Área de design: Governança do Azure

  • Artigo

Use a governança do Azure para estabelecer as ferramentas necessárias para dar suporte à governança de nuvem, auditoria de conformidade e guardrails automatizados.

Revisão da área de design

Funções ou funções: a governança do Azure tem origem na governança da nuvem. Pode ser necessário implementar a plataforma de nuvem ou um centro de excelência em nuvem para definir e aplicar determinados requisitos técnicos. A governança se concentra na imposição de operações e requisitos de segurança, que podem exigir segurança na nuvem, TI central ou operações na nuvem.

Escopo: considere suas decisões a partir de revisões da área de design de identidade, rede, segurança e gerenciamento . Sua equipe pode comparar decisões de revisão da governança automatizada, que faz parte do acelerador de zona de aterrissagem do Azure. As decisões de revisão podem ajudá-lo a determinar o que auditar ou aplicar e quais políticas implantar automaticamente.

Fora do escopo: a governança do Azure estabelece a base para a rede. Mas não aborda componentes relacionados à conformidade, como segurança de rede avançada ou guarda-corpos automatizados para impor decisões de rede. Você pode abordar essas decisões de rede ao analisar as áreas de design de conformidade relacionadas à segurança e à governança. A equipe da plataforma de nuvem deve abordar os requisitos iniciais de rede antes de abordar componentes mais complexos.

Novo ambiente de nuvem (greenfield): para iniciar sua jornada na nuvem, crie um pequeno conjunto de assinaturas. Você pode usar modelos de implantação do Bicep para criar suas novas zonas de aterrissagem do Azure. Para obter mais informações, consulte Zonas de aterrissagem do Azure Bícep — Fluxo de implantação.

Ambiente de nuvem existente (brownfield): se você quiser aplicar princípios de governança do Azure de prática comprovada a ambientes existentes do Azure, considere as seguintes orientações:

  • Estabeleça uma linha de base de gerenciamento para seu ambiente híbrido ou multicloud.

  • Implemente recursos do Microsoft Cost Management , como escopos de cobrança, orçamentos e alertas, para garantir que você não exceda seu limite de despesas.

  • Use a Política do Azure para impor proteções de governança em implantações do Azure e disparar tarefas de correção para colocar os recursos existentes do Azure em um estado compatível.

  • Considere usar o recurso de gerenciamento de direitos do Microsoft Entra para automatizar fluxos de trabalho de solicitação de acesso do Azure, atribuições de acesso, revisões e expiração.

  • Use as recomendações do Consultor do Azure para garantir a otimização de custos e a excelência operacional no Azure, que são princípios fundamentais do Microsoft Azure Well-Architected Framework.

As zonas de aterrissagem do Azure Bicep—repositório de fluxo de implantação contém modelos de implantação do Bicep que podem acelerar suas implantações de zonas de aterrissagem do Azure greenfield e brownfield. Esses modelos integraram as diretrizes de governança de práticas comprovadas da Microsoft.

Considere usar o módulo Bicep de atribuições de política padrão da zona de aterrissagem do Azure para obter uma vantagem inicial na garantia de conformidade para seus ambientes do Azure.

Para obter mais informações, consulte Considerações sobre o ambiente Brownfield.

Visão geral da área de design

A jornada de adoção da nuvem da sua organização começa com controles rígidos para ambientes governamentais.

A governança fornece mecanismos e processos para manter o controle sobre plataformas, aplicativos e recursos no Azure.

Diagrama que mostra o design de governança da zona de pouso.

Explore as seguintes considerações e recomendações para tomar decisões informadas ao planejar sua zona de pouso.

A área de design de governança se concentra nas decisões de design para sua zona de pouso. Para obter informações sobre processos e ferramentas de governança, consulte Governar no Cloud Adoption Framework for Azure.

Considerações sobre governança do Azure

A Política do Azure ajuda a garantir a segurança e a conformidade para propriedades técnicas empresariais. A Política do Azure pode impor convenções vitais de gerenciamento e segurança nos serviços da plataforma Azure. A Política do Azure complementa o RBAC (controle de acesso baseado em função) do Azure, que controla ações para usuários autorizados. O Gerenciamento de Custos também pode ajudar a dar suporte aos seus custos e gastos contínuos de governança no Azure ou em outros ambientes multicloud.

Considerações sobre implementação

Os conselhos consultivos de mudança podem prejudicar a inovação e a agilidade dos negócios da sua organização. O Azure Policy substitui essas revisões por guarda-corpos automatizados e auditorias de aderência para melhorar a eficiência da carga de trabalho.

  • Determine quais políticas do Azure você precisa com base em seus controles de negócios ou regulamentos de conformidade. Use as políticas incluídas no acelerador de zona de aterrissagem do Azure como ponto de partida.

  • Use os exemplos de blueprint baseados em padrões para considerar outras políticas que possam estar alinhadas aos seus requisitos de negócios.

  • Aplique convenções automatizadas de rede, identidade, gerenciamento e segurança.

  • Use definições de política para gerenciar e criar atribuições de política e reutilizá-las em vários escopos de atribuição herdados. Você pode ter atribuições de políticas de linha de base centralizadas nos escopos de gerenciamento, assinatura e grupo de recursos.

  • Incorpore relatórios e auditorias de conformidade para garantir a conformidade contínua.

  • Entenda que a Política do Azure tem limites, como a restrição de definições em qualquer escopo específico.

  • Compreender as políticas de conformidade regulamentar, como os critérios de serviços de confiança HIPAA, PCI-DSS ou SOC 2.

Considerações sobre gerenciamento de custos

  • Considere a estrutura do custo e do modelo de recarga da sua organização. Determine os principais pontos de dados que transmitem com precisão seus gastos com serviços de nuvem.

  • Escolha a estrutura de etiquetas que se adapta ao seu custo e modelo de recarga para ajudar a controlar os seus gastos na nuvem.

  • Use a calculadora de preços do Azure para estimar os custos mensais esperados para usar produtos do Azure.

  • Obtenha o Benefício Híbrido do Azure para ajudar a reduzir o custo de execução das suas cargas de trabalho na nuvem. Você pode usar suas licenças locais do Windows Server e do SQL Server habilitadas para Software Assurance no Azure. Você também pode usar assinaturas Red Hat e SUSE Linux.

  • Obtenha reservas do Azure e comprometa-se com planos de um ou três anos para vários produtos. Os planos de reserva oferecem descontos de recursos, o que pode reduzir significativamente os custos de recursos em até 72% em comparação com os preços pré-pagos.

  • Obtenha o plano de poupança do Azure para computação para poupar até 65% em comparação com os preços pré-pagos. Escolha um compromisso de um ou três anos que se aplique a serviços de computação, independentemente da sua região, tamanho da instância ou sistema operacional. Escolha um plano para componentes de computação, como máquinas virtuais, hosts dedicados, instâncias de contêiner, funções premium do Azure e serviços de aplicativo do Azure. Combine um plano de poupança do Azure com reservas do Azure para otimizar o custo de computação e a flexibilidade.

  • Use as políticas do Azure para permitir regiões específicas, tipos de recursos e SKUs de recursos.

  • Use a política baseada em regras do gerenciamento do ciclo de vida do Armazenamento do Azure para mover dados de blob para as camadas de acesso apropriadas ou para expirar dados no final do ciclo de vida dos dados.

  • Use as assinaturas de desenvolvimento/teste do Azure para obter um desconto no acesso para selecionar serviços do Azure para cargas de trabalho que não sejam de produção.

  • Use o dimensionamento automático para alocar e desalocar recursos dinamicamente para atender às suas necessidades de desempenho, o que economiza dinheiro.

  • Utilize as Máquinas Virtuais Spot do Azure para tirar partido da capacidade de computação não utilizada a um baixo custo. As máquinas virtuais spot são ótimas para cargas de trabalho que podem lidar com interrupções, por exemplo, trabalhos de processamento em lote, ambientes de desenvolvimento/teste e cargas de trabalho de computação grande.

  • Selecione os serviços do Azure certos para ajudar a reduzir custos. Alguns serviços do Azure são gratuitos por 12 meses e alguns são sempre gratuitos.

  • Selecione o serviço de computação certo para seu aplicativo para ajudar a melhorar a eficiência de custos. O Azure oferece muitas formas de alojar o seu código.

Considerações sobre gerenciamento de recursos

  • Determine se os grupos de recursos em seu ambiente podem compartilhar as configurações necessárias, um ciclo de vida comum ou restrições de acesso comuns (como RBAC) para ajudar a fornecer consistência.

  • Escolha um design de assinatura de aplicativo ou carga de trabalho que seja apropriado para suas necessidades de operação.

  • Use configurações de recursos padrão em sua organização para garantir uma configuração de linha de base consistente.

Considerações de segurança

  • Aplique ferramentas e guarda-corpos em todo o ambiente como parte de uma linha de base de segurança.

  • Notifique as pessoas apropriadas quando encontrar desvios.

  • Considere usar a Política do Azure para impor ferramentas, como o Microsoft Defender for Cloud, ou guardrails, como o benchmark de segurança na nuvem da Microsoft.

Considerações sobre gerenciamento de identidades

  • Determine quem tem acesso aos logs de auditoria para gerenciamento de identidade e acesso.

  • Notifique as pessoas apropriadas quando ocorrerem eventos suspeitos de início de sessão.

  • Considere o uso de relatórios do Microsoft Entra para controlar a atividade.

  • Considere enviar logs de ID do Microsoft Entra para o espaço de trabalho central Azure Monitor Logs da plataforma.

  • Explore os recursos de Governança de ID do Microsoft Entra, como revisões de acesso e gerenciamento de direitos.

Ferramentas que não são da Microsoft

  • Use AzAdvertizer para obter atualizações de governança do Azure. Por exemplo, você pode encontrar informações sobre definições de política, iniciativas, aliases, segurança e controles de conformidade regulatória na Política do Azure ou nas definições de função do RBAC do Azure. Você também pode obter informações sobre as operações do provedor de recursos, definições de função e ações de função do Microsoft Entra e permissões de API de primeira parte.

  • Use o Visualizador de Governança do Azure para acompanhar seu patrimônio de governança técnica. Você pode usar o recurso de verificador de versão de política para zonas de aterrissagem do Azure para manter seu ambiente atualizado com o estado de liberação de política de zona de aterrissagem do Azure mais recente.

Recomendações de governança do Azure

Recomendações de aceleração de implantação

  • Identifique as marcas do Azure necessárias e use o modo de política de acréscimo para impor o uso. Para obter mais informações, consulte Definir sua estratégia de marcação.

  • Mapeie os requisitos regulatórios e de conformidade para definições de Política do Azure e atribuições de função do Azure.

  • Estabeleça definições de Política do Azure no grupo de gerenciamento raiz de nível superior porque elas podem ser atribuídas em escopos herdados.

  • Gerencie atribuições de políticas no nível mais alto apropriado com exclusões nos níveis inferiores, se necessário.

  • Use a Política do Azure para controlar os registros do provedor de recursos nos níveis de assinatura ou grupo de gerenciamento.

  • Use políticas internas para minimizar a sobrecarga operacional.

  • Atribua a função interna de Colaborador da Política de Recursos em um escopo específico para habilitar a governança no nível do aplicativo.

  • Limite o número de atribuições da Política do Azure no escopo do grupo de gerenciamento raiz para evitar o gerenciamento de exclusões em escopos herdados.

Recomendações de gestão de custos

  • Use o Gerenciamento de Custos para implementar a supervisão financeira dos recursos em seu ambiente.

  • Use tags, como o centro de custo ou o nome do projeto, para acrescentar os metadados do recurso. Essa abordagem ajuda a permitir a análise granular de despesas.

Governança do Azure no acelerador de zona de aterrissagem do Azure

O acelerador de zona de aterrissagem do Azure fornece às organizações controles de governança maduros.

Por exemplo, você pode implementar:

  • Uma hierarquia de grupo de gerenciamento que agrupa recursos por função ou tipo de carga de trabalho. Esta abordagem incentiva a coerência dos recursos.

  • Um conjunto avançado de políticas do Azure que permite controles de governança no nível do grupo de gerenciamento. Essa abordagem ajuda a verificar se todos os recursos estão no escopo.