Felhőszabályozási szabályzatok dokumentálása
Ez a cikk bemutatja, hogyan definiálhat és dokumentálhat felhőszabályozási szabályzatokat. A felhőszabályozási szabályzatok határozzák meg, hogy mi történjen a felhőben. A felhőszabályozási csapatnak egy vagy több felhőszabályozási szabályzatot kell létrehoznia a kockázatértékelésben azonosított minden egyes kockázathoz. A felhőszabályozási szabályzatok meghatározzák a felhővel és a felhőben való interakcióhoz szükséges védőkorlátokat.
Felhőszabályozási szabályzatok dokumentálásának megközelítése
A felhőszolgáltatások használatát szabályozó szabályok és irányelvek létrehozásának, karbantartásának és frissítésének megközelítése. A felhőszabályozási szabályzatok nem lehetnek egyediek egy adott számítási feladathoz. A cél olyan felhőszabályozási szabályzatok létrehozása, amelyek nem igényelnek gyakori frissítéseket, és amelyek figyelembe veszik a felhőszabályozási szabályzatok felhőkörnyezetre gyakorolt hatásait. A szabályzatdokumentáció megközelítésének meghatározásához kövesse az alábbi javaslatokat:
Szabványos szabályozási nyelv definiálása. Szabványos struktúrát és formátumot fejleszthet a felhőszabályozási szabályzatok dokumentálására. A szabályzatoknak egyértelmű és mérvadó referenciának kell lenniük az érdekelt felek számára.
Ismerje fel a különböző szabályozási hatóköröket. A szervezeten belüli egyedi szerepkörökre szabott konkrét irányítási felelősségek meghatározása és hozzárendelése. Például egy fejlesztő szabályozza az alkalmazáskódot. A számítási feladatokért felelős csapat egyetlen számítási feladatért felel, és a platformcsapat felelős a számítási feladatok által öröklő irányításért.
Értékelje ki a felhőszabályozás széles körű hatásait. A felhőszabályozás súrlódást okoz. Egyensúlyt talál a súrlódás és a szabadság között. A felhőszabályozási szabályzatok fejlesztése során vegye figyelembe a szabályozásnak a számítási feladatok architektúrájára, a szoftverfejlesztési gyakorlatokra és más területekre gyakorolt hatásait. Például az, hogy mit engedélyez vagy tilt le, meghatározza a számítási feladatok architektúráit, és hatással van a szoftverfejlesztési eljárásokra.
Felhőszabályozási szabályzatok definiálása
Felhőszabályozási szabályzatok létrehozása, amelyek ismertetik a felhő használatának és kezelésének módját a kockázatok csökkentése érdekében. Csökkentse a gyakori szabályzatfrissítések szükségességét. A felhőszabályozási szabályzatok meghatározásához kövesse az alábbi javaslatokat:
Használjon szabályzatazonosítót. A szabályzatkategória és a szám használatával egyedileg azonosíthatja az egyes szabályzatokat, például az SC01-et az első biztonsági szabályozási szabályzathoz. Az azonosítót az új kockázatok hozzáadásakor egymás után növekményesen kell növelni. Ha eltávolítja a kockázatokat, réseket hagyhat a sorozatban, vagy használhatja a legalacsonyabb elérhető számot.
Adja meg a szabályzatutasítást. Meghatározott kockázatokat tartalmazó szabályzat-utasítások elkészítése. Használjon olyan végleges nyelvet, mint a kötelező, a kell, a nem és a nem. Használja kiindulópontként a kockázati listából származó kényszerítési vezérlőket. A konfigurációs lépések helyett az eredményekre összpontosítson. Nevezze el a kényszerítéshez szükséges eszközt, hogy tudja, hol kell figyelni a megfelelőséget.
Adjon meg egy kockázati azonosítót. A kockázat listázása a szabályzatban. Minden felhőszabályozási szabályzat társítása egy kockázathoz.
Adja meg a szabályzatkategóriát. A szabályzat kategorizálásába belefoglalhatja a szabályozási kategóriákat, például a biztonságot, a megfelelőséget vagy a költségkezelést. A kategóriák segítenek a felhőszabályozási szabályzatok rendezésében, szűrésében és megtalálásában.
Adja meg a szabályzat célját. Adja meg az egyes szabályzatok célját. Használja azt a kockázatot vagy jogszabályi megfelelőségi követelményt, amelyet a szabályzat kiindulási pontként teljesít.
Határozza meg a szabályzat hatókörét. Határozza meg, hogy a szabályzat mire és kire vonatkozik, például az összes felhőszolgáltatásra, régióra, környezetre és számítási feladatra. Adjon meg minden kivételt, hogy ne legyen kétértelműség. Szabványosított nyelvet használva egyszerűen rendezhet, szűrhet és kereshet szabályzatokat.
Adja meg a szabályzat-szervizelési stratégiákat. Definiálja a felhőszabályozási szabályzat megsértésére adott kívánt választ. A kockázat súlyosságára adott válaszok testre szabása, például a nem termelési szabálysértésekre vonatkozó megbeszélések ütemezése és az éles üzem megsértéseinek azonnali szervizelési erőfeszítései.
További információkért lásd a felhőszabályozási szabályzatok példáját.
Felhőszabályozási szabályzatok terjesztése
Hozzáférést biztosíthat mindenkinek, akinek be kell tartania a felhőszabályozási szabályzatokat. Keresse meg, hogyan teheti egyszerűbbé a felhőszabályozási szabályzatok betartását a szervezeten belüli személyek számára. A felhőszabályozási szabályzatok terjesztéséhez kövesse az alábbi javaslatokat:
Használjon központosított szabályzattárat. Központosított, könnyen elérhető adattárat használhat az összes szabályozási dokumentációhoz. Győződjön meg arról, hogy minden érdekelt, csapat és személy hozzáfér a szabályzatok és a kapcsolódó dokumentumok legújabb verzióihoz.
Megfelelőségi ellenőrzőlisták létrehozása. Gyors és végrehajtható áttekintést nyújt a szabályzatokról. Megkönnyítheti a csapatok számára a megfelelőséget anélkül, hogy részletes dokumentációt kellene végigjárnia. További információkért tekintse meg a megfelelőségi ellenőrzőlistát.
Felhőszabályozási szabályzatok áttekintése
A felhőszabályozási szabályzatok értékelése és frissítése annak biztosítása érdekében, hogy relevánsak és hatékonyak maradjanak a felhőkörnyezetek szabályozásában. A rendszeres felülvizsgálatok segítenek biztosítani, hogy a felhőszabályozási szabályzatok igazodjanak a változó szabályozási követelményekhez, az új technológiákhoz és a változó üzleti célkitűzésekhez. A szabályzatok áttekintésekor vegye figyelembe a következő javaslatokat:
Visszajelzési mechanizmusok implementálása. A felhőszabályozási szabályzatok hatékonyságával kapcsolatos visszajelzések fogadásának módjai. A szabályzatok által érintett személyektől származó adatok összegyűjtése annak biztosítása érdekében, hogy továbbra is hatékonyan tudják elvégezni a munkájukat. A szabályozási szabályzatok frissítése a gyakorlati kihívásoknak és igényeknek megfelelően.
Eseményalapú felülvizsgálatok létrehozása. Tekintse át és frissítse a felhőszabályozási szabályzatokat az eseményekre, például egy meghiúsult szabályozási szabályzatra, a technológiai változásra vagy a jogszabályi megfelelőség változására válaszul.
Rendszeres felülvizsgálatok ütemezése. Rendszeresen tekintse át az irányítási szabályzatokat, hogy azok igazodjanak a változó szervezeti igényekhez, kockázatokhoz és felhőbeli fejlesztésekhez. Például a szabályozási felülvizsgálatokat is belefoglalja az érdekelt felekkel folytatott rendszeres felhőszabályozási értekezletekbe.
A változásvezérlés megkönnyítése. Adjon meg egy folyamatot a szabályzat felülvizsgálatához és frissítéséhez. Győződjön meg arról, hogy a felhőszabályozási szabályzatok igazodnak a szervezeti, szabályozási és technológiai változásokhoz. A szabályzatok szerkesztésének, eltávolításának és hozzáadásának egyértelművé tétele.
A hatékonysági hiányosságok azonosítása. Tekintse át az irányítási szabályzatokat a felhőarchitektúra és -üzemeltetés hatékonysági hiányosságainak kereséséhez és javításához. Ahelyett például, hogy minden számítási feladatnak saját webalkalmazási tűzfalat kell használnia, frissítse a szabályzatot, hogy központi tűzfalat használjon. Tekintse át a duplikált erőfeszítést igénylő szabályzatokat, és ellenőrizze, hogy van-e mód a munka központosítására.
Példa felhőszabályozási szabályzatok
Az alábbi felhőszabályozási szabályzatok példák a hivatkozásra. Ezek a szabályzatok a példakockázati listában szereplő példákon alapulnak.
| Szabályzat azonosítója | Szabályzatkategória | Kockázati azonosító | Szabályzatutasítás | Cél | Hatókör | Szervizelés | Figyelés |
|---|---|---|---|---|---|---|---|
| RC01 | Előírásoknak való megfelelés | R01 | A Microsoft Purview-t a bizalmas adatok figyeléséhez kell használni. | Előírásoknak való megfelelés | Számítási feladatokat végző csapatok, platformcsapat | Az érintett csapat azonnali fellépése, megfelelőségi képzés | Microsoft Purview |
| RC02 | Előírásoknak való megfelelés | R01 | Napi bizalmas adatmegfelelési jelentéseket kell létrehozni a Microsoft Purview-ból. | Előírásoknak való megfelelés | Számítási feladatokat végző csapatok, platformcsapat | Megoldás egy napon belül, megerősítési audit | Microsoft Purview |
| SC01 | Biztonság | R02 | A többtényezős hitelesítést (MFA) minden felhasználó számára engedélyezni kell. | Az adatszivárgások és a jogosulatlan hozzáférés csökkentése | Azure-felhasználók | Felhasználói hozzáférés visszavonása | Microsoft Entra ID feltételes hozzáférés |
| SC02 | Biztonság | R02 | A hozzáférési felülvizsgálatokat havonta kell elvégezni Microsoft Entra ID-kezelés. | Adat- és szolgáltatásintegritás biztosítása | Azure-felhasználók | Azonnali hozzáférés visszavonása meg nem felelési okokból | ID-irányítás |
| SC03 | Biztonság | R03 | A Teamsnek a megadott GitHub-szervezetet kell használnia az összes szoftver- és infrastruktúrakód biztonságos üzemeltetéséhez. | A kódtárak biztonságos és központosított felügyeletének biztosítása | Fejlesztői csapatok | Jogosulatlan adattárak átadása a megadott GitHub-szervezetnek, és esetlegesen meg nem felelési műveletet vonhat maga után. | GitHub-napló |
| SC04 | Biztonság | R03 | A nyilvános forrásokból származó kódtárakat használó csapatoknak a karanténmintát kell alkalmazniuk. | Győződjön meg arról, hogy a kódtárak biztonságosak és megfelelőek a fejlesztési folyamatba való integráció előtt | Fejlesztői csapatok | Nem megfelelő kódtárak eltávolítása és az érintett projektek integrációs gyakorlatának áttekintése | Manuális naplózás (havonta) |
| CM01 | Költségkezelés | R04 | A számítási feladatokat végző csapatoknak az erőforráscsoport szintjén kell beállítaniuk a költségvetés-riasztásokat. | Túlköltekezés megakadályozása | Számítási feladatokat végző csapatok, platformcsapat | Azonnali felülvizsgálatok, riasztások módosítása | Microsoft Cost Management |
| CM02 | Költségkezelés | R04 | Az Azure Advisor költségjavaslatait felül kell vizsgálni. | Felhőhasználat optimalizálása | Számítási feladatokat végző csapatok, platformcsapat | 60 nap után kötelező optimalizálási auditok | Advisor |
| OP01 | Üzemeltetés | R05 | Az éles számítási feladatoknak aktív-passzív architektúrával kell rendelkezniük a régiók között. | A szolgáltatás folytonosságának biztosítása | Számítási feladatok csapatai | Architektúraértékelések, féléves felülvizsgálatok | Manuális naplózás (éles kiadásonként) |
| OP02 | Üzemeltetés | R05 | Minden kritikus fontosságú számítási feladatnak régióközi aktív-aktív architektúrát kell implementálnia. | A szolgáltatás folytonosságának biztosítása | Kritikus fontosságú számítási feladatok csapatai | Frissítések 90 napon belül az előrehaladási felülvizsgálatok | Manuális naplózás (éles kiadásonként) |
| DG01 | Adatok | R06 | Az átvitel közbeni és inaktív titkosítást minden bizalmas adatra alkalmazni kell. | A bizalmas adatok védelme | Számítási feladatok csapatai | Azonnali titkosítási kényszerítési és biztonsági képzés | Azure Policy |
| DG02 | Adatok | R06 | Minden bizalmas adat esetében engedélyezni kell az adatéletciklus-szabályzatokat a Microsoft Purview-ban. | Az adatéletciklus kezelése | Számítási feladatok csapatai | Végrehajtás 60 napon belül, negyedéves auditok | Microsoft Purview |
| RM01 | Erőforrás-kezelés | R07 | A Bicep-et az erőforrások üzembe helyezéséhez kell használni. | Erőforrás-kiépítés szabványosítása | Számítási feladatokat végző csapatok, platformcsapat | Azonnali Bicep-áttűnési terv | Folyamatos integrációs és folyamatos kézbesítési (CI/CD) folyamat |
| RM02 | Erőforrás-kezelés | R07 | A címkéket az Azure Policy használatával minden felhőerőforráson kötelező kikényszeríteni. | Erőforrás-nyomon követés megkönnyítése | Minden felhőerőforrás | A címkézés javítása 30 napon belül | Azure Policy |
| AI01 | Mesterséges intelligencia | R08 | Az AI-tartalomszűrési konfigurációt közepes vagy magasabbra kell állítani. | A káros AI-kimenetek csökkentése | Számítási feladatok csapatai | Azonnali korrekciós intézkedések | Azure OpenAI Service |
| AI02 | Mesterséges intelligencia | R08 | Az ügyféloldali AI-rendszereknek havonta piros csapatban kell lenniük. | AI-torzítások azonosítása | AI-modellcsapatok | Azonnali felülvizsgálat, hiánypótlási műveletek | Manuális naplózás (havonta) |
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: