Impor políticas de governança de nuvem
Este artigo mostra como impor a conformidade com as políticas de governança de nuvem. A imposição da governança da nuvem refere-se aos controles e procedimentos que você usa para alinhar o uso da nuvem às políticas de governança da nuvem. A equipe de governança de nuvem avalia os riscos de nuvem e cria políticas de governança de nuvem para gerenciar esses riscos. Para garantir a conformidade com as políticas de governança de nuvem, a equipe de governança de nuvem deve delegar responsabilidades de aplicação. Eles devem capacitar cada equipe ou indivíduo para aplicar políticas de governança de nuvem dentro de sua área de responsabilidade. A equipe de governança de nuvem não pode fazer tudo. Prefira controles de imposição automatizados, mas imponha a conformidade manualmente onde você não pode automatizar.
Definir uma abordagem para aplicar políticas de governança de nuvem
Estabeleça uma estratégia sistemática para impor a conformidade com as políticas de governança de nuvem. O objetivo é usar ferramentas automatizadas e supervisão manual para impor a conformidade de forma eficiente. Para definir uma abordagem de aplicação, siga estas recomendações:
Delegar responsabilidades de governança. Capacite indivíduos e equipes para aplicar a governança dentro de seu escopo de responsabilidade. Por exemplo, as equipes de plataforma devem aplicar políticas que as cargas de trabalho herdam e as equipes de carga de trabalho devem impor governança para sua carga de trabalho. A equipe de governança de nuvem não deve ser responsável por aplicar controles de imposição.
Adote um modelo de herança. Aplique um modelo de governança hierárquica em que cargas de trabalho específicas herdam políticas de governança da plataforma. Esse modelo ajuda a garantir que os padrões organizacionais se apliquem aos ambientes corretos, como requisitos de compra para serviços de nuvem. Siga os princípios de design das zonas de aterrissagem do Azure e sua área de design da organização de recursos para estabelecer um modelo de herança adequado.
Discuta as especificidades da aplicação. Discuta onde e como aplicar as políticas de governança. O objetivo é encontrar maneiras econômicas de impor a conformidade que acelere a produtividade. Sem uma discussão, você corre o risco de bloquear o progresso de equipes específicas. É importante encontrar um equilíbrio que apoie os objetivos de negócios e, ao mesmo tempo, gerenciar os riscos de forma eficaz.
Tenha uma postura de monitor-primeiro. Não bloqueie ações a menos que você as entenda primeiro. Para riscos de prioridade mais baixa, comece monitorando a conformidade com as políticas de governança de nuvem. Depois de entender o risco, você pode passar para controles de imposição mais restritivos. Uma abordagem de monitoramento em primeiro lugar oferece a oportunidade de discutir as necessidades de governança e realinhar a política de governança de nuvem e o controle de aplicação a essas necessidades.
Prefira listas de bloqueio. Prefira listas de bloqueio a listas de permissões. As listas de bloqueio impedem a implantação de serviços específicos. É melhor ter uma pequena lista de serviços que você não deve usar do que uma longa lista de serviços que você pode usar. Para evitar listas de bloqueio longas, não adicione novos serviços à lista de bloqueios por padrão.
Defina uma estratégia de marcação e nomenclatura. Estabeleça diretrizes sistemáticas para nomear e marcar recursos de nuvem. Ele fornece uma estrutura estruturada para categorização de recursos, gerenciamento de custos, segurança e conformidade em todo o ambiente de nuvem. Permita que equipes, como equipes de desenvolvimento, adicionem outras tags para suas necessidades exclusivas.
Aplique políticas de governança de nuvem automaticamente
Use ferramentas de gerenciamento e governança de nuvem para automatizar a conformidade com políticas de governança. Essas ferramentas podem ajudar na configuração de grades de proteção, no monitoramento de configurações e na garantia de conformidade. Para configurar a imposição automatizada, siga estas recomendações:
Comece com um pequeno conjunto de políticas automatizadas. Automatize a conformidade em um pequeno conjunto de políticas essenciais de governança de nuvem. Implemente e teste a automação para evitar interrupções operacionais. Expanda sua lista de controles de imposição automatizados quando estiver pronto.
Use ferramentas de governança de nuvem. Use as ferramentas disponíveis em seu ambiente de nuvem para impor a conformidade. A principal ferramenta de governança do Azure é a Política do Azure. Complemente a Política do Azure com o Microsoft Defender for Cloud (segurança), Microsoft Purview (dados), Governança de ID do Microsoft Entra (identidade), Azure Monitor (operações), grupos de gerenciamento (gerenciamento de recursos), infraestrutura como código (IaC) (gerenciamento de recursos) e configurações em cada serviço do Azure.
Aplique políticas de governança no escopo certo. Use um sistema de herança em que as políticas são definidas em um nível mais alto, como grupos de gerenciamento. As políticas em níveis mais altos se aplicam automaticamente a níveis inferiores, como assinaturas e grupos de recursos. As políticas se aplicam mesmo quando há alterações no ambiente de nuvem, reduzindo a sobrecarga de gerenciamento.
Use pontos de imposição de política. Configure pontos de imposição de políticas em seus ambientes de nuvem que aplicam automaticamente regras de governança. Considere verificações de pré-implantação, monitoramento de tempo de execução e ações de correção automatizadas.
Use a política como código. Use as ferramentas do IaC para impor políticas de governança por meio de código. A política como código aprimora a automação dos controles de governança e garante a consistência em diferentes ambientes. Considere usar a Política do Azure Empresarial como Código (EPAC) para gerenciar políticas alinhadas com as políticas de zona de aterrissagem recomendadas do Azure.
Desenvolva soluções personalizadas conforme necessário. Para ações de governança personalizadas, considere o desenvolvimento de scripts ou aplicativos personalizados. Use as APIs de serviço do Azure para coletar dados ou gerenciar recursos diretamente.
Facilitação do Azure: impondo políticas de governança de nuvem automaticamente
As orientações a seguir podem ajudá-lo a encontrar as ferramentas certas para automatizar a conformidade com políticas de governança de nuvem no Azure. Ele fornece um exemplo de ponto de partida para as principais categorias de governança de nuvem.
Automatize a governança de conformidade normativa
Aplicar políticas de conformidade normativa. Use políticas internas de conformidade normativa alinhadas aos padrões de conformidade, como HITRUST/HIPAA, ISO 27001, CMMC, FedRamp e PCI DSSv4.
Automatize restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatize a governança de segurança
Aplicar diretivas de segurança. Use as políticas de segurança internas e a conformidade de segurança automatizada para se alinhar aos padrões de segurança comuns. Há políticas internas para a série NIST 800 SP, os benchmarks do Center for Internet Security e o benchmark de segurança na nuvem da Microsoft. Use políticas internas para automatizar a configuração de segurança de serviços específicos do Azure. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Aplicar governança de identidade. Habilite a autenticação multifator (MFA) do Microsoft Entra e a redefinição de senha de autoatendimento. Elimine senhas fracas. Automatize outros aspectos da governança de identidade, como fluxos de trabalho de solicitação de acesso, revisões de acesso e gerenciamento do ciclo de vida da identidade. Habilite o acesso just-in-time para limitar o acesso a recursos importantes. Use políticas de acesso condicional para conceder ou bloquear o acesso de identidades de usuário e dispositivo a serviços de nuvem.
Aplicar controles de acesso. Use o RBAC (controle de acesso baseado em função) do Azure e o ABAC (controle de acesso baseado em atributos) para controlar o acesso a recursos específicos. Conceder e negar permissões a usuários e grupos. Aplique a permissão no escopo apropriado (grupo de gerenciamento, assinatura, grupo de recursos ou recurso) para fornecer apenas a permissão necessária e limitar a sobrecarga de gerenciamento.
Automatize a governança de custos
Automatize as restrições de implantação. Não permitir determinados recursos de nuvem para impedir o uso de recursos de alto custo.
Automatize restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatize a alocação de custos. Aplique requisitos de marcação para agrupar e alocar custos entre ambientes (desenvolvimento, teste, produção), departamentos ou projetos. Use tags para identificar e rastrear recursos que fazem parte de um esforço de otimização de custos.
Automatize a governança de operações
Automatize a redundância. Use políticas internas do Azure para exigir um nível especificado de redundância de infraestrutura, como instâncias com redundância geográfica e redundante de zona.
Aplicar políticas de backup. Use políticas de backup para controlar a frequência de backup, o período de retenção e o local de armazenamento. Alinhe as políticas de backups com a governança de dados, os requisitos de conformidade normativa, o RTO (Recovery Time Objective, objetivo de tempo de recuperação) e o RPO (Recovery Point Objective, objetivo de ponto de recuperação). Use as configurações de backup em serviços individuais do Azure, como o Banco de Dados SQL do Azure, para definir as configurações necessárias.
Atenda ao objetivo de nível de serviço de destino. Restrinja a implantação de determinados serviços e camadas de serviço (SKUs) que não atendem ao objetivo de nível de serviço de destino. Por exemplo, use a definição de
Not allowed resource typespolítica na Política do Azure.
Automatize a governança de dados
Automatize a governança de dados. Automatize tarefas de governança de dados, como catalogação, mapeamento, compartilhamento seguro e aplicação de políticas.
Automatize o gerenciamento do ciclo de vida dos dados. Implemente políticas de armazenamento e gerenciamento do ciclo de vida do armazenamento para garantir que os dados sejam armazenados de forma eficiente e em conformidade.
Automatize a segurança dos dados. Revise e aplique estratégias de proteção de dados, como segregação de dados, criptografia e redundância.
Automatize a governança do gerenciamento de recursos
Crie uma hierarquia de gerenciamento de recursos. Use grupos de gerenciamento para organizar suas assinaturas para que você possa controlar com eficiência as políticas, o acesso e os gastos. Siga as práticas recomendadas de organização de recursos da zona de aterrissagem do Azure.
Impor uma estratégia de marcação. Certifique-se de que todos os recursos do Azure sejam marcados consistentemente para melhorar a capacidade de gerenciamento, o controle de custos e a conformidade. Defina sua estratégia de marcação e gerencie a governança de tags.
Restrinja quais recursos você pode implantar. Não permitir que tipos de recursos restrinjam implantações de serviços que adicionam riscos desnecessários.
Restrinja as implantações a regiões específicas. Controle onde os recursos são implantados para cumprir os requisitos normativos, gerenciar custos e reduzir a latência. Por exemplo, use a definição de
Allowed locationspolítica na Política do Azure. Também imponha restrições regionais em seu pipeline de implantação.Use a infraestrutura como código (IaC). Automatize implantações de infraestrutura usando modelos Bicep, Terraform ou Azure Resource Manager (modelos ARM). Armazene suas configurações de IaC em um sistema de controle de origem (GitHub ou Azure Repos) para controlar alterações e colaborar. Use os aceleradores de zona de aterrissagem do Azure para controlar a implantação de sua plataforma e recursos de aplicativo e evitar desvios de configuração ao longo do tempo.
Governe ambientes híbridos e multicloud. Governe recursos híbridos e multicloud. Manter a consistência no gerenciamento e na aplicação de políticas.
Automatize a governança de IA
Use o padrão de geração aumentada de recuperação (RAG). O RAG adiciona um sistema de recuperação de informações para controlar os dados de aterramento que um modelo de linguagem usa para gerar uma resposta. Por exemplo, você pode usar o Serviço Azure OpenAI em seu próprio recurso de dados ou configurar o RAG com a Pesquisa de IA do Azure para restringir a IA generativa ao seu conteúdo.
Use ferramentas de desenvolvimento de IA. Use ferramentas de IA, como o Kernel Semântico, que facilitam e padronizam a orquestração de IA ao desenvolver aplicativos que usam IA.
Controlar a geração de saída. Ajude a evitar abusos e a geração de conteúdo prejudicial. Use filtragem de conteúdo de IA e monitoramento de abuso de IA.
Configure a prevenção de perda de dados. Configure a prevenção de perda de dados para os serviços de IA do Azure. Configure a lista de URLs de saída que seus recursos de serviços de IA têm permissão para acessar.
Use mensagens do sistema. Use mensagens do sistema para orientar o comportamento de um sistema de IA e adaptar as saídas.
Aplique a linha de base de segurança de IA. Use a linha de base de segurança de IA do Azure para controlar a segurança dos sistemas de IA.
Aplicar políticas de governança de nuvem manualmente
Às vezes, uma limitação ou custo de ferramenta torna a imposição automatizada imprática. Nos casos em que não é possível automatizar a aplicação, aplique políticas de governança de nuvem manualmente. Para impor manualmente a governança de nuvem, siga estas recomendações:
Use listas de verificação. Use listas de verificação de governança para facilitar que suas equipes sigam as políticas de governança de nuvem. Para obter mais informações, consulte o exemplo de listas de verificação de conformidade.
Fornecer treinamento regular. Realize sessões de treinamento frequentes para todos os membros relevantes da equipe para garantir que eles estejam cientes das políticas de governança.
Agende revisões regulares. Implemente um cronograma para revisões e auditorias regulares de recursos e processos de nuvem para garantir a conformidade com as políticas de governança. Essas revisões são fundamentais para identificar desvios das políticas estabelecidas e tomar ações corretivas.
Monitore manualmente. Designe pessoal dedicado para monitorar o ambiente de nuvem quanto à conformidade com as políticas de governança. Considere rastrear o uso de recursos, gerenciar controles de acesso e garantir que as medidas de proteção de dados estejam em vigor para se alinhar às políticas. Por exemplo, defina uma abordagem abrangente de gerenciamento de custos para controlar os custos de nuvem.
Rever a aplicação da política
Revise e atualize regularmente os mecanismos de aplicação de conformidade. O objetivo é manter a aplicação da política de governança de nuvem alinhada com as necessidades atuais, incluindo requisitos de desenvolvedor, arquiteto, carga de trabalho, plataforma e negócios. Para rever a aplicação da política, siga estas recomendações:
Envolva-se com as partes interessadas. Discutir a eficácia dos mecanismos de aplicação com as partes interessadas. Garanta que a aplicação da governança de nuvem esteja alinhada com os objetivos de negócios e os requisitos de conformidade.
Monitorar requisitos. Atualizar ou remover mecanismos de imposição para alinhar com requisitos novos ou atualizados. Acompanhe as alterações em regulamentos e padrões que exigem atualizações de seus mecanismos de aplicação. Por exemplo, as políticas recomendadas da zona de aterrissagem do Azure podem mudar com o tempo. Você deve detectar essas alterações de política, atualizar para as políticas personalizadas de zona de aterrissagem mais recentes do Azure ou migrar para políticas internas conforme necessário.
Exemplo de listas de verificação de conformidade de governança de nuvem
As listas de verificação de conformidade ajudam as equipes a entender as políticas de governança que se aplicam a elas. As listas de verificação de conformidade de exemplo usam a declaração de política das políticas de governança de nuvem de exemplo e contêm o ID da política de governança de nuvem para referência cruzada.
| Categoria | Requisito de conformidade |
|---|---|
| Conformidade normativa | ☐ Microsoft Purview deve ser usado para monitorar dados confidenciais (RC01). ☐ Relatórios diários de conformidade de dados confidenciais devem ser gerados a partir do Microsoft Purview (RC02). |
| Segurança | ☐ MFA deve ser habilitado para todos os usuários (SC01). ☐ As revisões de acesso devem ser realizadas mensalmente no ID Governance (SC02). ☐ Use a organização do GitHub especificada para hospedar todo o código de aplicativo e infraestrutura (SC03). ☐ As equipes que usam bibliotecas de fontes públicas devem adotar o padrão de quarentena (SC04). |
| Operações | ☐ As cargas de trabalho de produção devem ter uma arquitetura ativo-passiva entre regiões (OP01). ☐ Todas as cargas de trabalho de missão crítica devem implementar uma arquitetura ativa-ativa entre regiões (OP02). |
| Custo | ☐ As equipes de carga de trabalho devem definir alertas de orçamentos no nível do grupo de recursos (CM01). ☐ As recomendações de custo do Azure Advisor devem ser revisadas (CM02). |
| Dados | ☐ A criptografia em trânsito e em repouso deve ser aplicada a todos os dados confidenciais. (DG01) ☐ As políticas de ciclo de vida de dados devem ser habilitadas para todos os dados confidenciais (DG02). |
| Gerenciamento de recursos | ☐ O bíceps deve ser usado para implantar recursos (RM01). ☐ As marcas devem ser impostas em todos os recursos de nuvem usando a Política do Azure (RM02). |
| IA | ☐ A configuração de filtragem de conteúdo de IA deve ser definida como média ou superior (AI01). ☐ Os sistemas de IA voltados para o cliente devem ser agrupados mensalmente (AI02). |
Próxima etapa
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de