Aplique políticas de governança de nuvem
Este artigo mostra como impor a conformidade com as políticas de governança de nuvem. A imposição de governança de nuvem refere-se aos controles e procedimentos que você usa para alinhar o uso da nuvem às políticas de governança de nuvem. A equipe de governança de nuvem avalia os riscos de nuvem e cria políticas de governança de nuvem para gerenciar esses riscos. Para garantir a conformidade com as políticas de governança da nuvem, a equipe de governança da nuvem deve delegar responsabilidades de fiscalização. Eles devem capacitar cada equipe ou indivíduo para aplicar políticas de governança de nuvem dentro de sua área de responsabilidade. A equipe de governança de nuvem não pode fazer tudo. Prefira controles de aplicação automatizados, mas imponha a conformidade manualmente onde você não pode automatizar.
Definir uma abordagem para aplicar políticas de governança de nuvem
Estabeleça uma estratégia sistemática para impor a conformidade com as políticas de governança de nuvem. O objetivo é usar ferramentas automatizadas e supervisão manual para impor a conformidade de forma eficiente. Para definir uma abordagem de aplicação, siga estas recomendações:
Delegar responsabilidades de governança. Capacitar indivíduos e equipes para impor a governança dentro de seu escopo de responsabilidade. Por exemplo, as equipes de plataforma devem aplicar políticas que as cargas de trabalho herdam e as equipes de carga de trabalho devem impor governança para sua carga de trabalho. A equipe de governança de nuvem não deve ser responsável pela aplicação de controles de fiscalização.
Adote um modelo de herança. Aplique um modelo de governança hierárquica em que cargas de trabalho específicas herdam políticas de governança da plataforma. Esse modelo ajuda a garantir que os padrões organizacionais se apliquem aos ambientes corretos, como os requisitos de compra de serviços em nuvem. Siga os princípios de design das zonas de aterrissagem do Azure e sua área de design de organização de recursos para estabelecer um modelo de herança adequado.
Discuta as especificidades da aplicação. Discuta onde e como você aplica as políticas de governança. O objetivo é encontrar formas rentáveis de impor a conformidade que acelere a produtividade. Sem uma discussão, você corre o risco de bloquear o progresso de equipes específicas. É importante encontrar um equilíbrio que suporte os objetivos de negócios e, ao mesmo tempo, gerencie o risco de forma eficaz.
Tenha uma postura de monitor-primeiro. Não bloqueie ações a menos que as compreenda primeiro. Para riscos de menor prioridade, comece monitorando a conformidade com as políticas de governança de nuvem. Depois de entender o risco, você pode passar para controles de aplicação mais restritivos. Uma abordagem monitor-first oferece a oportunidade de discutir as necessidades de governança e realinhar a política de governança da nuvem e o controle de aplicação a essas necessidades.
Prefira listas de bloqueio. Prefira listas de bloqueio a listas de permissões. As listas de bloqueio impedem a implantação de serviços específicos. É melhor ter uma pequena lista de serviços que você não deve usar do que uma longa lista de serviços que você pode usar. Para evitar listas de bloqueio longas, não adicione novos serviços à lista de bloqueio por padrão.
Defina uma estratégia de marcação e nomenclatura. Estabeleça diretrizes sistemáticas para nomear e marcar recursos de nuvem. Ele fornece uma estrutura estruturada para categorização de recursos, gerenciamento de custos, segurança e conformidade em todo o ambiente de nuvem. Permita que as equipes, como as equipes de desenvolvimento, adicionem outras tags para suas necessidades exclusivas.
Aplique políticas de governança de nuvem automaticamente
Use ferramentas de governança e gerenciamento de nuvem para automatizar a conformidade com as políticas de governança. Essas ferramentas podem ajudar a configurar guarda-corpos, monitorar configurações e garantir a conformidade. Para configurar a aplicação automatizada, siga estas recomendações:
Comece com um pequeno conjunto de políticas automatizadas. Automatize a conformidade em um pequeno conjunto de políticas essenciais de governança de nuvem. Implemente e teste a automação para evitar interrupções operacionais. Expanda sua lista de controles de aplicação automatizados quando estiver pronto.
Use ferramentas de governança de nuvem. Use as ferramentas disponíveis em seu ambiente de nuvem para impor a conformidade. A principal ferramenta de governança do Azure é a Política do Azure. Complemente a Política do Azure com o Microsoft Defender for Cloud (segurança), Microsoft Purview (dados), Microsoft Entra ID Governance (identidade), Azure Monitor (operações), grupos de gerenciamento (gerenciamento de recursos), infraestrutura como código (IaC) (gerenciamento de recursos) e configurações em cada serviço do Azure.
Aplique políticas de governança no escopo certo. Use um sistema de herança em que as políticas são definidas em um nível mais alto, como grupos de gerenciamento. As políticas de níveis superiores aplicam-se automaticamente aos níveis inferiores, como subscrições e grupos de recursos. As políticas se aplicam mesmo quando há alterações no ambiente de nuvem, reduzindo a sobrecarga de gerenciamento.
Use pontos de imposição de política. Configure pontos de imposição de políticas em seus ambientes de nuvem que aplicam automaticamente regras de governança. Considere verificações de pré-implantação, monitoramento de tempo de execução e ações de correção automatizadas.
Use a política como código. Use as ferramentas do IaC para aplicar políticas de governança por meio de código. A política como código aprimora a automação dos controles de governança e garante a consistência em diferentes ambientes. Considere usar a Política do Enterprise Azure como Código (EPAC) para gerenciar políticas alinhadas com as políticas recomendadas da zona de aterrissagem do Azure.
Desenvolva soluções personalizadas conforme necessário. Para ações de governança personalizadas, considere o desenvolvimento de scripts ou aplicativos personalizados. Use as APIs de serviço do Azure para coletar dados ou gerenciar recursos diretamente.
Facilitação do Azure: Aplicando políticas de governança de nuvem automaticamente
As orientações a seguir podem ajudá-lo a encontrar as ferramentas certas para automatizar a conformidade com as políticas de governança de nuvem no Azure. Ele fornece um exemplo de ponto de partida para as principais categorias de governança de nuvem.
Automatize a governança de conformidade normativa
Aplique políticas de conformidade regulatória. Use políticas de conformidade regulatória integradas que se alinham com os padrões de conformidade, como HITRUST/HIPAA, ISO 27001, CMMC, FedRamp e PCI DSSv4.
Automatize restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatize a governança de segurança
Aplique políticas de segurança. Utilize as políticas de segurança incorporadas e a conformidade de segurança automatizada para se alinhar com os padrões de segurança comuns. Há políticas internas para a série NIST 800 SP, benchmarks do Center for Internet Security e o benchmark de segurança na nuvem da Microsoft. Use políticas internas para automatizar a configuração de segurança de serviços específicos do Azure. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Aplique a governança de identidade. Habilite a autenticação multifator (MFA) do Microsoft Entra e a redefinição de senha de autoatendimento. Elimine senhas fracas. Automatize outros aspetos da governança de identidade, como fluxos de trabalho de solicitação de acesso, revisões de acesso e gerenciamento do ciclo de vida da identidade. Habilite o acesso just-in-time para limitar o acesso a recursos importantes. Use políticas de acesso condicional para conceder ou bloquear o acesso de identidades de usuários e dispositivos a serviços de nuvem.
Aplique controles de acesso. Use o RBAC (controle de acesso baseado em função) e o ABAC (controle de acesso baseado em atributos) do Azure para controlar o acesso a recursos específicos. Conceda e negue permissões a usuários e grupos. Aplique a permissão no escopo apropriado (grupo de gerenciamento, assinatura, grupo de recursos ou recurso) para fornecer apenas a permissão necessária e limitar a sobrecarga de gerenciamento.
Automatize a governança de custos
Automatize as restrições de implantação. Não permita que determinados recursos de nuvem impeçam o uso de recursos dispendiosos.
Automatize restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatize a alocação de custos. Imponha requisitos de marcação para agrupar e alocar custos em ambientes (desenvolvimento, teste, produção), departamentos ou projetos. Use tags para identificar e rastrear recursos que fazem parte de um esforço de otimização de custos.
Automatize a governança de operações
Automatize a redundância. Use políticas internas do Azure para exigir um nível especificado de redundância de infraestrutura, como instâncias redundantes de zona e georredundantes.
Aplique políticas de backup. Use políticas de backup para controlar a frequência de backup, o período de retenção e o local de armazenamento. Alinhe as políticas de backups com a governança de dados, os requisitos de conformidade normativa, o RTO (Recovery Time Objetive, objetivo de tempo de recuperação) e o RPO (Recovery Point Objetive, objetivo de ponto de recuperação). Use as configurações de backup em serviços individuais do Azure, como o Banco de Dados SQL do Azure, para definir as configurações necessárias.
Cumpra o objetivo de nível de serviço pretendido. Restrinja a implantação de determinados serviços e camadas de serviço (SKUs) que não atendem ao seu objetivo de nível de serviço alvo. Por exemplo, use a definição de
Not allowed resource typespolítica na Política do Azure.
Automatize a governança de dados
Automatize a governança de dados. Automatize tarefas de governança de dados, como catalogação, mapeamento, compartilhamento seguro e aplicação de políticas.
Automatize o gerenciamento do ciclo de vida dos dados. Implemente políticas de armazenamento e gerenciamento do ciclo de vida do armazenamento para garantir que os dados sejam armazenados de forma eficiente e em conformidade.
Automatize a segurança dos dados. Revise e aplique estratégias de proteção de dados, como segregação, criptografia e redundância de dados.
Automatize a governança do gerenciamento de recursos
Crie uma hierarquia de gerenciamento de recursos. Utilize os grupos de gestão para organizar as suas subscrições de modo a poder gerir eficientemente as políticas, o acesso e os gastos. Siga as práticas recomendadas da organização de recursos da zona de aterrissagem do Azure.
Imponha uma estratégia de marcação. Certifique-se de que todos os recursos do Azure são marcados consistentemente para melhorar a capacidade de gerenciamento, o controle de custos e a conformidade. Defina sua estratégia de marcação e gerencie a governança de tags.
Restrinja quais recursos você pode implantar. Não permitir que tipos de recursos restrinjam implantações de serviços que adicionam riscos desnecessários.
Restrinja as implantações a regiões específicas. Controle onde os recursos são implantados para cumprir os requisitos regulamentares, gerenciar custos e reduzir a latência. Por exemplo, use a definição de
Allowed locationspolítica na Política do Azure. Também imponha restrições regionais em seu pipeline de implantação.Use a infraestrutura como código (IaC). Automatize implantações de infraestrutura usando modelos Bicep, Terraform ou Azure Resource Manager (modelos ARM). Armazene suas configurações de IaC em um sistema de controle de origem (GitHub ou Azure Repos) para controlar alterações e colaborar. Use os aceleradores de zona de aterrissagem do Azure para controlar a implantação de sua plataforma e recursos de aplicativo e evitar desvios de configuração ao longo do tempo.
Governe ambientes híbridos e multicloud. Administre recursos híbridos e multicloud. Manter a consistência no gerenciamento e na aplicação de políticas.
Automatize a governança de IA
Use o padrão de geração aumentada de recuperação (RAG). O RAG adiciona um sistema de recuperação de informações para controlar os dados de aterramento que um modelo de linguagem usa para gerar uma resposta. Por exemplo, você pode usar o Serviço OpenAI do Azure em seu próprio recurso de dados ou configurar o RAG com a Pesquisa de IA do Azure para restringir a IA generativa ao seu conteúdo.
Use ferramentas de desenvolvimento de IA. Use ferramentas de IA, como o Kernel Semântico, que facilitam e padronizam a orquestração de IA ao desenvolver aplicativos que usam IA.
Governar a geração de saída. Ajude a prevenir o abuso e a geração de conteúdo nocivo. Use filtragem de conteúdo de IA e monitoramento de abuso de IA.
Configure a prevenção contra perda de dados. Configure a prevenção de perda de dados para serviços de IA do Azure. Configure a lista de URLs de saída que seus recursos de serviços de IA têm permissão para acessar.
Use mensagens do sistema. Use mensagens do sistema para orientar o comportamento de um sistema de IA e adaptar as saídas.
Aplique a linha de base de segurança da IA. Use a linha de base de segurança da IA do Azure para controlar a segurança dos sistemas de IA.
Aplique políticas de governança de nuvem manualmente
Às vezes, uma limitação ou custo da ferramenta torna a aplicação automatizada impraticável. Nos casos em que não é possível automatizar a aplicação, aplique políticas de governança de nuvem manualmente. Para impor manualmente a governança da nuvem, siga estas recomendações:
Use listas de verificação. Use listas de verificação de governança para tornar mais fácil para suas equipes seguirem as políticas de governança de nuvem. Para obter mais informações, consulte os exemplos de listas de verificação de conformidade.
Ministrar formação regular. Conduza sessões de treinamento frequentes para todos os membros relevantes da equipe para garantir que eles estejam cientes das políticas de governança.
Agende revisões regulares. Implemente um cronograma para revisões e auditorias regulares de recursos e processos de nuvem para garantir a conformidade com as políticas de governança. Essas revisões são fundamentais para identificar desvios das políticas estabelecidas e tomar medidas corretivas.
Monitore manualmente. Designe pessoal dedicado para monitorar o ambiente de nuvem quanto à conformidade com as políticas de governança. Considere acompanhar o uso de recursos, gerenciar controles de acesso e garantir que as medidas de proteção de dados estejam em vigor para se alinharem com as políticas. Por exemplo, defina uma abordagem abrangente de gerenciamento de custos para controlar os custos da nuvem.
Rever a aplicação da política
Rever e atualizar regularmente os mecanismos de aplicação da conformidade. O objetivo é manter a aplicação da política de governança da nuvem alinhada com as necessidades atuais, incluindo requisitos de desenvolvedor, arquiteto, carga de trabalho, plataforma e negócios. Para rever a aplicação da política, siga estas recomendações:
Envolva-se com as partes interessadas. Discutir a eficácia dos mecanismos de execução com as partes interessadas. Garanta que a aplicação da governança da nuvem esteja alinhada com os objetivos de negócios e os requisitos de conformidade.
Monitorizar os requisitos. Atualizar ou remover mecanismos de aplicação para alinhar com requisitos novos ou atualizados. Acompanhe as alterações nos regulamentos e normas que exigem atualizações dos seus mecanismos de aplicação. Por exemplo, as políticas recomendadas da zona de aterrissagem do Azure podem mudar ao longo do tempo. Você deve detetar essas alterações de política, atualizar para as políticas personalizadas mais recentes da zona de aterrissagem do Azure ou migrar para políticas internas conforme necessário.
Exemplos de listas de verificação de conformidade com a governança da nuvem
As listas de verificação de conformidade ajudam as equipes a entender as políticas de governança que se aplicam a elas. As listas de verificação de conformidade de exemplo usam a declaração de política do exemplo de políticas de governança de nuvem e contêm o ID da política de governança de nuvem para referência cruzada.
| Categoria | Requisito de conformidade |
|---|---|
| Conformidade regulamentar | ☐ O Microsoft Purview deve ser usado para monitorar dados confidenciais (RC01). ☐ Os relatórios diários de conformidade de dados confidenciais devem ser gerados a partir do Microsoft Purview (RC02). |
| Segurança | ☐ MFA deve ser habilitado para todos os usuários (SC01). ☐ As revisões de acesso devem ser realizadas mensalmente no ID Governance (SC02). ☐ Use a organização GitHub especificada para hospedar todo o código de aplicativo e infraestrutura (SC03). ☐ As equipes que usam bibliotecas de fontes públicas devem adotar o padrão de quarentena (SC04). |
| Operações | ☐ As cargas de trabalho de produção devem ter uma arquitetura ativo-passivo entre regiões (OP01). ☐ Todas as cargas de trabalho de missão crítica devem implementar uma arquitetura ativa-ativa entre regiões (OP02). |
| Custo | ☐ As equipes de carga de trabalho devem definir alertas de orçamentos no nível do grupo de recursos (CM01). ☐ As recomendações de custo do Azure Advisor devem ser revistas (CM02). |
| Dados | ☐ A encriptação em trânsito e em repouso deve ser aplicada a todos os dados sensíveis. (DG01) ☐ As políticas de ciclo de vida dos dados devem ser habilitadas para todos os dados confidenciais (DG02). |
| Gestão de recursos | ☐ O bíceps deve ser usado para implantar recursos (RM01). ☐ As tags devem ser aplicadas em todos os recursos de nuvem usando a Política do Azure (RM02). |
| IA | ☐ A configuração de filtragem de conteúdo de IA deve ser definida como média ou superior (AI01). ☐ Os sistemas de IA voltados para o cliente devem ser agrupados mensalmente (AI02). |
Próximo passo
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários