Guia de governação para empresas complexasGovernance guide for complex enterprises

Descrição geral das melhores práticasOverview of best practices

Este guia de governação segue as experiências de uma empresa fictícia pelos vários estágios de maturidade de governação.This governance guide follows the experiences of a fictional company through various stages of governance maturity. Baseia-se nas experiências reais dos clientes.It is based on real customer experiences. As melhores práticas sugeridas baseiam-se nas restrições e necessidades da empresa fictícia.The suggested best practices are based on the constraints and needs of the fictional company.

Como um ponto de partida rápido, esta descrição geral define um produto mínimo viável (MVP) de governação com base nas melhores práticas.As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. Também fornece ligações para algumas melhorias de governação que adicionam outras melhores práticas à medida que surgem novos riscos de negócio ou técnicos.It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

Aviso

Este MVP é um ponto de partida de linha de base com base num conjunto de suposições.This MVP is a baseline starting point, based on a set of assumptions. Até mesmo este conjunto mínimo de melhores práticas se baseia em políticas empresariais que são orientadas por riscos de negócios exclusivos e as tolerâncias de risco.Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. Para ver se estas suposições se aplicam a si, leia as informações mais detalhadas que se seguem a este artigo.To see whether these assumptions apply to you, read the longer narrative that follows this article.

Melhores práticas de governaçãoGovernance best practices

Estas melhores práticas funcionam como uma base para uma organização para, de forma rápida e consistente, adicionarem grades de proteção de governação entre as várias subscrições do Azure.These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across multiple Azure subscriptions.

Organização de recursosResource organization

O diagrama seguinte mostra a hierarquia de MVP de governação para organizar os recursos.The following diagram shows the governance MVP hierarchy for organizing resources.

Diagrama da organização de recursos

Todas as aplicações devem ser implementadas na área adequada do grupo de gestão, subscrição e hierarquia do grupo de recursos.Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. Durante o planeamento da implementação, a equipa de governação de cloud criará os nós necessários na hierarquia para fortalecer as equipas de adoção da cloud.During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. Defina um grupo de gestão para cada unidade de negócio com uma hierarquia detalhada que reflita a geografia primeiro e, em seguida, o tipo de ambiente (por exemplo, ambientes de produção ou de não produção).Define a management group for each business unit with a detailed hierarchy that reflects geography first, then environment type (for example, production or nonproduction environments).

  2. Crie uma subscrição de produção e uma de não produção para cada combinação exclusiva de unidade de negócio discreta ou geografia.Create a production subscription and a nonproduction subscription for each unique combination of discrete business unit or geography. A criação de várias subscrições exige uma consideração cuidadosa.Creating multiple subscriptions requires careful consideration. Para obter mais informações, veja o guia de decisão de subscrição.For more information, see the subscription decision guide.

  3. Aplique nomenclatura consistente em cada nível da hierarquia deste agrupamento.Apply consistent nomenclature at each level of this grouping hierarchy.

  4. Os grupos de recursos devem ser implementados de forma a considerar o ciclo de vida do conteúdo.Resource groups should be deployed in a manner that considers its contents lifecycle. Os recursos desenvolvidos, geridos e extintos em conjunto pertencem ao mesmo grupo de recursos.Resources that are developed together, managed together, and retired together belong in the same resource group. Para obter mais informações sobre as práticas recomendadas para a utilização de grupos de recursos, veja o guia de decisão de consistência de recursos.For more information about best practices for using resource groups, see the resource consistency decision guide.

  5. A seleção da região é muito importante e tem de ser considerada para que a rede, a monitorização e a auditoria possam estar implementadas para ativação pós-falha/reativação pós-falha, bem como a confirmação de que as SKUs necessárias estão disponíveis nas regiões preferenciais.Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

Diagrama de organização de recursos para grandes empresas

Estes padrões garantem espaço para crescimento sem tornar a hierarquia desnecessariamente complicada.These patterns provide room for growth without making the hierarchy needlessly complicated.

Nota

Em caso de alterações aos seus requisitos empresariais, os grupos de gestão do Azure permitem-lhe reorganizar facilmente a hierarquia de gestão e as atribuições de grupos de subscrição.In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. No entanto, não se esqueça que as atribuições de políticas e funções aplicadas a um grupo de gestão são herdadas por todas as subscrições abaixo desse grupo na hierarquia.However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. Se planear reatribuir subscrições entre grupos de gestão, tenha em atenção quaisquer alterações à atribuição de políticas e funções que possam resultar.If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. Veja a documentação dos grupos de gestão do Azure para obter mais informações.See the Azure management groups documentation for more information.

Governação de recursosGovernance of resources

Um conjunto de políticas e funções RBAC globais irá fornecer um nível de linha de base de imposição de governação.A set of global policies and RBAC roles will provide a baseline level of governance enforcement. Para cumprir os requisitos de política da equipa de governação da cloud, a implementação do MVP de governação requer a conclusão das seguintes tarefas:To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. Identificar as definições do Azure Policy necessárias para impor os requisitos empresariais,Identify the Azure Policy definitions needed to enforce business requirements. o que poderá incluir a utilização de definições incorporadas e a criação de novas definições personalizadas.This might include using built-in definitions and creating new custom definitions. Para acompanhar o ritmo das definições incorporadas lançadas recentemente, há um feed atom de todas as consolidações para políticas incorporadas, o qual pode utilizar para um feed RSS.To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. Como alternativa, pode verificar o AzAdvertizer.Alternatively, you can check AzAdvertizer.
  2. Criar uma definição de esquema com estas atribuições de políticas e funções incorporadas e personalizadas necessárias para o MVP de governação.Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. Aplique políticas e configurações globalmente ao atribuir a definição de esquema a todas as subscrições.Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

Identificar as definições de políticaIdentify policy definitions

O Azure fornece várias políticas e definições de funções incorporadas que pode atribuir a qualquer grupo de gestão, subscrição ou grupo de recursos.Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. Muitos requisitos de governação comuns podem ser processados com definições incorporadas.Many common governance requirements can be handled using built-in definitions. No entanto, é provável que também precise de criar definições de política personalizadas para lidar com requisitos específicos.However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

As definições de política personalizadas são guardadas num grupo de gestão ou numa subscrição e são herdadas através da hierarquia do grupo de gestão.Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. Se a localização para guardar uma definição de política for um grupo de gestão, essa definição de política está disponível para atribuição a qualquer uma das subscrições ou grupos de gestão subordinados desse grupo.If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

Uma vez que as políticas necessárias para suportar o MVP de governação são aplicáveis a todas as subscrições atuais, serão implementados os requisitos empresariais seguintes através de uma combinação de definições incorporadas e personalizadas criadas no grupo de gestão de raiz:Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. Restringir a lista de atribuições de funções disponíveis a um conjunto de funções incorporadas do Azure autorizadas pela sua equipa de governação da cloud.Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. Esta operação requer uma definição de política personalizada.This requires a custom policy definition.
  2. Exigir as seguintes etiquetas em todos os recursos: Departamento/Unidade de Faturação, Geografia, Classificação de Dados, Importância, SLA, Ambiente, Arquétipo da Aplicação, Aplicação e Proprietário da Aplicação.Require the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. Para tal, pode utilizar a definição incorporada Require specified tag.This can be handled using the Require specified tag built-in definition.
  3. Exigir que a etiqueta Application dos recursos corresponda ao nome do grupo de recursos relevante.Require that the Application tag for resources should match the name of the relevant resource group. Para tal, pode utilizar a definição incorporada “Exigir a etiqueta e o valor”.This can be handled using the "Require tag and its value" built-in definition.

Para obter informações sobre como definir políticas personalizadas, veja a documentação do Azure Policy.For information on defining custom policies see the Azure Policy documentation. Para obter orientação e exemplos de políticas personalizadas, veja o site de exemplos do Azure Policy e o repositório do GitHub associado.For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Atribuir funções do Azure Policy e RBAC com o Azure BlueprintsAssign Azure Policy and RBAC roles using Azure Blueprints

As políticas do Azure podem ser atribuídas ao nível do grupo de gestão, da subscrição e do grupo de recursos e podem ser incluídas nas definições do Azure Blueprints.Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. Embora os requisitos de política definidos neste MVP de governação se apliquem a todas as subscrições atuais, é muito provável que as futuras implementações requeiram exceções ou políticas alternativas.Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. Como resultado, a atribuição de políticas através de grupos de gestão, em que todas as subscrições subordinadas herdam estas atribuições, pode não ser suficientemente flexível para suportar estes cenários.As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

O Azure Blueprints permite a atribuição consistente de políticas e funções, a aplicação de modelos do Resource Manager e a implementação de grupos de recursos em várias subscrições.Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. Tal como as definições de políticas, as definições de esquemas são guardadas em grupos de gestão ou subscrições.Like policy definitions, blueprint definitions are saved to management groups or subscriptions. As definições de políticas estão disponíveis através de herança para qualquer subordinado na hierarquia do grupo de gestão.The policy definitions are available through inheritance to any children in the management group hierarchy.

A equipa de governação da cloud decidiu que a imposição de atribuições do Azure Policy e RBAC necessárias em várias subscrições será implementada através do Azure Blueprints e dos artefactos associados:The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. No grupo de gestão de raiz, crie uma definição de esquema denominada governance-baseline.In the root management group, create a blueprint definition named governance-baseline.
  2. Adicione os seguintes artefactos de esquema à definição de esquema:Add the following blueprint artifacts to the blueprint definition:
    1. Atribuições de política para as definições personalizadas do Azure Policy definidas na raiz do grupo de gestão.Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. Definições de grupos de recursos para todos os grupos necessários em subscrições criadas ou regidas pelo MVP de Governação.Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. Atribuições de funções padrão necessárias em subscrições criadas ou regidas pelo MVP de Governação.Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. Publique a definição de esquema.Publish the blueprint definition.
  4. Atribua a definição de esquema governance-baseline a todas as subscrições.Assign the governance-baseline blueprint definition to all subscriptions.

Veja a documentação do Azure Blueprints para obter mais informações sobre como criar e utilizar definições de esquema.See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

Proteger a VNet híbridaSecure hybrid VNet

Subscrições específicas requerem muitas vezes um determinado nível de acesso a recursos no local.Specific subscriptions often require some level of access to on-premises resources. Isto é comum em cenários de migração ou de programação em que os recursos dependentes residem no datacenter no local.This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

Até que a confiança no ambiente de cloud esteja totalmente estabelecida, é importante controlar e monitorizar de forma apertada qualquer comunicação permitida entre o ambiente no local e as cargas de trabalho da cloud, bem como se a rede no local está protegida contra acesso potencialmente não autorizado de recursos com base na cloud.Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. Para suportar estes cenários, o MVP de governação adiciona as seguintes melhores práticas:To support these scenarios, the governance MVP adds the following best practices:

  1. Estabelece uma VNet híbrida segura da cloud.Establish a cloud secure hybrid VNet.
    1. A arquitetura de referência da VPN estabelece um modelo de padrão e implementação para criar um Gateway de VPN no Azure.The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. Confirme se os mecanismos de gestão de segurança e tráfego no local tratam as redes da cloud ligadas como não fidedignas.Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. Os recursos e serviços alojados na cloud apenas devem ter acesso a serviços no local autorizados.Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. Valide se o dispositivo edge local no datacenter no local é compatível com os requisitos do Gateway de VPN do Azure e está configurado para aceder à Internet pública.Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. Tenha em atenção que os túneis VPN não devem ser considerados circuitos preparados para produção, a não ser para as cargas de trabalho mais simples.Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. Tudo o resto que esteja para além de algumas cargas de trabalho simples que precisem de conectividade local deve utilizar o Azure ExpressRoute.Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. No grupo de gestão de raiz, crie uma segunda definição de esquema denominada secure-hybrid-vnet.In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. Adicione o modelo do Resource Manager para o Gateway de VPN como um artefacto para a definição de esquema.Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. Adicione o modelo do Resource Manager para a rede virtual como um artefacto para a definição de esquema.Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. Publique a definição de esquema.Publish the blueprint definition.
  3. Atribua a definição de esquema secure-hybrid-vnet a quaisquer subscrições que precisem de conectividade no local.Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. Esta definição deve ser atribuída além da definição de esquema governance-baseline.This definition should be assigned in addition to the governance-baseline blueprint definition.

Uma das maiores preocupações das equipas de governação tradicional e segurança de TI é o risco de uma adoção da cloud antecipada comprometer os recursos existentes.One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. A abordagem acima permite às equipas de adoção da cloud criar e migrar soluções híbridas, com um menor risco para os recursos no local.The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. À medida que a confiança no ambiente de cloud aumenta, as evoluções posteriores podem remover esta solução temporária.As trust in the cloud environment increases, later evolutions may remove this temporary solution.

Nota

O procedimento acima é um ponto de partida para criar rapidamente um MVP de governação de linha de base.The above is a starting point to quickly create a baseline governance MVP. Este é apenas o começo da jornada de governação.This is only the beginning of the governance journey. Será necessária mais evolução à medida que a empresa continua a adotar a cloud e assume um maior risco nas seguintes áreas:Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • Cargas de trabalho críticasMission-critical workloads
  • Dados protegidosProtected data
  • Gestão de custosCost management
  • Cenários de várias cloudsMulticloud scenarios

Além disso, os detalhes específicos deste MVP baseiam-se na jornada de exemplo de uma empresa fictícia, descrita nos artigos que se seguem.Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. Recomendamos vivamente que se familiarize com os outros artigos nesta série antes de implementar esta melhor prática.We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

Melhorias incrementais de governaçãoIncremental governance improvements

Depois de este MVP ter sido implementado, as camadas adicionais de governação podem ser rapidamente incorporadas no ambiente.Once this MVP has been deployed, additional layers of governance can be quickly incorporated into the environment. Aqui estão algumas formas de melhorar o MVP para responder a necessidades empresariais específicas:Here are some ways to improve the MVP to meet specific business needs:

O que é que esta orientação oferece?What does this guidance provide?

No MVP, as práticas e ferramentas da disciplina de Aceleração da Implementação são estabelecidas para se aplicar rapidamente a política da empresa.In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. Em particular, o MVP utiliza Azure Blueprints, Azure Policy e grupos de gestão do Azure para aplicar algumas políticas corporativas básicas, conforme definido na narrativa para esta empresa fictícia.In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. Essas politicas corporativas são aplicadas utilizando modelos do Azure Resource Manager e políticas do Azure, para estabelecer uma linha de base pequena para identidade e segurança.Those corporate policies are applied using Azure Resource Manager templates and Azure policies to establish a small baseline for identity and security.

Diagrama com um exemplo de um MVP de governação incremental.

Melhoramentos incrementais às práticas de governaçãoIncremental improvements to governance practices

Ao longo do tempo, este MVP de governação será utilizado para melhorar de forma incremental as práticas de governação.Over time, this governance MVP will be used to incrementally improve governance practices. Conforme a adoção avança, o risco de negócios aumenta.As adoption advances, business risk grows. Várias disciplinas dentro do modelo de governação Cloud Adoption Framework adaptar-se-ão para gerir esses riscos.Various disciplines within the Cloud Adoption Framework governance model will adapt to manage those risks. Os artigos posteriores desta série falam sobre as alterações da política corporativa que afetam a empresa fictícia.Later articles in this series discuss the changes in corporate policy affecting the fictional company. Estas alterações ocorrem em quatro disciplinas:These changes happen across four disciplines:

  • A disciplina de Linha de Base de Identidade, à medida que as dependências de migração são alteradas na narrativa.The Identity Baseline discipline, as migration dependencies change in the narrative.
  • A disciplina de Cost Management, à medida que a adoção é dimensionada.The Cost Management discipline, as adoption scales.
  • A disciplina de Linha de Base de Segurança, à medida que os dados protegidos são implementados.The Security Baseline discipline, as protected data is deployed.
  • A disciplina de Consistência de Recursos, à medida que as operações de TI começam a suportar cargas de trabalho fundamentais para a atividade.The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

Diagrama com exemplos de melhoramentos incrementais às práticas de governação.

Passos seguintesNext steps

Agora que está familiarizado com o MVP de governação e com as futuras alterações da governação, leia a narrativa de suporte para obter contexto adicional.Now that you're familiar with the governance MVP and the forthcoming governance changes, read the supporting narrative for additional context.