Azure enterprise scaffold: Governança de assinatura prescritiva

  • Artigo

Nota

O andaime empresarial do Azure foi integrado no Microsoft Cloud Adoption Framework. O conteúdo deste artigo está agora representado na metodologia Ready do quadro. Este artigo será preterido no início de 2020. Para começar a usar o novo processo, consulte a visão geral da metodologia Ready, as zonas de aterrissagem do Azure e as considerações sobre a zona de aterrissagem.

As empresas estão adotando cada vez mais a nuvem pública por sua agilidade e flexibilidade. Eles confiam nos pontos fortes da nuvem para gerar receita e otimizar o uso de recursos para o negócio. O Microsoft Azure fornece uma infinidade de serviços e recursos que as empresas montam como blocos de construção para lidar com uma ampla variedade de cargas de trabalho e aplicativos.

Decidir usar o Microsoft Azure é apenas o primeiro passo para alcançar o benefício da nuvem. A segunda etapa é entender como a empresa pode usar efetivamente o Azure e identificar os recursos de linha de base que precisam estar em vigor para resolver questões como:

  • "Estou preocupado com a soberania dos dados; como posso garantir que os meus dados e sistemas cumprem os nossos requisitos regulamentares?"
  • "Como posso saber o que cada recurso está suportando para que eu possa contabilizá-lo e cobrá-lo de volta com precisão?"
  • "Quero ter certeza de que tudo o que implantamos ou fazemos na nuvem pública começa com a mentalidade de segurança primeiro, como posso ajudar a facilitar isso?"

A perspetiva de uma assinatura vazia sem guarda-corpos é assustadora. Esse espaço em branco pode dificultar sua mudança para o Azure.

Este artigo fornece um ponto de partida para os profissionais técnicos abordarem a necessidade de governança e equilibrá-la com a necessidade de agilidade. Ele introduz o conceito de um andaime corporativo que orienta as organizações na implementação e gerenciamento de seus ambientes do Azure de forma segura. Proporciona o quadro para o desenvolvimento de controlos eficazes e eficientes.

Necessidade de governação

Ao mudar para o Azure, você deve abordar o tópico de governança com antecedência para garantir o uso bem-sucedido da nuvem dentro da empresa. Infelizmente, o tempo e a burocracia de criar um sistema de governança abrangente significa que alguns grupos empresariais vão diretamente para os provedores sem envolver a TI corporativa. Essa abordagem pode deixar a empresa aberta a compromissos se os recursos não forem gerenciados corretamente. As características da nuvem pública — agilidade, flexibilidade e preços baseados no consumo — são importantes para grupos de negócios que precisam atender rapidamente às demandas dos clientes (internos e externos). Mas a TI corporativa precisa garantir que os dados e sistemas sejam efetivamente protegidos.

Ao criar um edifício, os andaimes são usados para criar a base de uma estrutura. O andaime orienta o contorno geral e fornece pontos de ancoragem para a montagem de sistemas mais permanentes. Um andaime empresarial é o mesmo: um conjunto de controles flexíveis e recursos do Azure que fornecem estrutura para o ambiente e âncoras para serviços criados na nuvem pública. Ele fornece aos construtores (TI e grupos de negócios) uma base para criar e anexar novos serviços tendo em mente a velocidade de entrega.

O andaime é baseado em práticas que reunimos de muitos compromissos com clientes de vários tamanhos. Esses clientes vão desde pequenas organizações que desenvolvem soluções na nuvem até grandes empresas multinacionais e fornecedores independentes de software que estão migrando cargas de trabalho e desenvolvendo soluções nativas da nuvem. O andaime empresarial é "criado com propósito" para ser flexível para suportar cargas de trabalho de TI tradicionais e cargas de trabalho ágeis, como desenvolvedores que criam aplicativos de software como serviço (SaaS) com base nos recursos da plataforma Azure.

O andaime corporativo pode servir como a base de cada nova assinatura no Azure. Ele permite que os administradores garantam que as cargas de trabalho atendam aos requisitos mínimos de governança de uma organização sem impedir que grupos de negócios e desenvolvedores atinjam rapidamente suas próprias metas. Nossa experiência mostra que isso acelera muito, em vez de impedir, o crescimento da nuvem pública.

Nota

A Microsoft lançou em pré-visualização um novo recurso chamado Azure Blueprints que permitirá empacotar, gerenciar e implantar imagens, modelos, políticas e scripts comuns em assinaturas e grupos de gerenciamento. Esse recurso é a ponte entre a finalidade do andaime como modelo de referência e a implantação desse modelo em sua organização.

A imagem seguinte mostra os componentes do andaime. A fundação conta com um plano sólido para a hierarquia de gerenciamento e assinaturas. Os pilares consistem em políticas do Resource Manager e fortes padrões de nomenclatura. O restante do andaime são os principais recursos e recursos do Azure que habilitam e conectam um ambiente seguro e gerenciável.

Enterprise scaffold

Defina a sua hierarquia

A base do andaime é a hierarquia e a relação da inscrição no Enterprise Agreement (EA) até assinaturas e grupos de recursos. A inscrição define a forma e o uso dos serviços do Azure em sua empresa de um ponto de vista contratual. No Enterprise Agreement, você pode subdividir ainda mais o ambiente em departamentos, contas, assinaturas e grupos de recursos para corresponder à estrutura da sua organização.

Hierarchy

Uma assinatura do Azure é a unidade básica onde todos os recursos estão contidos. Ele também define vários limites no Azure, como número de núcleos, redes virtuais e outros recursos. Os grupos de recursos são usados para refinar ainda mais o modelo de assinatura e permitir um agrupamento mais natural de recursos.

Cada empresa é diferente e a hierarquia na imagem acima permite uma flexibilidade significativa na forma como o Azure está organizado na sua empresa. Modelar sua hierarquia para refletir as necessidades de faturamento, gerenciamento de recursos e acesso a recursos da sua empresa é a primeira e mais importante decisão que você toma ao iniciar na nuvem pública.

Departamentos e contas

Os três padrões comuns para inscrições EA são:

  • O padrão funcional :

    Diagram of the functional pattern.

  • O padrão da unidade de negócios:

    Diagram of the business unit pattern.

  • O padrão geográfico :

    Diagram of the geographic pattern.

Embora esses padrões tenham seu lugar, o padrão da unidade de negócios está sendo cada vez mais adotado por sua flexibilidade na modelagem do modelo de custos de uma organização, bem como refletindo a amplitude de controle. O grupo principal de engenharia e operações da Microsoft criou um subconjunto eficaz do padrão de unidade de negócios modelado em Federal, Estadual e Local. Para obter mais informações, consulte Organizando suas assinaturas e grupos de recursos.

Grupos de gestão do Azure

A Microsoft agora fornece outra maneira de modelar sua hierarquia: grupos de gerenciamento do Azure. Os grupos de gerenciamento são muito mais flexíveis do que departamentos e contas, e podem ser aninhados em até seis níveis. Os grupos de gestão permitem-lhe criar uma hierarquia separada da sua hierarquia de faturação, exclusivamente para uma gestão eficiente dos recursos. Os grupos de gerenciamento podem espelhar sua hierarquia de faturamento e, muitas vezes, as empresas começam dessa forma. No entanto, o poder dos grupos de gerenciamento é quando você os usa para modelar sua organização, agrupando assinaturas relacionadas (independentemente de sua localização na hierarquia de cobrança) e atribuindo funções, políticas e iniciativas comuns. Alguns exemplos incluem:

  • Produção vs. não produção. Algumas empresas criam grupos de gestão para identificar as suas subscrições de produção e não produção. Os grupos de gestão permitem a estes clientes gerir funções e políticas mais facilmente. Por exemplo, a assinatura de não produção pode permitir que os desenvolvedores tenham acesso de "colaborador", mas na produção, eles têm apenas acesso de "leitor".
  • Serviços internos vs. serviços externos. As empresas geralmente têm requisitos, políticas e funções diferentes para serviços internos versus serviços voltados para o cliente.

Grupos de gerenciamento bem projetados são, juntamente com a Política do Azure e iniciativas de política, a espinha dorsal da governança eficiente do Azure.

Subscrições

Ao decidir sobre seus departamentos e contas (ou grupos de gerenciamento), você está avaliando principalmente como organizar seu ambiente do Azure para corresponder à sua organização. No entanto, as assinaturas são onde o trabalho real acontece, e suas decisões aqui afetam a segurança, a escalabilidade e o faturamento. Muitas organizações usam os seguintes padrões como guias:

  • Aplicação/serviço: As subscrições representam uma aplicação ou um serviço (portefólio de aplicações)
  • Ciclo de vida: as assinaturas representam um ciclo de vida de um serviço, como Production ou Development.
  • Departamento: As subscrições representam departamentos na organização.

Os dois primeiros padrões são os mais comumente usados, e ambos são altamente recomendados. A abordagem de ciclo de vida é adequada para a maioria das organizações. Nesse caso, a recomendação geral é usar duas assinaturas base e, em Nonproductionseguida, Production usar grupos de recursos para separar ainda mais os ambientes.

Grupos de recursos

O Azure Resource Manager permite-lhe organizar recursos em grupos significativos para gestão, faturação ou afinidade natural. Os grupos de recursos são contêineres de recursos que têm um ciclo de vida comum ou compartilham um atributo como All SQL servers ou Application A.

Os grupos de recursos não podem ser aninhados e os recursos apenas podem pertencer a um grupo de recursos. Algumas ações podem ser realizadas em todos os recursos num grupo de recursos. Por exemplo, excluir um grupo de recursos remove todos os recursos dentro do grupo de recursos. Como as assinaturas, há padrões comuns ao criar grupos de recursos e variam de cargas de trabalho de TI tradicionais a cargas de trabalho de TI ágeis:

  • As cargas de trabalho de TI tradicionais geralmente são agrupadas por itens dentro do mesmo ciclo de vida, como um aplicativo. O agrupamento por aplicação permite a gestão de aplicações individuais.
  • As cargas de trabalho ágeis de TI tendem a se concentrar em aplicativos de nuvem externos voltados para o cliente. Os grupos de recursos geralmente refletem as camadas de implantação (como uma camada da Web ou camada de aplicativo) e gerenciamento.

Nota

Compreender sua carga de trabalho ajuda a desenvolver uma estratégia de grupo de recursos. Estes padrões podem ser misturados e combinados. Por exemplo, um grupo de recursos de serviços compartilhados pode residir na mesma assinatura que os grupos de recursos de carga de trabalho ágil.

Padrões de nomenclatura

O primeiro pilar do andaime é um padrão de nomenclatura consistente. Padrões de nomenclatura bem projetados permitem que você identifique recursos no portal, em uma fatura e em scripts. Você provavelmente já tem padrões de nomenclatura existentes para infraestrutura local. Ao adicionar o Azure ao seu ambiente, deve alargar esses padrões de nomenclatura aos recursos do Azure.

Gorjeta

Para convenções de nomenclatura:

  • Revise e adote as diretrizes de nomenclatura e marcação do Cloud Adoption Framework sempre que possível. Esta orientação ajuda você a decidir sobre um padrão de nomenclatura significativo e fornece exemplos extensos.
  • Usando políticas do Gerenciador de Recursos para ajudar a impor padrões de nomenclatura.

Lembre-se de que é difícil mudar os nomes mais tarde, por isso alguns minutos agora poupar-lhe-ão problemas mais tarde.

Concentre seus padrões de nomenclatura nos recursos mais comumente usados e pesquisados. Por exemplo, todos os grupos de recursos devem seguir um padrão forte de clareza.

Etiquetas de recursos

As tags de recursos estão totalmente alinhadas com os padrões de nomenclatura. À medida que os recursos são adicionados às assinaturas, torna-se cada vez mais importante categorizá-los logicamente para fins de cobrança, gerenciamento e operacionais. Para obter mais informações, consulte Usar marcas para organizar seus recursos do Azure.

Importante

As etiquetas podem conter informações pessoais e podem ser abrangidas pelos regulamentos do RGPD. Planeie cuidadosamente a gestão das suas etiquetas. Se estiver à procura de informações gerais sobre o RGPD, consulte a secção RGPD do Portal de Confiança de Serviços da Microsoft.

As tags são usadas de muitas maneiras além do faturamento e do gerenciamento. São frequentemente utilizados como parte da automatização (ver secção posterior). Isso pode causar conflitos se não for considerado antecipadamente. A prática recomendada é identificar todas as tags comuns no nível corporativo (como ApplicationOwner e ) e CostCenteraplicá-las de forma consistente ao implantar recursos usando automação.

Política e iniciativas do Azure

O segundo pilar do andaime envolve o uso da Política do Azure e iniciativas para gerenciar riscos, impondo regras (com efeitos) sobre os recursos e serviços em suas assinaturas. As iniciativas de Política do Azure são conjuntos de políticas concebidas para atingir um único objetivo. As políticas e iniciativas são então atribuídas a um escopo de recursos para iniciar a aplicação dessas políticas.

Políticas e iniciativas são ainda mais poderosas quando usadas com os grupos de gestão mencionados anteriormente. Os grupos de gerenciamento permitem a atribuição de uma iniciativa ou política a um conjunto inteiro de assinaturas.

Usos comuns das políticas do Resource Manager

As políticas e iniciativas são poderosas ferramentas do Azure. As políticas permitem que as empresas forneçam controles para cargas de trabalho de TI tradicionais que fornecem estabilidade para aplicativos de linha de negócios, ao mesmo tempo em que permitem o desenvolvimento mais ágil da carga de trabalho, como o desenvolvimento de aplicativos de clientes sem expor a empresa a riscos adicionais. Os padrões mais comuns para as políticas são:

  • Geo-conformidade e soberania de dados. O Azure tem uma lista cada vez maior de regiões em todo o mundo. Muitas vezes, as empresas precisam garantir que os recursos em um escopo específico permaneçam em uma região geográfica para atender aos requisitos regulamentares.
  • Evite expor os servidores publicamente. A Política do Azure pode proibir a implantação de determinados tipos de recursos. É comum criar uma política para negar a criação de um IP público dentro de um escopo específico, evitando a exposição não intencional de um servidor à internet.
  • Gestão de custos e metadados. As tags de recursos geralmente são usadas para adicionar dados de faturamento importantes a recursos e grupos de recursos, como CostCenter e Owner. Essas tags são inestimáveis para o faturamento preciso e o gerenciamento de recursos. As políticas podem impor a aplicação de tags de recursos a todos os recursos implantados, facilitando o gerenciamento.

Utilizações comuns das iniciativas

As iniciativas fornecem às empresas a capacidade de agrupar políticas lógicas e rastreá-las como uma única entidade. As iniciativas ajudam a empresa a atender às necessidades de cargas de trabalho ágeis e tradicionais. As utilizações comuns das iniciativas incluem:

  • Habilite o monitoramento no Microsoft Defender for Cloud. Esta é uma iniciativa padrão na Política do Azure e um excelente exemplo do que são iniciativas. Ele permite políticas que identificam bancos de dados SQL não criptografados, vulnerabilidades de máquina virtual (VM) e necessidades mais comuns relacionadas à segurança.
  • Iniciativa específica em matéria de regulamentação. As empresas geralmente agrupam políticas comuns a um requisito regulatório (como a HIPAA) para que os controles e a conformidade com esses controles sejam rastreados de forma eficiente.
  • Tipos de recursos e SKUs. Criar uma iniciativa que restrinja os tipos de recursos que podem ser implantados, bem como as SKUs que podem ser implantadas, pode ajudar a controlar os custos e garantir que sua organização esteja implantando apenas recursos que sua equipe tem o conjunto de habilidades e procedimentos para dar suporte.

Gorjeta

Recomendamos que você sempre use definições de iniciativa em vez de definições de política. Depois de atribuir uma iniciativa a um escopo, como assinatura ou grupo de gerenciamento, você pode facilmente adicionar outra política à iniciativa sem precisar alterar nenhuma atribuição. Isso torna a compreensão do que é aplicado e o acompanhamento da conformidade muito mais fácil.

Atribuições de políticas e iniciativas

Depois de criar políticas e agrupá-las em iniciativas lógicas, você deve atribuir a política a um escopo, como um grupo de gerenciamento, uma assinatura ou um grupo de recursos. As atribuições permitem que você também exclua um subescopo da atribuição de uma política. Por exemplo, se você negar a criação de IPs públicos em uma assinatura, poderá criar uma atribuição com exclusão para um grupo de recursos conectado à sua DMZ protegida.

Exemplos que mostram como políticas e iniciativas podem ser aplicadas a recursos no Azure estão disponíveis no azure-policy repositório GitHub.

Gestão de identidades e acessos

As principais perguntas a serem feitas ao adotar a nuvem pública são "Quem deve ter acesso aos recursos?" e "Como faço para controlar esse acesso?" Controlar o acesso ao portal e aos recursos do Azure é fundamental para a segurança a longo prazo dos seus ativos na nuvem.

Para proteger o acesso aos seus recursos, você primeiro configurará seu provedor de identidade e, em seguida, configurará funções e acesso. O Microsoft Entra ID, conectado ao seu Ative Directory local, é a base da identidade no Azure. No entanto, o Microsoft Entra ID não é o mesmo que o Ative Directory local, e é importante entender o que é um locatário do Microsoft Entra e como ele se relaciona com seu registro. Analise o gerenciamento de acesso a recursos no Azure para obter uma compreensão sólida da ID do Microsoft Entra e do Ative Directory local. Para conectar e sincronizar seu diretório local com o Microsoft Entra ID, instale e configure a ferramenta Microsoft Entra Connect local.

Diagram of an architecture that includes both Microsoft Entra ID and an on-premises Active Directory instance.

Quando o Azure foi lançado originalmente, os controles de acesso a uma assinatura eram básicos: os usuários podiam receber uma função de Administrador ou Coadministrador. O acesso a uma subscrição neste modelo clássico implicava o acesso a todos os recursos do portal. Essa falta de controle refinado levou à proliferação de assinaturas para fornecer um nível razoável de controle de acesso para uma inscrição. Esta proliferação de subscrições já não é necessária. Com o RBAC (controle de acesso baseado em função) do Azure, você pode atribuir usuários a funções padrão, como Proprietário, Colaborador ou Leitor, que fornecem permissões comuns ou até mesmo criar suas próprias funções.

Ao implementar o controle de acesso baseado em função do Azure, as seguintes práticas são altamente recomendadas:

  • Controle as funções de Administrador e Coadministrador de uma assinatura, pois essas funções têm permissões extensas. Você só precisará adicionar o proprietário da assinatura como Coadministrador se ele precisar gerenciar implantações clássicas do Azure.
  • Use grupos de gerenciamento para atribuir funções em várias assinaturas e reduzir a carga de gerenciá-las no nível da assinatura.
  • Adicione usuários do Azure a um grupo (por exemplo, Application X Owners) no Ative Directory. Use o grupo sincronizado para fornecer aos membros do grupo os direitos apropriados para gerenciar o grupo de recursos que contém o aplicativo.
  • Siga o princípio de conceder o menor privilégio necessário para fazer o trabalho esperado.

Importante

Considere usar o Microsoft Entra Privileged Identity Management, a autenticação multifator do Azure e os recursos de Acesso Condicional do Microsoft Entra para fornecer melhor segurança e mais visibilidade às ações administrativas em suas assinaturas do Azure. Esses recursos vêm de uma licença válida do Microsoft Entra ID P1 ou P2 (dependendo do recurso) para proteger e gerenciar ainda mais sua identidade. O Microsoft Entra PIM permite o acesso administrativo just-in-time com fluxo de trabalho de aprovação, bem como uma auditoria completa das ativações e atividades do administrador. A autenticação multifator do Azure é outro recurso crítico e permite a verificação em duas etapas para entrar no portal do Azure. Quando combinado com os controles de Acesso Condicional do Microsoft Entra, você pode gerenciar efetivamente seu risco de comprometimento.

Planejar e preparar seus controles de identidade e acesso e seguir as práticas recomendadas de gerenciamento de identidade do Azure é uma das melhores estratégias de redução de risco que você pode empregar e deve ser considerada obrigatória para cada implantação.

Segurança

Um dos maiores obstáculos à adoção da nuvem tradicionalmente tem sido a preocupação com a segurança. Os gerentes de risco de TI e os departamentos de segurança precisam garantir que os recursos no Azure estejam protegidos e seguros por padrão. O Azure fornece recursos que você pode usar para proteger recursos enquanto deteta e elimina ameaças contra esses recursos.

Microsoft Defender para a Cloud

O Microsoft Defender for Cloud fornece uma visão unificada do status de segurança dos recursos em seu ambiente, além de proteção avançada contra ameaças. O Defender for Cloud é uma plataforma aberta que permite aos parceiros da Microsoft criar software que se liga e melhora as suas capacidades. Os recursos de linha de base do nível gratuito do Defender for Cloud fornecem avaliações e recomendações que aprimoram sua postura de segurança. Seus níveis pagos permitem recursos adicionais e valiosos, como acesso privilegiado just-in-time e controles de aplicativos adaptáveis (listas de permissões).

Gorjeta

O Defender for Cloud é uma ferramenta poderosa que é regularmente melhorada com novas capacidades que pode utilizar para detetar ameaças e proteger a sua empresa. É altamente recomendável sempre ativar o Defender for Cloud.

Bloqueios para recursos do Azure

À medida que sua organização adiciona serviços essenciais às assinaturas, torna-se cada vez mais importante evitar interrupções nos negócios. Uma interrupção comum ocorre quando um script ou ferramenta em execução em uma assinatura do Azure exclui involuntariamente um recurso. Os bloqueios restringem operações em recursos de alto valor onde modificá-los ou excluí-los teria um impacto significativo. Você pode aplicar bloqueios a assinaturas, grupos de recursos ou recursos individuais. Aplique bloqueios a recursos fundamentais, como redes virtuais, gateways, grupos de segurança de rede e contas de armazenamento de chaves.

Kit de DevOps Seguro para Azure

O Secure DevOps Kit for Azure (AzSK) é uma coleção de scripts, ferramentas, extensões e recursos de automação originalmente criados pela própria equipe de TI da Microsoft e lançados como código aberto via GitHub. O AzSK atende às necessidades completas de assinatura e segurança de recursos do Azure para equipes que usam automação extensiva e integração suave de segurança em fluxos de trabalho de DevOps nativos, ajudando a realizar DevOps seguros com estas seis áreas de foco:

  • Proteger a subscrição
  • Habilite o desenvolvimento seguro
  • Integre a segurança em CI/CD
  • Garantia contínua
  • Alerta e monitorização
  • Governança de risco na nuvem

Overview diagram of the Secure DevOps Kit for Azure

O AzSK é um rico conjunto de ferramentas, scripts e informações que são uma parte importante de um plano de governança completo do Azure e incorporá-lo ao seu andaime é crucial para dar suporte às metas de gerenciamento de risco de sua organização.

Gestão de Atualizações do Azure

Uma das principais tarefas que você pode fazer para manter seu ambiente seguro é garantir que seus servidores sejam corrigidos com as atualizações mais recentes. Embora existam muitas ferramentas para fazer isso, o Azure fornece a solução Azure Update Management para abordar a identificação e a distribuição de patches críticos do sistema operacional. Ele usa a Automação do Azure, abordada na seção Automatizar mais adiante neste guia.

Monitorização e alertas

Coletar e analisar a telemetria que fornece linha de visão para as atividades, métricas de desempenho, integridade e disponibilidade dos serviços que você está usando em suas assinaturas do Azure é fundamental para gerenciar proativamente seus aplicativos e infraestrutura e é uma necessidade fundamental de cada assinatura do Azure. Cada serviço do Azure emite telemetria na forma de logs de atividade, métricas e logs de diagnóstico.

  • Os registos de atividades descrevem todas as operações realizadas em recursos nas suas subscrições.
  • As métricas são informações numéricas emitidas por um recurso que descrevem o desempenho e a integridade de um recurso.
  • Os logs de diagnóstico são emitidos por um serviço do Azure e fornecem dados ricos e frequentes sobre a operação desse serviço.

Estas informações podem ser visualizadas e postas em prática a vários níveis e estão continuamente a ser melhoradas. O Azure fornece recursos de monitoramento compartilhados, principais e profundos dos recursos do Azure por meio dos serviços descritos no diagrama a seguir.

Diagram that depicts deep application monitoring, deep infrastructure monitoring, core monitoring, and shared capabilities.

Capacidades partilhadas

  • Alertas: você pode coletar todos os logs, eventos e métricas dos recursos do Azure, mas sem a capacidade de ser notificado sobre condições críticas e agir, esses dados só são úteis para fins históricos e forenses. Os alertas do Azure notificam-no proativamente sobre as condições que define em todas as suas aplicações e infraestruturas. Você cria regras de alerta em logs, eventos e métricas que usam grupos de ações para notificar conjuntos de destinatários. Os grupos de ação também fornecem a capacidade de automatizar a correção usando ações externas, como webhooks para executar runbooks de Automação do Azure e Azure Functions.

  • Dashboards: os dashboards permitem-lhe agregar vistas de monitorização e combinar dados entre recursos e subscrições para lhe dar uma vista de toda a empresa sobre a telemetria dos recursos do Azure. Você pode criar e configurar suas próprias visualizações e compartilhá-las com outras pessoas. Por exemplo, você pode criar um painel que consiste em vários blocos para que os administradores de banco de dados forneçam informações em todos os serviços de banco de dados do Azure, incluindo o Banco de Dados SQL do Azure, o Banco de Dados do Azure para PostgreSQL e o Banco de Dados do Azure para MySQL.

  • Explorador de Métricas: as métricas são valores numéricos gerados pelos recursos do Azure (percentagem de CPU ou métricas de E/S de disco) que fornecem informações sobre a operação e o desempenho dos seus recursos. Usando o Metrics Explorer, você pode definir e enviar as métricas que lhe interessam para o Log Analytics para agregação e análise.

Monitorização principal

  • Azure Monitor: o Azure Monitor é o serviço de plataforma principal que fornece uma única fonte para monitorar recursos do Azure. A interface do portal do Azure do Azure Monitor fornece um ponto de partida centralizado para todos os recursos de monitoramento no Azure, incluindo os recursos de monitoramento profundo do Application Insights, Log Analytics, monitoramento de rede, soluções de gerenciamento e mapas de serviço. Com o Azure Monitor, você pode visualizar, consultar, rotear, arquivar e agir de acordo com as métricas e logs provenientes dos recursos do Azure em todo o seu patrimônio na nuvem. Além do portal, você pode recuperar dados por meio dos cmdlets do Azure Monitor PowerShell, CLI de plataforma cruzada ou APIs REST do Azure Monitor.

  • Azure Advisor: o Azure Advisor monitoriza constantemente a telemetria nas suas subscrições e ambientes. Ele também recomenda práticas recomendadas para otimizar os recursos do Azure e melhorar o desempenho, a segurança e a disponibilidade dos recursos do aplicativo.

  • Azure Service Health: O Azure Service Health identifica quaisquer problemas com os serviços do Azure que possam afetar seus aplicativos, além de ajudá-lo a planejar janelas de manutenção agendada.

  • Registo de atividades: o registo de atividades descreve todas as operações em recursos nas suas subscrições. Ele fornece uma trilha de auditoria para determinar o quê, quem e quando de qualquer operação CRUD (criar, atualizar, excluir) em recursos. Os eventos do registo de atividades são armazenados na plataforma e ficam disponíveis para consulta durante 90 dias. Você pode ingerir logs de atividade no Log Analytics para períodos de retenção mais longos e consultas e análises mais profundas em vários recursos.

Monitorização aprofundada de aplicações

  • Application Insights: o Application Insights permite coletar telemetria específica do aplicativo e monitorar o desempenho, a disponibilidade e o uso de aplicativos na nuvem ou no local. Instrumentando seu aplicativo com SDKs suportados para várias linguagens, incluindo .NET, JavaScript, Java, Node.js, Ruby e Python. Os eventos do Application Insights são ingeridos no mesmo armazenamento de dados do Log Analytics que oferece suporte ao monitoramento de infraestrutura e segurança para permitir que você correlacione e agregue eventos ao longo do tempo por meio de uma linguagem de consulta avançada.

Monitorização aprofundada das infraestruturas

  • Análise de Log: o Log Analytics desempenha um papel central no monitoramento do Azure, coletando telemetria e outros dados de várias fontes e fornecendo uma linguagem de consulta e um mecanismo de análise que fornece informações sobre a operação de seus aplicativos e recursos. Você pode interagir diretamente com os dados do Log Analytics por meio de pesquisas e exibições rápidas de log, ou pode usar ferramentas de análise em outros serviços do Azure que armazenam seus dados no Log Analytics, como o Application Insights ou o Microsoft Defender for Cloud.

  • Monitoramento de rede: os serviços de monitoramento de rede do Azure permitem que você obtenha informações sobre o fluxo de tráfego de rede, desempenho, segurança, conectividade e gargalos. Um design de rede bem planejado deve incluir a configuração de serviços de monitoramento de rede do Azure, como o Inspetor de Rede e o Monitor de Rota Expressa.

  • Soluções de gerenciamento: as soluções de gerenciamento são conjuntos empacotados de lógica, insights e consultas predefinidas do Log Analytics para um aplicativo ou serviço. Eles contam com o Log Analytics como base para armazenar e analisar dados de eventos. As soluções de gerenciamento de exemplo incluem contêineres de monitoramento e análises do Banco de Dados SQL do Azure.

  • Mapa de Serviços: o Mapa de Serviços fornece uma visão gráfica dos componentes da infraestrutura, seus processos e interdependências com outros computadores e processos externos. Integra eventos, dados de desempenho e soluções de gestão no Log Analytics.

Gorjeta

Antes de criar alertas individuais, crie e mantenha um conjunto de grupos de ação compartilhados que podem ser usados em alertas do Azure. Isso permitirá que você mantenha centralmente o ciclo de vida de suas listas de destinatários, métodos de entrega de notificação (email, números de telefone SMS) e webhooks para ações externas (runbooks de Automação do Azure, Azure Functions and Logic Apps, ITSM).

Gestão de custos

Uma das principais mudanças que você enfrentará quando mudar da nuvem local para a nuvem pública é a mudança de despesas de capital (compra de hardware) para despesas operacionais (pagamento pelo serviço à medida que você o usa). Esta mudança também requer uma gestão mais cuidadosa dos seus custos. O benefício da nuvem é que você pode afetar fundamental e positivamente o custo de um serviço que você usa, simplesmente desligando-o ou redimensionando-o quando não é necessário. Gerenciar deliberadamente seus custos na nuvem é uma prática recomendada e que os clientes maduros fazem diariamente.

A Microsoft fornece várias ferramentas que o ajudam a visualizar, controlar e gerir os seus custos. Também fornecemos um conjunto completo de APIs para permitir que você personalize e integre o gerenciamento de custos em suas próprias ferramentas e painéis. Essas ferramentas são agrupadas vagamente em recursos do portal do Azure e recursos externos.

Recursos do portal do Azure

Estas são ferramentas para lhe fornecer informações instantâneas sobre o custo, bem como a capacidade de tomar medidas.

  • Custo do recurso de assinatura: localizado no portal, o modo de exibição Gerenciamento de Custos + Cobrança do Azure fornece uma visão rápida de seus custos e informações sobre gastos diários por recurso ou grupo de recursos.
  • Azure Cost Management + Billing: Isso permite que você gerencie e analise seus gastos do Azure, bem como o que você gasta em outros provedores de nuvem pública. Existem níveis gratuitos e pagos, com uma grande riqueza de capacidades.
  • Orçamentos e grupos de ação do Azure: Saber o que algo custa e fazer algo a respeito até recentemente tem sido mais um exercício manual. Com a introdução dos orçamentos do Azure e suas APIs, agora você pode criar ações que são executadas quando os custos atingem um limite. Por exemplo, você pode desligar um test grupo de recursos quando seu consumo atingir 100% de seu orçamento.
  • Azure Advisor: Saber o que algo custa é apenas metade da batalha, a outra metade é saber o que fazer com essas informações. O Consultor do Azure fornece recomendações sobre ações a serem tomadas para economizar dinheiro, melhorar a confiabilidade ou até mesmo aumentar a segurança.

Ferramentas de gestão de custos externos

  • Power BI Azure Consumption Insights: Pretende criar as suas próprias visualizações para a sua organização? Em caso afirmativo, o pacote de conteúdo do Azure Consumption Insights para Power BI é a sua ferramenta preferida. Usando este pacote de conteúdo e o Power BI, você pode criar visualizações personalizadas para representar sua organização, fazer análises mais profundas sobre custos e adicionar outras fontes de dados para enriquecimento adicional.

  • APIs de Consumo do Azure: as APIs de Consumo fornecem acesso programático a dados de custo e uso, além de informações sobre orçamentos, instâncias reservadas e taxas de mercado. Essas APIs são acessíveis apenas para inscrições EA e algumas assinaturas do Web Direct, no entanto, elas oferecem a capacidade de integrar seus dados de custo em suas próprias ferramentas e data warehouses. Você também pode acessar essas APIs por meio da CLI do Azure.

Os clientes que são usuários de nuvem maduros e de longo prazo seguem algumas práticas recomendadas:

  • Monitore ativamente os custos. As organizações que são usuários maduros do Azure monitoram constantemente os custos e tomam ações quando necessário. Algumas organizações até dedicam pessoas para fazer análises e sugerir alterações no uso, e essas pessoas mais do que pagam por si mesmas na primeira vez que encontram um cluster HDInsight não utilizado que está em execução há meses.
  • Use instâncias de VM reservadas do Azure. Outro princípio fundamental para gerenciar custos na nuvem é usar a ferramenta certa para o trabalho. Se você tiver uma VM IaaS que deve permanecer 24 horas por dia, 7 dias por semana, usar uma instância reservada economizará dinheiro significativo. Encontrar o equilíbrio certo entre automatizar o desligamento de VMs e usar instâncias reservadas requer experiência e análise.
  • Use a automação de forma eficaz. Muitas cargas de trabalho não precisam ser executadas todos os dias. Desligar uma VM por um período de quatro horas todos os dias pode economizar 15% do seu custo. A automação se pagará rapidamente.
  • Use tags de recursos para visibilidade. Como mencionado em outra parte deste documento, o uso de tags de recursos permitirá uma melhor análise dos custos.

A gestão de custos é uma disciplina essencial para o funcionamento eficaz e eficiente de uma nuvem pública. As empresas que alcançam o sucesso podem controlar os seus custos e adaptá-los à sua procura real, em vez de sobrecomprar e esperar que a procura venha.

Automatizar

Um dos muitos recursos que diferencia a maturidade das organizações que usam provedores de nuvem é o nível de automação que eles incorporaram. A automação é um processo sem fim. À medida que sua organização migra para a nuvem, é uma área que você precisa investir recursos e tempo na construção. A automação serve a muitos propósitos, incluindo a distribuição consistente de recursos (onde ela se liga diretamente a outro conceito central de andaime, modelos e DevOps) para a correção de problemas. A automação une cada área do andaime do Azure.

Várias ferramentas podem ajudá-lo a desenvolver esse recurso, desde ferramentas primárias, como a Automação do Azure, a Grade de Eventos e a CLI do Azure, até um grande número de ferramentas de terceiros, como Terraform, Jenkins, Chef e Puppet. As principais ferramentas de automação incluem a Automação do Azure, a Grade de Eventos e o Azure Cloud Shell.

  • A Automação do Azure permite criar runbooks no PowerShell ou Python que automatizam processos, configuram recursos e até aplicam patches. A Automação do Azure tem um extenso conjunto de recursos entre plataformas que são parte integrante da sua implantação, mas são muito extensos para serem abordados em profundidade aqui.
  • A Grade de Eventos é um sistema de roteamento de eventos totalmente gerenciado que permite que você reaja a eventos em seu ambiente do Azure. Assim como a Automação do Azure é o tecido conjuntivo de organizações de nuvem maduras, a Grade de Eventos é o tecido conjuntivo de uma boa automação. Usando a Grade de Eventos, você pode criar uma ação simples sem servidor para enviar um e-mail a um administrador sempre que um novo recurso for criado e registrar esse recurso em um banco de dados. Essa mesma Grade de Eventos pode notificar quando um recurso é excluído e remover o item do banco de dados.
  • O Azure Cloud Shell é um shell interativo baseado em navegador para gerenciar recursos no Azure. Ele fornece um ambiente completo para PowerShell ou Bash que é iniciado conforme necessário (e mantido para você) para que você tenha um ambiente consistente a partir do qual executar seus scripts. O Azure Cloud Shell fornece acesso a ferramentas chave adicionais - já instaladas - para automatizar seu ambiente, incluindo CLI do Azure, Terraform e uma lista crescente de ferramentas adicionais para gerenciar contêineres, bancos de dados (sqlcmd) e muito mais.

A automação é um trabalho em tempo integral e rapidamente se tornará uma das tarefas operacionais mais importantes dentro da sua equipe de nuvem. As organizações que adotam a abordagem de "automatizar primeiro" têm maior sucesso no uso do Azure:

  • Gerenciamento de custos: busca ativa de oportunidades e criação de automação para redimensionar recursos, aumentar ou diminuir a escala e desativar recursos não utilizados.
  • Flexibilidade operacional: com a automação (juntamente com modelos e DevOps), você ganha um nível de repetibilidade que aumenta a disponibilidade, aumenta a segurança e permite que sua equipe se concentre na solução de problemas de negócios.

Modelos e DevOps

Como destacado anteriormente, seu objetivo como organização deve ser provisionar recursos por meio de modelos e scripts controlados pelo código-fonte e minimizar a configuração interativa de seus ambientes. Essa abordagem de "infraestrutura como código", juntamente com um processo disciplinado de DevOps para implantação contínua, pode garantir consistência e reduzir desvios em seus ambientes. Quase todos os recursos do Azure podem ser implantados por meio de modelos JSON do Azure Resource Manager em conjunto com o PowerShell ou a CLI de plataforma cruzada do Azure e ferramentas como o Terraform by HashiCorp, que tem suporte de primeira classe e integração com o Azure Cloud Shell).

Artigos como Práticas recomendadas para usar modelos do Azure Resource Manager fornecem uma excelente discussão sobre práticas recomendadas e lições aprendidas para aplicar uma abordagem de DevOps a modelos do Azure Resource Manager com a cadeia de ferramentas do Azure DevOps . Dedique tempo e esforço para desenvolver um conjunto básico de modelos específicos para os requisitos da sua organização e para desenvolver pipelines de entrega contínua com cadeias de ferramentas de DevOps (como Azure DevOps, Jenkins, Bamboo, TeamCity e Concourse), especialmente para seus ambientes de produção e QA. Há uma grande biblioteca de Modelos de Início Rápido do Azure no GitHub que você pode usar como ponto de partida para modelos e pode criar rapidamente pipelines de entrega baseados em nuvem com o Azure DevOps.

Como prática recomendada para assinaturas de produção ou grupos de recursos, sua meta deve ser usar a segurança do RBAC do Azure para não permitir usuários interativos por padrão e usar pipelines de entrega contínua automatizados com base em entidades de serviço para provisionar todos os recursos e entregar todo o código do aplicativo. Nenhum administrador ou desenvolvedor deve tocar no portal do Azure para configurar recursos interativamente. Esse nível de DevOps exige um esforço concentrado e usa todos os conceitos do andaime do Azure, fornecendo um ambiente consistente e mais seguro que atenderá à necessidade de escala da sua organização.

Gorjeta

Ao projetar e desenvolver modelos complexos do Azure Resource Manager, use modelos vinculados para organizar e refatorar relações de recursos complexas a partir de arquivos JSON monolíticos. Isso permitirá que você gerencie recursos individualmente e torne seus modelos mais legíveis, testáveis e reutilizáveis.

O Azure é um provedor de nuvem de hiperescala. À medida que você move sua organização de servidores locais para a nuvem, confiar nos mesmos conceitos que os provedores de nuvem e aplicativos SaaS usam ajudará sua organização a reagir às necessidades da empresa de forma muito mais eficiente.

Rede principal

O componente final do modelo de referência de andaime do Azure é essencial para a forma como a sua organização acede ao Azure, de uma forma segura. O acesso aos recursos pode ser interno (dentro da rede da corporação) ou externo (através da internet). É fácil para os usuários em sua organização colocar inadvertidamente recursos no local errado e potencialmente abri-los para acesso mal-intencionado. Assim como acontece com os dispositivos locais, as empresas devem adicionar controles apropriados para garantir que os usuários do Azure tomem as decisões certas. Para a governança de assinaturas, identificamos os principais recursos que fornecem controle básico de acesso. Os principais recursos consistem em:

  • Redes virtuais são objetos de contêiner para sub-redes. Embora não seja estritamente necessário, ele é frequentemente usado ao conectar aplicativos a recursos corporativos internos.
  • As rotas definidas pelo usuário permitem manipular a tabela de rotas dentro de uma sub-rede, permitindo que você envie tráfego por meio de um dispositivo virtual de rede ou para um gateway remoto em uma rede virtual emparelhada.
  • O emparelhamento de rede virtual permite que você conecte perfeitamente duas ou mais redes virtuais no Azure, criando designs de hub e spoke mais complexos ou redes de serviços compartilhados.
  • Pontos de extremidade de serviço. No passado, os serviços de PaaS dependiam de diferentes métodos para proteger o acesso a esses recursos de suas redes virtuais. Os pontos de extremidade de serviço permitem que você proteja o acesso a serviços PaaS habilitados apenas a partir de pontos de extremidade conectados, aumentando a segurança geral.
  • Os grupos de segurança são um extenso conjunto de regras que fornecem a capacidade de permitir ou negar tráfego de entrada e saída de/para recursos do Azure. Os grupos de segurança consistem em regras de segurança que podem ser aumentadas com marcas de serviço (que definem serviços comuns do Azure, como o Cofre da Chave do Azure ou o Banco de Dados SQL do Azure) e grupos de segurança de aplicativos (que definem a estrutura do aplicativo, como servidores Web ou de aplicativos).

Gorjeta

Use tags de serviço e grupos de segurança de aplicativos em seus grupos de segurança de rede para:

  • Melhore a legibilidade das suas regras, o que é crucial para compreender o impacto.
  • Habilite a microssegmentação eficaz dentro de uma sub-rede maior, reduzindo a expansão e aumentando a flexibilidade.

Datacenter Virtual do Azure

O Azure fornece capacidades internas e de terceiros da nossa extensa rede de parceiros que lhe proporcionam uma postura de segurança eficaz. Mais importante ainda, a Microsoft fornece práticas recomendadas e orientação na forma do Azure Virtual Datacenter (VDC). À medida que você passa de uma única carga de trabalho para várias cargas de trabalho que usam recursos híbridos, as diretrizes do VDC fornecerão "receitas" para habilitar uma rede flexível que crescerá à medida que suas cargas de trabalho no Azure crescerem.

Próximos passos

A governança é crucial para o sucesso do Azure. Este artigo visa a implementação técnica de um andaime empresarial, mas aborda apenas o processo mais amplo e as relações entre os componentes. A governança política flui de cima para baixo e é determinada pelo que a empresa quer alcançar. Naturalmente, a criação de um modelo de governança para o Azure inclui representantes de TI, mas, mais importante, deve ter forte representação de líderes de grupos de negócios e segurança e gerenciamento de riscos. No final, um andaime empresarial é sobre mitigar o risco do negócio para facilitar a missão e os objetivos de uma organização.

Agora que você aprendeu sobre governança de assinatura, revise as práticas recomendadas de preparação do Azure para ver essas recomendações na prática.