Felhőkockázatok felmérése
Ez a cikk bemutatja, hogyan értékelheti a felhővel kapcsolatos kockázatokat. Minden technológia bizonyos kockázatokat jelent egy szervezet számára. A kockázatok olyan nem kívánt eredmények, amelyek hatással lehetnek az üzletmenetre, például az iparági szabványoknak való megfelelés elmaradása. A felhő bevezetésekor azonosítania kell, hogy a felhő milyen kockázatokat jelent a szervezet számára. A felhőszabályozási csapat felhőszabályozási szabályzatokat hoz létre a kockázatok megelőzése és csökkentése érdekében. A felhőkockázatok felméréséhez végezze el ezeket a feladatokat.
Felhőkockázatok azonosítása
A felhőkockázatok átfogó listájának katalógusa. A kockázatok ismerete lehetővé teszi olyan felhőszabályozási szabályzatok létrehozását, amelyek megelőzhetik és mérsékelhetik ezeket a kockázatokat. A felhőkockázatok azonosításához kövesse az alábbi javaslatokat:
Az összes felhőegység listázása. Sorolja fel az összes felhőeszközt, hogy átfogóan azonosíthassa a hozzájuk kapcsolódó kockázatokat. Az Azure Portal, az Azure Resource Graph, a PowerShell és az Azure CLI használatával például megtekintheti az előfizetés összes erőforrását.
Felhőkockázatok felderítése. Stabil kockázati katalógus létrehozása a felhőszabályozási szabályzatok irányításához. A gyakori módosítások elkerülése érdekében az általános felhőkockázatokra összpontosítson, ne egy adott számítási feladatra jellemző kockázatokra. Kezdje a magas prioritású kockázatokkal, és dolgozzon ki egy átfogóbb listát az idő függvényében. A kockázatok gyakori kategóriái a szabályozási megfelelőség, a biztonság, a műveletek, a költségek, az adatok, az erőforrások és az AI. A szervezet számára egyedi kockázatokat, például nem Microsoft-szoftvereket, partner- vagy szállítói támogatást, valamint belső felhőkompetenciákat tartalmazhat.
Vonja be a főbb érdekelt feleket. Különböző szervezeti szerepkörökből (informatikai, biztonsági, jogi, pénzügyi és üzleti egységek) származó adatok összegyűjtése az összes lehetséges kockázat figyelembe viteléhez. Ez az együttműködési megközelítés holisztikus képet biztosít a felhővel kapcsolatos kockázatokról.
Ellenőrizze a kockázatokat. Vegye fel a kapcsolatot külső szakértőkkel, akik alapos ismeretekkel rendelkeznek a felhőkockázat-azonosításról a kockázati lista áttekintéséhez és érvényesítéséhez. Ezek a szakértők lehetnek Microsoft-fiókcsapatok vagy speciális Microsoft-partnerek. Szakértelmük segít megerősíteni az összes lehetséges kockázat azonosítását, és javítja a kockázatértékelés pontosságát.
Az Azure megkönnyítése: A felhőkockázatok azonosítása
Az alábbi útmutató segít azonosítani a felhőkockázatokat az Azure-ban. Mintául szolgál a felhőszabályozás fő kategóriáihoz. Az Azure segíthet automatizálni a kockázatkeresési folyamat egy részét. Olyan Azure-eszközöket használhat, mint az Azure Advisor, a Felhőhöz készült Microsoft Defender, az Azure Policy, az Azure Service Health és a Microsoft Purview.
A jogszabályi megfelelőség kockázatainak azonosítása. A felhőadatokra és -műveletekre vonatkozó jogi és szabályozási keretrendszerekkel való meg nem felelés kockázatainak azonosítása. Ismerje meg az iparág szabályozási követelményeit. A kezdéshez használja az Azure megfelelőségi dokumentációját .
Biztonsági kockázatok azonosítása. Azonosíthatja azokat a fenyegetéseket és biztonsági réseket, amelyek veszélyeztetik a felhőkörnyezet bizalmasságát, integritását és rendelkezésre állását. Az Azure használatával felmérheti a felhőbeli biztonsági helyzetet, és észlelheti az identitáskockázatokat.
Költségkockázatok azonosítása. A felhőerőforrások költségeivel kapcsolatos kockázatok azonosítása. A költségekkel kapcsolatos kockázatok közé tartozik a túlterjedés, az alulépítés, az alulhasználat, valamint az adatátviteli díjak vagy a szolgáltatás skálázásából eredő váratlan költségek. Költségelemzéssel azonosíthatja a költségkockázatot. Az Azure díjszabási kalkulátorával megbecsülhet költségeket az Azure-ban. Az aktuális erőforrások költségeinek elemzése és előrejelzése . Azonosíthatja a felhőköltségek váratlan változásait .
A műveleti kockázatok azonosítása. Azonosíthatja a felhőműveletek folytonosságát veszélyeztető kockázatokat, például az állásidőt és az adatvesztést. Az Azure-eszközökkel azonosíthatja a megbízhatóságot és a teljesítményt érintő kockázatokat.
Adatkockázatok azonosítása. A felhőbeli adatkezeléssel kapcsolatos kockázatok azonosítása. Fontolja meg az adatok helytelen kezelését és az adatéletciklus-kezelés hibáit. Az Azure-eszközökkel azonosíthatja az adatkockázatokat , és feltárhatja a bizalmas adatokkal kapcsolatos kockázatokat.
Erőforrás-kezelési kockázatok azonosítása. A felhőerőforrások kiépítéséből, üzembe helyezéséből, konfigurálásából és felügyeletéből eredő kockázatok azonosítása. A működési kiválóság kockázatainak azonosítása.
AI-kockázatok azonosítása. Rendszeresen piros csapatnyelv-modellek. Az AI-rendszerek manuális tesztelése és a manuális tesztek kiegészítése automatizált kockázatazonosító eszközökkel a mi-hez. Keressen gyakori emberi-AI-interakciós hibákat. Fontolja meg az AI-rendszerek használatával, hozzáférésével és kimenetével kapcsolatos kockázatokat. Tekintse át a felelős AI és a felelős AI-érettségi modell elveit.
Felhőkockázatok elemzése
Rendeljen hozzá minőségi vagy mennyiségi rangsort az egyes kockázatokhoz, hogy súlyosságuk alapján rangsorolhassa őket. A kockázat priorizálása egyesíti a kockázat valószínűségét és a kockázat hatását. A mennyiségi kockázatelemzést részesítse előnyben a minőségi helyett a pontosabb kockázat-rangsorolás érdekében. A felhőkockázatok elemzéséhez kövesse az alábbi stratégiákat:
Kockázat valószínűségének kiértékelése
Becsülje meg az évente előforduló egyes kockázatok mennyiségi vagy minőségi valószínűségét. Használjon százalékos tartományt (0-100%) az éves, mennyiségi kockázat valószínűségének ábrázolásához. Az alacsony, közepes és magas a minőségi kockázat valószínűségének gyakori címkéi. A kockázat valószínűségének kiértékeléséhez kövesse az alábbi ajánlásokat:
Nyilvános teljesítménytesztek használata. Olyan jelentésekből, tanulmányokból vagy szolgáltatásiszint-szerződésekből (SLA-kból) származó adatokat használjon, amelyek dokumentálják a gyakori kockázatokat és azok előfordulási gyakoriságát.
Előzményadatok elemzése. Tekintse meg a belső incidensjelentéseket, naplókat és egyéb rekordokat, hogy megállapíthassa, milyen gyakran történtek hasonló kockázatok a múltban.
A vezérlés hatékonyságának tesztelése. A kockázatok minimalizálása érdekében értékelje a jelenlegi kockázatcsökkentési ellenőrzések hatékonyságát. Fontolja meg a vezérlőtesztelési eredmények, a naplózási eredmények és a teljesítménymetrikák áttekintését.
Kockázati hatás meghatározása
Becsülje meg a szervezetre gyakorolt kockázat mennyiségi vagy minőségi hatását. A pénzügyi összeg a mennyiségi kockázat hatásának gyakori módja. Az alacsony, a közepes és a magas a minőségi kockázatra gyakorolt hatás gyakori címkéi. A kockázat hatásának meghatározásához kövesse az alábbi javaslatokat:
Pénzügyi elemzést végezhet. Becsülje meg a kockázat esetleges pénzügyi veszteségét olyan tényezők figyelembe adásával, mint az állásidő költsége, a jogi díjak, a bírságok és a szervizelési erőfeszítések költsége.
Jó hírnévre vonatkozó hatástanulmány készítése. Hasonló incidensekre vonatkozó felmérések, piackutatások vagy előzményadatok használatával megbecsülheti a szervezet hírnevére gyakorolt lehetséges hatásokat.
Működési zavarok elemzése. Az üzemzavar mértékének felmérése az állásidő, a termelékenység csökkenésének és az alternatív megoldások költségeinek becslésével.
Jogi következmények felmérése. Becsülje meg a meg nem felelőséggel vagy megszegéssel kapcsolatos esetleges jogi költségeket, bírságokat és szankciókat.
Kockázati prioritás kiszámítása
Rendeljen hozzá egy kockázati prioritást az egyes kockázatokhoz. A kockázati prioritás a kockázathoz rendelt fontosság, így ön tudja, hogy a kockázatot magas, közepes vagy alacsony sürgősséggel kell-e kezelnie. A kockázati hatás fontosabb, mint a kockázat valószínűsége, mivel a nagy hatású kockázatnak tartós következményei lehetnek. A vállalatirányítási csapatnak egységes módszertant kell használnia a vállalaton belül a kockázatok rangsorolásához. A kockázati prioritás kiszámításához kövesse az alábbi javaslatokat:
A minőségi értékelésekhez használjon kockázati mátrixot. Hozzon létre egy mátrixot, amely minőségi kockázati prioritást rendel az egyes kockázatokhoz. A mátrix egyik tengelye a kockázat valószínűségét (magas, közepes, alacsony) jelöli, a másik pedig a kockázati hatásokat (magas, közepes, alacsony). Az alábbi táblázat egy kockázati mintamátrixot tartalmaz:
Csekély hatás Közepes hatás Súlyos hatás Kis valószínűség Nagyon alacsony Közepesen alacsony Közepesen magas Közepes valószínűség Alacsony Közepes Magas Nagy valószínűség Közepes Magas Nagyon magas Képletek használata kvantitatív értékelésekhez. Alapértékként használja a következő számítást: kockázati prioritás = kockázat valószínűsége x kockázati hatás. Szükség szerint módosítsa a változók súlyát a kockázati prioritás eredményeinek testreszabásához. Ezzel a képlettel például nagyobb hangsúlyt fektethet a kockázati hatásra: kockázati prioritás = kockázat valószínűsége x (kockázati hatás x 1,5).
Kockázati szint hozzárendelése
Az egyes kockázatokat három szint egyikére kategorizálja: fő kockázatok (1. szint), részriskék (2. szint) és kockázati tényezők (3. szint). A kockázati szintek lehetővé teszik a megfelelő kockázatkezelési stratégia megtervezését és a jövőbeli kihívások előrejelzését. Az 1. szintű kockázatok veszélyeztetik a szervezetet vagy a technológiát. A 2. szintű kockázatok az 1. szintű kockázat alá esnek. A 3. szintű kockázatok olyan trendek, amelyek egy vagy több 1. vagy 2. szintű kockázattal járhatnak. Fontolja meg például az adatvédelmi törvények (1. szint), a nem megfelelő felhőbeli tárolókonfigurációk (2. szint) és a szabályozási követelmények összetettségének növelését (3. szint).
Kockázatkezelési stratégia meghatározása
Minden kockázat esetében azonosítsa a megfelelő kockázatkezelési lehetőségeket, például a kockázat elkerülését, mérséklését, átvitelét vagy elfogadását. Adja meg a választás magyarázatát. Ha például úgy dönt, hogy elfogad egy kockázatot, mert a költség csökkentésének költsége túl költséges, akkor ezt az érvelést dokumentálnia kell a jövőbeni hivatkozáshoz.
Kockázattulajdonosok hozzárendelése
Minden kockázathoz jelöljön ki egy elsődleges kockázati tulajdonost. A kockázat tulajdonosa felelős az egyes kockázatok kezeléséért. Ez a személy koordinálja a kockázatkezelési stratégiát minden érintett csapatnál, és a kockázat eszkalálásának kiindulási pontja.
Felhőkockázatok dokumentálása
Dokumentálja az egyes kockázatokat és a kockázatelemzés részleteit. Hozzon létre egy kockázatlistát (kockázati nyilvántartást), amely tartalmazza a kockázatok azonosításához, kategorizálásához, rangsorolásához és kezeléséhez szükséges összes információt. A kockázatdokumentáció szabványosított nyelvének fejlesztése, hogy mindenki könnyen megérthesse a felhőkockázatokat. Vegye figyelembe az alábbi elemeket:
- Kockázati azonosító: Minden kockázat egyedi azonosítója. Az azonosítót az új kockázatok hozzáadásakor egymás után növekményesen kell növelni. Ha eltávolítja a kockázatokat, hagyhat réseket a sorozatban, vagy kitöltheti a sorozatban lévő réseket.
- Kockázatkezelési állapot: A kockázat állapota (nyitott, lezárt).
- Kockázati kategória: Olyan címke, mint a jogszabályi megfelelőség, a biztonság, a költség, a műveletek, az AI vagy az erőforrás-kezelés.
- Kockázat leírása: A kockázat rövid leírása.
- Kockázat valószínűsége: Az évente előforduló kockázat valószínűsége. Használjon százalékos vagy minőségi címkét.
- Kockázati hatás: A szervezetre gyakorolt hatás, ha a kockázat jelentkezik. Pénzösszeget vagy minőségi címkét használjon.
- Kockázati prioritás: A kockázat súlyossága (valószínűség x hatás). Használjon dollárösszeget vagy minőségi címkét.
- Kockázati szint: A kockázat típusa. Használjon súlyos fenyegetést (1. szint), subrisk (2. szint) vagy kockázati illesztőprogramot (3. szint).
- Kockázatkezelési stratégia: A kockázat kezelésének megközelítése, például a kockázat csökkentése, elfogadása vagy elkerülése.
- Kockázatkezelési kényszerítés: A kockázatkezelési stratégia kikényszerítésének módszerei.
- Kockázat tulajdonosa: A kockázatot kezelő személy.
- Kockázatlezárás dátuma: A kockázatkezelési stratégia alkalmazásának dátuma.
További információkért lásd a kockázati lista példáját.
Felhőkockázatok közlése
Egyértelműen közvetítse az azonosított felhőkockázatokat a vezető szponzornak és a vezetői szintű felügyeletnek. A cél annak biztosítása, hogy a szervezet rangsorolja a felhőkockázatokat. Rendszeres frissítéseket biztosít a felhőkockázat-kezelésről, és kommunikálhat, ha további erőforrásokra van szüksége a kockázatok kezeléséhez. Olyan kultúra előmozdítása, amelyben a felhőkockázat-kezelés és -irányítás a napi műveletek része.
Felhőkockázatok áttekintése
Tekintse át az aktuális felhőkockázati listát, és győződjön meg arról, hogy az érvényes és pontos. A felülvizsgálatoknak rendszeresnek kell lenniük, és adott eseményekre is reagálva kell lenniük. Szükség szerint fenntarthatja, frissítheti vagy eltávolíthatja a kockázatokat. A felhőkockázatok áttekintéséhez kövesse az alábbi javaslatokat:
Rendszeres értékelések ütemezése. Állítson be ismétlődő ütemezést a felhőkockázatok ( például negyedéves, féléves vagy éves) áttekintéséhez és értékeléséhez. Olyan felülvizsgálati gyakoriságot talál, amely a legjobban megfelel a személyzet rendelkezésre állásának, a felhőkörnyezet változásainak gyakoriságának és a szervezeti kockázattűrésnek.
Eseményalapú felülvizsgálatok végzése. Tekintse át a kockázatokat adott eseményekre adott válaszként, például egy kockázat sikertelen megelőzésére. Fontolja meg a kockázatok áttekintését új technológiák bevezetésekor, az üzleti folyamatok módosításakor és az új biztonsági fenyegetések felderítésében. Fontolja meg azt is, hogy mikor változik a technológia, a jogszabályi megfelelőség és a szervezeti kockázattűrés.
Tekintse át a felhőszabályozási szabályzatokat. A felhőszabályozási szabályzatok megtarthatók, frissíthetők vagy eltávolíthatók az új, meglévő vagy elavult kockázatok kezelése érdekében. Szükség szerint tekintse át a felhőszabályozási szabályzatot és a felhőszabályozási érvényesítési stratégiát. Ha eltávolít egy kockázatot, értékelje ki, hogy a hozzá társított felhőszabályozási szabályzatok továbbra is relevánsak-e. Kérje meg az érdekelt feleket, hogy távolítsa el a felhőszabályozási szabályzatokat, vagy frissítse a szabályzatokat, hogy új kockázattal társítsák őket.
Példa kockázati listára
Az alábbi táblázat egy kockázati lista, más néven kockázati nyilvántartás. A példát a szervezet Azure-felhőkörnyezetének adott igényeihez és környezetéhez igazíthatja.
Kockázati azonosító | Kockázatkezelési állapot | Kockázati kategória | Kockázat leírása | Kockázat valószínűsége | Kockázati hatás | Kockázati prioritás | Kockázati szint | Kockázatkezelési stratégia | Kockázatkezelési kényszerítés | Kockázat tulajdonosa | Kockázatlezárás dátuma |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | Nyit | Előírásoknak való megfelelés | Bizalmas adatkövetelményeknek való megfelelés elmulasztása | 20% vagy közepes | 100 000 USD vagy magas | 20 000 USD vagy magas | 2. szint | Enyhíteni | Bizalmas adatmonitorozáshoz használja a Microsoft Purview-t. Megfelelőségi jelentéskészítés a Microsoft Purview-ban. |
Megfelelőségi érdeklődő | 2024-04-01 |
R02 | Nyit | Biztonság | Felhőszolgáltatásokhoz való jogosulatlan hozzáférés | 30% vagy magas | 200 000 USD vagy magas | $60,000 VAGY Nagyon magas | 1. szint | Enyhíteni | Microsoft Entra ID többtényezős hitelesítés (MFA). Microsoft Entra ID-kezelés havi hozzáférési felülvizsgálatokat. |
Biztonsági érdeklődő | 2024-03-15 |
R03 | Nyit | Biztonság | Nem biztonságos kódkezelés | 20% vagy közepes | 150 000 USD vagy magas | 30 000 USD vagy magas | 2. szint | Enyhíteni | Definiált kódtárat használjon. Használjon karanténmintát nyilvános kódtárakhoz. |
Fejlesztői érdeklődő | 2024-03-30 |
R04 | Nyit | Költség | Túlhasználat a felhőszolgáltatásokon a túlterjedés és a figyelés hiánya miatt | 40% vagy magas | 50 000 USD vagy közepes | 20 000 USD vagy magas | 2. szint | Enyhíteni | Költségvetések és riasztások beállítása számítási feladatokhoz. Tekintse át és alkalmazza az Advisor költségjavaslatait. |
Költség érdeklődő | 2024-03-01 |
R05 | Nyit | Üzemeltetés | Szolgáltatáskimaradás az Azure-régió leállása miatt | 25% VAGY közepes | 150 000 USD vagy magas | 37 500 USD vagy magas | 1. szint | Enyhíteni | A kritikus fontosságú számítási feladatok aktív-aktív architektúrával rendelkeznek. Más számítási feladatok aktív-passzív architektúrával rendelkeznek. |
Műveleti érdeklődő | 2024-03-20 |
R06 | Nyit | Adatok | Bizalmas adatok elvesztése a nem megfelelő titkosítás és az adatok életciklusának kezelése miatt | 35% vagy magas | 250 000 USD vagy magas | $87.500 VAGY Nagyon magas | 1. szint | Enyhíteni | Titkosítás alkalmazása átvitelkor és inaktív állapotban. Adatéletciklus-szabályzatok létrehozása az Azure-eszközökkel. |
Adatátvezetés | 2024-04-10 |
R07 | Nyit | Erőforrás-kezelés | A felhőbeli erőforrások helytelen konfigurálása jogosulatlan hozzáféréshez és adatexpozícióhoz vezet | 30% vagy magas | 100 000 USD vagy magas | $30.000 VAGY Nagyon magas | 2. szint | Enyhíteni | Infrastruktúra használata kódként (IaC). Címkézési követelmények kényszerítése az Azure Policy használatával. |
Erőforrás-érdeklődő | 2024-03-25 |
R08 | Nyit | Mesterséges intelligencia | A nemprezentatív betanítási adatok miatt elfogult döntéseket hozó AI-modell | 15% vagy alacsony | 200 000 USD vagy magas | 30 000 USD vagy közepesen magas | 3-as szint | Enyhíteni | Használjon tartalomszűrési módszereket. A vörös csapat AI-modelljei havonta. |
AI-érdeklődő | 2024-05-01 |
Következő lépés
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: