Guia de governança empresarial padrão: melhorar a disciplina de consistência de recursosStandard enterprise governance guide: Improve the Resource Consistency discipline

Este artigo avança na narração adicionando controles de consistência de recursos para dar suporte a aplicativos de missão crítica.This article advances the narrative by adding resource consistency controls to support mission-critical applications.

Aprimorando a narraçãoAdvancing the narrative

Novas experiências do cliente, novas ferramentas de previsão e infraestrutura migrada continuam a evoluir.New customer experiences, new prediction tools, and migrated infrastructure continue to progress. A empresa está pronta para começar a usar esses ativos em uma capacidade de produção.The business is now ready to begin using those assets in a production capacity.

Alterações no estado atualChanges in the current state

Na fase anterior desse narrativa, as equipes de BI e o desenvolvimento de aplicativos estavam quase prontos para integrar clientes e dados financeiros em cargas de trabalho de produção.In the previous phase of this narrative, the application development and BI teams were nearly ready to integrate customer and financial data into production workloads. A equipe de TI estava no processo de desativação do datacenter de recuperação de desastre.The IT team was in the process of retiring the DR datacenter.

Desde então, ocorreram algumas mudanças que afetarão a governança:Since then, some things have changed that will affect governance:

  • A IT desativou 100% do datacenter de recuperação de desastres, à frente do cronograma.IT has retired 100% of the DR datacenter, ahead of schedule. No processo, um conjunto de ativos no datacenter de produção foi identificado como candidatos à migração na nuvem.In the process, a set of assets in the production datacenter were identified as cloud migration candidates.
  • As equipes de desenvolvimento de aplicativo estão agora prontas para o tráfego de produção.The application development teams are now ready for production traffic.
  • A equipe de BI está pronta para alimentar previsões e informações de sistemas operacionais no datacenter de produção.The BI team is ready to feed predictions and insights back into operation systems in the production datacenter.

Melhorar incrementalmente o estado futuroIncrementally improve the future state

Antes de usar as implantações do Azure em processos de negócios de produção, as operações de nuvem devem amadurecer.Before using Azure deployments in production business processes, cloud operations must mature. Em conjunto, alterações de governança adicionais são necessárias para garantir que os ativos possam ser operados corretamente.In conjunction, additional governance changes is required to ensure assets can be operated properly.

As alterações ao estado atual e futuro expõem novos riscos que exigem novas instruções de política.The changes to current and future state expose new risks that will require new policy statements.

Alterações em riscos tangíveisChanges in tangible risks

Interrupção dos negócios: Há um risco inerente de qualquer nova plataforma causando interrupções em processos de negócios de missão crítica.Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. A equipe de operações de ti e as equipes em execução em várias adoçãos de nuvem são relativamente inexperientes com as operações de nuvem.The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. Isso aumenta o risco de interrupção e deve ser corrigido e regido.This increases the risk of interruption and must be remediated and governed.

Esse risco de negócios pode ser dividido em alguns riscos técnicos:This business risk can be expanded into several technical risks:

  1. Uma invasão externa ou ataques de negação de serviço podem causar uma interrupção dos negócios.External intrusion or denial of service attacks might cause a business interruption.
  2. Os ativos de missão crítica podem não ser descobertos corretamente e, portanto, podem não ser operados corretamente.Mission-critical assets may not be properly discovered, and therefore might not be properly operated.
  3. Ativos não descobertos ou rotulados incorretamente podem não ser suportados pelos processos de gerenciamento operacionais existentes.Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  4. A configuração de ativos implantados pode não atender às expectativas de desempenho.The configuration of deployed assets may not meet performance expectations.
  5. Registro em log pode não ser corretamente registrado e centralizado para permitir a correção dos problemas de desempenho.Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  6. As políticas de recuperação podem falhar ou levar mais tempo do que o esperado.Recovery policies may fail or take longer than expected.
  7. Os processos de implantação podem resultar em falhas de segurança, o que pode levar a perdas de dados ou interrupções.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  8. Desvio de configuração ou patches ausentes pode resultar em falhas de segurança não intencionais, o que pode levar a vazamentos de dados ou interrupções.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  9. Configuração não pode impor os requisitos de SLAs ou requisitos de recuperação confirmados.Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  10. Os sistemas operacionais ou aplicativos implantados podem falhar ao atender aos requisitos de proteção.Deployed operating systems or applications might fail to meet hardening requirements.
  11. Com numerosas equipes trabalhando na nuvem, há um risco de inconsistência.With so many teams working in the cloud, there is a risk of inconsistency.

Melhoria incremental das instruções de políticaIncremental improvement of the policy statements

As alterações a seguir na política ajudarão a corrigir os novos riscos e a implementação do guia.The following changes to policy will help remediate the new risks and guide implementation. A lista parece longa, mas adotar essas políticas talvez seja mais fácil do que parece.The list looks long, but adopting these policies may be easier than it appears.

  1. Todos os ativos implantados devem ser categorizados por nível de importância e classificação de dados.All deployed assets must be categorized by criticality and data classification. As classificações devem ser revisadas pela equipe de governança de nuvem e pelo proprietário do aplicativo antes da implantação na nuvem.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Sub-redes que contêm aplicativos de missão crítica devem ser protegidas por uma solução de firewall capaz de detecção de invasões e responder a ataques.Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. As ferramentas de governança devem realizar a auditoria e impor requisitos de configuração de rede definidos pela equipe de gerenciamento de segurança.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  4. As ferramentas de governança devem validar que todos os ativos relacionados a aplicativos críticos ou dados protegidos sejam incluídos no monitoramento para otimização e degradação de recursos.Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. As ferramentas de governança devem validar se o nível apropriado de dados de registro em log está sendo coletado para todos os aplicativos críticos ou dados protegidos.Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. O processo de governança deve validar o backup, recuperação e o cumprimento de SLA são implementados corretamente para aplicativos de missão crítica e dados protegidos.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. As ferramentas de governança devem limitar as implantações da VM somente a imagens aprovadas.Governance tooling must limit virtual machine deployments to approved images only.
  8. Ferramentas de governança devem impor que as atualizações automáticas estejam impedidas em todos os ativos implantados que dão suporte a aplicativos de missão crítica.Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. As violações devem ser examinadas com as equipes de gerenciamento operacional e corrigidas de acordo com as políticas de operações.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Os ativos que não são automaticamente atualizados devem ser incluídos em processos que pertencem às operações de TI.Assets that are not automatically updated must be included in processes owned by IT operations.
  9. Ferramentas de governança devem validar a marcação relacionadas à classificação de custo, nível de importância, SLA, aplicativos e dados.Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. Todos os valores devem ser alinhados a valores predefinidos gerenciados pela equipe de governança.All values must align to predefined values managed by the governance team.
  10. Os processos de governança devem incluir auditorias no momento da implantação e em ciclos regulares para garantir a consistência em todos os ativos.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. Tendências e explorações que possam afetar as implantações de nuvem devem ser examinadas regularmente pela equipe de segurança para que sejam fornecidas atualizações às ferramentas de gerenciamento de segurança usadas na nuvem.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  12. Antes da liberação para produção, todos os aplicativos de missão crítica e os dados protegidos devem ser adicionados à solução de monitoramento operacional designada.Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. Ativos que não podem ser descobertos pelas ferramentas de operações de TI escolhidas, não podem ser liberados para uso em produção.Assets that cannot be discovered by the chosen IT operations tooling, cannot be released for production use. Quaisquer alterações necessárias para tornar os ativos detectáveis devem ser feitas aos processos de implantação relevantes para garantir que os ativos sejam detectáveis em implantações futuras.Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. Quando descoberto, as equipes de gerenciamento operacional vão dimensionar ativos para garantir que os ativos atendam aos requisitos de desempenho.When discovered, operational management teams will size assets, to ensure that assets meet performance requirements.
  14. As ferramentas de implantação devem ser aprovadas pela equipe de governança de nuvem para garantir a governança contínua de ativos implantados.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Os scripts de implantação devem ser mantidos em um repositório central acessível pela equipe de governança de nuvem para revisão e auditoria periódicas.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. Processos de revisão de governança devem validar que os ativos implantados estão configurados corretamente alinhados aos requisitos de SLA e recuperação.Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

Melhoria incremental de práticas de governançaIncremental improvement of governance practices

Esta seção do artigo alterará o design MVP de governança para incluir novas políticas do Azure e uma implementação do gerenciamento de custos do Azure + cobrança.This section of the article will change the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. Em conjunto, essas duas alterações de design atenderão às novas declarações da política corporativa.Together, these two design changes will fulfill the new corporate policy statements.

  1. A equipe de operações de nuvem definirá as ferramentas de monitoramento operacional e as ferramentas de correção automatizadas.The cloud operations team will define operational monitoring tooling and automated remediation tooling. A equipe de governança de nuvem dará suporte a esses processos de descoberta.The cloud governance team will support those discovery processes. Nesse caso de uso, a equipe de operações de nuvem escolheu Azure Monitor como a principal ferramenta para monitorar aplicativos de missão crítica.In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
  2. Crie um repositório no Azure DevOps para armazenar e controlar a versão de todos os modelos do Gerenciador de Recursos relevantes e configurações com script.Create a repository in Azure DevOps to store and version all relevant Resource Manager templates and scripted configurations.
  3. Implementação do cofre dos serviços de recuperação do Azure:Azure Recovery Services vault implementation:
    1. Defina e implante um cofre dos serviços de recuperação do Azure para processos de backup e recuperação.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    2. Criar um modelo do Gerenciador de Recursos para criação de um cofre em cada assinatura.Create a Resource Manager template for creation of a vault in each subscription.
  4. Atualizar o Azure Policy para todas as assinaturas:Update Azure Policy for all subscriptions:
    1. Realize auditoria e imponha o nível de importância e classificação de dados em todas as assinaturas para identificar todas as assinaturas com ativos de missão crítica.Audit and enforce criticality and data classification across all subscriptions to identify any subscriptions with mission-critical assets.
    2. Realize uma auditoria e imponha o uso exclusivo de imagens aprovadas.Audit and enforce the use of approved images only.
  5. Implementação do Azure Monitor:Azure Monitor implementation:
    1. Depois que uma carga de trabalho de missão crítica é identificada, crie um Azure Monitor espaço de Log Analytics.Once a mission-critical workload is identified, create an Azure Monitor Log Analytics workspace.
    2. Durante o teste de implantação, a equipe de operações de nuvem implanta os agentes e a descoberta de testes necessários.During deployment testing, the cloud operations team deploys the necessary agents and tests discovery.
  6. Atualize o Azure Policy para todas as assinaturas que contêm aplicativos de missão crítica.Update Azure Policy for all subscriptions that contain mission-critical applications.
    1. Realize uma auditoria e imponha a aplicação de um NSG para todas as NICs e sub-redes.Audit and enforce the application of an NSG to all NICs and subnets. A rede e a segurança de ti definem o NSG.Networking and IT security define the NSG.
    2. Auditar e impor o uso de sub-redes de rede aprovadas e redes virtuais para cada interface de rede.Audit and enforce the use of approved network subnets and virtual networks for each network interface.
    3. Realize uma auditoria e imponha a limitação das tabelas de roteamento definidas pelo usuário.Audit and enforce the limitation of user-defined routing tables.
    4. Audite e imponha a implantação de agentes do Azure Monitor para todas as máquinas virtuais.Audit and enforce deployment of Azure Monitor agents for all virtual machines.
    5. Auditar e impor que os cofres dos serviços de recuperação do Azure existam na assinatura.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  7. Configuração do firewall:Firewall configuration:
    1. Identifique uma configuração do Firewall do Azure que atenda aos requisitos de segurança.Identify a configuration of Azure Firewall that meets security requirements. Como alternativa, identifique um dispositivo de terceiros que seja compatível com o Azure.Alternatively, identify a third-party appliance that is compatible with Azure.
    2. Crie um modelo do Resource Manager para implantar o firewall com as configurações necessárias.Create a Resource Manager template to deploy the firewall with required configurations.
  8. Blueprint do Azure:Azure blueprint:
    1. Crie um novo blueprint do Azure chamado protected-data.Create a new Azure blueprint named protected-data.
    2. Adicione os modelos de cofre do firewall e dos serviços de recuperação do Azure ao plano gráfico.Add the firewall and Azure Recovery Services vault templates to the blueprint.
    3. Adicione as novas políticas para assinaturas de dados protegidos.Add the new policies for protected data subscriptions.
    4. Publique o Blueprint em qualquer grupo de gerenciamento que hospedará aplicativos de missão crítica.Publish the blueprint to any management group that will host mission-critical applications.
    5. Aplique o novo blueprint a cada assinatura afetada, bem como os blueprints existentes.Apply the new blueprint to each affected subscription as well as existing blueprints.

ConclusãoConclusion

Esses processos adicionais e as alterações no MVP de governança ajudam a corrigir muitos dos riscos associados à governança de recursos.These additional processes and changes to the governance MVP help remediate many of the risks associated with resource governance. Juntos, aumentam a recuperação, dimensionamento e controles de monitoramento que capacitam as operações de recuperação de nuvem.Together they add recovery, sizing, and monitoring controls that empower cloud-aware operations.

Próximas etapasNext steps

À medida que a adoção de nuvem continua e entrega o valor comercial adicional, os riscos e as necessidades de governança de nuvem também serão alterados.As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. Para a empresa fictícia neste guia, o próximo gatilho é quando a escala da implantação excede 100 ativos para a nuvem ou gastos mensais excedem $1000 por mês.For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 100 assets to the cloud or monthly spending exceeds $1,000 per month. Neste ponto, a equipe de governança de nuvem adiciona controles de gerenciamento de custos.At this point, the cloud governance team adds cost management controls.