Documentar políticas de governança de nuvem
Este artigo mostra como definir e documentar políticas de governança de nuvem. As políticas de governança de nuvem especificam o que deve ou não acontecer na nuvem. A equipe de governança de nuvem deve criar uma ou mais políticas de governança de nuvem para cada risco identificado na avaliação de risco. As políticas de governança de nuvem definem os guardrails para interagir com e na nuvem.
Definir uma abordagem para documentar políticas de governança de nuvem
Estabeleça uma abordagem para criar, manter e atualizar as regras e diretrizes que regem o uso de serviços de nuvem. As políticas de governança de nuvem não devem ser exclusivas de uma carga de trabalho específica. O objetivo é produzir políticas de governança de nuvem que não exijam atualizações frequentes e que considerem os efeitos das políticas de governança de nuvem em todo o ambiente de nuvem. Para definir uma abordagem de documentação de política, siga estas recomendações:
Defina a linguagem de governança padrão. Desenvolva uma estrutura e um formato padrão para documentar políticas de governança de nuvem. As políticas devem ser uma referência clara e fidedigna para as partes interessadas.
Reconhecer os diferentes escopos de governança. Defina e atribua responsabilidades específicas de governança adaptadas às funções exclusivas dentro de sua organização. Por exemplo, um desenvolvedor controla o código do aplicativo. Uma equipe de carga de trabalho é responsável por uma única carga de trabalho, e a equipe de plataforma é responsável pela governança que as cargas de trabalho herdam.
Avalie os amplos efeitos da governança de nuvem. A governança em nuvem cria atrito. Encontre um equilíbrio entre atrito e liberdade. Considere os efeitos da governança na arquitetura de carga de trabalho, nas práticas de desenvolvimento de software e em outras áreas ao desenvolver políticas de governança de nuvem. Por exemplo, o que você permite ou não determina a arquitetura da carga de trabalho e afeta as práticas de desenvolvimento de software.
Definir políticas de governança de nuvem
Crie políticas de governança de nuvem que descrevem como usar e gerenciar a nuvem para reduzir riscos. Minimize a necessidade de atualizações frequentes de políticas. Para definir políticas de governança de nuvem, siga estas recomendações:
Use uma ID de política. Use a categoria de política e um número para identificar exclusivamente cada política, como SC01 para a primeira diretiva de governança de segurança. Incremente o identificador sequencialmente à medida que adiciona novos riscos. Se você remover riscos, poderá deixar lacunas na sequência ou usar o menor número disponível.
Inclua a declaração de política. Crie declarações de políticas específicas que abordem os riscos identificados. Use linguagem definitiva como deve, deve, não deve e não deve. Use os controles de imposição da lista de riscos como ponto de partida. Concentre-se nos resultados em vez das etapas de configuração. Nomeie a ferramenta necessária para a aplicação para que você saiba onde monitorar a conformidade.
Inclua uma ID de risco. Liste o risco na política. Associe cada política de governança de nuvem a um risco.
Inclua a categoria de política. Inclua categorias de governança, como segurança, conformidade ou gerenciamento de custos, na categorização de políticas. As categorias ajudam na classificação, filtragem e localização de políticas de governança de nuvem.
Inclua a finalidade da política. Indique o objetivo de cada política. Use o risco ou o requisito de conformidade normativa que a política satisfaz como ponto de partida.
Defina o escopo da política. Defina a que e a quem essa política se aplica, como todos os serviços de nuvem, regiões, ambientes e cargas de trabalho. Especifique quaisquer exceções para garantir que não haja ambiguidade. Use uma linguagem padronizada para que seja fácil classificar, filtrar e localizar políticas.
Inclua as estratégias de correção de políticas. Defina a resposta desejada a uma violação de uma política de governança de nuvem. Adapte as respostas à gravidade do risco, como agendar discussões para violações de não produção e esforços de correção imediata para violações de produção.
Para obter mais informações, consulte o exemplo de políticas de governança de nuvem.
Distribuir políticas de governança de nuvem
Conceda acesso a todos que precisam aderir às políticas de governança de nuvem. Procure maneiras de facilitar a adesão às políticas de governança de nuvem para as pessoas em sua organização. Para distribuir políticas de governança de nuvem, siga estas recomendações:
Use um repositório de políticas centralizado. Use um repositório centralizado e de fácil acesso para toda a documentação de governança. Garanta que todas as partes interessadas, equipes e indivíduos tenham acesso às versões mais recentes das políticas e documentos relacionados.
Criar listas de verificação de conformidade. Forneça uma visão geral rápida e acionável das políticas. Facilite a conformidade das equipes sem ter que navegar por uma extensa documentação. Para obter mais informações, consulte a lista de verificação de conformidade de exemplo.
Revise as políticas de governança de nuvem
Avalie e atualize as políticas de governança de nuvem para garantir que elas permaneçam relevantes e eficazes para a governança de ambientes de nuvem. As revisões regulares ajudam a garantir que as políticas de governança de nuvem estejam alinhadas com as mudanças nos requisitos normativos, nas novas tecnologias e nos objetivos de negócios em evolução. Ao revisar as políticas, considere as seguintes recomendações:
Implementar mecanismos de feedback. Estabeleça maneiras de receber feedback sobre a eficácia das políticas de governança de nuvem. Reúna informações dos indivíduos afetados pelas políticas para garantir que eles ainda possam fazer seu trabalho de forma eficiente. Atualize as políticas de governança para refletir os desafios e necessidades práticas.
Estabeleça revisões baseadas em eventos. Revise e atualize as políticas de governança de nuvem em resposta a eventos, como uma política de governança com falha, alteração de tecnologia ou alteração de conformidade normativa.
Agende revisões regulares. Revise regularmente as políticas de governança para garantir que elas estejam alinhadas com a evolução das necessidades organizacionais, riscos e avanços na nuvem. Por exemplo, inclua revisões de governança nas reuniões regulares de governança de nuvem com as partes interessadas.
Facilite o controle de mudanças. Inclua um processo para revisão e atualizações de políticas. Garanta que as políticas de governança de nuvem permaneçam alinhadas com as mudanças organizacionais, regulatórias e tecnológicas. Deixe claro como editar, remover ou adicionar políticas.
Identificar ineficiências. Revise as políticas de governança para encontrar e corrigir ineficiências na arquitetura e nas operações de nuvem. Por exemplo, em vez de exigir que cada carga de trabalho use seu próprio firewall de aplicativo Web, atualize a diretiva para exigir o uso de um firewall centralizado. Revise as políticas que exigem esforço duplicado e veja se há uma maneira de centralizar o trabalho.
Exemplo de políticas de governança de nuvem
As políticas de governança de nuvem a seguir são exemplos para referência. Essas políticas são baseadas nos exemplos na lista de risco de exemplo.
ID da política | Categoria de política | ID do risco | Declaração de política | Finalidade | Escopo | Remediação | Monitoramento |
---|---|---|---|---|---|---|---|
RC01 | Conformidade regulatória | R01 | O Microsoft Purview deve ser usado para monitorar dados confidenciais. | Conformidade regulatória | Equipes de carga de trabalho, equipe de plataforma | Ação imediata da equipe afetada, treinamento de compliance | Microsoft Purview |
RC02 | Conformidade regulatória | R01 | Relatórios diários de conformidade de dados confidenciais devem ser gerados a partir do Microsoft Purview. | Conformidade regulatória | Equipes de carga de trabalho, equipe de plataforma | Resolução dentro de um dia, auditoria de confirmação | Microsoft Purview |
SC01 | Segurança | R 02 | A autenticação multifator (MFA) deve ser habilitada para todos os usuários. | Reduza violações de dados e acesso não autorizado | Usuários do Azure | Revogar o acesso do usuário | Acesso condicional do Microsoft Entra ID |
SC02 | Segurança | R 02 | As revisões de acesso devem ser realizadas mensalmente no Microsoft Entra ID Governance. | Garantir a integridade dos dados e do serviço | Usuários do Azure | Revogação imediata de acesso por descumprimento | Governança de ID |
SC03 | Segurança | R03 | As equipes devem usar a organização do GitHub especificada para hospedagem segura de todo o código de software e infraestrutura. | Garanta o gerenciamento seguro e centralizado de repositórios de código | Equipes de desenvolvimento | Transferência de repositórios não autorizados para a organização especificada do GitHub e possíveis ações disciplinares por não conformidade | Log de auditoria do GitHub |
SC04 | Segurança | R03 | As equipes que usam bibliotecas de fontes públicas devem adotar o padrão de quarentena. | Garantir que as bibliotecas estejam seguras e em conformidade antes da integração no processo de desenvolvimento | Equipes de desenvolvimento | Remoção de bibliotecas não conformes e revisão de práticas de integração para projetos afetados | Auditoria manual (mensal) |
CM01 | Gerenciamento de custos | R 04 | As equipes de carga de trabalho devem definir alertas de orçamentos no nível do grupo de recursos. | Evite gastos excessivos | Equipes de carga de trabalho, equipe de plataforma | Revisões imediatas, ajustes para alertas | Gerenciamento de Custos da Microsoft |
CM02 | Gerenciamento de custos | R 04 | As recomendações de custo do Azure Advisor devem ser revisadas. | Otimize o uso da nuvem | Equipes de carga de trabalho, equipe de plataforma | Auditorias de otimização obrigatórias após 60 dias | Supervisor |
OP01 | Operações | R05 | As cargas de trabalho de produção devem ter uma arquitetura ativa-passiva entre regiões. | Garantir a continuidade do serviço | Equipes de carga de trabalho | Avaliações de arquitetura, revisões semestrais | Auditoria manual (por versão de produção) |
OP02 | Operações | R05 | Todas as cargas de trabalho de missão crítica devem implementar uma arquitetura ativa-ativa entre regiões. | Garantir a continuidade do serviço | Equipes de carga de trabalho de missão crítica | Atualizações dentro de 90 dias, revisões de progresso | Auditoria manual (por versão de produção) |
DG01 | Dados | R 06 | A criptografia em trânsito e em repouso deve ser aplicada a todos os dados confidenciais. | proteger dados confidenciais | Equipes de carga de trabalho | Aplicação imediata de criptografia e treinamento de segurança | Azure Policy |
DG02 | Dados | R 06 | As políticas de ciclo de vida de dados devem ser habilitadas no Microsoft Purview para todos os dados confidenciais. | Gerenciar o ciclo de vida dos dados | Equipes de carga de trabalho | Implementação em até 60 dias, auditorias trimestrais | Microsoft Purview |
RM01 | Gerenciamento de recursos | R 07 | O bíceps deve ser usado para implantar recursos. | Padronizar o provisionamento de recursos | Equipes de carga de trabalho, equipe de plataforma | Plano de transição imediata do Bíceps | Pipeline de integração contínua e entrega contínua (CI/CD) |
RM02 | Gerenciamento de recursos | R 07 | As marcas devem ser impostas em todos os recursos de nuvem usando a Política do Azure. | Facilite o rastreamento de recursos | Todos os recursos de nuvem | Marcação correta dentro de 30 dias | Azure Policy |
AI01 | IA | R 08 | A configuração de filtragem de conteúdo de IA deve ser definida como média ou superior. | Reduza as saídas prejudiciais da IA | Equipes de carga de trabalho | Medidas corretivas imediatas | Serviço OpenAI do Azure |
AI02 | IA | R 08 | Os sistemas de IA voltados para o cliente devem ser conectados mensalmente. | Identificar vieses de IA | Equipes de modelos de IA | Revisão imediata, ações corretivas para faltas | Auditoria manual (mensal) |