Guida alla governance per le aziende complesse: procedure consigliate illustrateGovernance guide for complex enterprises: Best practices explained

La guida alla governance inizia con un set di criteri aziendaliiniziali.The governance guide begins with a set of initial corporate policies. Questi criteri vengono usati per stabilire un prodotto minimo funzionante (MVP, Minimum Viable Product) per la governance che sia conforme alle procedure consigliate.These policies are used to establish a minimum viable product (MVP) for governance that reflects best practices.

Questo articolo illustra le strategie di alto livello necessarie per creare un MVP per la governance.In this article, we discuss the high-level strategies that are required to create a governance MVP. Il nucleo della governance MVP è la disciplina di accelerazione della distribuzione.The core of the governance MVP is the Deployment Acceleration discipline. Gli strumenti e i modelli applicati in questa fase consentiranno di migliorare i miglioramenti incrementali necessari per espandere la governance in futuro.The tools and patterns applied at this stage will enable the incremental improvements needed to expand governance in the future.

MVP governance (iniziale governance Foundation)Governance MVP (initial governance foundation)

Un'adozione rapida dei criteri di governance e aziendali è possibile, grazie ad alcuni semplici principi e a strumenti di governance basati sul cloud.Rapid adoption of governance and corporate policy is achievable, thanks to a few simple principles and cloud-based governance tooling. Di seguito sono descritte le prime tre discipline a cui fare riferimento in qualsiasi processo di governance.These are the first of the three governance disciplines to approach in any governance process. Ogni disciplina verrà illustrata più avanti in questo articolo.Each discipline will be explained further on in this article.

Per stabilire il punto di partenza, in questo articolo vengono illustrate le strategie di alto livello alla base della sicurezza, la baseline delle identità e le discipline di accelerazione della distribuzione necessarie per creare un MVP di governance.To establish the starting point, this article discusses the high-level strategies behind the Security Baseline, Identity Baseline, and Deployment Acceleration disciplines that are required to create a governance MVP. Il MVP funge da base per l'adozione di tutti i cloud.The MVP serves as the foundation for all cloud adoption.

Esempio di un MVP per la governance incrementale

Processo di implementazioneImplementation process

L'implementazione dell'MVP di governance presenta dipendenze da identità, sicurezza e rete.The implementation of the governance MVP has dependencies on identity, security, and networking. Una volta risolte le dipendenze, il team di governance del cloud deciderà alcuni aspetti della governance.Once the dependencies are resolved, the cloud governance team will decide a few aspects of governance. Le decisioni prese dal team di governance del cloud e dai team di supporto verranno implementate tramite un unico pacchetto di asset di applicazione.The decisions from the cloud governance team and from supporting teams will be implemented through a single package of enforcement assets.

Esempio di un MVP per la governance incrementale

Questa implementazione può essere descritta anche usando un semplice elenco di controllo:This implementation can also be described using a simple checklist:

  1. Sollecitare le decisioni relative alle dipendenze principali: identità, rete e crittografia.Solicit decisions regarding core dependencies: identity, network, and encryption.
  2. Determinare il modello da usare durante l'imposizione dei criteri aziendali.Determine the pattern to be used during corporate policy enforcement.
  3. Determinare i modelli di governance appropriati per la coerenza delle risorse, l'assegnazione di tag alle risorse e la registrazione e la creazione di reportDetermine the appropriate governance patterns for resource consistency, resource tagging, and logging and reporting.
  4. Implementare gli strumenti di governance conformi al modello di imposizione dei criteri scelto per applicare decisioni dipendenti e di governance.Implement the governance tools aligned to the chosen policy enforcement pattern to apply the dependent decisions and governance decisions.

Decisioni dipendentiDependent decisions

Le decisioni seguenti provengono da team esterni al team di governance del cloud.The following decisions come from teams outside of the cloud governance team. che si occuperanno anche della loro implementazione.The implementation of each will come from those same teams. Tuttavia, il team di governance del cloud è responsabile dell'implementazione di una soluzione per verificare che tali implementazioni vengano applicate in modo coerente.However, the cloud governance team is responsible for implementing a solution to validate that those implementations are consistently applied.

Baseline di identitàIdentity Baseline

La baseline di identità è un requisito iniziale indispensabile per tutte le azioni di governance.Identity Baseline is the fundamental starting point for all governance. Prima di tentare di applicare la governance, è infatti necessario definire l'identità.Before attempting to apply governance, identity must be established. La strategia di identità definita verrà quindi applicata dalle soluzioni di governance.The established identity strategy will then be enforced by the governance solutions. In questa guida alla governance, il team di gestione delle identità implementa il modello di sincronizzazione della directory :In this governance guide, the Identity Management team implements the Directory Synchronization pattern:

  • Il controllo degli accessi in base al ruolo verrà fornito da Azure Active Directory (Azure AD), usando la sincronizzazione della directory o "lo stesso accesso" implementato durante la migrazione dell'azienda a Microsoft 365.RBAC will be provided by Azure Active Directory (Azure AD), using the directory synchronization or "Same Sign-On" that was implemented during company's migration to Microsoft 365. Per altre informazioni sull'implementazione, vedere Architettura di riferimento per l'integrazione di Azure AD.For implementation guidance, see Reference Architecture for Azure AD Integration.
  • Il tenant di Azure AD controllerà anche l'autenticazione e l'accesso degli asset distribuiti in Azure.The Azure AD tenant will also govern authentication and access for assets deployed to Azure.

Nell'MVP per la governance, il team di governance imporrà l'applicazione del tenant replicato tramite strumenti di governance delle sottoscrizioni, descritti più avanti in questo articolo.In the governance MVP, the governance team will enforce application of the replicated tenant through subscription governance tooling, discussed later in this article. Nelle iterazioni future il team di governance potrebbe inoltre applicare strumenti avanzati in Azure AD per estendere questa funzionalità.In future iterations, the governance team could also enforce rich tooling in Azure AD to extend this capability.

Baseline di sicurezza: reteSecurity Baseline: Networking

La rete definita dal software è un aspetto iniziale importante della baseline di sicurezza.Software Defined Network is an important initial aspect of the Security Baseline. La definizione dell'MVP di governance dipende dalle decisioni iniziali del team di gestione della sicurezza, che stabilisce le modalità di configurazione sicura delle reti.Establishing the governance MVP depends on early decisions from the Security Management team to define how networks can be safely configured.

Data la mancanza di requisiti, la protezione IT è sicura e richiede un modello di rete perimetrale cloud .Given the lack of requirements, IT security is playing it safe and requires a Cloud DMZ pattern. La governance delle distribuzioni Azure risulterà quindi poco intensa.That means governance of the Azure deployments themselves will be very light.

  • Le sottoscrizioni di Azure possono connettersi a un data center esistente tramite VPN, ma devono seguire tutti i criteri di governance IT locali esistenti relativi alla connessione di una rete perimetrale a risorse protette.Azure subscriptions may connect to an existing datacenter via VPN, but must follow all existing on-premises IT governance policies regarding connection of a perimeter network to protected resources. Per indicazioni di implementazione sulla connettività VPN, vedere la pagina locale connessa ad Azure tramite un gateway VPN.For implementation guidance regarding VPN connectivity, see On-premises network connected to Azure using a VPN gateway.
  • Le decisioni relative alla subnet, al firewall e al routing vengono affidate al responsabile di ogni applicazione/carico di lavoro.Decisions regarding subnet, firewall, and routing are currently being deferred to each application/workload lead.
  • È necessario eseguire ulteriori analisi prima del rilascio di eventuali dati protetti o carichi di lavoro cruciali.Additional analysis is required before releasing of any protected data or mission-critical workloads.

In questo modello le reti cloud possono connettersi solo a risorse locali tramite una VPN esistente compatibile con Azure.In this pattern, cloud networks can only connect to on-premises resources over an existing VPN that is compatible with Azure. Il traffico su tale connessione verrà considerato come il traffico proveniente da una rete perimetrale.Traffic over that connection will be treated like any traffic coming from a perimeter network. Per gestire in sicurezza il traffico proveniente da Azure è possibile che siano necessarie considerazioni aggiuntive sul dispositivo perimetrale locale.Additional considerations may be required on the on-premises edge device to securely handle traffic from Azure.

Il team di governance del cloud ha invitato in modo proattivo i membri dei team di rete e della sicurezza IT a riunioni regolari, al fine di mantenere le richieste di rete e i rischi.The cloud governance team has proactively invited members of the networking and IT security teams to regular meetings, in order to stay ahead of networking demands and risks.

Baseline di sicurezza: crittografiaSecurity Baseline: Encryption

La crittografia è un'altra decisione fondamentale relativa alla disciplina sulla baseline di sicurezza.Encryption is another fundamental decision within the Security Baseline discipline. Considerando che l'azienda non archivia ancora dati protetti nel cloud, il team di sicurezza ha optato per un modello di crittografia meno aggressivo.Because the company currently does not yet store any protected data in the cloud, the Security Team has decided on a less aggressive pattern for encryption. A questo punto, un modello nativo del cloud per la crittografia è consigliato ma non obbligatorio per alcun team di sviluppo.At this point, a cloud-native pattern for encryption is suggested but not required of any development team.

  • In merito all'uso della crittografia, non sono stati definiti requisiti di governance perché i criteri aziendali correnti non consentono l'archiviazione nel cloud di dati protetti o cruciali.No governance requirements have been set regarding the use of encryption, because the current corporate policy does not permit mission-critical or protected data in the cloud.
  • Prima di rilasciare i dati protetti o i carichi di lavoro cruciali, sarà necessaria un'ulteriore analisi.Additional analysis will be required before releasing any protected data or mission-critical workloads.

Imposizione dei criteriPolicy enforcement

La prima decisione da prendere in merito all'accelerazione della distribuzione riguarda il modello di applicazione.The first decision to make regarding Deployment Acceleration is the pattern for enforcement. In questo testo descrittivo, il team di governance ha deciso di implementare il modello di applicazione automatizzata.In this narrative, the governance team decided to implement the Automated Enforcement pattern.

  • I team di sicurezza e identità potranno usufruire del Centro sicurezza di Azure per monitorare i rischi di sicurezza.Azure Security Center will be made available to the security and identity teams to monitor security risks. Entrambi i team possono anche usare il Centro sicurezza per identificare nuovi rischi e migliorare i criteri aziendali.Both teams are also likely to use Security Center to identify new risks and improve corporate policy.
  • In tutte le sottoscrizioni è obbligatorio il controllo degli accessi in base al ruolo per controllare l'applicazione dell'autenticazione.RBAC is required in all subscriptions to govern authentication enforcement.
  • In ogni gruppo verrà inoltre pubblicato Criteri di Azure, che verrà applicato a tutte le sottoscrizioni.Azure Policy will be published to each management group and applied to all subscriptions. Il livello dei criteri applicati sarà tuttavia limitato in questo MVP per la governance iniziale.However, the level of policies being enforced will be very limited in this initial Governance MVP.
  • Anche se vengono usati gruppi di gestione di Azure, è prevista una gerarchia relativamente semplice.Although Azure management groups are being used, a relatively simple hierarchy is expected.
  • Verranno usati progetti Azure Blueprints per distribuire e aggiornare le sottoscrizioni tramite l'applicazione di requisiti di controllo degli accessi in base al ruolo, modelli di Resource Manager e Criteri di Azure nei vari gruppi di gestione.Azure Blueprints will be used to deploy and update subscriptions by applying RBAC requirements, Resource Manager Templates, and Azure Policy across management groups.

Applicare i modelli dipendentiApply the dependent patterns

Le decisioni seguenti rappresentano i modelli da applicare tramite la strategia di applicazione dei criteri sopra descritta:The following decisions represent the patterns to be enforced through the policy enforcement strategy above:

Linea di base identità.Identity Baseline. I progetti Azure Blueprints definiranno i requisiti di controllo degli accessi in base al ruolo a livello di sottoscrizione per garantire che in tutte le sottoscrizioni sia configurata un'identità coerente.Azure Blueprints will set RBAC requirements at a subscription level to ensure that consistent identity is configured for all subscriptions.

Baseline di sicurezza: rete.Security Baseline: Networking. Il team di governance del cloud gestisce un modello di Gestione risorse per stabilire un gateway VPN tra Azure e il dispositivo VPN locale.The cloud governance team maintains a Resource Manager template for establishing a VPN gateway between Azure and the on-premises VPN device. Quando un team di applicazioni richiede una connessione VPN, il team di governance del cloud applicherà il modello di Gestione risorse gateway tramite i progetti di Azure.When an application team requires a VPN connection, the cloud governance team will apply the gateway Resource Manager template via Azure Blueprints.

Baseline di sicurezza: crittografia.Security Baseline: Encryption. A questo punto, in quest'area non è necessaria l'applicazione dei criteri.At this point, no policy enforcement is required in this area. Questa operazione verrà rivisitata durante le iterazioni successive.This will be revisited during later iterations.

Applicazione di modelli di governanceApplication of governance-defined patterns

Il team di governance del cloud sarà responsabile delle decisioni e delle implementazioni seguenti.The cloud governance team will be responsible for the following decisions and implementations. Molti richiedono input di altri team, ma il team di governance del cloud è probabilmente proprietario sia della decisione che dell'implementazione.Many will require inputs from other teams, but the cloud governance team is likely to own both the decision and implementation. Le sezioni seguenti illustrano le decisioni prese per questo caso d'uso e i dettagli relativi a ogni decisione.The following sections outline the decisions made for this use case and details of each decision.

Progettazione della sottoscrizioneSubscription design

La decisione sulla progettazione di sottoscrizioni da usare determina il modo in cui le sottoscrizioni di Azure vengono strutturate e il modo in cui i gruppi di gestione di Azure verranno usati per gestire in modo efficiente l'accesso, i criteri e la conformitàThe decision on what subscription design to use determines how Azure subscriptions get structured and how Azure management groups will be used to efficiently manage access, policies, and compliance of these subscription. In questo racconto, il team di governance ha scelto una strategia di sottoscrizione mista.In this narrative, the governance team has chosen a mixed subscription strategy.

  • Quando si verificano nuove richieste per le risorse di Azure, è necessario stabilire un reparto per ogni business unit principale in ogni area geografica operativa.As new requests for Azure resources arise, a department should be established for each major business unit in each operating geography. All'interno di ogni reparto, le sottoscrizioni devono essere create per ogni archetipo di applicazione.Within each of the departments, subscriptions should be created for each application archetype.

  • Un archetipo di applicazione consente di raggruppare le applicazioni con esigenze simili.An application archetype is a means of grouping applications with similar needs. Alcuni esempi comuni sono:Common examples include:

    • Applicazioni con dati protetti, applicazioni regolate (ad esempio HIPAA o FedRAMP).Applications with protected data, governed applications (such as HIPAA or FedRAMP).
    • Applicazioni a basso rischio.Low-risk applications.
    • Applicazioni con dipendenze locali.Applications with on-premises dependencies.
    • SAP o altre applicazioni mainframe in Azure.SAP or other mainframe applications in Azure.
    • Applicazioni che estendono le applicazioni SAP o mainframe locali.Applications that extend on-premises SAP or mainframe applications.

    Ogni organizzazione ha esigenze specifiche che dipendono dalla classificazione dei dati e dai tipi di applicazioni che supportano le attività aziendali.Each organization has unique needs based on data classifications and the types of applications that support the business. Il mapping delle dipendenze del patrimonio digitale consente di definire gli archetipi di applicazione in un'organizzazione.Dependency mapping of the digital estate can help define the application archetypes in an organization.

  • Una convenzione di denominazione comune dovrebbe essere adottata come parte della progettazione della sottoscrizione, in base a quanto indicato sopra.A common naming convention should be adopted as part of the subscription design, based on the above.

Coerenza delle risorseResource consistency

Le decisioni relative alla coerenza delle risorse determinano gli strumenti, i processi e gli sforzi necessari per garantire la distribuzione, la configurazione e la gestione delle risorse di Azure in una sottoscrizione.Resource consistency decisions determine the tools, processes, and effort required to ensure Azure resources are deployed, configured, and managed consistently within a subscription. In questa descrizione, la coerenza della distribuzione è stata scelta come modello di coerenza delle risorse primario.In this narrative, deployment consistency has been chosen as the primary resource consistency pattern.

  • I gruppi di risorse vengono creati per le applicazioni che usano l'approccio del ciclo di vita.Resource groups are created for applications using the lifecycle approach. Tutto ciò che viene creato, mantenuto e ritirato insieme dovrebbe risiedere in un singolo gruppo di risorse.Everything that is created, maintained, and retired together should reside a single resource group. Per ulteriori informazioni, vedere la Guida alla decisione sulla coerenza delle risorse.For more information, see the resource consistency decision guide.
  • A tutte le sottoscrizioni nel gruppo di gestione associato è necessario applicare Criteri di Azure.Azure Policy should be applied to all subscriptions from the associated management group.
  • Come parte del processo di distribuzione, i modelli di coerenza delle risorse di Azure per il gruppo di risorse devono essere archiviati nel controllo del codice sorgente.As part of the deployment process, Azure resource consistency templates for the resource group should be stored in source control.
  • Ogni gruppo di risorse è associato a un carico di lavoro specifico o a un'applicazione basata sull'approccio del ciclo di vita descritto in precedenza.Each resource group is associated with a specific workload or application based on the lifecycle approach described above.
  • I gruppi di gestione di Azure consentono l'aggiornamento delle progettazioni di governance man mano che maturano i criteri aziendali.Azure management groups enable updating governance designs as corporate policy matures.
  • Una vasta implementazione di criteri di Azure può superare gli impegni in termini di tempo del team e potrebbe non fornire al momento una grande quantità di valore.Extensive implementation of Azure Policy could exceed the team's time commitments and may not provide a great deal of value at this time. È necessario creare un criterio predefinito semplice e applicarlo a ogni gruppo di gestione per applicare il numero ridotto di istruzioni dei criteri di governance del cloud correnti.A simple default policy should be created and applied to each management group to enforce the small number of current cloud governance policy statements. Questi criteri consentono di definire l'implementazione di requisiti di governance specificiThis policy will define the implementation of specific governance requirements. che può quindi essere applicata a tutti gli asset distribuiti.Those implementations can then be applied across all deployed assets.

Importante

Ogni volta che una risorsa in un gruppo di risorse non condivide più lo stesso ciclo di vita, deve essere spostata in un altro gruppo di risorse.Any time a resource in a resource group no longer shares the same lifecycle, it should be moved to another resource group. Tra gli esempi sono inclusi i database comuni e i componenti di rete.Examples include common databases and networking components. Sebbene possano gestire l'applicazione in fase di sviluppo, possono anche essere utilizzati per altri scopi e devono pertanto esistere in altri gruppi di risorse.While they may serve the application being developed, they may also serve other purposes and should therefore exist in other resource groups.

Tag delle risorseResource tagging

Le decisioni relative ai tag delle risorse determinano il modo in cui i metadati vengono applicati alle risorse di Azure all'interno di una sottoscrizione per supportare operazioni, gestione e contabilità.Resource tagging decisions determine how metadata is applied to Azure resources within a subscription to support operations, management, and accounting purposes. In questa descrizione, il modello di Contabilità è stato scelto come modello predefinito per l'assegnazione di tag delle risorse.In this narrative, the accounting pattern has been chosen as the default model for resource tagging.

  • Gli asset distribuiti devono essere contrassegnati con i valori per:Deployed assets should be tagged with values for:
    • Reparto o unità di fatturazioneDepartment or billing unit
    • Area geograficaGeography
    • Classificazione datiData classification
    • CriticitàCriticality
    • Contratto di servizioSLA
    • EnvironmentEnvironment
    • Archetipo dell'applicazioneApplication archetype
    • ApplicazioneApplication
    • Proprietario dell'applicazioneApplication owner
  • Questi valori, insieme al gruppo di gestione di Azure e alla sottoscrizione associata a un asset distribuito, gestiranno le decisioni relative a governance, operazioni e sicurezza.These values, along with the Azure management group and subscription associated with a deployed asset, will drive governance, operations, and security decisions.

Registrazione e creazione di reportLogging and reporting

La registrazione e la creazione di report determinano il modo in cui i dati di log del negozio e il modo in cui gli strumenti di monitoraggio e creazione di report sono informati sullo stato operativo.Logging and reporting decisions determine how your store log data and how the monitoring and reporting tools that keep IT staff informed on operational health are structured. In questo argomento viene suggerito un modello di monitoraggio ibrido per la registrazione e la creazione di report, ma non è richiesto alcun team di sviluppo.In this narrative a hybrid monitoring pattern for logging and reporting is suggested, but not required of any development team at this point.

  • Attualmente non sono stati definiti requisiti di governance relativi a punti dati specifici da raccogliere per la registrazione o la creazione di report.No governance requirements are currently set regarding the specific data points to be collected for logging or reporting purposes. Questo aspetto è specifico di questo scenario fittizio e deve essere considerato un antimodello.This is specific to this fictional narrative and should be considered an antipattern. Gli standard di registrazione devono essere determinati e applicati appena possibile.Logging standards should be determined and enforced as soon as possible.
  • È necessario eseguire altre analisi prima del rilascio di eventuali dati protetti o carichi di lavoro cruciali.Additional analysis is required before the release of any protected data or mission-critical workloads.
  • Prima di supportare i dati protetti o i carichi di lavoro di importanza critica, è necessario concedere l'accesso all'area di lavoro usata per la registrazione alla soluzione di monitoraggio operativo locale esistente.Before supporting protected data or mission-critical workloads, the existing on-premises operational monitoring solution must be granted access to the workspace used for logging. Le applicazioni devono soddisfare i requisiti di sicurezza e registrazione associati all'uso del tenant, se l'applicazione deve essere supportata con un contratto di servizio definito.Applications are required to meet security and logging requirements associated with the use of that tenant, if the application is to be supported with a defined SLA.

Incrementale dei processi di governanceIncremental of governance processes

Alcune delle definizioni dei criteri non possono o non devono essere controllate da strumenti automatizzati.Some of the policy statements cannot or should not be controlled by automated tooling. Altri criteri richiederanno un lavoro periodico dalla sicurezza IT e dai team di base delle identità locali.Other policies will require periodic effort from IT security and on-premises identity baseline teams. Il team di governance del cloud dovrà sorvegliare i processi seguenti per implementare le ultime otto istruzioni dei criteri:The cloud governance team will need to oversee the following processes to implement the last eight policy statements:

Modifiche ai criteri aziendali: Il team di governance del cloud apporterà modifiche alla progettazione MVP della governance per adottare i nuovi criteri.Corporate policy changes: The cloud governance team will make changes to the governance MVP design to adopt the new policies. L'MVP per la governance consentirà l'imposizione automatica dei nuovi criteri.The value of the governance MVP is that it will allow for the automatic enforcement of the new policies.

Accelerazione adozione: Il team di governance del cloud sta esaminando gli script di distribuzione tra più team.Adoption acceleration: The cloud governance team has been reviewing deployment scripts across multiple teams. Ha mantenuto un set di script da utilizzare come modelli di distribuzione.They've maintained a set of scripts that serve as deployment templates. Tali modelli possono essere usati dai team di adozione del cloud e dai team di DevOps per definire più rapidamente le distribuzioni.Those templates can be used by the cloud adoption teams and DevOps teams to more quickly define deployments. Ogni script contiene i requisiti per l'applicazione dei criteri di governance e non richiede alcun impegno aggiuntivo da parte dei tecnici di adozione del cloud.Each script contains the requirements for enforcing governance policies, and additional effort from cloud adoption engineers is not needed. Come responsabili di questi script, possono implementare più rapidamente le modifiche dei criteri.As the curators of these scripts, they can implement policy changes more quickly. Sono inoltre considerati acceleratori di adozione.Additionally, they're viewed as accelerators of adoption. Ciò garantisce distribuzioni coerenti senza un'imposizione rigorosa della conformità.This ensures consistent deployments without strictly enforcing adherence.

Formazione per ingegneri: Il team di governance del cloud offre sessioni di formazione bisettimanali e ha creato due video per i tecnici.Engineer training: The cloud governance team offers bimonthly training sessions and has created two videos for engineers. Entrambe le risorse sono utili ai tecnici per implementare più velocemente la cultura della governance e la modalità di esecuzione delle distribuzioni.Both resources help engineers get up to speed quickly on the governance culture and how deployments are performed. Il team sta aggiungendo risorse di formazione per dimostrare la differenza tra le distribuzioni di produzione e non di produzione, che aiutano gli ingegneri a comprendere il modo in cui i nuovi criteri influiscono sull'adozione.The team is adding training assets to demonstrate the difference between production and nonproduction deployments, which helps engineers understand how the new policies affect adoption. Ciò garantisce distribuzioni coerenti senza un'imposizione rigorosa della conformità.This ensures consistent deployments without strictly enforcing adherence.

Pianificazione della distribuzione: Prima di distribuire gli asset contenenti dati protetti, il team di governance del cloud sarà responsabile della revisione degli script di distribuzione per convalidare l'allineamento della governance.Deployment planning: Before deploying any asset containing protected data, the cloud governance team will be responsible for reviewing deployment scripts to validate governance alignment. I team esistenti con le distribuzioni approvate in precedenza verranno controllati tramite strumenti automatici.Existing teams with previously approved deployments will be audited using programmatic tooling.

Controllo mensile e creazione di report: Ogni mese, il team di governance del cloud esegue un controllo di tutte le distribuzioni cloud per convalidare l'allineamento continuo ai criteri.Monthly audit and reporting: Each month, the cloud governance team runs an audit of all cloud deployments to validate continued alignment to policy. Quando le deviazioni vengono individuate, vengono documentate e condivise con i team di adozione del cloud.When deviations are discovered, they're documented and shared with the cloud adoption teams. Quando non si rischia un'interruzione dell'attività o una perdita dei dati, i criteri vengono imposti automaticamente.When enforcement doesn't risk a business interruption or data leak, the policies are automatically enforced. Al termine del controllo, il team di governance del cloud compila un report per il team strategico Cloud e ogni team di adozione del cloud per comunicare la conformità complessiva ai criteri.At the end of the audit, the cloud governance team compiles a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Il report viene inoltre archiviato a scopo legale e di controllo.The report is also stored for auditing and legal purposes.

Revisione trimestrale dei criteri: Ogni trimestre, il team di governance del cloud e il team di strategia cloud per esaminare i risultati del controllo e suggerire le modifiche ai criteri aziendali.Quarterly policy review: Each quarter, the cloud governance team and the cloud strategy team to review audit results and suggest changes to corporate policy. Molti di questi suggerimenti sono il risultato di strategie di miglioramento costanti e dell'osservazione dei modelli di utilizzo.Many of those suggestions are the result of continuous improvements and the observation of usage patterns. Le modifiche ai criteri approvate vengono integrate negli strumenti di governance durante i cicli di controllo successivi.Approved policy changes are integrated into governance tooling during subsequent audit cycles.

Modelli alternativiAlternative patterns

Se uno qualsiasi dei modelli scelti in questa guida alla governance non è allineato ai requisiti del lettore, sono disponibili alternative a ogni modello:If any of the patterns chosen in this governance guide don't align with the reader's requirements, alternatives to each pattern are available:

Passaggi successiviNext steps

Dopo aver implementato queste linee guida, ogni team di adozione del cloud può contare su una solida base di conoscenze relative alla governance.Once this guidance is implemented, each cloud adoption team can proceed with a solid governance foundation. Allo stesso tempo, il team di governance del Cloud funzionerà per aggiornare continuamente i criteri aziendali e le discipline di governance.At the same time, the cloud governance team will work to continually update the corporate policies and governance disciplines.

Entrambi i team utilizzeranno gli indicatori di tolleranza per identificare il set successivo di miglioramenti necessari per continuare a supportare l'adozione del cloud.Both teams will use the tolerance indicators to identify the next set of improvements needed to continue supporting cloud adoption. Il passaggio successivo per questa società è il miglioramento incrementale della linea di base di governance per supportare le applicazioni con requisiti di autenticazione a più fattori legacy o di terze parti.The next step for this company is incremental improvement of their governance baseline to support applications with legacy or third-party multi-factor authentication requirements.