Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используя аналитические сведения из оценки рисков, команда теперь формулирует политики для обработки этих рисков. Для каждого значительного риска или группы рисков следует иметь одну или несколько соответствующих политик управления. При документировании политик облачного управления рассмотрите следующие рекомендации.
1. Установка стандартного формата политики и языка
Создайте согласованный шаблон или формат для всех политик. Каждый документ политики (или раздел) должен содержать ключевые элементы, такие как идентификатор, заявление, область. Используйте четкий, неоднозначный язык. Правила должны служить авторитетными ориентирами, поэтому они должны быть легко понятными для заинтересованных сторон, исключая возможность неправильного толкования. Например, примите решение о стандартизированной формулировке, такой как "должны" или "не должны" для требований, и избегайте расплывчатых терминов. Стандартизованный формат, например политика с идентификатором, категорией, назначением, упрощает навигацию и обслуживание политик.
2. Определение политик управления облаком
Создайте политики управления облаком, которые описывают использование облака и управление им для устранения рисков. Свести к минимуму потребность в частых обновлениях политики. Чтобы определить политики управления облаком, выполните следующие рекомендации.
Используйте идентификатор политики. Используйте категорию политики и число для уникальной идентификации каждой политики, например SC01 для первой политики управления безопасностью. Последовательно увеличивайте идентификатор при добавлении новых рисков. При удалении рисков можно оставить пробелы в последовательности или использовать наименьшее доступное число.
Включите заявление о политике. Создание конкретных инструкций политики, которые устраняют выявленные риски. Используйте определённые выражения, такие как должен, следует, не должен и не следует. Используйте меры принудительного выполнения из списка рисков в качестве начальной точки. Сосредоточьтесь на результатах, а не на шагах конфигурации. Назовите инструмент, необходимый для обеспечения принудительных мер, чтобы знать, где отслеживать соблюдение требований.
Включите идентификатор риска. Перечислите риски в политике компании. Свяжите каждую политику управления облаком с риском.
Включите категорию политики. Включите категории управления, такие как безопасность, соответствие или управление затратами, в категорию политик. Категории помогают с сортировкой, фильтрацией и поиском политик управления облаком.
Включите назначение политики. Укаите назначение каждой политики. Используйте риск или требование соответствия нормативным требованиям, удовлетворяемые политикой, в качестве отправной точки.
Определите область политики. Определите, к кому применяется эта политика, например ко всем облачным службам, регионам, средам и рабочим нагрузкам. Укажите все исключения, чтобы убедиться, что неоднозначность отсутствует. Используйте стандартизованный язык, чтобы легко сортировать, фильтровать и находить политики.
Включите стратегии исправления политики. Определите требуемый ответ на нарушение политики управления облаком. Адаптировать ответы на серьезность риска, такие как планирование обсуждений по нарушениям непроизводства и немедленные усилия по устранению нарушений производства.
Дополнительные сведения см. в примере политик управления облаком.
3. Распространение политик управления облаком
Предоставьте доступ всем, кто должен соответствовать политикам управления облаком. Ищите способы упрощения соблюдения политик управления облаком для пользователей в организации. Чтобы распространить политики управления облаком, следуйте приведенным ниже рекомендациям.
Используйте централизованный репозиторий политик. Используйте централизованный, легкодоступный репозиторий для всех документации по управлению. Убедитесь, что у всех заинтересованных лиц, команд и отдельных лиц есть доступ к последним версиям политик и связанных документов.
Создание контрольных списков соответствия требованиям. Предоставьте краткий и практический обзор политик. Упростите соблюдение требований для команд, исключив необходимость изучать обширную документацию. Дополнительные сведения см. в примере контрольного списка соответствия.
4. Проверка политик управления облаком
Оцените и обновите политики управления облаком, чтобы они оставались актуальными и эффективными в управлении облачными средами. Регулярные проверки помогают обеспечить соответствие политик управления облаком изменяющимся нормативным требованиям, новым технологиям и изменяющимся бизнес-целям. При проверке политик рассмотрите следующие рекомендации:
Реализуйте механизмы обратной связи. Создание способов получения отзывов об эффективности политик управления облаком. Соберите входные данные от лиц, затронутых политикой, чтобы убедиться, что они по-прежнему могут эффективно выполнять свою работу. Обновите политики управления, чтобы отразить практические проблемы и потребности.
Организация обзоров на основе событий. Просмотрите и обновите политики управления облаком в ответ на события, такие как сбой политики управления, изменение технологии или изменение требований нормативного соответствия.
Планирование регулярных проверок. Регулярно просматривайте политики управления, чтобы обеспечить соответствие изменяющимся потребностям организации, рискам и улучшению облака. Например, включите проверки системы управления в регулярных собраниях по управлению облаком с заинтересованными лицами.
Упрощение управления изменениями. Включите процесс проверки и обновления политики. Убедитесь, что политики управления облаком соответствуют организационным, нормативным и технологическим изменениям. Узнайте, как редактировать, удалять или добавлять политики.
Определите неэффективность. Просмотрите политики управления, чтобы найти и исправить неэффективность в облачной архитектуре и операциях. Например, вместо того, чтобы указать, что каждая рабочая нагрузка должна использовать собственный брандмауэр веб-приложения, обновите политику, чтобы требовать использования централизованного брандмауэра. Просмотрите политики, требующие повторяющихся усилий, и проверьте, существует ли способ централизации работы.
Примеры политик управления облаком
Ниже приведены примеры политик управления облаком. Эти политики основаны на примерах в примере списка рисков.
| ИД политики | Категория политики | Идентификатор риска | Правило политики | Цель | Scope | Remediation | Контроль |
|---|---|---|---|---|---|---|---|
| RC01 | Соответствие нормативным требованиям | R01 | Microsoft Purview необходимо использовать для мониторинга конфиденциальных данных. | Соответствие нормативным требованиям | Команды управления нагрузкой, команда платформы | Немедленное действие затронутой команды, обучение соответствия требованиям | Microsoft Purview |
| RC02 | Соответствие нормативным требованиям | R01 | Ежедневные отчеты о соответствии конфиденциальным данным должны создаваться из Microsoft Purview. | Соответствие нормативным требованиям | Команды управления нагрузкой, команда платформы | Разрешение в течение одного дня, подтверждающий аудит | Microsoft Purview |
| SC01 | Безопасность | R02 | Многофакторная проверка подлинности (MFA) должна быть включена для всех пользователей. | Устранение нарушений данных и несанкционированного доступа | Пользователи Azure | Отзыв доступа пользователей | Условный доступ Microsoft Entra ID |
| SC02 | Безопасность | R02 | Проверки доступа должны выполняться ежемесячно в системе управления идентификаторами Microsoft Entra. | Обеспечение целостности данных и служб | Пользователи Azure | Немедленный отзыв доступа за несоответствие | Управление идентификаторами |
| SC03 | Безопасность | R03 | Teams должна использовать указанную организацию GitHub для безопасного размещения всего кода программного обеспечения и инфраструктуры. | Обеспечение безопасного и централизованного управления репозиториями кода | Команды разработчиков | Передача неавторизованных репозиториев в указанную организацию GitHub и потенциальные дисциплинарные действия в случае несоответствия | Журнал аудита GitHub |
| SC04 | Безопасность | R03 | Команды, использующие библиотеки из общедоступных источников, должны принять шаблон карантина. | Убедитесь, что библиотеки безопасны и совместимы перед интеграцией в процесс разработки | Команды разработчиков | Удаление несоответствующих библиотек и проверка методик интеграции для затронутых проектов | Аудит вручную (ежемесячно) |
| CM01 | Управление затратами | R04 | Команды, работающие с нагрузкой, должны устанавливать оповещения о бюджетах на уровне группы ресурсов. | Предотвращение перерасхода | Команды управления нагрузкой, команда платформы | Немедленные проверки, корректировки оповещений | Управление затратами Майкрософт |
| CM02 | Управление затратами | R04 | Рекомендации по затратам помощника по Azure должны быть проверены. | Оптимизация использования облака | Команды управления нагрузкой, команда платформы | Обязательные аудиты оптимизации через 60 дней | Advisor |
| OP01 | Operations | R05 | Рабочие нагрузки должны иметь активно-пассивную архитектуру между регионами. | Обеспечение непрерывности служб | Команды по управлению нагрузкой | Оценки архитектуры, проводимые дважды в год ревизии | Ручной аудит (на каждую продакшн-версию) |
| OP02 | Operations | R05 | Все критически важные рабочие нагрузки должны реализовать межрегиональную активную-активную архитектуру. | Обеспечение непрерывности служб | Команды по управлению критически важными нагрузками | Обновления в течение 90 дней, проверки хода выполнения | Ручной аудит (на каждую продакшн-версию) |
| DG01 | Данные | R06 | Шифрование данных во время передачи и в состоянии покоя должно применяться ко всем конфиденциальным данным. | Защита конфиденциальных данных | Команды по управлению нагрузкой | Немедленное применение шифрования и обучение безопасности | Политика Azure |
| DG02 | Данные | R06 | Политики жизненного цикла данных должны быть включены в Microsoft Purview для всех конфиденциальных данных. | Управление жизненным циклом данных | Команды по управлению нагрузкой | Реализация в течение 60 дней, квартальные аудиты | Microsoft Purview |
| RM01 | Управление ресурсами | R07 | Для развертывания ресурсов необходимо использовать Bicep. | Стандартизация поставки ресурсов | Команды управления нагрузкой, команда платформы | План немедленного перехода на Bicep | Конвейер непрерывной интеграции и непрерывной доставки (CI/CD) |
| RM02 | Управление ресурсами | R07 | Теги должны применяться ко всем облачным ресурсам с помощью политики Azure. | Упрощение отслеживания ресурсов | Все облачные ресурсы | Исправление тегов в течение 30 дней | Политика Azure |
| AI01 | AI | R08 | Конфигурация фильтрации содержимого ИИ должна иметь средний или более высокий уровень. | Устранение вредоносных выходных данных искусственного интеллекта | Команды по управлению нагрузкой | Немедленные корректирующие меры | Служба Azure OpenAI |
| AI02 | AI | R08 | Системы ИИ, взаимодействующие с клиентами, должны проверяться методом 'красной команды' ежемесячно. | Определение предвзятости ИИ | Команды моделей ИИ | Немедленный обзор, корректирующие меры для устранения ошибок | Аудит вручную (ежемесячно) |