Governanceleitfaden für komplexe Unternehmen: Beschreibung der bewährten MethodenGovernance guide for complex enterprises: Best practices explained

Der Governanceleitfaden beginnt mit einer Sammlung von anfänglichen Unternehmensrichtlinien.The governance guide begins with a set of initial corporate policies. Diese Richtlinien werden verwendet, um ein Miminum Viable-Product (MVP, minimal brauchbares Produkt) für die Governance einzurichten, das bewährte Methoden berücksichtigt.These policies are used to establish a minimum viable product (MVP) for governance that reflects best practices.

In diesem Artikel werden die allgemeinen Strategien behandelt, die zum Erstellen eines Governance-MVP erforderlich sind.In this article, we discuss the high-level strategies that are required to create a governance MVP. Der Kern des Governance-MVP ist die Disziplin der Beschleunigung der Bereitstellung.The core of the governance MVP is the Deployment Acceleration discipline. Die in dieser Phase angewandten Tools und Muster ermöglichen die inkrementellen Verbesserungen, die für die zukünftige Erweiterung von Governance erforderlich sind.The tools and patterns applied at this stage will enable the incremental improvements needed to expand governance in the future.

Governance-MVP (anfängliche Governancegrundlage)Governance MVP (initial governance foundation)

Die schnelle Einführung von Governance und Unternehmensrichtlinien ist dank einiger einfacher Prinzipien und cloudbasierter Governancetools möglich.Rapid adoption of governance and corporate policy is achievable, thanks to a few simple principles and cloud-based governance tooling. Dies sind die ersten der drei Governance-Verfahren, die in jedem Governanceprozess zur Anwendung kommen.These are the first of the three governance disciplines to approach in any governance process. Sämtliche Disziplinen werden weiter unten in diesem Artikel erläutert.Each discipline will be explained further on in this article.

Als Ausgangspunkt werden in diesem Artikel die allgemeinen Strategien für die Disziplinen „Sicherheitsbaseline“, „Identitätsbaseline“ und „Beschleunigung der Bereitstellung“ behandelt, die zum Erstellen eines Governance-MVP erforderlich sind.To establish the starting point, this article discusses the high-level strategies behind the Security Baseline, Identity Baseline, and Deployment Acceleration disciplines that are required to create a governance MVP. Dieses MVP bildet die Grundlage für jede Cloudeinführung.The MVP serves as the foundation for all cloud adoption.

Diagramm, das ein Beispiel für ein inkrementelles Governance-MVP zeigt

ImplementierungsprozessImplementation process

Die Implementierung des Governance-MVP weist Abhängigkeiten von Identität, Sicherheit und Netzwerk auf.The implementation of the governance MVP has dependencies on identity, security, and networking. Sobald die Abhängigkeiten aufgelöst wurden, entscheidet das Cloudgovernanceteam über einige Aspekte von Governance.Once the dependencies are resolved, the cloud governance team will decide a few aspects of governance. Die Entscheidungen des Cloudgovernanceteams und der unterstützenden Teams werden durch ein einziges Paket von Durchsetzungsmaßnahmen umgesetzt.The decisions from the cloud governance team and from supporting teams will be implemented through a single package of enforcement assets.

Diagramm, das den Implementierungsprozess eines Governance-MVP darstellt.

Diese Implementierung kann auch mithilfe einer einfachen Prüfliste beschrieben werden:This implementation can also be described using a simple checklist:

  1. Einholen von Entscheidungen über Kernabhängigkeiten: Identität, Netzwerk und Verschlüsselung.Solicit decisions regarding core dependencies: identity, network, and encryption.
  2. Bestimmen des Musters, das bei der Durchsetzung von Unternehmensrichtlinien verwendet werden soll.Determine the pattern to be used during corporate policy enforcement.
  3. Bestimmen der geeigneten Governancemuster für Ressourcenkonsistenz, Ressourcentagging, Protokollierung und Berichterstellung.Determine the appropriate governance patterns for resource consistency, resource tagging, and logging and reporting.
  4. Implementieren der Governancetools, die auf das gewählte Muster der Richtliniendurchsetzung abgestimmt sind, um die abhängigen Entscheidungen und Governanceentscheidungen anzuwenden.Implement the governance tools aligned to the chosen policy enforcement pattern to apply the dependent decisions and governance decisions.

Abhängige EntscheidungenDependent decisions

Die folgenden Entscheidungen stammen von Teams außerhalb des Cloudgovernanceteams.The following decisions come from teams outside of the cloud governance team. Die Implementierung wird von denselben Teams durchgeführt.The implementation of each will come from those same teams. Das Cloudgovernanceteam ist jedoch verantwortlich für die Implementierung einer Lösung, die sicherstellt, dass diese Implementierungen konsistent angewendet werden.However, the cloud governance team is responsible for implementing a solution to validate that those implementations are consistently applied.

IdentitätsbaselineIdentity Baseline

Die Identitätsbaseline ist der grundlegende Ausgangspunkt für die gesamte Governance.Identity Baseline is the fundamental starting point for all governance. Bevor Sie versuchen, Governance anzuwenden, muss eine Identität eingerichtet werden.Before attempting to apply governance, identity must be established. Die eingerichtete Identitätsstrategie wird anschließend durch die Governancelösungen erzwungen.The established identity strategy will then be enforced by the governance solutions. In diesem Governanceleitfaden implementiert das Identitätsverwaltungsteam das Muster für die Verzeichnissynchronisierung:In this governance guide, the Identity Management team implements the Directory Synchronization pattern:

  • RBAC wird von Azure Active Directory (Azure AD) über die Verzeichnissynchronisierung oder die Funktionalität „Dieselbe Anmeldung“ bereitgestellt, die während der Migration des Unternehmens zu Microsoft 365 implementiert wurde.RBAC will be provided by Azure Active Directory (Azure AD), using the directory synchronization or "Same Sign-On" that was implemented during company's migration to Microsoft 365. Einen Implementierungsleitfaden finden Sie unter Referenzarchitektur für die Azure AD-Integration.For implementation guidance, see Reference Architecture for Azure AD Integration.
  • Der Azure AD-Mandanten steuert außerdem die Authentifizierung und den Zugriff für Ressourcen, die in Azure bereitgestellt werden.The Azure AD tenant will also govern authentication and access for assets deployed to Azure.

Im Governance-MVP erzwingt das Governanceteam die Anwendung des replizierten Mandanten über Tools für die Abonnementgovernance, die weiter unten in diesem Artikel erläutert werden.In the governance MVP, the governance team will enforce application of the replicated tenant through subscription governance tooling, discussed later in this article. In zukünftigen Iterationen kann das Governanceteam auch umfassende Tools in Azure AD durchsetzen, um diese Funktion zu erweitern.In future iterations, the governance team could also enforce rich tooling in Azure AD to extend this capability.

Sicherheitsbaseline: NetzwerkSecurity Baseline: Networking

Ein softwaredefiniertes Netzwerk ist ein wichtiger Anfangsaspekt der Sicherheitsbaseline.Software Defined Network is an important initial aspect of the Security Baseline. Die Einrichtung des Governance-MVP hängt von frühen Entscheidungen aus dem Team zur Sicherheitsverwaltung ab, das die sichere Konfiguration von Netzwerken definiert.Establishing the governance MVP depends on early decisions from the Security Management team to define how networks can be safely configured.

Da keine Anforderungen bestehen, geht die IT-Sicherheit auf Nummer sicher und verlangt ein Cloud-DMZ-Muster.Given the lack of requirements, IT security is playing it safe and requires a Cloud DMZ pattern. Das bedeutet, dass die Governance der Azure-Bereitstellungen selbst sehr gering sein wird.That means governance of the Azure deployments themselves will be very light.

  • Azure-Abonnements können eine VPN-Verbindung mit einem vorhandenen Rechenzentrum herstellen, müssen aber alle vorhandenen lokalen IT-Governancerichtlinien in Bezug auf die Verbindung eines Umkreisnetzwerks mit geschützten Ressourcen einhalten.Azure subscriptions may connect to an existing datacenter via VPN, but must follow all existing on-premises IT governance policies regarding connection of a perimeter network to protected resources. Einen Implementierungsleitfaden für VPN-Konnektivität finden Sie unter Über ein VPN-Gateway mit Azure verbundenes lokales Netzwerk.For implementation guidance regarding VPN connectivity, see On-premises network connected to Azure using a VPN gateway.
  • Entscheidungen in Bezug auf das Subnetz, die Firewall und das Routing werden derzeit auf die einzelnen Anwendungs-/Workloadleads verschoben.Decisions regarding subnet, firewall, and routing are currently being deferred to each application/workload lead.
  • Vor der Freigabe geschützter Daten oder unternehmenskritischer Workloads sind zusätzliche Analysen erforderlich.Additional analysis is required before releasing of any protected data or mission-critical workloads.

Bei diesem Muster können Cloudnetzwerke eine Verbindung mit lokalen Ressourcen nur über ein bestehendes VPN herstellen, das mit Azure kompatibel ist.In this pattern, cloud networks can only connect to on-premises resources over an existing VPN that is compatible with Azure. Der Datenverkehr über diese Verbindung wird wie jeder andere Datenverkehr aus einem Umkreisnetzwerk behandelt.Traffic over that connection will be treated like any traffic coming from a perimeter network. Für das lokale Edgegerät sind möglicherweise weitere Überlegungen erforderlich, um den Datenverkehr von Azure sicher zu verarbeiten.Additional considerations may be required on the on-premises edge device to securely handle traffic from Azure.

Das Cloudgovernanceteam hat Mitglieder der Netzwerk- und IT-Sicherheitsteams proaktiv zu regelmäßigen Besprechungen eingeladen, um den Netzwerkanforderungen und Risiken einen Schritt voraus zu bleiben.The cloud governance team has proactively invited members of the networking and IT security teams to regular meetings, in order to stay ahead of networking demands and risks.

Sicherheitsbaseline: VerschlüsselungSecurity Baseline: Encryption

Die Verschlüsselung ist eine weitere grundlegende Entscheidung innerhalb der Disziplin „Sicherheitsbaseline“.Encryption is another fundamental decision within the Security Baseline discipline. Da das Unternehmen derzeit noch keine geschützten Daten in der Cloud speichert, hat das Sicherheitsteam sich für ein weniger aggressives Muster für die Verschlüsselung entschieden.Because the company currently does not yet store any protected data in the cloud, the Security Team has decided on a less aggressive pattern for encryption. An dieser Stelle wird ein cloudnatives Muster für die Verschlüsselung vorgeschlagen, aber von keinem Entwicklungsteam verlangt.At this point, a cloud-native pattern for encryption is suggested but not required of any development team.

  • Im Hinblick auf den Einsatz der Verschlüsselung wurden keine Governanceanforderungen festgelegt, weil die aktuelle Unternehmensrichtlinie keine unternehmenswichtigen oder geschützten Daten in der Cloud zulässt.No governance requirements have been set regarding the use of encryption, because the current corporate policy does not permit mission-critical or protected data in the cloud.
  • Vor der Freigabe geschützter Daten oder unternehmenskritischer Workloads sind zusätzliche Analysen erforderlich.Additional analysis will be required before releasing any protected data or mission-critical workloads.

Durchsetzung von RichtlinienPolicy enforcement

Die erste Entscheidung in Bezug auf die Beschleunigung der Bereitstellung ist das Muster für die Erzwingung.The first decision to make regarding Deployment Acceleration is the pattern for enforcement. In dieser Geschichte hat sich das Governanceteam dafür entschieden, das Muster Automatisierte Erzwingung zu implementieren.In this narrative, the governance team decided to implement the Automated Enforcement pattern.

  • Azure Security Center wird den Teams für Sicherheit und Identität zur Überwachung von Sicherheitsrisiken zur Verfügung gestellt.Azure Security Center will be made available to the security and identity teams to monitor security risks. Außerdem verwenden beide Teams wahrscheinlich Security Center, um neue Risiken zu identifizieren und die Unternehmensrichtlinien zu verbessern.Both teams are also likely to use Security Center to identify new risks and improve corporate policy.
  • RBAC ist in allen Abonnements erforderlich, um die Durchsetzung der Authentifizierung zu erzwingen.RBAC is required in all subscriptions to govern authentication enforcement.
  • Azure Policy wird in den einzelnen Verwaltungsgruppen veröffentlicht und auf alle Abonnements angewendet.Azure Policy will be published to each management group and applied to all subscriptions. Die Ebene der erzwungenen Richtlinien wird in diesem ersten Governance-MVP jedoch sehr begrenzt sein.However, the level of policies being enforced will be very limited in this initial Governance MVP.
  • Auch wenn Azure-Verwaltungsgruppen verwendet werden, wird eine relativ einfache Hierarchie erwartet.Although Azure management groups are being used, a relatively simple hierarchy is expected.
  • Azure Blueprints dient zum Bereitstellen und Aktualisieren von Abonnements, indem RBAC-Anforderungen, Resource Manager-Vorlagen und Azure Policy verwaltungsgruppenübergreifend angewendet werden.Azure Blueprints will be used to deploy and update subscriptions by applying RBAC requirements, Resource Manager Templates, and Azure Policy across management groups.

Anwenden der abhängigen MusterApply the dependent patterns

Die folgenden Entscheidungen stellen die Muster dar, die durch die oben dargestellte Strategie zur Richtliniendurchsetzung erzwungen werden sollen:The following decisions represent the patterns to be enforced through the policy enforcement strategy above:

Identitätsbaseline.Identity Baseline. RBAC-Anforderungen werden von Azure Blueprints auf Abonnementebene festgelegt, um sicherzustellen, dass für alle Abonnements eine konsistente Identität konfiguriert wird.Azure Blueprints will set RBAC requirements at a subscription level to ensure that consistent identity is configured for all subscriptions.

Sicherheitsbaseline: Netzwerk.Security Baseline: Networking. Das Cloudgovernanceteam verwaltet eine Resource Manager-Vorlage für die Einrichtung eines VPN-Gateways zwischen Azure und dem lokalen VPN-Gerät.The cloud governance team maintains a Resource Manager template for establishing a VPN gateway between Azure and the on-premises VPN device. Wenn ein Anwendungsteam eine VPN-Verbindung benötigt, wendet das Cloudgovernanceteam die Resource Manager-Vorlage für das Gateway über Azure Blueprints an.When an application team requires a VPN connection, the cloud governance team will apply the gateway Resource Manager template via Azure Blueprints.

Sicherheitsbaseline: Verschlüsselung.Security Baseline: Encryption. An diesem Punkt müssen in diesem Bereich keine Richtlinien erzwungen werden.At this point, no policy enforcement is required in this area. In späteren Iterationen wird dieser Vorgang noch einmal aufgerufen.This will be revisited during later iterations.

Anwenden von durch Governance definierten MusternApplication of governance-defined patterns

Das Cloudgovernanceteam ist für die folgenden Entscheidungen und Implementierungen verantwortlich.The cloud governance team will be responsible for the following decisions and implementations. Viele Entscheidungen erfordern Informationen von anderen Teams, aber das Cloudgovernanceteam wird wahrscheinlich sowohl für die endgültige Entscheidung als auch für die Implementierung verantwortlich sein.Many will require inputs from other teams, but the cloud governance team is likely to own both the decision and implementation. In den folgenden Abschnitten werden die für diesen Anwendungsfall getroffenen Entscheidungen und Details zu jeder Entscheidung beschrieben.The following sections outline the decisions made for this use case and details of each decision.

AbonnemententwurfSubscription design

Die Entscheidung über den Abonnemententwurf bestimmt, wie Azure-Abonnements strukturiert werden und wie Azure-Verwaltungsgruppen verwendet werden, um Zugriff, Richtlinien und Compliance für diese Abonnements effizient zu verwalten.The decision on what subscription design to use determines how Azure subscriptions get structured and how Azure management groups will be used to efficiently manage access, policies, and compliance of these subscription. Im vorliegenden Beispielfall hat das Governanceteam eine Strategie für gemischte Abonnements ausgewählt.In this narrative, the governance team has chosen a mixed subscription strategy.

  • Wenn neue Anforderungen für Azure-Ressourcen entstehen, sollte für jede größere Geschäftseinheit in jeder geografischen Betriebsregion eine Abteilung eingerichtet werden.As new requests for Azure resources arise, a department should be established for each major business unit in each operating geography. In jeder einzelnen Abteilung sollten Abonnements für jeden Anwendungsarchetyp erstellt werden.Within each of the departments, subscriptions should be created for each application archetype.

  • Ein Anwendungsarchetyp ist eine Möglichkeit, Anwendungen mit ähnlichen Anwendungen zu gruppieren.An application archetype is a means of grouping applications with similar needs. Häufige Beispiele sind:Common examples include:

    • Anwendungen mit geschützten Daten, verwaltete Anwendungen (z. B. HIPAA oder FedRAMP).Applications with protected data, governed applications (such as HIPAA or FedRAMP).
    • Anwendungen mit geringem Risiko.Low-risk applications.
    • Anwendungen mit lokalen Abhängigkeiten.Applications with on-premises dependencies.
    • SAP- oder andere Mainframeanwendungen in Azure.SAP or other mainframe applications in Azure.
    • Anwendungen, die lokale SAP- oder Mainframeanwendungen erweitern.Applications that extend on-premises SAP or mainframe applications.

    Jedes Unternehmen hat individuelle Anforderungen, die auf Datenklassifikationen und den Arten von Anwendungen basieren, die das Geschäft unterstützen.Each organization has unique needs based on data classifications and the types of applications that support the business. Die Abhängigkeitszuordnung der digitalen Infrastruktur kann bei der Definition der Anwendungsarchitekturen in einem Unternehmen helfen.Dependency mapping of the digital estate can help define the application archetypes in an organization.

  • Im Rahmen des Abonnementdesigns sollte auf der Grundlage der obigen Punkte eine gemeinsame Namenskonvention übernommen werden.A common naming convention should be adopted as part of the subscription design, based on the above.

RessourcenkonsistenzResource consistency

Entscheidungen zur Ressourcenkonsistenz bestimmen die Tools, Prozesse und Aufgaben, die erforderlich sind, um sicherzustellen, dass Azure-Ressourcen innerhalb eines Abonnements konsistent bereitgestellt, konfiguriert und verwaltet werden.Resource consistency decisions determine the tools, processes, and effort required to ensure Azure resources are deployed, configured, and managed consistently within a subscription. Im vorliegenden Beispielfall wurde Bereitstellungskonsistenz als primäres Muster für die Ressourcenkonsistenz ausgewählt.In this narrative, deployment consistency has been chosen as the primary resource consistency pattern.

  • Ressourcengruppen werden mit dem Lebenszyklusansatz für Anwendungen erstellt.Resource groups are created for applications using the lifecycle approach. Alle Elemente, die gemeinsam erstellt, verwaltet und außer Betrieb genommen werden, sollten sich in einer einzigen Ressourcengruppe befinden.Everything that is created, maintained, and retired together should reside a single resource group. Weitere Informationen finden Sie im Leitfaden zur Entscheidungsfindung bei der Ressourcenkonsistenz.For more information, see the resource consistency decision guide.
  • Azure Policy sollte auf alle Abonnements aus der zugehörigen Verwaltungsgruppe angewendet werden.Azure Policy should be applied to all subscriptions from the associated management group.
  • Im Rahmen des Bereitstellungsprozesses sollten Azure-Ressourcenkonsistenzvorlagen für die Ressourcengruppe in der Quellcodeverwaltung gespeichert werden.As part of the deployment process, Azure resource consistency templates for the resource group should be stored in source control.
  • Jede Ressourcengruppe ist basierend auf dem oben beschriebenen Lebenszyklusansatz einer bestimmten Workload oder Anwendung zugeordnet.Each resource group is associated with a specific workload or application based on the lifecycle approach described above.
  • Azure-Verwaltungsgruppen ermöglichen das Aktualisieren der Governanceentwürfe, wenn sich die Unternehmensrichtlinie weiterentwickelt.Azure management groups enable updating governance designs as corporate policy matures.
  • Eine umfassende Implementierung von Azure Policy könnte den Zeitrahmen für das Team überschreiten und bietet zu diesem Zeitpunkt möglicherweise keinen großen Mehrwert.Extensive implementation of Azure Policy could exceed the team's time commitments and may not provide a great deal of value at this time. Es sollte eine einfache Standardrichtlinie erstellt und auf jede Verwaltungsgruppe angewendet werden, um die geringe Anzahl der aktuellen Richtlinienanweisungen zur Cloudgovernance durchzusetzen.A simple default policy should be created and applied to each management group to enforce the small number of current cloud governance policy statements. In dieser Richtlinie wird die Implementierung spezifischer Governanceanforderungen definiert.This policy will define the implementation of specific governance requirements. Diese Implementierungen können dann auf alle bereitgestellten Ressourcen angewendet werden.Those implementations can then be applied across all deployed assets.

Wichtig

Wann immer eine Ressource in einer Ressourcengruppe nicht mehr den gleichen Lebenszyklus hat, sollte sie in eine andere Ressourcengruppe verschoben werden.Any time a resource in a resource group no longer shares the same lifecycle, it should be moved to another resource group. Beispiele hierfür sind allgemeine Datenbanken und Netzwerkkomponenten.Examples include common databases and networking components. Diese unterstützen zwar die Anwendung, die entwickelt wird, dienen aber auch anderen Zwecke und sollten daher in anderen Ressourcengruppen vorhanden sein.While they may serve the application being developed, they may also serve other purposes and should therefore exist in other resource groups.

Tags für RessourcenResource tagging

Entscheidungen zur Ressourcenkennzeichnung bestimmen, wie Metadaten innerhalb eines Abonnements auf Azure-Ressourcen angewandt werden, um Prozesse, Verwaltung und Buchhaltung zu unterstützen.Resource tagging decisions determine how metadata is applied to Azure resources within a subscription to support operations, management, and accounting purposes. Im vorliegenden Beispielfall wurde das Muster Buchhaltung als Standardmodell für das Ressourcentagging ausgewählt.In this narrative, the accounting pattern has been chosen as the default model for resource tagging.

  • Bereitgestellte Ressourcen sollten mit Werten für Folgendes gekennzeichnet werden:Deployed assets should be tagged with values for:
    • Abteilung oder AbrechnungseinheitDepartment or billing unit
    • GebietGeography
    • DatenklassifizierungData classification
    • WichtigkeitCriticality
    • SLASLA
    • EnvironmentEnvironment
    • AnwendungsarchetypApplication archetype
    • ApplicationApplication
    • AnwendungsbesitzerApplication owner
  • In Verbindung mit der Azure-Verwaltungsgruppe und dem einer bereitgestellten Ressource zugeordneten Abonnement beeinflussen diese Werte Entscheidungen in den Bereichen Governance, Betrieb und Sicherheit.These values, along with the Azure management group and subscription associated with a deployed asset, will drive governance, operations, and security decisions.

Protokollierung und BerichterstellungLogging and reporting

Entscheidungen zu Protokollierung und Berichterstellung bestimmen, wie Ihr Speicher Daten protokolliert und wie die Überwachungs- und Berichterstellungstools strukturiert sind, die IT-Mitarbeiter über die operative Integrität informieren.Logging and reporting decisions determine how your store log data and how the monitoring and reporting tools that keep IT staff informed on operational health are structured. Im vorliegenden Beispielfall wird ein Hybridüberwachungsmuster für die Protokollierung und Berichterstellung vorgeschlagen, zum aktuellen Zeitpunkt aber noch von keinem Entwicklungsteam verlangt.In this narrative a hybrid monitoring pattern for logging and reporting is suggested, but not required of any development team at this point.

  • Es sind aktuell keine Governanceanforderungen in Bezug auf die für die Protokollierung oder Berichterstellung zu erfassenden spezifischen Datenpunkte festgelegt.No governance requirements are currently set regarding the specific data points to be collected for logging or reporting purposes. Dies ist für diese fiktive Erzählung spezifisch und sollte als Antimuster betrachtet werden.This is specific to this fictional narrative and should be considered an antipattern. Protokollierungsstandards sollten so früh wie möglich festgelegt und durchgesetzt werden.Logging standards should be determined and enforced as soon as possible.
  • Vor der Freigabe geschützter Daten oder unternehmenskritischer Workloads sind zusätzliche Analysen erforderlich.Additional analysis is required before the release of any protected data or mission-critical workloads.
  • Vor der Unterstützung geschützter Daten oder unternehmenskritischer Workloads muss der bestehenden lokalen Betriebsüberwachungslösung Zugang zu dem für die Protokollierung verwendeten Arbeitsbereich gewährt werden.Before supporting protected data or mission-critical workloads, the existing on-premises operational monitoring solution must be granted access to the workspace used for logging. Anwendungen müssen die mit der Nutzung des betreffenden Mandanten einhergehenden Sicherheits- und Protokollierungsanforderungen erfüllen, wenn die Anwendung mit einem definierten SLA unterstützt werden soll.Applications are required to meet security and logging requirements associated with the use of that tenant, if the application is to be supported with a defined SLA.

Inkrementelle GovernanceprozesseIncremental of governance processes

Einige der Richtlinienanweisungen können oder sollten nicht durch automatisierte Tools gesteuert werden.Some of the policy statements cannot or should not be controlled by automated tooling. Andere Richtlinien erfordern regelmäßigen Aufwand seitens der IT-Sicherheits- und lokalen Identitätsbaselineteams.Other policies will require periodic effort from IT security and on-premises identity baseline teams. Das Cloudgovernanceteam muss die folgenden Prozesse beaufsichtigen, um die letzten acht Richtlinienanweisungen zu implementieren:The cloud governance team will need to oversee the following processes to implement the last eight policy statements:

Änderungen der Unternehmensrichtlinie: Das Cloudgovernanceteam nimmt Änderungen am Entwurf des Governance-MVP vor, um die neuen Richtlinien zu übernehmen.Corporate policy changes: The cloud governance team will make changes to the governance MVP design to adopt the new policies. Der Wert des Governance-MVP besteht darin, dass es die automatische Durchsetzung der neuen Richtlinien ermöglicht.The value of the governance MVP is that it will allow for the automatic enforcement of the new policies.

Schnellere Einführung: Das Cloudgovernanceteam hat Bereitstellungsskripts in mehreren Teams überprüft.Adoption acceleration: The cloud governance team has been reviewing deployment scripts across multiple teams. Es verwaltet eine Reihe von Skripts, die als Bereitstellungsvorlagen dienen.They've maintained a set of scripts that serve as deployment templates. Diese Vorlagen können von den Cloudeinführungs- und DevOps-Teams verwendet werden, um Bereitstellungen schneller zu definieren.Those templates can be used by the cloud adoption teams and DevOps teams to more quickly define deployments. Jedes Skript enthält die Anforderungen für die Durchsetzung von Governance-Richtlinien, und zusätzliche Anstrengungen von Technikern für die Cloudeinführung sind nicht erforderlich.Each script contains the requirements for enforcing governance policies, and additional effort from cloud adoption engineers is not needed. Als Kurator dieser Skripts kann das Cloud Governance-Team Richtlinienänderungen schneller umsetzen.As the curators of these scripts, they can implement policy changes more quickly. Darüber hinaus werden sie als Beschleuniger der Einführung angesehen.Additionally, they're viewed as accelerators of adoption. Dadurch sind konsistente Bereitstellungen sichergestellt, ohne dass die Einhaltung streng durchgesetzt werden müsste.This ensures consistent deployments without strictly enforcing adherence.

Schulung der Techniker: Das Cloudgovernanceteam bietet alle zwei Monate Schulungen an und hat zwei Videos für Techniker erstellt.Engineer training: The cloud governance team offers bimonthly training sessions and has created two videos for engineers. Beide Ressourcen helfen Technikern, schnell mit der Governance-Kultur und der Durchführung von Bereitstellungen vertraut zu werden.Both resources help engineers get up to speed quickly on the governance culture and how deployments are performed. Das Team fügt Schulungsressourcen hinzu, die den Unterschied zwischen Produktions- und Nicht-Produktionsbereitstellungen zeigen, was Technikern das Verständnis erleichtert, wie sich die neuen Richtlinien auf die Einführung auswirken.The team is adding training assets to demonstrate the difference between production and nonproduction deployments, which helps engineers understand how the new policies affect adoption. Dadurch sind konsistente Bereitstellungen sichergestellt, ohne dass die Einhaltung streng durchgesetzt werden müsste.This ensures consistent deployments without strictly enforcing adherence.

Bereitstellungsplanung: Vor der Bereitstellung von Ressourcen, die geschützte Daten enthalten, muss das Cloudgovernanceteam anhand der Bereitstellungsskripts die Governanceausrichtung überprüfen.Deployment planning: Before deploying any asset containing protected data, the cloud governance team will be responsible for reviewing deployment scripts to validate governance alignment. Vorhandene Teams mit bereits genehmigten Bereitstellungen werden mithilfe von programmgesteuerten Tools überprüft.Existing teams with previously approved deployments will be audited using programmatic tooling.

Monatliche Überprüfung und Berichterstellung: Jeden Monat führt das Cloudgovernanceteam eine Überprüfung aller Cloudbereitstellungen durch, um die kontinuierliche Einhaltung der Richtlinien zu überprüfen.Monthly audit and reporting: Each month, the cloud governance team runs an audit of all cloud deployments to validate continued alignment to policy. Wenn Abweichungen festgestellt werden, werden sie dokumentiert und an die Cloudeinführungsteams weitergegeben.When deviations are discovered, they're documented and shared with the cloud adoption teams. Wenn die Durchsetzung keine Betriebsunterbrechung oder Datenlecks zur Folge hat, werden die Richtlinien automatisch durchgesetzt.When enforcement doesn't risk a business interruption or data leak, the policies are automatically enforced. Am Ende der Überprüfung erstellt das Cloudgovernanceteam einen Bericht für das Cloudstrategieteam und jedes Cloudeinführungsteam, um die allgemeine Einhaltung der Richtlinien zu kommunizieren.At the end of the audit, the cloud governance team compiles a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Der Bericht wird außerdem für prüfungsbezogene und rechtliche Zwecke gespeichert.The report is also stored for auditing and legal purposes.

Vierteljährliche Richtlinienüberprüfung: Jedes Quartal überprüfen das Cloudgovernanceteam und das Cloudstrategieteam die Überwachungsergebnisse und schlagen Änderungen der Unternehmensrichtlinien vor.Quarterly policy review: Each quarter, the cloud governance team and the cloud strategy team to review audit results and suggest changes to corporate policy. Viele dieser Vorschläge sind das Ergebnis kontinuierlicher Verbesserungen und der Beobachtung von Nutzungsmustern.Many of those suggestions are the result of continuous improvements and the observation of usage patterns. Genehmigte Richtlinienänderungen werden während der nachfolgenden Überwachungszyklen in die Governancetools integriert.Approved policy changes are integrated into governance tooling during subsequent audit cycles.

Alternative MusterAlternative patterns

Wenn eines der in diesem Governanceleitfaden ausgewählten Muster nicht mit den Anforderungen Ihres Unternehmens übereinstimmt, gibt es Alternativen zu jedem Muster:If any of the patterns chosen in this governance guide don't align with the reader's requirements, alternatives to each pattern are available:

Nächste SchritteNext steps

Sobald dieser Leitfaden implementiert wurde, kann jedes Cloudeinführungsteam seine Arbeit mit einer soliden Governancebasis fortsetzen.Once this guidance is implemented, each cloud adoption team can proceed with a solid governance foundation. Gleichzeitig werden die Unternehmensrichtlinien und Governanceverfahren kontinuierlich durch das Cloudgovernanceteam aktualisiert.At the same time, the cloud governance team will work to continually update the corporate policies and governance disciplines.

Beide Teams verwenden die Toleranzindikatoren, um die nächsten Verbesserungen zu identifizieren, die erforderlich sind, um die Einführung der Cloud weiterhin zu unterstützen.Both teams will use the tolerance indicators to identify the next set of improvements needed to continue supporting cloud adoption. Der nächste Schritt für dieses Unternehmen ist die inkrementelle Verbesserung seiner Governancebaseline zur Unterstützung von Anwendungen mit Legacy- oder Drittanbieterlösungen für die mehrstufige Authentifizierung.The next step for this company is incremental improvement of their governance baseline to support applications with legacy or third-party multi-factor authentication requirements.