränderliga organisationsbehov, risker och molnframsteg. Inkludera till exempel styrningsgranskningar i de regelbundna molnstyrningsmötena med intressenter.

  • Underlätta ändringskontroll. Inkludera en process för principgranskning och uppdateringar. Se till att molnstyrningsprinciperna överensstämmer med organisatoriska, regelmässiga och tekniska förändringar. Gör det tydligt hur du redigerar, tar bort eller lägger till principer.

  • Identifiera ineffektivitet. Granska styrningsprinciper för att hitta och åtgärda ineffektivitet i molnarkitektur och -åtgärder. I stället för att ge varje arbetsbelastning behörighet att använda en egen brandvägg för webbprogram uppdaterar du till exempel principen så att en centraliserad brandvägg krävs. Granska principer som kräver duplicerad ansträngning och se om det finns ett sätt att centralisera arbetet.

Exempel på principer för molnstyrning

Följande principer för molnstyrning är exempel som referens. Dessa principer baseras på exemplen i exempellistan över risker.

Policy-ID Principkategori Risk-ID Principuttryck Syfte Omfattning Åtgärder Övervakning
RC01 Regelefterlevnad R01 Microsoft Purview måste användas för att övervaka känsliga data. Regelefterlevnad Arbetsbelastningsteam, plattformsteam Omedelbar åtgärd från berört team, efterlevnadsutbildning Microsoft Purview
RC02 Regelefterlevnad R01 Dagliga rapporter om efterlevnad av känsliga data måste genereras från Microsoft Purview. Regelefterlevnad Arbetsbelastningsteam, plattformsteam Lösning inom en dag, bekräftelsegranskning Microsoft Purview
SC01 Säkerhet R02 Multifaktorautentisering (MFA) måste vara aktiverat för alla användare. Minimera dataintrång och obehörig åtkomst Azure-användare Återkalla användaråtkomst Villkorsstyrd åtkomst för Microsoft Entra-ID
SC02 Säkerhet R02 Åtkomstgranskningar måste utföras varje månad i Microsoft Entra ID-styrning. Säkerställa data- och tjänstintegritet Azure-användare Omedelbart återkallande av åtkomst för inkompatibilitet ID-styrning
SC03 Säkerhet R03 Teams måste använda den angivna GitHub-organisationen för säker värdhantering av all program- och infrastrukturkod. Säkerställa säker och centraliserad hantering av kodlagringsplatser Utvecklingsteam Överföring av obehöriga lagringsplatser till den angivna GitHub-organisationen och potentiella disciplinära åtgärder för inkompatibilitet GitHub-granskningslogg
SC04 Säkerhet R03 Team som använder bibliotek från offentliga källor måste använda karantänmönstret. Se till att biblioteken är säkra och kompatibla innan de integreras i utvecklingsprocessen Utvecklingsteam Borttagning av icke-kompatibla bibliotek och översyn av integrationsmetoder för berörda projekt Manuell granskning (månadsvis)
CM01 Kostnadshantering R04 Arbetsbelastningsteam måste ange budgetaviseringar på resursgruppsnivå. Förhindra överförbrukning Arbetsbelastningsteam, plattformsteam Omedelbara granskningar, justeringar för aviseringar Microsoft Cost Management
CM02 Kostnadshantering R04 Kostnadsrekommendationer för Azure Advisor måste granskas. Optimera molnanvändning Arbetsbelastningsteam, plattformsteam Obligatoriska optimeringsgranskningar efter 60 dagar Advisor
OP01 Operations R05 Produktionsarbetsbelastningar bör ha en aktiv-passiv arkitektur mellan regioner. Säkerställa tjänstkontinuitet Arbetsbelastningsteam Arkitekturutvärderingar, halvårsvisa granskningar Manuell granskning (per produktionsversion)
OP02 Operations R05 Alla verksamhetskritiska arbetsbelastningar måste implementera en aktiv-aktiv arkitektur mellan regioner. Säkerställa tjänstkontinuitet Verksamhetskritiska arbetsbelastningsteam Uppdateringar inom 90 dagar, förloppsgranskningar Manuell granskning (per produktionsversion)
DG01 Data R06 Kryptering under överföring och i vila måste tillämpas på alla känsliga data. Skydda känsliga data Arbetsbelastningsteam Omedelbar krypteringsframtvingande och säkerhetsutbildning Azure Policy
DG02 Data R06 Datalivscykelprinciper måste vara aktiverade i Microsoft Purview för alla känsliga data. Hantera datalivscykeln Arbetsbelastningsteam Implementering inom 60 dagar, kvartalsvisa granskningar Microsoft Purview
RM01 Resurshantering R07 Bicep måste användas för att distribuera resurser. Standardisera resursetablering Arbetsbelastningsteam, plattformsteam Omedelbar Bicep-övergångsplan Pipeline för kontinuerlig integrering och kontinuerlig leverans (CI/CD)
RM02 Resurshantering R07 Taggar måste tillämpas på alla molnresurser med hjälp av Azure Policy. Underlätta resursspårning Alla molnresurser Korrigera taggning inom 30 dagar Azure Policy
AI01 AI R08 Konfigurationen för AI-innehållsfiltrering måste vara inställd på medelhög eller högre. Minimera skadliga AI-utdata Arbetsbelastningsteam Omedelbara korrigerande åtgärder Azure OpenAI Service
AI02 AI R08 Kundinriktade AI-system måste vara red-teamed varje månad. Identifiera AI-fördomar AI-modellteam Omedelbar granskning, korrigerande åtgärder för fel Manuell granskning (månadsvis)

Gå vidare

Tillämpa principer för molnstyrning