Dokumentieren von Cloudgovernance-Richtlinien
In diesem Artikel erfahren Sie, wie Sie Cloudgovernance-Richtlinien definieren und dokumentieren. Cloudgovernance-Richtlinien geben an, was in der Cloud stattfinden soll oder nicht. Ihr Cloudgovernanceteam sollte eine oder mehrere Cloudgovernance-Richtlinien für jedes identifizierte Risiko erstellen. Cloudgovernance-Richtlinien definieren die Schutzmaßnahmen für die Interaktion mit und in der Cloud.
Definieren einen Ansatzes für die Dokumentation von Cloudgovernance-Richtlinien
Richten Sie einen Ansatz zum Erstellen, Verwalten und Aktualisieren der Regeln und Richtlinien ein, die die Verwendung Ihrer Clouddienste regeln. Cloudgovernance-Richtlinien sollten nicht nur für einen bestimmten Workload gelten. Das Ziel ist es, Cloudgovernance-Richtlinien zu erstellen, die keine häufigen Aktualisierungen erfordern und die die Auswirkungen von Cloudgovernance-Richtlinien auf die gesamte Cloudumgebung berücksichtigen. Befolgen Sie diese Empfehlungen, um ein Konzept für die Dokumentation von Richtlinien festzulegen:
Definieren Sie eine Standard-Governance-Sprache. Entwickeln Sie eine Standardstruktur und ein Standardformat für die Dokumentation von Cloudgovernance-Richtlinien. Die Richtlinien müssen für die Stakeholder*innen eine klare und maßgebliche Referenz darstellen.
Erkennen Sie die verschiedenen Bereiche der Governance. Definieren und weisen Sie spezifische Governanceverantwortlichkeiten zu, die auf die einzelnen Rollen innerhalb Ihrer Organisation zugeschnitten sind. Entwickler*innen steuern z. B. den Anwendungscode. Ein Workloadteam ist für einen einzelnen Workload zuständig, und das Plattformteam ist für die Governance verantwortlich, die die Workloads erben.
Bewerten Sie die umfassenden Auswirkungen der Cloudgovernance. Cloudgovernance schafft Reibung. Es ist Ihre Aufgabe, ein Gleichgewicht zwischen Reibung und Freiheit zu finden. Berücksichtigen Sie bei der Erstellung von Cloudgovernance-Richtlinien die Auswirkungen der Governance auf die Workloadarchitektur, Softwareentwicklungspraktiken und andere Bereiche. Was Sie beispielsweise zulassen oder verbieten, bestimmt die Workloadarchitektur und wirkt sich auf die Methoden der Softwareentwicklung aus.
Definieren von Cloudgovernancerichtlinien
Erstellen Sie Cloudgovernance-Richtlinien, die beschreiben, wie Sie die Cloud verwenden und verwalten, um Risiken zu mindern. Minimieren Sie die Notwendigkeit einer häufigen Aktualisierung der Richtlinien. Zur Festlegung von Cloudgovernance-Richtlinien sollten Sie diese Empfehlungen befolgen:
Verwenden Sie eine Richtlinien-ID. Verwenden Sie die Richtlinienkategorie und eine Nummer, um jede Richtlinie eindeutig zu bezeichnen, z. B. SC01 für die erste Sicherheitsgovernance-Richtlinie. Erhöhen Sie den Bezeichner fortlaufend, während Sie neue Risiken hinzufügen. Wenn Sie Risiken entfernen, können Sie Lücken in der Reihenfolge hinterlassen oder die niedrigste verfügbare Zahl verwenden.
Schließen Sie die Richtlinienanweisung ein. Erstellen Sie spezifische Richtlinienanweisungen, die identifizierte Risiken behandeln. Verwenden Sie definitive Formulierungen wie muss, sollte, darf nicht und sollte nicht. Verwenden Sie die Durchsetzungskontrollen aus der Risikoliste als Ausgangspunkt. Konzentrieren Sie sich nicht auf Konfigurationsschritte, sondern auf Ergebnisse. Benennen Sie das für die Durchsetzung erforderliche Tool, damit Sie wissen, wo die Compliance überwacht werden soll.
Schließen Sie eine Risiko-ID ein. Listen Sie das Risiko in der Richtlinie auf. Verbinden Sie jede Cloudgovernance-Richtlinie mit einem Risiko.
Schließen Sie die Richtlinienkategorie ein. Nehmen Sie Governancekategorien wie Sicherheit, Compliance oder Kostenmanagement in die Kategorisierung der Richtlinien auf. Kategorien helfen beim Sortieren, Filtern und Suchen von Cloudgovernance-Richtlinien.
Schließen Sie den Richtlinienzweck ein. Geben Sie den Zweck jeder Richtlinie an. Als Ausgangspunkt sollten Sie das Risiko oder die Anforderung an die Compliance verwenden, die die Richtlinie erfüllt.
Definieren Sie den Richtlinienbereich. Legen Sie fest, für wen und was diese Richtlinie gilt, z. B. für alle Clouddienste, Regionen, Umgebungen und Workloads. Geben Sie Ausnahmen an, um sicherzustellen, dass keine Mehrdeutigkeit besteht. Verwenden Sie eine standardisierte Sprache, damit Sie Richtlinien leicht sortieren, filtern und finden können.
Schließen Sie die Strategien zur Richtlinienkorrektur ein. Definieren Sie die gewünschte Reaktion auf eine Verletzung einer Cloudgovernance-Richtlinie. Passen Sie die Reaktionen an die Schwere des Risikos an, z. B. die Planung von Gesprächen bei Verstößen, die nicht die Produktion betreffen, und sofortige Abhilfemaßnahmen bei Verstößen, die die Produktion betreffen.
Weitere Informationen finden Sie in den Beispielen für Cloudgovernance-Richtlinien.
Verteilen von Cloudgovernance-Richtlinien
Gewähren Sie allen Benutzer*innen Zugriff, die den Cloudgovernance-Richtlinien entsprechen müssen. Suchen Sie nach Möglichkeiten, um die Einhaltung der Cloudgovernance-Richtlinien für Personen in Ihrer Organisation zu vereinfachen. Zur Verteilung von Cloudgovernance-Richtlinien sollten Sie diese Empfehlungen befolgen:
Verwenden Sie ein zentrales Richtlinien-Repository. Verwenden Sie ein zentrales, leicht zugängliches Repository für alle Governancedokumentationen. Stellen Sie sicher, dass alle Stakeholder*innen, Teams und Einzelpersonen Zugriff auf die neuesten Versionen von Richtlinien und verwandten Dokumenten haben.
Erstellen Sie Complianceprüflisten. Stellen Sie eine schnelle und umsetzbare Übersicht über die Richtlinien bereit. Erleichtern Sie den Teams die Einhaltung der Vorschriften, ohne dass sie sich durch umfangreiche Unterlagen wühlen müssen. Weitere Informationen finden Sie in der Beispiel-Complianceprüfliste.
Überprüfen von Cloudgovernance-Richtlinien
Bewerten und Aktualisieren von Cloudgovernance-Richtlinien, um sicherzustellen, dass sie in cloudbasierten Umgebungen relevant und effektiv bleiben. Regelmäßige Überprüfungen tragen dazu bei, dass die Cloudgovernance-Richtlinien mit den sich ändernden rechtlichen Anforderungen, neuen Technologien und den sich entwickelnden Geschäftszielen in Einklang stehen. Berücksichtigen Sie beim Überprüfen von Richtlinien die folgenden Empfehlungen:
Implementieren Sie Feedbackmechanismen. Es sollte die Möglichkeit geschaffen werden, Feedback über die Wirksamkeit der Cloudgovernance-Richtlinien zu erhalten. Holen Sie die Meinung der Personen ein, die von den Richtlinien betroffen sind, um sicherzustellen, dass sie ihre Arbeit weiterhin effizient erledigen können. Aktualisieren Sie Governancerichtlinien, um praktische Herausforderungen und Anforderungen zu berücksichtigen.
Führen Sie ereignisbezogene Überprüfungen durch. Überprüfen und aktualisieren Sie Cloudgovernance-Richtlinien als Reaktion auf Ereignisse, wie z. B. eine fehlgeschlagene Richtlinie, einen Technologiewechsel oder eine Änderung der Compliancevorschriften.
Planen Sie regelmäßige Überprüfungen. Überprüfen Sie Governancerichtlinien regelmäßig, um sicherzustellen, dass sie sich an den sich geänderte organisatorischen Anforderungen, Risiken und Cloudfortschritten orientieren. Nehmen Sie beispielsweise Governanceüberprüfungen in die regelmäßigen Cloudgovernancebesprechungen mit Stakeholder*innen auf.
Ermöglichen Sie die Änderungssteuerung. Fügen Sie einen Prozess für die Richtlinienüberprüfung und -aktualisierung hinzu. Stellen Sie sicher, dass die Cloudgovernance-Richtlinien mit organisatorischen, behördlichen und technologischen Veränderungen in Einklang bleiben. Machen Sie klar, wie Sie Richtlinien bearbeiten, entfernen oder hinzufügen.
Identifizieren Sie Ineffizienzen. Überprüfen Sie Governancerichtlinien, um Ineffizienzen in Cloudarchitektur und -vorgänge zu finden und zu beheben. Statt beispielsweise vorzuschreiben, dass jeder Workload seine eigene Web Application Firewall verwenden muss, sollten Sie die Richtlinie dahingehend aktualisieren, dass die Verwendung einer zentralen Firewall vorgeschrieben wird. Überprüfen Sie Richtlinien, die doppelten Aufwand erfordern, und prüfen Sie, ob es eine Möglichkeit gibt, die Arbeit zu zentralisieren.
Beispiel für Cloudgovernance-Richtlinien
Die folgenden Cloudgovernance-Richtlinien sind als Beispiele zu verstehen. Diese Richtlinien beruhen auf den Beispielen in der Liste der Beispielrisiken.
| Richtlinien-ID | Richtlinienkategorie | Risiko-ID | Richtlinienanweisung | Zweck | Bereich | Wartung | Überwachung |
|---|---|---|---|---|---|---|---|
| RC01 | Einhaltung gesetzlicher Bestimmungen | R01 | Microsoft Purview muss zur Überwachung vertraulicher Daten verwendet werden. | Einhaltung gesetzlicher Bestimmungen | Workloadteams, Plattformteam | Sofortiges Handeln durch betroffenes Team, Compliance-Schulung | Microsoft Purview |
| RC02 | Einhaltung gesetzlicher Bestimmungen | R01 | Tägliche Complianceberichte für vertrauliche Daten müssen aus Microsoft Purview generiert werden. | Einhaltung gesetzlicher Bestimmungen | Workloadteams, Plattformteam | Lösung innerhalb eines Tages, Bestätigungsüberwachung | Microsoft Purview |
| SC01 | Sicherheit | R02 | Die Multifaktor-Authentifizierung (MFA) muss für alle Benutzer*innen aktiviert sein. | Eindämmung von Datenverstößen und unbefugtem Zugriff | Azure-Benutzer*innen | Widerruf des Benutzerszugriff | Bedingter Zugriff von Microsoft Entra ID |
| SC02 | Sicherheit | R02 | Die Zugriffsüberprüfungen müssen monatlich in Microsoft Entra ID Governance durchgeführt werden. | Gewährleisten der Integrität von Daten und Diensten | Azure-Benutzer*innen | Sofortiger Entzug des Zugangs bei Compliance-Verstößen | ID-Governance |
| SC03 | Sicherheit | R03 | Die Teams müssen die angegebene GitHub-Organisation für das sichere Hosting des gesamten Software- und Infrastrukturcodes verwenden. | Sorgen Sie für eine sichere und zentralisierte Verwaltung von Code-Repositories | Entwicklungsteams | Übertragung nicht autorisierter Repositories an die angegebene GitHub-Organisation und mögliche disziplinarische Maßnahmen bei Nichteinhaltung | GitHub-Überwachungsprotokoll |
| SC04 | Sicherheit | R03 | Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantänemuster anwenden. | Stellen Sie sicher, dass die Bibliotheken sicher und konform sind, bevor sie in den Entwicklungsprozess integriert werden | Entwicklungsteams | Entfernen nicht kompatibler Bibliotheken und Überprüfung von Integrationsmethoden für betroffene Projekte | Manuelle Überwachung (monatlich) |
| CM01 | Kostenverwaltung | R04 | Workloadteams müssen Budgetwarnungen auf Ressourcengruppenebene festlegen. | Vermeidung zu hoher Ausgaben | Workloadteams, Plattformteam | Sofortige Überprüfungen, Anpassungen bei Warnungen | Microsoft Cost Management |
| CM02 | Kostenverwaltung | R04 | Die Kostenempfehlungen von Azure Advisor müssen überprüft werden. | Optimierung der Cloudnutzung | Workloadteams, Plattformteam | Obligatorische Optimierungsprüfungen nach 60 Tagen | Advisor |
| OP01 | Betrieb | R05 | Produktionsworkloads sollten eine aktiv-passive Architektur über verschiedene Regionen hinweg haben. | Sicherstellen der Dienstkontinuität | Workloadteams | Architekturbewertungen, halbjährliche Überprüfungen | Manuelle Überwachung (pro Produktions-Release) |
| OP02 | Betrieb | R05 | Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur implementieren. | Sicherstellen der Dienstkontinuität | Unternehmenskritische Workloadteams | Updates innerhalb von 90 Tagen, Statusüberprüfungen | Manuelle Überwachung (pro Produktions-Release) |
| DG01 | Daten | R06 | Alle vertraulichen Daten müssen bei sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden. | Schützen von vertraulichen Daten | Workloadteams | Unverzügliche Durchsetzung der Verschlüsselung und Sicherheitsschulung | Azure Policy |
| DG02 | Daten | R06 | Datenlebenszyklusrichtlinien müssen in Microsoft Purview für alle vertraulichen Daten aktiviert werden. | Verwalten des Datenlebenszyklus | Workloadteams | Umsetzung innerhalb von 60 Tagen, vierteljährliche Überwachung | Microsoft Purview |
| RM01 | Ressourcenverwaltung | R07 | Für die Bereitstellung von Ressourcen muss Bicep verwendet werden. | Standardisieren der Ressourcenbereitstellung | Workloadteams, Plattformteam | Sofortiger Bicep-Übergangsplan | Pipeline für Continuous Integration und Continuous Delivery (CI/CD) |
| RM02 | Ressourcenverwaltung | R07 | Tags müssen auf allen Cloud-Ressourcen mithilfe von Azure Policy durchgesetzt werden. | Vereinfachen der Ressourcennachverfolgung | Alle Cloud-Ressourcen | Korrigieren von Tagging innerhalb von 30 Tagen | Azure Policy |
| AI01 | KI | R08 | Die Konfiguration der KI-Inhaltsfilterung muss auf mittel oder höher eingestellt sein. | Minimierung schädlicher KI-Ausgaben | Workloadteams | Sofortige Korrekturmaßnahmen | Azure OpenAI Service |
| AI02 | KI | R08 | Kundenseitige KI-Systeme müssen monatlich red-teamed werden. | Identifizieren von KI-Voreingenommenheiten | KI-Modellteams | Sofortige Überprüfung, Korrekturmaßnahmen für Fehler | Manuelle Überwachung (monatlich) |
Nächster Schritt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für