Guia de governança para empresas complexasGovernance guide for complex enterprises

Visão geral de melhores práticasOverview of best practices

Esse guia de governança segue as experiências de uma empresa fictícia por vários estágios de maturidade de governança.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Ela se baseia em experiências reais do cliente.It's based on real customer experiences. As práticas recomendadas sugeridas baseiam-se nas restrições e necessidades da empresa fictícia.The suggested best practices are based on the constraints and needs of the fictional company.

Como um ponto de partida rápido, esta visão geral define um produto mínimo viável (MVP) para um controle com base em práticas recomendadas.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Também fornece links para algumas melhorias de governança que adicionam ainda mais práticas recomendadas conforme novos negócios ou riscos técnicos surgem.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Aviso

Este MVP é um ponto de partida de linha de base, com base em um conjunto de suposições.This MVP is a baseline starting point, based on a set of assumptions. Até mesmo esse conjunto mínimo de melhores práticas tem como base as políticas corporativas orientadas por riscos empresariais exclusivos e tolerâncias de risco.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Para ver se essas suposições se aplicam a você, leia a narrativa mais longa que acompanha este artigo.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Melhores práticas de governançaGovernance best practices

Estas melhores práticas servem como uma base para uma organização adicionar proteções de governança de forma rápida e consistente entre várias assinaturas do Azure.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

Organização do recursoResource organization

O diagrama a seguir mostra a hierarquia de MVP de governança para organizar recursos.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagrama de organização do recurso

Todos os aplicativos devem ser implantados na área apropriada do grupo de gerenciamento, assinatura e hierarquia de grupo de recursos.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Durante o planejamento da implantação, a equipe de governança de nuvem criará os nós necessários na hierarquia para capacitar as equipes de adoção da nuvem.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Defina um grupo de gerenciamento para cada unidade de negócios com uma hierarquia detalhada que reflita primeiro a geografia e, em seguida, o tipo de ambiente (por exemplo, ambientes de produção ou que não sejam de produção).Define a management group for each business unit with a detailed hierarchy that reflects geography first, then environment type (for example, production or nonproduction environments).

  2. Crie uma assinatura de produção e uma assinatura que não seja de produção para cada combinação exclusiva de unidade de negócios ou geografia distinta.Create a production subscription and a nonproduction subscription for each unique combination of discrete business unit or geography. A criação de várias assinaturas exige uma consideração cuidadosa.Creating multiple subscriptions requires careful consideration. Para obter mais informações, confira o guia de decisão da assinatura.For more information, see the subscription decision guide.

  3. Aplique uma nomenclatura consistente em cada nível dessa hierarquia de agrupamento.Apply consistent nomenclature at each level of this grouping hierarchy.

  4. Os grupos de recursos devem ser implantados de maneira a considerar os ciclos de vida do conteúdo deles.Resource groups should be deployed in a manner that considers its contents lifecycle. Os recursos que são desenvolvidos juntos, gerenciados juntos e desativados juntos pertencem ao mesmo grupo de recursos.Resources that are developed together, managed together, and retired together belong in the same resource group. Para obter mais informações sobre as melhores práticas para usar grupos de recursos, confira o guia de decisão de consistência de recursos.For more information about best practices for using resource groups, see the resource consistency decision guide.

  5. A seleção de região é incrivelmente importante e deve ser considerada para que a rede, o monitoramento e a auditoria possam estar em vigor para failover/failback, assim como a confirmação de que os SKUs necessários estão disponíveis nas regiões preferenciais.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Diagrama de organização de recurso de empresa de grande porte

Esses padrões dão espaço para o crescimento sem complicar a hierarquia desnecessariamente.These patterns provide room for growth without making the hierarchy needlessly complicated.

Observação

No caso de alterações aos seus requisitos comerciais, os grupos de gerenciamento do Azure permitem que você reorganize com facilidade suas atribuições de grupo de assinaturas e hierarquia de gerenciamento.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. No entanto, lembre-se de que as atribuições de função e política aplicadas a um grupo de gerenciamento são herdadas por todas as assinaturas abaixo na hierarquia de grupo.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Se você planeja reatribuir as assinaturas entre grupos de gerenciamento, esteja ciente de qualquer alteração de atribuição de política e a função que possa resultar.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Confira a documentação dos grupos de gerenciamento do Azure para obter mais informações.See the Azure management groups documentation for more information.

Governança de recursosGovernance of resources

Um conjunto de políticas globais e funções de RBAC fornecerá um nível de linha de base de imposição de governança.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Para atender aos requisitos da política da equipe de governança de nuvem, a implementação do MVP de governança exige a conclusão das seguintes tarefas:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identificar as definições do Azure Policy necessárias para impor os requisitos comerciais.Identify the Azure Policy definitions needed to enforce business requirements. Isso pode incluir o uso de definições internas e a criação de definições personalizadas.This might include using built-in definitions and creating new custom definitions. Para acompanhar o ritmo das definições internas recém-lançadas, há um feed Atom de todas as confirmações de políticas internas, que você pode usar para um feed RSS.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. Como alternativa, você pode conferir AzAdvertizer.Alternatively, you can check AzAdvertizer.
  2. Criar uma definição de blueprint usando essa política interna e personalizada e as atribuições de função necessárias para o MVP de governança.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Aplicar políticas e configuração globalmente atribuindo a definição de blueprint a todas as assinaturas.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identificar as definições de políticaIdentify policy definitions

O Azure fornece várias políticas internas e definições de função que você pode atribuir a qualquer grupo de gerenciamento, assinatura ou grupo de recursos.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Muitos requisitos comuns de governança podem ser gerenciados usando definições internas.Many common governance requirements can be handled using built-in definitions. No entanto, é provável que você também precise criar definições de política personalizada para lidar com seus requisitos específicos.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

Definições de políticas personalizadas são salvas em um grupo de gerenciamento ou em uma assinatura e são herdadas por meio da hierarquia de grupo de gerenciamento.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Se a localização para salvar uma definição de política for um grupo de gerenciamento, essa definição de política estará disponível para ser atribuída a qualquer uma das assinaturas ou dos grupos de gerenciamento filho desse grupo.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Como as políticas necessárias para dar suporte ao MVP de governança destinam-se a serem aplicadas a todas as assinaturas atuais, os seguintes requisitos comerciais serão implementados com uma combinação de definições internas e personalizadas criadas no grupo de gerenciamento raiz:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Restrinja a lista de atribuições de função disponíveis a um conjunto de funções internas do Azure autorizadas pela equipe de governança de nuvem.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. Para isso, é necessária uma definição de política personalizada.This requires a custom policy definition.
  2. Exija as seguintes marcas em todos os recursos: Unidade de Cobrança/Departamento, Geografia, Classificação de Dados, Nível de Importância, SLA, Ambiente, Arquétipo do Aplicativo, Aplicativo e Proprietário do Aplicativo.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Isso pode ser tratado usando a definição interna do Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Exigir que a marca Application para os recursos deva corresponder ao nome do grupo de recursos relevante.Require that the Application tag for resources should match the name of the relevant resource group. Isso pode ser tratado usando a definição interna "Exigir a marca e seu valor'".This can be handled using the "Require tag and its value" built-in definition.

Para obter informações sobre como definir as políticas personalizadas, veja a documentação do Azure Policy.For information on defining custom policies see the Azure Policy documentation. Para obter instruções e exemplos de políticas personalizadas, veja o site de exemplos do Azure Policy e o respectivo repositório do GitHub.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Atribuir funções do Azure Policy e do RBAC usando o Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

As políticas do Azure podem ser atribuídas no nível do grupo de recursos, da assinatura e do grupo de gerenciamento, assinatura e podem ser incluídas nas definições do Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Embora os requisitos de política definidos neste MVP de governança se apliquem a todas as assinaturas atuais, é muito provável que as futuras implantações exijam exceções ou políticas alternativas.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Como resultado, a atribuição de política usando grupos de gerenciamento, com todas as assinaturas filho herdando essas atribuições, poderá não ser flexível o suficiente para dar suporte a esses cenários.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

O Azure Blueprints permite a atribuição consistente de política e funções, a aplicação de modelos do Resource Manager e a implantação de grupos de recursos em várias assinaturas.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Assim como as definições de política, as definições de blueprint são salvas em grupos de gerenciamento ou assinaturas.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. As definições de política estão disponíveis por meio de herança para um filho na hierarquia do grupo de gerenciamento.The policy definitions are available through inheritance to any children in the management group hierarchy.

A equipe de governança de nuvem decidiu que a imposição de atribuições obrigatórias do Azure Policy e de RBAC entre assinaturas será implementada por meio do Azure Blueprints e dos artefatos associados:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. No grupo de gerenciamento raiz, crie uma definição de blueprint chamada governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Adicione os seguintes artefatos do blueprint à definição de blueprint:Add the following blueprint artifacts to the blueprint definition:
    1. Atribuições de política para as definições do Azure Policy personalizadas determinadas na raiz do grupo de gerenciamento.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Definições do grupo de recursos para quaisquer grupos necessários em assinaturas criadas ou regidas pelo MVP de Governança.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Atribuições de função padrão necessárias nas assinaturas criadas ou regidas pelo MVP de Governança.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Publique a definição do blueprint.Publish the blueprint definition.
  4. Atribua a definição de blueprint governance-baseline a todas as assinaturas.Assign the governance-baseline blueprint definition to all subscriptions.

Veja a documentação do Azure Blueprints para obter mais informações sobre como criar e usar definições de blueprint.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

VNET híbrida seguraSecure hybrid VNet

Assinaturas específicas costumam exigir algum nível de acesso aos recursos locais.Specific subscriptions often require some level of access to on-premises resources. Isso é comum em cenários de migração ou de desenvolvimento em que os recursos dependentes residem no datacenter local.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Até que a confiança no ambiente de nuvem seja totalmente estabelecida, é importante controlar e monitorar rigidamente qualquer permissão de comunicação entre as cargas de trabalho de nuvem e o ambiente local e que a rede local esteja protegida contra potencial acesso não autorizado de recursos baseados em nuvem.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Para dar suporte a esses cenários, o MVP de governança adiciona as seguintes melhores práticas:To support these scenarios, the governance MVP adds the following best practices:

  1. Estabeleça uma VNET híbrida de nuvem segura.Establish a cloud secure hybrid VNet.
    1. A arquitetura de referência de VPN estabelece um padrão e um modelo de implantação para criar um Gateway de VPN no Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Confirme se os mecanismos de gerenciamento de segurança e tráfego locais tratam as redes de nuvem conectadas como não confiáveis.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Recursos e serviços hospedados na nuvem devem ter apenas acesso a serviços autorizados locais.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Valide que o dispositivo de borda local no datacenter local é compatível com requisitos do Gateway de VPN do Azure e está configurado para acessar a Internet pública.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Observe que os túneis de VPN não devem ser considerados circuitos prontos para produção para nada, exceto as cargas de trabalho mais simples.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Qualquer coisa, além de poucas cargas de trabalho simples que exijam conectividade local, deve aproveitar o Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. No grupo de gerenciamento raiz, criar uma segunda definição de blueprint chamada secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Adicione o modelo do Resource Manager do Gateway de VPN como um artefato à definição de blueprint.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Adicione o modelo do Resource Manager da rede virtual como um artefato à definição de blueprint.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Publique a definição do blueprint.Publish the blueprint definition.
  3. Atribuir a definição de blueprint secure-hybrid-vnet a qualquer assinatura que exija conectividade local.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Essa definição deve ser atribuída além da definição de blueprint de governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Uma das principais preocupações manifestadas pelas equipes de segurança de TI e governança tradicionais é o risco de que a adoção de nuvem em estágio inicial comprometa os ativos existentes.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. A abordagem acima permite que as equipes de adoção de nuvem criem e migrem soluções híbridas com risco reduzido para ativos locais.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. Conforme a confiança no ambiente de nuvem aumenta, evoluções posteriores podem remover essa solução temporária.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Observação

O descrito acima é um ponto de partida para criar rapidamente um MVP de governança de linha de base.The above is a starting point to quickly create a baseline governance MVP. Este é apenas o começo do percurso de governança.This is only the beginning of the governance journey. Mais evolução será necessária na medida em que a empresa continuar a adotar a nuvem e assumir mais riscos nas seguintes áreas:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Cargas de trabalho críticasMission-critical workloads
  • Dados protegidosProtected data
  • Gerenciamento de custoCost management
  • Cenários multinuvemMulticloud scenarios

Além disso, os detalhes específicos deste MVP são baseados no exemplo de percurso de uma empresa fictícia, descrito nos artigos a seguir.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. É altamente recomendável familiarizar-se com os outros artigos desta série, antes de implementar essa melhor prática.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Melhorias incrementais de governançaIncremental governance improvements

Quando esse MVP tiver sido implantado, camadas adicionais de governança podem ser incorporadas rapidamente ao ambiente.Once this MVP has been deployed, additional layers of governance can be quickly incorporated into the environment. Aqui estão algumas maneiras de aprimorar o MVP para atender às necessidades específicas de negócios:Here are some ways to improve the MVP to meet specific business needs:

O que essas diretrizes oferecem?What does this guidance provide?

No MVP, práticas e ferramentas da disciplina de Aceleração da implantação são estabelecidas para aplicar rapidamente a política corporativa.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. Em particular, o MVP usa o Azure Blueprints, Azure Policy e grupos de gerenciamento do Azure para aplicar algumas políticas corporativas básicas, conforme definido na narrativa para esta empresa fictícia.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Essas políticas corporativas são aplicadas usando modelos do Azure Resource Manager e as políticas do Azure para estabelecer uma linha de base pequena para identidade e segurança.Those corporate policies are applied using Azure Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagrama mostrando um exemplo de MVP de governança incremental.

Melhorias incrementais de práticas de governançaIncremental improvements to governance practices

Ao longo do tempo, esse controle MVP será usado para aprimorar de modo incremental as práticas de governança.Over time, this governance MVP will be used to incrementally improve governance practices. Conforme a adoção avança, aumenta o risco de negócios.As adoption advances, business risk grows. Várias disciplinas dentro do modelo de governança da Cloud Adoption Framework vão se adaptar para gerenciar esses riscos.Various disciplines within the Cloud Adoption Framework governance model will adapt to manage those risks. Outros artigos desta série discutem as alterações na política corporativa que afetam a empresa fictícia.Later articles in this series discuss the changes in corporate policy affecting the fictional company. Três alterações ocorrem em quatro disciplinas:These changes happen across four disciplines:

  • Na disciplina Linha de base de identidade, conforme as dependências da migração são alteradas ao longo da narrativa.The Identity Baseline discipline, as migration dependencies change in the narrative.
  • Na disciplina Gerenciamento de custos, conforme a adoção é escalada.The Cost Management discipline, as adoption scales.
  • Na disciplina Linha de base de segurança, conforme os dados protegidos são implantados.The Security Baseline discipline, as protected data is deployed.
  • Na disciplina Consistência de recursos, conforme as operações de TI começam a dar suporte a cargas de trabalho críticas.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagrama mostrando um exemplo de aprimoramentos incrementais de práticas de governança.

Próximas etapasNext steps

Agora que você está familiarizado com a governança MVP e as alterações futuras na governança, leia a narrativa de suporte para obter contexto adicional.Now that you're familiar with the governance MVP and the forthcoming governance changes, read the supporting narrative for additional context.