Estabelecer processos de cumprimento das políticasEstablish policy adherence processes

Depois de estabelecer as suas declarações de política em nuvem e elaborar um guia de design, terá de criar uma estratégia para garantir que a sua implementação na nuvem se mantenha em conformidade com os seus requisitos políticos.After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. Esta estratégia terá de abranger os processos de revisão e comunicação em curso da sua equipa de governação em nuvem, estabelecer critérios para quando as violações de políticas requerem ação e definir os requisitos para sistemas automatizados de monitorização e conformidade que detetarão violações e desencadearão ações de remediação.This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

Veja as secções de política corporativa dos guias de governação acionáveis, por exemplo, de como o processo de adesão à política se enquadra num plano de governação em nuvem.See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

Priorizar processos de adesão de políticasPrioritize policy adherence processes

Quanto investimento no desenvolvimento de processos é necessário para apoiar os seus objetivos políticos?How much investment in developing processes is required to support your policy goals? Dependendo do tamanho e maturidade da sua implementação em nuvem, o esforço necessário para estabelecer processos que suportem a conformidade, e os custos associados a este esforço, pode variar muito.Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

Para pequenas implantações que consistem em recursos de desenvolvimento e de teste, os requisitos políticos podem ser simples e requerem poucos recursos dedicados para resolver.For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. Por outro lado, uma implementação em nuvem crítica de missão madura com necessidades de segurança e desempenho de alta prioridade pode exigir uma equipe de pessoal, processos internos extensivos e ferramentas de monitorização personalizadas para apoiar os seus objetivos políticos.On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

Como primeiro passo na definição da sua estratégia de adesão à política, avalie como os processos discutidos abaixo podem apoiar os seus requisitos políticos.As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. Determinar quanto vale a pena investir nestes processos e, em seguida, utilizar estas informações para estabelecer planos orçamentais e de pessoal realistas para satisfazer essas necessidades.Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

Estabelecer processos de equipa de governação em nuvemEstablish cloud governance team processes

Antes de definir os gatilhos para a remediação da conformidade com a política, precisa de estabelecer os processos globais que a sua equipa irá utilizar e como a informação será partilhada e escalada entre o pessoal de TI e a equipa de governação da nuvem.Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

Atribuir membros da equipa de governação da nuvemAssign cloud governance team members

A sua equipa de governação em nuvem fornecerá orientações contínuas sobre o cumprimento da política e lidará com questões relacionadas com políticas que emergem ao implementar e operar os seus ativos na nuvem.Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. Ao construir esta equipa, convide os funcionários especializados em áreas abrangidas pelas suas declarações políticas definidas e riscos identificados.When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

Para as primeiras implementações de testes, esta situação pode limitar-se a alguns administradores de sistema responsáveis pelo estabelecimento dos fundamentos da governação.For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. À medida que os seus processos de governação amadurecem, reveja regularmente a adesão da equipa de orientação em nuvem para garantir que pode abordar adequadamente novos riscos potenciais e requisitos políticos.As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. Identifique os membros do seu pessoal de TI e de negócios com experiência ou interesse relevantes em áreas específicas de governação e inclua-os nas suas equipas de forma permanente ou temporária, se necessário.Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

Revisões e iteração de políticasReviews and policy iteration

À medida que forem mobilizados recursos e cargas de trabalho adicionais, a equipa de governação da nuvem terá de garantir que novas cargas de trabalho ou ativos cumprem os requisitos políticos.As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. Avalie os novos requisitos das equipas de desenvolvimento da carga de trabalho para garantir que as suas implementações planeadas se alinharão com os seus guias de design e atualize as suas políticas para apoiar esses requisitos quando apropriado.Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

Planeie avaliar novos riscos potenciais e atualizar declarações políticas e guias de design, se necessário.Plan to evaluate new potential risks and update policy statements and design guides as needed. Trabalhe com pessoal de TI e equipas de trabalho para avaliar os novos recursos e serviços do Azure de forma contínua.Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. Também agende ciclos regulares de revisão de cada uma das cinco disciplinas de governação para garantir que a política é atual e em conformidade.Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

EducationEducation

O cumprimento da política exige que o pessoal de TI e os desenvolvedores compreendam os requisitos políticos que afetam as suas áreas de responsabilidade.Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. Planeie dedicar recursos para documentar decisões e requisitos, e educar todas as equipas relevantes sobre os guias de design que apoiam os seus requisitos políticos.Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

À medida que a política muda, atualize regularmente a documentação e os materiais de formação e garanta que os esforços de educação comuniquem os requisitos e orientações atualizados ao pessoal de TI relevante.As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

Em várias fases do seu percurso em nuvem, poderá encontrar o melhor para consultar parceiros e programas de formação profissional para melhorar a educação da sua equipa, tanto técnica, como processualmente.At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. Além disso, muitos consideram que as certificações formais são um acréscimo valioso ao seu portfólio de educação e devem ser consideradas.Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

Estabelecer caminhos de escaladaEstablish escalation paths

Se um recurso for desaplisse, quem é notificado?If a resource goes out of compliance, who gets notified? Se o pessoal de TI detetar um problema de conformidade com a política, com quem é que eles contactam?If IT staff detect a policy compliance issue, who do they contact? Certifique-se de que o processo de escalada para a equipa de governação da nuvem está claramente definido.Make sure the escalation process to the cloud governance team is clearly defined. Certifique-se de que estes canais de comunicação são mantidos atualizados para refletir as mudanças de pessoal e de organização.Ensure these communication channels are kept updated to reflect staff and organization changes.

Desencadeamentos e ações de violaçãoViolation triggers and actions

Depois de definir a sua equipa de governação em nuvem e os seus processos, precisa definir explicitamente o que qualifica como violações de conformidade que irão desencadear ações e quais as ações que devem ser.After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

Definir gatilhosDefine triggers

Para cada uma das suas declarações políticas, rever os requisitos para determinar o que constitui uma violação de política.For each of your policy statements, review requirements to determine what constitutes a policy violation. Gere os seus gatilhos utilizando a informação que já estabeleceu como parte do processo de definição de política.Generate your triggers using the information you've already established as part of the policy definition process.

  • Tolerância ao risco: Crie gatilhos de violação com base nas métricas e indicadores de risco que estabeleceu como parte da sua análise de tolerância ao risco.Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • Requisitos de política definidos: As declarações políticas podem fornecer acordos de nível de serviço (SLA), continuidade de negócios e recuperação de desastres (BCDR), ou requisitos de desempenho que devem ser usados como base para os gatilhos de conformidade.Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

Definir açõesDefine actions

Cada gatilho de violação deve ter uma ação correspondente.Each violation trigger should have a corresponding action. As ações desencadeadas devem sempre notificar um funcionário de TI apropriado ou um membro da equipa de governação da nuvem quando ocorrer uma violação.Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. Esta notificação pode levar a uma revisão manual da questão de conformidade ou iniciar um processo de remediação predefinido dependendo do tipo e gravidade da violação detetada.This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

Alguns exemplos de desencadeamentos e ações de violação:Some examples of violation triggers and actions:

Disciplina de governaçãoGovernance discipline Gatilho da amostraSample trigger Ação de amostraSample action
Cost ManagementCost Management Os gastos mensais em nuvem são mais de 20% superiores ao esperado.Monthly cloud spending is more than 20% higher than expected. Notifique o líder da unidade de faturação que iniciará uma revisão do uso de recursos.Notify the billing unit leader who will begin a review of resource usage.
Linha de Base de SegurançaSecurity Baseline Detetar atividade suspeita do utilizador.Detect suspicious user activity. Notifique a equipa de segurança de TI e desative a conta de utilizador suspeita.Notify the IT security team and disable the suspect user account.
Consistência de recursosResource Consistency A utilização do CPU para uma carga de trabalho é superior a 90%.CPU utilization for a workload is greater than 90%. Notifique a equipa de operações de TI e escale recursos adicionais para lidar com a carga.Notify the IT operations team and scale out additional resources to handle the load.

Automatização da monitorização e conformidadeAutomation of monitoring and compliance

Depois de definir os seus gatilhos e ações de violação de conformidade, pode começar a planear a melhor forma de utilizar as ferramentas de registo e reporte e outras funcionalidades da plataforma cloud para ajudar a automatizar a sua estratégia de monitorização e conformidade com as políticas.After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

Para ajudar a escolher o melhor padrão de monitorização para a sua implantação, consulte o guia de decisão de registo e relatório.For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

Passos seguintesNext steps

Saiba mais sobre a conformidade regulatória na nuvem.Learn more about regulatory compliance in the cloud.