Stabilire processi di conformità ai criteriEstablish policy adherence processes

Dopo la definizione delle istruzioni dei criteri cloud e l'elaborazione di una guida di progettazione, è necessario creare una strategia per garantire che la distribuzione cloud sia conforme ai requisiti dei criteri.After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. Questa strategia dovrà includere i processi di revisione e comunicazione continui del team di governance del cloud, definire i criteri per le violazioni dei criteri che richiedono un'azione e definire i requisiti per i sistemi di monitoraggio e conformità automatici che rileveranno le violazioni e attiverà le azioni correttive.This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

Vedere le sezioni relative ai criteri aziendali delle guide di governance utilizzabili per esempi di come il processo di conformità dei criteri rientra in un piano di governance del cloud.See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

Classificare i processi di conformità ai criteriPrioritize policy adherence processes

Quanto investimento nello sviluppo dei processi è necessario per supportare gli obiettivi dei criteri?How much investment in developing processes is required to support your policy goals? A seconda delle dimensioni e del livello di maturità della distribuzione cloud, l'impegno necessario per stabilire i processi che supportano la conformità, e i costi associati per farlo, possono variare notevolmente.Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

Per distribuzioni di piccole dimensioni costituite da risorse di sviluppo e test, i requisiti dei criteri possono essere semplici e richiedere poche risorse dedicate.For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. D'altra parte, una distribuzione cloud matura e cruciale con esigenze di sicurezza e prestazioni di alta priorità può richiedere un team di personale, processi interni completi e strumenti di monitoraggio personalizzati per supportare gli obiettivi dei criteri.On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

Come primo passaggio nella definizione della strategia di conformità ai criteri, bisogna valutare il modo in cui i processi descritti di seguito possono supportare i requisiti dei criteri.As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. Determinare l'impegno che vale la pena investire in questi processi e quindi usare queste informazioni per stabilire budget realistici e piani del personale che soddisfino queste esigenze.Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

Definire i processi del team di governance del cloudEstablish cloud governance team processes

Prima di definire i trigger per la correzione della conformità dei criteri, è necessario stabilire i processi complessivi che verranno usati dal team e il modo in cui le informazioni verranno condivise ed Escalate tra il personale IT e il team di governance del cloud.Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

Assegnare i membri del team di governance del cloudAssign cloud governance team members

Il team di governance del cloud fornirà indicazioni continue sulla conformità dei criteri e gestirà i problemi relativi ai criteri che emergono quando si distribuiscono e si gestiscono le risorse cloud.Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. Quando si compila questo team, invitare i membri del personale che hanno esperienza nelle aree coperte dalle istruzioni dei criteri definite e i rischi identificati.When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

Per le distribuzioni di test iniziali, questo può essere limitato a pochi amministratori di sistema responsabili della definizione delle nozioni di base della governance.For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. Con la maturità dei processi di governance, esaminare regolarmente l'appartenenza del team di linee guida per assicurarsi che sia possibile risolvere correttamente nuovi rischi potenziali e requisiti dei criteri.As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. Identificare i membri del personale IT e del personale aziendale con esperienza o interesse per aree specifiche di governance e includerle nei team su base permanente o temporanea, se necessario.Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

Revisioni e iterazione dei criteriReviews and policy iteration

Con la distribuzione di risorse e carichi di lavoro aggiuntivi, il team di governance del cloud dovrà garantire che i nuovi carichi di lavoro o gli asset siano conformi ai requisiti dei criteri.As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. Valutare i nuovi requisiti dei team di sviluppo del carico di lavoro per garantire che le distribuzioni pianificate siano allineate alle guide di progettazione e aggiornare i criteri per supportare tali requisiti quando appropriato.Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

Pianificare la valutazione di nuovi rischi potenziali e aggiornare le istruzioni di criteri e le guide di progettazione in base alle esigenze.Plan to evaluate new potential risks and update policy statements and design guides as needed. Collaborare con i team IT e del carico di lavoro per valutare regolarmente le nuove funzionalità e i servizi di Azure.Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. Pianificare anche i cicli di revisione regolari ognuno dei cinque disciplinari di governance per garantire che i criteri siano correnti e conformi.Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

EducationEducation

La conformità ai criteri richiede che il personale e gli sviluppatori IT comprendano i requisiti dei criteri che influiscono sulle proprie aree di responsabilità.Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. Pianificare di riservare risorse per documentare le decisioni e i requisiti e formare tutti i team pertinenti sulle guide di progettazione che supportano i requisiti dei criteri.Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

Quando i criteri cambiano, è necessario aggiornare regolarmente la documentazione e i materiali di formazione e assicurarsi che gli sforzi di formazione comunichino requisiti e materiale sussidiario aggiornati al personale IT pertinente.As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

In diverse fasi del percorso Cloud, può essere opportuno consultare i partner e i programmi di formazione professionale per migliorare l'istruzione del team, sia tecnicamente che procedurale.At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. Inoltre, molti ritengono che le certificazioni formali siano un'aggiunta preziosa al portfolio di formazione e che debbano essere prese in considerazione.Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

Stabilire percorsi di escalationEstablish escalation paths

Se una risorsa diventa non conforme, chi riceve la notifica?If a resource goes out of compliance, who gets notified? Se il personale IT rileva un problema di conformità dei criteri, chi dovrebbe contattare?If IT staff detect a policy compliance issue, who do they contact? Verificare che il processo di escalation al team di governance del cloud sia chiaramente definito.Make sure the escalation process to the cloud governance team is clearly defined. Verificare che questi canali di comunicazione siano mantenuti aggiornati in modo da riflettere modifiche del personale e dell'organizzazione.Ensure these communication channels are kept updated to reflect staff and organization changes.

Trigger di violazione e azioniViolation triggers and actions

Dopo aver definito il team di governance del cloud e i relativi processi, è necessario definire in modo esplicito quali sono le violazioni di conformità che attivano le azioni e le azioni da eseguire.After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

Definire i triggerDefine triggers

Per ognuna delle istruzioni dei criteri, esaminare i requisiti per determinare cosa costituisce una violazione dei criteri.For each of your policy statements, review requirements to determine what constitutes a policy violation. Generare i trigger usando le informazioni già configurate come parte del processo di definizione dei criteri.Generate your triggers using the information you've already established as part of the policy definition process.

  • Tolleranza al rischio: Creare trigger di violazione basati sulle metriche e sugli indicatori di rischio definiti come parte dell' analisi della tolleranza di rischio.Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • Requisiti dei criteri definiti: Le istruzioni per i criteri possono fornire contratti di servizio, continuità aziendale e ripristino di emergenza (BCDR) o requisiti di prestazioni che devono essere usati come base per i trigger di conformità.Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

Definire le azioniDefine actions

Ogni trigger di violazione deve avere un'azione corrispondente.Each violation trigger should have a corresponding action. Quando si verifica una violazione, le azioni attivate devono informare sempre un membro del team IT o di governance del cloud appropriato.Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. Questa notifica può condurre a una revisione manuale del problema di conformità o a un processo di correzione predefinito a seconda del tipo e della gravità della violazione rilevata.This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

Alcuni esempi di trigger di violazione e azioni:Some examples of violation triggers and actions:

Disciplina governanceGovernance discipline Trigger di esempioSample trigger Azione di esempioSample action
Gestione costiCost Management Spesa mensile per il cloud superiore di oltre il 20% rispetto al previsto.Monthly cloud spending is more than 20% higher than expected. Inviare una notifica al responsabile dell'unità di fatturazione che inizierà a esaminare l'utilizzo delle risorse.Notify the billing unit leader who will begin a review of resource usage.
Baseline della sicurezzaSecurity Baseline Rilevare attività utente sospette.Detect suspicious user activity. Inviare una notifica al team di sicurezza IT e disabilitare l'account utente sospetto.Notify the IT security team and disable the suspect user account.
Coerenza delle risorseResource Consistency L'utilizzo della CPU per un carico di lavoro è superiore al 90%.CPU utilization for a workload is greater than 90%. Inviare una notifica al team operativo IT e ridimensionare le risorse aggiuntive per gestire il carico.Notify the IT operations team and scale out additional resources to handle the load.

Automazione del monitoraggio e della conformitàAutomation of monitoring and compliance

Dopo aver definito i trigger di violazione di conformità e le azioni, è possibile iniziare a pianificare il modo migliore per usare strumenti di registrazione e reporting e altre funzionalità della piattaforma cloud per automatizzare la strategia di monitoraggio e di conformità dei criteri.After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

Per informazioni sulla scelta del modello di monitoraggio migliore per la distribuzione, vedere la Guida alla decisione relativa alla registrazione e alla creazione di report.For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

Passaggi successiviNext steps

Scopri di più sulla conformità alle normative nel cloud.Learn more about regulatory compliance in the cloud.