Estabelecer os processos de conformidade com políticasEstablish policy adherence processes

Após estabelecer as declarações da política de nuvem e elaborar um guia de planejamento, será necessário criar uma estratégia para garantir que a implantação na nuvem permaneça em conformidade com os requisitos da política.After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. Essa estratégia deverá abranger os processos em andamento de comunicação e revisão da equipe de governança de nuvem, estabelecer critérios para cenários em que as violações da política exigirem uma ação, além de definir requisitos para sistemas automatizados de monitoramento e conformidade que detectarão violações e dispararão ações de correção.This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

Consulte as seções de política corporativa dos guias de governança acionáveis para obter exemplos de como o processo de adesão à política se encaixa em um plano de governança de nuvem.See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

Priorizar processos de adesão à políticaPrioritize policy adherence processes

Quanto investimento em desenvolvimento de processos é necessário para apoiar os objetivos da política?How much investment in developing processes is required to support your policy goals? Dependendo do tamanho e da maturidade da implantação de nuvem, o esforço necessário para estabelecer processos que assegurem a conformidade e os custos associados a esse esforço podem variar amplamente.Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

Para pequenas implantações que consistem em recursos de desenvolvimento e teste, os requisitos da política podem ser simples e requerem direcionamento de poucos recursos dedicados.For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. Por outro lado, uma implantação de nuvem crítica consolidada com necessidades de segurança e desempenho de alta prioridade pode exigir uma equipe de funcionários, processos internos abrangentes e ferramentas de monitoramento personalizadas para atender às metas da política.On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

Como primeiro etapa para definir a estratégia de adesão à política, avalie como os processos abordados abaixo podem reforçar os requisitos da política.As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. Determine quanto esforço é viável para investir nesses processos e, em seguida, use essas informações para estabelecer planos orçamentários e de pessoal realistas para atender a essas necessidades.Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

Estabelecer processos da equipe de governança de nuvemEstablish cloud governance team processes

Antes de definir gatilhos para a correção de conformidade de política, você precisa estabelecer os processos gerais que sua equipe usará e como as informações serão compartilhadas e escalonadas entre a equipe de ti e a equipe de governança de nuvem.Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

Atribuir membros da equipe de governança de nuvemAssign cloud governance team members

Sua equipe de governança de nuvem fornecerá orientação contínua sobre a conformidade da política e tratará os problemas relacionados à política que surgiram ao implantar e operar seus ativos de nuvem.Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. Ao criar essa equipe, convide os membros da equipe que têm experiência em áreas cobertas por suas declarações de política definidas e riscos identificados.When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

Para implantações iniciais de teste, isso pode ser limitado a alguns administradores de sistema responsáveis por estabelecer os conceitos básicos de governança.For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. À medida que seus processos de governança forem amadurecedos, revise a associação da equipe de diretrizes da nuvem regularmente para garantir que você possa resolver corretamente os novos riscos potenciais e os requisitos de política.As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. Identifique membros de sua equipe de ti e de negócios com experiência relevante ou interesse em áreas específicas de governança e inclua-os em suas equipes em uma base permanente ou temporária, conforme necessário.Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

Análises e política de iteraçãoReviews and policy iteration

Conforme os recursos adicionais e as cargas de trabalho são implantados, a equipe de governança de nuvem precisará garantir que novas cargas de trabalho ou ativos estejam em conformidade com os requisitos de política.As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. Avalie novos requisitos de equipes de desenvolvimento de carga de trabalho para garantir que suas implantações planejadas se alinhem com seus guias de design e atualize suas políticas para dar suporte a esses requisitos quando apropriado.Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

Planeje avaliar os novos riscos potenciais e atualizar as instruções de política e guias de design, conforme necessário.Plan to evaluate new potential risks and update policy statements and design guides as needed. Trabalhe com a equipe de ti e as equipes de carga de trabalho para avaliar os novos recursos e serviços do Azure em uma base contínua.Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. Também agende ciclos de revisão regulares cada uma das cinco disciplinas de governança para garantir que a política seja atual e em conformidade.Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

EducaçãoEducation

A conformidade com a política exige que a equipe de TI e os desenvolvedores reconheçam os requisitos da política que afetam suas áreas de responsabilidade.Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. Planeje dedicar recursos para documentar decisões e requisitos e instruir todas as equipes relevantes sobre os guias de planejamento que dão suporte aos requisitos da política.Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

Conforme a política for alterada, atualize regularmente a documentação e os materiais de treinamento e garanta que os esforços educacionais comuniquem os requisitos atualizados e as diretrizes para a equipe de TI relevante.As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

Em vários estágios de sua jornada de nuvem, talvez você ache melhor consultar os parceiros e os programas de treinamento profissional para aprimorar a educação de sua equipe, tanto tecnicamente quanto de forma conceitual.At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. Além disso, muitos acham que as certificações formais são uma adição valiosa ao seu portfólio de educação e devem ser consideradas.Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

Estabelecer caminhos de escalonamentoEstablish escalation paths

Se um recurso tornar-se não conforme, quem será notificado?If a resource goes out of compliance, who gets notified? Se a equipe de TI detectar um problema de conformidade com a política, a quem contatará?If IT staff detect a policy compliance issue, who do they contact? Verifique se o processo de escalonamento para a equipe de governança de nuvem está claramente definido.Make sure the escalation process to the cloud governance team is clearly defined. Garanta que esses canais de comunicação sejam mantidos atualizados para refletir as alterações na equipe e na organização.Ensure these communication channels are kept updated to reflect staff and organization changes.

Gatilhos e ações de violaçãoViolation triggers and actions

Depois de definir sua equipe de governança de nuvem e seus processos, você precisa definir explicitamente o que se qualifica como violações de conformidade que dispararão ações e quais devem ser essas ações.After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

Definir gatilhosDefine triggers

Para cada uma das declarações da política, analise os requisitos para determinar o que constitui uma violação da política.For each of your policy statements, review requirements to determine what constitutes a policy violation. Gere os gatilhos usando as informações que você já estabeleceu como parte do processo de definição da política.Generate your triggers using the information you've already established as part of the policy definition process.

  • Tolerância a riscos: Crie gatilhos de violação com base nas métricas e nos indicadores de risco estabelecidos como parte de sua análise de tolerância a riscos.Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • Requisitos de política definidos: As instruções de política podem fornecer SLA (contrato de nível de serviço), BCDR (continuidade de negócios e recuperação de desastre) ou requisitos de desempenho que devem ser usados como base para gatilhos de conformidade.Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

Definir açõesDefine actions

Cada gatilho de violação deve ter uma ação correspondente.Each violation trigger should have a corresponding action. Ações disparadas sempre devem notificar uma equipe de ti apropriada ou membro da equipe de governança de nuvem quando ocorrer uma violação.Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. Essa notificação pode levar a uma revisão manual do problema de conformidade ou à abertura de um processo de correção predefinido, dependendo do tipo e da severidade da violação detectada.This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

Alguns exemplos de gatilhos e ações de violação:Some examples of violation triggers and actions:

Disciplina de governançaGovernance discipline Gatilho de exemploSample trigger Ação de exemploSample action
Gerenciamento de CustosCost Management Os gastos mensais com a nuvem são mais de 20% superior ao esperado.Monthly cloud spending is more than 20% higher than expected. Notifique o líder da unidade de cobrança que iniciará uma revisão do uso do recurso.Notify the billing unit leader who will begin a review of resource usage.
Linha de base de segurançaSecurity Baseline Detectar atividade suspeita do usuário.Detect suspicious user activity. Notifique a equipe de segurança de ti e desabilite a conta de usuário suspeita.Notify the IT security team and disable the suspect user account.
Consistência de recursosResource Consistency A utilização da CPU para uma carga de trabalho é maior que 90%.CPU utilization for a workload is greater than 90%. Notifique a equipe de operações de TI e escale horizontalmente os recursos adicionais para lidar com a carga.Notify the IT operations team and scale out additional resources to handle the load.

Automação de monitoramento e conformidadeAutomation of monitoring and compliance

Após definir os gatilhos de violação de conformidade e as ações, você poderá iniciar o planejamento de como melhor utilizar as ferramentas de relatório e registro em log e outros recursos da plataforma de nuvem para ajudar a automatizar a estratégia de monitoramento e conformidade da política.After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

Para obter ajuda para escolher o melhor padrão de monitoramento para sua implantação, consulte o Guia de decisão de registro em log e relatório.For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

Próximas etapasNext steps

Saiba mais sobre a conformidade regulatória na nuvem.Learn more about regulatory compliance in the cloud.