Partilhar via


Políticas de governança da nuvem de documentos

Este artigo mostra como definir e documentar políticas de governança de nuvem. As políticas de governança de nuvem especificam o que deve ou não acontecer na nuvem. A equipe de governança de nuvem deve criar uma ou mais políticas de governança de nuvem para cada risco identificado na avaliação de risco. As políticas de governança de nuvem definem os guardrails para interagir com e na nuvem.

Diagrama mostrando o processo para configurar e manter a governança da nuvem. O diagrama mostra cinco etapas sequenciais: criar uma equipe de governança de nuvem, documentar políticas de governança de nuvem, aplicar políticas de governança de nuvem e monitorar a governança de nuvem. O primeiro passo que você executa uma vez. As últimas quatro etapas executadas uma vez para configurar a governança da nuvem e manter continuamente a governança da nuvem.

Definir uma abordagem para documentar políticas de governança de nuvem

Estabeleça uma abordagem para criar, manter e atualizar as regras e diretrizes que regem o uso de serviços em nuvem. As políticas de governança de nuvem não devem ser exclusivas de uma carga de trabalho específica. O objetivo é produzir políticas de governança de nuvem que não exijam atualizações frequentes e que considerem os efeitos das políticas de governança de nuvem em todo o ambiente de nuvem. Para definir uma abordagem de documentação de políticas, siga estas recomendações:

  • Defina a linguagem de governança padrão. Desenvolva uma estrutura e um formato padrão para documentar políticas de governança de nuvem. As políticas devem constituir uma referência clara e fiável para as partes interessadas.

  • Reconhecer os diferentes âmbitos de governação. Defina e atribua responsabilidades de governança específicas adaptadas às funções exclusivas dentro da sua organização. Por exemplo, um desenvolvedor governa o código do aplicativo. Uma equipe de carga de trabalho é responsável por uma única carga de trabalho, e a equipe de plataforma é responsável pela governança que as cargas de trabalho herdam.

  • Avalie os amplos efeitos da governança da nuvem. A governança da nuvem cria atrito. Encontre um equilíbrio entre atrito e liberdade. Considere os efeitos da governança na arquitetura da carga de trabalho, nas práticas de desenvolvimento de software e em outras áreas ao desenvolver políticas de governança de nuvem. Por exemplo, o que você permite ou não permite determina a arquitetura da carga de trabalho e afeta as práticas de desenvolvimento de software.

Definir políticas de governança de nuvem

Crie políticas de governança de nuvem que descrevem como usar e gerenciar a nuvem para mitigar riscos. Minimize a necessidade de atualizações frequentes de políticas. Para definir políticas de governança de nuvem, siga estas recomendações:

  • Use uma ID de política. Use a categoria de política e um número para identificar exclusivamente cada política, como SC01 para a primeira política de governança de segurança. Incremente o identificador sequencialmente à medida que adiciona novos riscos. Se você remover riscos, poderá deixar lacunas na sequência ou usar o menor número disponível.

  • Inclua a declaração de política. Elabore declarações de política específicas que abordem os riscos identificados. Use uma linguagem definitiva como deve, deve, não deve e não deve. Use os controles de execução da lista de riscos como ponto de partida. Concentre-se nos resultados em vez das etapas de configuração. Nomeie a ferramenta necessária para a aplicação para saber onde monitorar a conformidade.

  • Inclua um ID de risco. Liste o risco na política. Associe todas as políticas de governança de nuvem a um risco.

  • Inclua a categoria da política. Inclua categorias de governança, como segurança, conformidade ou gerenciamento de custos, na categorização da política. As categorias ajudam a classificar, filtrar e localizar políticas de governança de nuvem.

  • Inclua o objetivo da política. Indique o objetivo de cada política. Use o risco ou o requisito de conformidade regulatória que a política satisfaz como ponto de partida.

  • Definir o âmbito da política. Defina a que e a quem essa política se aplica, como todos os serviços de nuvem, regiões, ambientes e cargas de trabalho. Especifique quaisquer exceções para garantir que não haja ambiguidade. Use uma linguagem padronizada para que seja fácil classificar, filtrar e encontrar políticas.

  • Inclua as estratégias de remediação de políticas. Defina a resposta desejada a uma violação de uma política de governança de nuvem. Adapte as respostas à gravidade do risco, como agendamento de discussões para violações de não produção e esforços de correção imediata para violações de produção.

Para obter mais informações, consulte o exemplo de políticas de governança de nuvem.

Distribuir políticas de governança de nuvem

Conceda acesso a todos que precisam aderir às políticas de governança de nuvem. Procure maneiras de facilitar a adesão às políticas de governança de nuvem para as pessoas em sua organização. Para distribuir políticas de governança de nuvem, siga estas recomendações:

  • Use um repositório de políticas centralizado. Use um repositório centralizado e facilmente acessível para toda a documentação de governança. Garantir que todas as partes interessadas, equipes e indivíduos tenham acesso às versões mais recentes de políticas e documentos relacionados.

  • Crie listas de verificação de conformidade. Forneça uma visão geral rápida e acionável das políticas. Torne mais fácil para as equipas cumprirem sem terem de navegar através de documentação extensa. Para obter mais informações, consulte o exemplo de lista de verificação de conformidade.

Rever as políticas de governação da nuvem

Avalie e atualize as políticas de governança de nuvem para garantir que elas permaneçam relevantes e eficazes no controle de ambientes de nuvem. Revisões regulares ajudam a garantir que as políticas de governança da nuvem estejam alinhadas com os requisitos regulatórios em constante mudança, as novas tecnologias e os objetivos de negócios em evolução. Ao rever políticas, considere as seguintes recomendações:

  • Implementar mecanismos de feedback. Estabeleça maneiras de receber feedback sobre a eficácia das políticas de governança de nuvem. Recolher contributos das pessoas afetadas pelas políticas para garantir que ainda podem fazer o seu trabalho de forma eficiente. Atualizar as políticas de governação de modo a refletir os desafios e as necessidades práticas.

  • Estabeleça revisões baseadas em eventos. Revise e atualize as políticas de governança da nuvem em resposta a eventos, como uma política de governança com falha, mudança de tecnologia ou alteração de conformidade regulatória.

  • Agende revisões regulares. Revise regularmente as políticas de governança para garantir que elas estejam alinhadas com as necessidades organizacionais em evolução, os riscos e os avanços na nuvem. Por exemplo, inclua revisões de governança nas reuniões regulares de governança de nuvem com as partes interessadas.

  • Facilite o controle de alterações. Inclua um processo para revisão e atualizações de políticas. Garanta que as políticas de governança da nuvem permaneçam alinhadas com as mudanças organizacionais, regulatórias e tecnológicas. Deixe claro como editar, remover ou adicionar políticas.

  • Identificar ineficiências. Analise as políticas de governança para encontrar e corrigir ineficiências na arquitetura e nas operações de nuvem. Por exemplo, em vez de exigir que cada carga de trabalho use seu próprio firewall de aplicativo Web, atualize a política para exigir o uso de um firewall centralizado. Analise as políticas que exigem esforço duplicado e veja se há uma maneira de centralizar o trabalho.

Exemplo de políticas de governança de nuvem

As seguintes políticas de governança de nuvem são exemplos para referência. Estas políticas baseiam-se nos exemplos da lista de riscos de exemplo.

ID da Política Categoria de política ID do risco Declaração de política Propósito Âmbito Remediação Monitorização
RC01 Conformidade regulamentar R01 O Microsoft Purview deve ser usado para monitorar dados confidenciais. Conformidade regulamentar Equipes de carga de trabalho, equipe de plataforma Ação imediata da equipe afetada, treinamento de conformidade Microsoft Purview
RC02 Conformidade regulamentar R01 Relatórios diários de conformidade de dados confidenciais devem ser gerados a partir do Microsoft Purview. Conformidade regulamentar Equipes de carga de trabalho, equipe de plataforma Resolução no prazo de um dia, auditoria de confirmação Microsoft Purview
SC01 Segurança R02 A autenticação multifator (MFA) deve ser habilitada para todos os usuários. Atenuar violações de dados e acesso não autorizado Usuários do Azure Revogar o acesso do usuário Acesso Condicional do Microsoft Entra ID
SC02 Segurança R02 As revisões de acesso devem ser realizadas mensalmente no Microsoft Entra ID Governance. Garantir a integridade dos dados e do serviço Usuários do Azure Revogação imediata de acesso por não conformidade ID de Governação
SC03 Segurança R03 As equipes devem usar a organização GitHub especificada para hospedagem segura de todo o código de software e infraestrutura. Garanta o gerenciamento seguro e centralizado de repositórios de código Equipas de desenvolvimento Transferência de repositórios não autorizados para a organização do GitHub especificada e possíveis ações disciplinares por não conformidade Log de auditoria do GitHub
SC04 Segurança R03 As equipes que usam bibliotecas de fontes públicas devem adotar o padrão de quarentena. Garantir que as bibliotecas estejam seguras e em conformidade antes da integração no processo de desenvolvimento Equipas de desenvolvimento Remoção de bibliotecas não conformes e revisão das práticas de integração para projetos afetados Auditoria manual (mensal)
CM01 Gestão de custos R04 As equipes de carga de trabalho devem definir alertas de orçamentos no nível do grupo de recursos. Evitar gastos excessivos Equipes de carga de trabalho, equipe de plataforma Revisões imediatas, ajustes para alertas Gerenciamento de custos da Microsoft
CM02 Gestão de custos R04 As recomendações de custo do Azure Advisor devem ser revistas. Otimize o uso da nuvem Equipes de carga de trabalho, equipe de plataforma Auditorias de otimização obrigatórias após 60 dias Assistente
OP01 Operações R05 As cargas de trabalho de produção devem ter uma arquitetura ativo-passivo entre regiões. Garantir a continuidade do serviço Equipes de carga de trabalho Avaliações de arquitetura, revisões semestrais Auditoria manual (por versão de produção)
OP02 Operações R05 Todas as cargas de trabalho de missão crítica devem implementar uma arquitetura ativa-ativa entre regiões. Garantir a continuidade do serviço Equipes de carga de trabalho de missão crítica Atualizações dentro de 90 dias, revisões de progresso Auditoria manual (por versão de produção)
DG01 Dados R06 A encriptação em trânsito e em repouso deve ser aplicada a todos os dados sensíveis. Proteger dados confidenciais Equipes de carga de trabalho Aplicação imediata de criptografia e treinamento de segurança Azure Policy
DG02 Dados R06 As políticas de ciclo de vida dos dados devem ser habilitadas no Microsoft Purview para todos os dados confidenciais. Gerenciar o ciclo de vida dos dados Equipes de carga de trabalho Implementação no prazo de 60 dias, auditorias trimestrais Microsoft Purview
RM01 Gestão de recursos R07 O bíceps deve ser usado para implantar recursos. Padronizar o provisionamento de recursos Equipes de carga de trabalho, equipe de plataforma Plano de transição imediata do Bíceps Pipeline de integração contínua e entrega contínua (CI/CD)
RM02 Gestão de recursos R07 As tags devem ser impostas em todos os recursos de nuvem usando a Política do Azure. Facilite o rastreamento de recursos Todos os recursos na nuvem Corrigir a marcação no prazo de 30 dias Azure Policy
AI01 IA R08 A configuração de filtragem de conteúdo de IA deve ser definida como média ou superior. Atenue as saídas nocivas da IA Equipes de carga de trabalho Medidas corretivas imediatas Azure OpenAI Service
AI02 IA R08 Os sistemas de IA voltados para o cliente devem ser formados mensalmente. Identificar vieses de IA Equipes de modelos de IA Revisão imediata, ações corretivas para falhas Auditoria manual (mensal)

Próximo passo