Área de design: governança do Azure

  • Artigo

Use a governança do Azure para estabelecer as ferramentas necessárias para dar suporte à governança de nuvem, auditoria de conformidade e guardrails automatizados.

Revisão da área de design

Funções ou funções: a governança do Azure se origina da governança de nuvem. Talvez seja necessário implementar a plataforma de nuvem ou um centro de excelência em nuvem para definir e aplicar determinados requisitos técnicos. A governança se concentra na aplicação de operações e requisitos de segurança, que podem exigir segurança na nuvem, TI central ou operações na nuvem.

Escopo: considere suas decisões a partir de revisões de identidade, rede, segurança e área de design de gerenciamento. Sua equipe pode comparar decisões de revisão da governança automatizada, que faz parte do acelerador de zona de aterrissagem do Azure. As decisões de revisão podem ajudá-lo a determinar o que auditar ou aplicar e quais políticas implantar automaticamente.

Fora do escopo: a governança do Azure estabelece a base para a rede. Mas não aborda componentes relacionados à conformidade, como segurança de rede avançada ou guardrails automatizados para impor decisões de rede. Você pode abordar essas decisões de rede ao revisar as áreas de design de conformidade relacionadas à segurança e governança. A equipe da plataforma de nuvem deve abordar os requisitos iniciais de rede antes de abordar componentes mais complexos.

Novo ambiente de nuvem (greenfield): para iniciar sua jornada na nuvem, crie um pequeno conjunto de assinaturas. Você pode usar modelos de implantação do Bicep para criar suas novas zonas de aterrissagem do Azure. Para obter mais informações, consulte Zonas de aterrissagem do Azure Bicep—Fluxo de implantação.

Ambiente de nuvem existente (brownfield): se você quiser aplicar princípios de governança do Azure de prática comprovada a ambientes existentes do Azure, considere as seguintes diretrizes:

O repositório de fluxo de implantação do Bicep — Deployment zones do Azure contém modelos de implantação do Bicep que podem acelerar suas implantações de zona de aterrissagem greenfield e brownfield do Azure. Esses modelos integraram diretrizes de governança de práticas comprovadas da Microsoft.

Considere usar o módulo Bicep de atribuições de política padrão da zona de aterrissagem do Azure para obter uma vantagem inicial na garantia de conformidade para seus ambientes do Azure.

Para obter mais informações, consulte Considerações sobre o ambiente Brownfield.

Visão geral da área de design

A jornada de adoção da nuvem da sua organização começa com controles sólidos para ambientes governamentais.

A governança fornece mecanismos e processos para manter o controle sobre plataformas, aplicativos e recursos no Azure.

Diagrama que mostra o design de governança da zona de pouso.

Explore as seguintes considerações e recomendações para tomar decisões informadas ao planejar sua zona de pouso.

A área de design de governança se concentra nas decisões de design para sua zona de pouso. Para obter informações sobre processos e ferramentas de governança, consulte Governar na estrutura de adoção de nuvem para Azure.

Considerações de governança do Azure

A Política do Azure ajuda a garantir a segurança e a conformidade para propriedades técnicas corporativas. A Política do Azure pode impor convenções vitais de gerenciamento e segurança nos serviços da plataforma Azure. A Política do Azure complementa o RBAC (controle de acesso baseado em função) do Azure, que controla ações para usuários autorizados. O Gerenciamento de Custos também pode ajudar a dar suporte aos seus custos e gastos contínuos de governança no Azure ou em outros ambientes multicloud.

Considerações de implantação

Os conselhos consultivos de revisão de mudanças podem prejudicar a inovação e a agilidade dos negócios da sua organização. A Política do Azure substitui essas revisões por guardrails automatizados e auditorias de aderência para melhorar a eficiência da carga de trabalho.

  • Determine quais políticas do Azure você precisa com base em seus controles de negócios ou regulamentos de conformidade. Use as políticas incluídas no acelerador de zona de aterrissagem do Azure como ponto de partida.

  • Use os exemplos de blueprint baseado em padrões para considerar outras políticas que podem se alinhar aos seus requisitos de negócios.

  • Aplique convenções automatizadas de rede, identidade, gerenciamento e segurança.

  • Use definições de política para gerenciar e criar atribuições de política e reutilizá-las em vários escopos de atribuição herdados. Você pode ter atribuições de política de linha de base centralizadas nos escopos de gerenciamento, assinatura e grupo de recursos.

  • Incorpore relatórios e auditoria de conformidade para garantir a conformidade contínua.

  • Entenda que a Política do Azure tem limites, como a restrição de definições em qualquer escopo específico.

  • Compreenda as políticas de conformidade normativa, como HIPAA, PCI-DSS ou SOC 2 Trust Services Criteria.

Considerações de gerenciamento de custo

  • Considere a estrutura do modelo de custo e recarga da sua organização. Determine os principais pontos de dados que transmitem com precisão seus gastos com serviços de nuvem.

  • Escolha a estrutura de tags que se adapta ao seu custo e modelo de recarga para ajudar a rastrear seus gastos na nuvem.

  • Use a calculadora de preços do Azure para estimar os custos mensais esperados para usar produtos do Azure.

  • Obtenha o Benefício Híbrido do Azure para ajudar a reduzir o custo de execução de suas cargas de trabalho na nuvem. Você pode usar suas licenças locais do Windows Server e do SQL Server habilitadas para o Software Assurance no Azure. Você também pode usar assinaturas Red Hat e SUSE Linux.

  • Obtenha reservas do Azure e comprometa-se com planos de um ou três anos para vários produtos. Os planos de reserva oferecem descontos de recursos, o que pode reduzir significativamente seus custos de recursos em até 72% em comparação com os preços pré-pagos.

  • Obtenha o plano de economia do Azure para computação para economizar até 65% em comparação com os preços pré-pagos. Escolha um compromisso de um ou três anos que se aplique aos serviços de computação, independentemente da sua região, tamanho da instância ou sistema operacional. Escolha um plano para componentes de computação, como máquinas virtuais, hosts dedicados, instâncias de contêiner, funções premium do Azure e serviços de aplicativo do Azure. Combine um plano de economia do Azure com reservas do Azure para otimizar o custo e a flexibilidade de computação.

  • Use as políticas do Azure para permitir regiões, tipos de recursos e SKUs de recursos específicos.

  • Use a política baseada em regras do gerenciamento do ciclo de vida do Armazenamento do Azure para mover dados de blob para as camadas de acesso apropriadas ou para expirar dados no final do ciclo de vida dos dados.

  • Use assinaturas de desenvolvimento/teste do Azure para obter um desconto no acesso a serviços selecionados do Azure para cargas de trabalho que não sejam de produção.

  • Use o dimensionamento automático para alocar e desalocar recursos dinamicamente para atender às suas necessidades de desempenho, o que economiza dinheiro.

  • Use as Máquinas Virtuais Spot do Azure para aproveitar a capacidade de computação não utilizada a um baixo custo. As Máquinas Virtuais Spot são ótimas para cargas de trabalho que podem lidar com interrupções, por exemplo, trabalhos de processamento em lote, ambientes de desenvolvimento/teste e cargas de trabalho de computação grande.

  • Selecione os serviços do Azure certos para ajudar a reduzir custos. Alguns serviços do Azure são gratuitos por 12 meses e alguns são sempre gratuitos.

  • Selecione o serviço de computação certo para seu aplicativo para ajudar a melhorar a eficiência de custos. O Azure oferece muitas maneiras de hospedar seu código.

Considerações sobre gerenciamento de recursos

  • Determine se os grupos de recursos em seu ambiente podem compartilhar as configurações necessárias, um ciclo de vida comum ou restrições de acesso comuns (como RBAC) para ajudar a fornecer consistência.

  • Escolha um design de assinatura de aplicativo ou carga de trabalho que seja apropriado para suas necessidades de operação.

  • Use configurações de recursos padrão em sua organização para garantir uma configuração de linha de base consistente.

Considerações de segurança

  • Aplique ferramentas e grades de proteção em todo o ambiente como parte de uma linha de base de segurança.

  • Notifique as pessoas apropriadas quando encontrar desvios.

  • Considere usar a Política do Azure para impor ferramentas, como o Microsoft Defender para Nuvem, ou guardrails, como o benchmark de segurança de nuvem da Microsoft.

Considerações sobre o gerenciamento de identidade

  • Determine quem tem acesso aos logs de auditoria para gerenciamento de identidade e acesso.

  • Notifique as pessoas apropriadas quando ocorrerem eventos de entrada suspeitos.

  • Considere usar relatórios do Microsoft Entra para controlar a atividade.

  • Considere enviar logs de ID do Microsoft Entra para o espaço de trabalho central do Azure Monitor Logs para a plataforma.

  • Explore os recursos de Governança de ID do Microsoft Entra, como revisões de acesso e gerenciamento de direitos.

Ferramentas que não são da Microsoft

  • Use o AzAdvertizer para obter atualizações de governança do Azure. Por exemplo, você pode encontrar insights sobre definições de política, iniciativas, aliases, segurança e controles de conformidade normativa na Política do Azure ou nas definições de função RBAC do Azure. Você também pode obter informações sobre operações de provedor de recursos, definições de função e ações de função do Microsoft Entra e permissões de API primárias.

  • Use o Visualizador de Governança do Azure para acompanhar seu estado de governança técnica. Você pode usar o recurso de verificação de versão de política para zonas de aterrissagem do Azure para manter seu ambiente atualizado com o estado de lançamento de política de zona de aterrissagem mais recente do Azure.

Recomendações de governança do Azure

Recomendações de aceleração de implantação

  • Identifique as marcas do Azure necessárias e use o modo de política de acréscimo para impor o uso. Para obter mais informações, consulte Definir sua estratégia de marcação.

  • Mapear requisitos regulatórios e de conformidade para definições do Azure Policy e atribuições de função do Azure.

  • Estabeleça definições de Política do Azure no grupo de gerenciamento raiz de nível superior porque elas podem ser atribuídas em escopos herdados.

  • Gerencie atribuições de política no nível mais alto apropriado com exclusões nos níveis mais baixos, se necessário.

  • Use o Azure Policy para controlar os registros do provedor de recursos nos níveis da assinatura ou do grupo de gerenciamento.

  • Use políticas internas para minimizar a sobrecarga operacional.

  • Atribua a função interna de Colaborador de Política de Recursos em um escopo específico para habilitar a governança em nível de aplicativo.

  • Limite o número de atribuições da Política do Azure no escopo do grupo de gerenciamento raiz para evitar o gerenciamento de exclusões em escopos herdados.

Recomendações de gerenciamento de custos

  • Use o Gerenciamento de Custos para implementar a supervisão financeira dos recursos em seu ambiente.

  • Use tags, como o centro de custo ou o nome do projeto, para acrescentar os metadados do recurso. Essa abordagem ajuda a permitir a análise granular das despesas.

Governança do Azure no acelerador de zona de destino do Azure

O acelerador de zona de aterrissagem do Azure fornece às organizações controles de governança maduros.

Por exemplo, você pode implementar:

  • Uma hierarquia de grupo de gerenciamento que agrupa recursos por função ou tipo de carga de trabalho. Essa abordagem incentiva a consistência dos recursos.

  • Um conjunto avançado de políticas do Azure que permite controles de governança no nível do grupo de gerenciamento. Essa abordagem ajuda a verificar se todos os recursos estão no escopo.