Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra como impor a conformidade com as políticas de governança de nuvem. A imposição de governança de nuvem refere-se aos controles e procedimentos usados para alinhar o uso da nuvem às políticas de governança de nuvem. A equipe de governança de nuvem avalia os riscos de nuvem e cria políticas de governança de nuvem para gerenciar esses riscos. Para garantir a conformidade com as políticas de governança de nuvem, a equipe de governança de nuvem deve delegar responsabilidades de imposição. Eles devem capacitar cada equipe ou indivíduo a impor políticas de governança de nuvem dentro de sua área de responsabilidade. A equipe de governança de nuvem não pode fazer tudo. Prefira controles de imposição automatizados, mas imponha a conformidade manualmente, onde você não pode automatizar.
Definir uma abordagem para impor políticas de governança de nuvem
Estabeleça uma estratégia sistemática para impor a conformidade com as políticas de governança de nuvem. O objetivo é usar ferramentas automatizadas e supervisão manual para impor a conformidade com eficiência. Para definir uma abordagem de imposição, siga estas recomendações:
Delegar responsabilidades de governança. Capacite indivíduos e equipes a impor a governança dentro de seu escopo de responsabilidade. Por exemplo, as equipes de plataforma devem aplicar políticas que as cargas de trabalho herdam e as equipes de carga de trabalho devem impor a governança das suas cargas de trabalho. A equipe de governança de nuvem não deve ser responsável pela aplicação de controles de imposição.
Adote um modelo de herança. Aplique um modelo de governança hierárquica em que cargas de trabalho específicas herdam políticas de governança da plataforma. Esse modelo ajuda a garantir que os padrões organizacionais se apliquem aos ambientes corretos, como os requisitos de compra para serviços de nuvem. Siga os princípios de design das zonas de aterrissagem do Azure e a área de design da organização de recursos para estabelecer um modelo de herança adequado.
Discutir os detalhes da imposição. Discutir onde e como aplicar políticas de governança. O objetivo é encontrar maneiras econômicas de impor a conformidade que acelera a produtividade. Sem uma discussão, você corre o risco de bloquear o progresso de equipes específicas. É importante encontrar um equilíbrio que dê suporte aos objetivos de negócios ao mesmo tempo em que gerencia o risco efetivamente.
Adotar uma postura de monitoramento em primeiro lugar. Não bloqueie ações a menos que você as entenda primeiro. Para menor risco de prioridade, comece monitorando a conformidade com políticas de governança de nuvem. Depois de entender o risco, você pode passar para controles de imposição mais restritivos. Uma abordagem que dá prioridade à monitorização oferece a oportunidade de discutir as necessidades de governança e realinhar a política de governança da nuvem e o controle de aplicação para essas necessidades.
Prefira listas de bloqueios. Prefira listas de bloqueios em vez de listas de permissões. Listas de bloqueio impedem a implantação de serviços específicos. É melhor ter uma pequena lista de serviços que você não deve usar do que uma longa lista de serviços que você pode usar. Para evitar listas de bloqueios longas, não adicione novos serviços à lista de bloqueios por padrão.
Defina uma estratégia de marcação e nomenclatura. Estabeleça diretrizes sistemáticas para nomear e marcar recursos de nuvem. Ele fornece uma estrutura estruturada para categorização de recursos, gerenciamento de custos, segurança e conformidade em todo o ambiente de nuvem. Permitir que as equipes, como as de desenvolvimento, adicionem outras tags para suas necessidades exclusivas.
Impor políticas de governança de nuvem automaticamente
Use ferramentas de governança e gerenciamento de nuvem para automatizar a conformidade com políticas de governança. Essas ferramentas podem ajudar a configurar guardrails, monitorar configurações e garantir a conformidade. Para configurar a imposição automatizada, siga estas recomendações:
Comece com um pequeno conjunto de políticas automatizadas. Automatize a conformidade em um pequeno conjunto de políticas de governança de nuvem essenciais. Implemente e teste a automação para evitar interrupções operacionais. Expanda sua lista de controles de imposição automatizados quando estiver pronto.
Use ferramentas de governança de nuvem. Use as ferramentas disponíveis em seu ambiente de nuvem para impor a conformidade. A principal ferramenta de governança do Azure é o Azure Policy. Complemente o Azure Policy com o Microsoft Defender para Nuvem (segurança), Microsoft Purview (dados), Governança de ID do Microsoft Entra (identidade), Azure Monitor (operações), grupos de gerenciamento (gerenciamento de recursos), IaC (gerenciamento de recursos) de infraestrutura como código e configurações em cada serviço do Azure.
Aplique políticas de governança no escopo certo. Use um sistema de herança em que as políticas são definidas em um nível mais alto, como grupos de gerenciamento. As políticas em níveis mais altos se aplicam automaticamente a níveis mais baixos, como assinaturas e grupos de recursos. As políticas se aplicam mesmo quando há alterações no ambiente de nuvem, reduzindo a sobrecarga de gerenciamento.
Use pontos de aplicação de políticas. Configure pontos de imposição de políticas em seus ambientes de nuvem que aplicam automaticamente regras de governança. Considere verificações de pré-implantação, monitoramento durante o tempo de execução e ações de correção automatizadas.
Use a política como código. Use as ferramentas de IaC para impor políticas de governança por meio do código. A política como código aprimora a automação dos controles de governança e garante a consistência em diferentes ambientes. Considere usar Política Corporativa do Azure como Código (EPAC) para gerenciar políticas alinhadas com as políticas recomendadas da zona de destino do Azure.
Desenvolva soluções personalizadas conforme necessário. Para ações de governança personalizadas, considere o desenvolvimento de scripts ou aplicativos personalizados. Use as APIs de serviço do Azure para coletar dados ou gerenciar recursos diretamente.
Facilitação do Azure: impor políticas de governança de nuvem automaticamente
As diretrizes a seguir podem ajudá-lo a encontrar as ferramentas certas para automatizar a conformidade com as políticas de governança de nuvem no Azure. Ele fornece um ponto de partida de exemplo para as principais categorias de governança de nuvem.
Automatizar a governança de conformidade regulatória
Aplicar políticas de conformidade regulatória. Use políticas internas de conformidade regulatória que se alinhem aos padrões de conformidade, como HITRUST/HIPAA, ISO 27001, CMMC, FedRamp e PCI DSSv4.
Automatizar restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatizar a governança de segurança
Aplicar políticas de segurança. Use as políticas de segurança internas e a conformidade de segurança automatizada para alinhar-se aos padrões de segurança comuns. Há políticas internas para a série NIST 800 SP, os parâmetros de comparação do Center for Internet Security e o parâmetro de comparação de segurança de nuvem da Microsoft. Use políticas internas para automatizar a configuração de segurança de serviços específicos do Azure. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Aplicar governança de identidade. Habilite a MFA (autenticação multifator) do Microsoft Entra e a redefinição de senha de autoatendimento. Eliminar senhas fracas. Automatize outros aspectos da governança de identidade, como fluxos de trabalho de solicitação de acesso, revisões de acesso e gerenciamento do ciclo de vida de identidade. Habilite o acesso imediato para limitar o acesso a recursos importantes. Use políticas de Acesso Condicional para conceder ou bloquear o acesso de identidades de usuário e dispositivo aos serviços de nuvem.
Aplicar controles de acesso. Use o RBAC ( controle de acesso baseado em função) do Azure e o ABAC ( controle de acesso baseado em atributo ) para controlar o acesso a recursos específicos. Conceda e negue permissões a usuários e grupos. Aplique a permissão no escopo apropriado (grupo de gerenciamento, assinatura, grupo de recursos ou recurso) para fornecer apenas a permissão necessária e limitar a sobrecarga de gerenciamento.
Automatizar a governança de custos
Automatize as restrições de implantação. Não permitir que determinados recursos de nuvem impeçam o uso de recursos com custo intensivo.
Automatizar restrições personalizadas. Crie políticas personalizadas para definir suas próprias regras para trabalhar com o Azure.
Automatizar a alocação de custos. Imponha requisitos de marcação para agrupar e alocar custos entre ambientes (desenvolvimento, teste, produção), departamentos ou projetos. Utilize etiquetas para identificar e rastrear recursos que fazem parte de um esforço de otimização de custos.
Automatizar a governança de operações
Automatizar a redundância. Use políticas internas do Azure para exigir um nível especificado de redundância de infraestrutura, como instâncias com redundância de zona e com redundância geográfica.
Aplicar políticas de backup. Use políticas de backup para controlar a frequência de backup, o período de retenção e o local de armazenamento. Alinhe as políticas de backup com governança de dados, requisitos de conformidade regulatória, RTO (objetivo de tempo de recuperação) e RPO (objetivo de ponto de recuperação). Use as configurações de backup em serviços individuais do Azure, como o Banco de Dados SQL do Azure, para definir as configurações necessárias.
Cumpra o objetivo de nível de serviço pretendido. Restrinja a implantação de determinados serviços e SKUs (camadas de serviço) que não atendem ao seu objetivo de nível de serviço desejado. Por exemplo, use a definição da política
Not allowed resource typesno Azure Policy.
Automatizar a governança de dados
Automatizar a governança de dados. Automatize tarefas de governança de dados , como catalogação, mapeamento, compartilhamento seguro e aplicação de políticas.
Automatizar o gerenciamento do ciclo de vida de dados. Implemente políticas de armazenamento e gerenciamento de ciclo de vida para armazenamento para garantir que os dados sejam armazenados com eficiência e conformidade.
Automatizar a segurança de dados. Examine e imponha estratégias de proteção de dados, como segregação de dados, criptografia e redundância.
Automatizar a governança de gerenciamento de recursos
Crie uma hierarquia de gerenciamento de recursos. Use grupos de gerenciamento para organizar suas assinaturas para que você possa controlar com eficiência políticas, acesso e gastos. Siga as práticas recomendadas da organização de recursos da zona de destino do Azure.
Impor uma estratégia de marcação. Verifique se todos os recursos do Azure são marcados consistentemente para melhorar a capacidade de gerenciamento, o controle de custos e a conformidade. Defina sua estratégia de marcação e gerencie a governança de marcas.
Restrinja quais recursos você pode implantar. Proibir tipos de recursos para restringir implantações de serviços que adicionam risco desnecessário.
Restringir implantações a regiões específicas. Controlar onde os recursos são implantados para atender aos requisitos regulatórios, gerenciar custos e reduzir a latência. Por exemplo, use a definição da política
Allowed locationsno Azure Policy. Também impor restrições regionais no pipeline de implantação.Usar infraestrutura como código (IaC). Automatize implantações de infraestrutura usando Bicep, Terraform ou modelos do Azure Resource Manager (ARM templates). Armazene suas configurações de IaC em um sistema de controle do código-fonte (GitHub ou Azure Repos) para controlar as alterações e colaborar. Use os aceleradores de zona de destino do Azure para controlar a implantação de recursos de plataforma e de aplicativo e evitar o descompasso da configuração ao longo do tempo.
Gerencie ambientes híbridos e multicloud. Controlar recursos híbridos e multinuvem. Mantenha a consistência no gerenciamento e na imposição de políticas.
Automatizar a governança de IA
Usar o padrão de geração aumentada por recuperação (RAG). O RAG adiciona um sistema de recuperação de informações para controlar os dados de aterramento que um modelo de linguagem usa para gerar uma resposta. Por exemplo, você pode usar o Serviço OpenAI do Azure em seu próprio recurso de dados ou configurar o RAG com o Azure AI Search para restringir a IA generativa ao seu conteúdo.
Use ferramentas de desenvolvimento de IA. Use ferramentas de IA, como o Kernel Semântico, que facilitam e padronizam a orquestração de IA ao desenvolver aplicativos que usam IA.
Governe a geração de saída. Ajude a evitar abusos e geração de conteúdo prejudicial. Use a filtragem de conteúdo de IA e o monitoramento de abuso de IA.
Configure a prevenção contra perda de dados. Configure a prevenção contra perda de dados para os serviços de IA do Azure. Configure a lista de URLs de saída que seus recursos de serviços de IA têm permissão para acessar.
Usar mensagens do sistema. Use mensagens do sistema para orientar o comportamento de um sistema de IA e personalizar as saídas.
Aplique a linha de base de segurança de IA. Use a linha de base de segurança de IA do Azure para controlar a segurança dos sistemas de IA.
Impor políticas de governança de nuvem manualmente
Às vezes, uma limitação ou custo de ferramenta torna a imposição automatizada não prática. Nos casos em que você não pode automatizar a imposição, imponha políticas de governança de nuvem manualmente. Para impor manualmente a governança de nuvem, siga estas recomendações:
Use listas de verificação. Use listas de verificação de governança para facilitar que suas equipes sigam as políticas de governança de nuvem. Para obter mais informações, consulte as listas de verificação de conformidade de exemplo.
Forneça treinamento regular. Realize sessões de treinamento frequentes para todos os membros da equipe relevantes para garantir que eles estejam cientes das políticas de governança.
Agende revisões regulares. Implemente um agendamento para revisões regulares e auditorias de recursos e processos de nuvem para garantir a conformidade com as políticas de governança. Essas revisões são fundamentais para identificar desvios de políticas estabelecidas e executar ações corretivas.
Monitorar manualmente. Atribua pessoal dedicado para monitorar o ambiente de nuvem para conformidade com as políticas de governança. Considere acompanhar o uso de recursos, gerenciar controles de acesso e garantir que medidas de proteção de dados estejam em vigor para se alinharem às políticas. Por exemplo, defina uma abordagem abrangente de gerenciamento de custos para controlar os custos de nuvem.
Examinar aplicação de políticas
Revise e atualize regularmente os mecanismos de imposição de conformidade. O objetivo é manter a imposição da política de governança de nuvem alinhada às necessidades atuais, incluindo requisitos de desenvolvedor, arquiteto, carga de trabalho, plataforma e negócios. Para examinar a imposição de política, siga estas recomendações:
Envolva-se com as partes interessadas. Discutir a eficácia dos mecanismos de imposição com os stakeholders. Verifique se a imposição de governança de nuvem está alinhada com os objetivos de negócios e os requisitos de conformidade.
Monitore os requisitos. Atualize ou remova mecanismos de imposição para se alinhar aos requisitos novos ou atualizados. Acompanhe as alterações em regulamentos e padrões que exigem atualizações de seus mecanismos de imposição. Por exemplo, as políticas recomendadas de zona de destino do Azure podem ser alteradas ao longo do tempo. Você deve detectar essas alterações de política, atualizar para as políticas personalizadas mais recentes da zona de destino do Azure ou migrar para políticas internas, conforme necessário.
Listas de verificação de conformidade de governança de nuvem de exemplo
Listas de verificação de conformidade ajudam as equipes a entender as políticas de governança que se aplicam a elas. As listas de verificação de conformidade de exemplo usam a instrução de política das políticas de governança de nuvem de exemplo e contêm a ID da política de governança de nuvem para referência cruzada.
| Categoria | Requisito de conformidade |
|---|---|
| Conformidade normativa | ☐ O Microsoft Purview deve ser usado para monitorar dados confidenciais (RC01). ☐ Relatórios diários de conformidade de dados confidenciais devem ser gerados do Microsoft Purview (RC02). |
| Segurança | ☐ A MFA deve estar habilitada para todos os usuários (SC01). ☐ As revisões de acesso devem ser realizadas mensalmente na SC02 (Governança de ID). ☐ Use a organização do GitHub especificada para hospedar todo o aplicativo e o código de infraestrutura (SC03). ☐ As equipes que usam bibliotecas de fontes públicas devem adotar o padrão de quarentena (SC04). |
| Operações | ☐ As cargas de trabalho de produção devem ter uma arquitetura ativa-passiva entre regiões (OP01). ☐ Todas as cargas de trabalho críticas devem implementar uma arquitetura ativa-ativa entre regiões (OP02). |
| Custo | ☐ As equipes de carga de trabalho devem definir alertas de orçamentos no nível do grupo de recursos (CM01). ☐ As recomendações de custo do Assistente do Azure devem ser revisadas (CM02). |
| Dados | ☐ A criptografia em trânsito e em repouso deve ser aplicada a todos os dados confidenciais.
(DG01) ☐ As políticas de ciclo de vida de dados devem ser habilitadas para todos os dados confidenciais (DG02). |
| Gestão de recursos | ☐ O Bicep deve ser usado para implantar recursos (RM01). ☐ As tags devem ser aplicadas em todos os recursos de nuvem usando o Azure Policy (RM02). |
| IA | ☐ A configuração de filtragem de conteúdo de IA deve ser definida como média ou superior (AI01). ☐ Sistemas de IA voltados para o cliente devem ser red teaming mensalmente (AI02). |