Governar para adoção da nuvem de defesa

A metodologia Govern se concentra no domínio da plataforma. Isso afeta o gerenciamento de custos da carga de trabalho, a linha de base de segurança, as funções de acesso à identidade e os parâmetros de consistência de recursos.

Figura 1: Rastreador de domínio - domínio da plataforma

A governança é uma estrutura que alinha pessoal, implantações e orçamentos a uma iniciativa comum e evita o desvio dessa visão. Ele fornece controle sobre ambientes de nuvem e ajuda as organizações de defesa a atingir os objetivos da missão.

As organizações de defesa precisam de governança para mitigar os riscos. A governança eficaz de custos, segurança e políticas pode simplificar as operações da plataforma e fornecer um meio de herdar essas proteções no nível da carga de trabalho. Sem governança adequada, ocorrerão encargos de gerenciamento significativos e limites de produtividade. A falta de governança também cria lacunas de responsabilidade, introduz riscos de segurança e atrasa o retorno sobre os investimentos (ROIs) devido a atrasos excessivos na implantação e retrabalho.

Para evitar alguns desses problemas, vale a pena considerar as seguintes práticas recomendadas de governança.

Avalie funções e responsabilidades

Os proprietários de missões precisam de um modelo de responsabilidade que leve em conta todos os recursos na nuvem antes de se comprometer com uma estratégia de governança. Se disponível, os proprietários da missão devem coordenar funções e responsabilidades com a estratégia do agente de nuvem. Se o agente de nuvem não fornecer o modelo de funções e responsabilidades, os proprietários da missão precisarão estabelecer funções de governança.

A adoção da nuvem pode mudar aspectos das operações de TI. Essas mudanças exigem uma reavaliação de funções e responsabilidades. O objetivo da reavaliação é evitar ter vários grupos/funcionários responsáveis pelo mesmo serviço, garantindo que não haja lacunas de responsabilidade.

As seguintes técnicas podem ajudar a evitar redundâncias ou lacunas de governança:

• Crie um mapa de dependência de serviço: Um mapa de dependência de serviço é um documento que lista todos os seus serviços de TI e as pessoas responsáveis por eles. Para criar um mapa de dependência de serviço, você deve descrever todos os serviços que sua organização fornece e, em seguida, identificar as equipes ou indivíduos responsáveis por cada um desses serviços.
• Rastreie os responsáveis, responsáveis, consultados e informados (RACI): Uma matriz RACI define os níveis de responsabilidade por um determinado serviço. Você deve listar quem é responsável e responsável por cada serviço e quem deve ser consultado e informado no processo de tomada de decisão.

Para obter mais informações, consulte funções de governança de nuvem.

Automatize a conformidade

As organizações de defesa têm camadas de requisitos de conformidade para proteger dados e segredos confidenciais. A governança é necessária para proteger esses ativos, mas cria encargos de gestão. A governança requer precisão, repetição e consistência, e a automação dessas tarefas tem um desempenho muito melhor do que os humanos. As organizações de defesa devem automatizar os processos de governança. Isso melhorará a eficiência operacional e a segurança e liberará o pessoal de defesa para se concentrar em outras prioridades.

O Azure simplifica muitos aspectos da governança de defesa. O Azure tem uma ferramenta de governança automatizada chamada Azure Policy que é incorporada à plataforma Azure. Essa ferramenta mantém os ambientes de nuvem alinhados com as políticas, padrões e requisitos de conformidade disponíveis. Ele permite que as equipes automatizem as avaliações de conformidade e até mesmo a correção em relação aos padrões de conformidade predefinidos.

Há muitas políticas internas disponíveis no Azure que facilitam a automação de governança. Essas políticas integradas atendem a muitos requisitos de conformidade do governo. Eles incluem NIST 800-53, NIST 800-171, CMMC 2.0, Nível de Impacto 4, Nível de Impacto 5, ISO 27001:2013, FedRAMP High e outros. Também há pastas de trabalho no Microsoft Sentinel que ajudam você a visualizar a conformidade. As equipes de governança podem usar políticas para impor a governança em recursos de nuvem. Os usuários selecionam as políticas desejadas e as atribuem ao escopo adequado de recursos. O Azure Policy também permite que os usuários criem e modifiquem políticas para atender a diferentes requisitos de governança.

Essas políticas verificam a conformidade de novas implantações e recursos existentes em relação às políticas implementadas. Novas implantações que não atendem a um requisito de política não serão implantadas. As implantações existentes que não atendem às políticas de governança também serão identificadas para que as equipes possam impor a conformidade em todos os recursos.

As políticas no Azure criam uma proteção firme e automatizam a maior parte das tarefas de governança. Ao fazer isso, eles mitigam o risco e aumentam a eficiência, ajudando os proprietários da missão a atingir seus objetivos de missão mais rapidamente.

Para obter mais informações sobre automação de governança, consulte

• Governança de segurança
• Visão geral do Azure Policy
• Conformidade no Azure
• Padrões de conformidade do Azure
• Ferramenta de visualização de governança
• Pastas de trabalho do Microsoft Sentinel

Crie uma estratégia de governança de custos

Os custos são uma indicação tangível da eficácia da governança. As cobranças devem estar alinhadas com as expectativas e surpresas em um projeto de lei, o que significa que a abordagem de governança em vigor tem lacunas. A governança de custos trata de aproveitar ao máximo os recursos necessários e evitar implantações de recursos que não são autorizadas.

Aqui estão algumas considerações ao criar uma estratégia de governança de custos:

Conheça a responsabilidade de custo - O consumo de recursos precisa de governança para otimizar custos, evitar desperdícios e aderir ao orçamento alocado. A governança de custos fornece técnicas de gerenciamento de custos que permitem prever, controlar e atribuir custos corretamente. A governança de custos geralmente tem requisitos legais associados. É apoiado por leis que iniciarão comitês de supervisão orçamentária para investigar e punir se houver infrações.

Revisar faturamento - Os custos devem ser revisados a cada ciclo de faturamento. Revisões mais frequentes resultarão em melhor controle de custos. Revisões regulares de custos ajudarão a identificar a governança no início dos problemas. É recomendável que os agentes de nuvem e os proprietários de missões implementem orçamentos e alertas com base no escopo de interesse. Os orçamentos ajudarão a rastrear os gastos e enviar alertas se os limites de gastos forem excedidos. Vários limites podem ser definidos para garantir que os orçamentos sejam informados a tempo.

Segurança de custos - A má governança de custos cria riscos de segurança e limita a capacidade de cumprir os objetivos da missão. Sem governança de custos, qualquer pessoa poderia adicionar custos extras a uma fatura provisionando recursos sem permissão. Os serviços provisionados dessa maneira são facilmente negligenciados e esquecidos. Recursos esquecidos aumentam a superfície de ataque e possíveis vulnerabilidades na nuvem. Gastar em serviços desnecessários não apenas cria riscos, mas também rouba fundos de outras prioridades. Cobranças inesperadas podem ser uma indicação de governança incorreta e exigir uma revisão da disciplina de governança da organização.

Análise de tendências - Realize análises de tendências para aumentar a transparência e permitir a visibilidade dos recursos ativos e do consumo. Picos anômalos no gasto de recursos e devem ser levados à equipe técnica para explicação. Isso pode sinalizar uma nova fase nas operações ou uma lacuna de governança. Sinalize e analise quaisquer novas cobranças ou picos nas tendências. Essa forma de gerenciamento ativo de custos ajuda a evitar desperdícios e mitiga riscos. A análise de tendências também pode ajudar a gerenciar a infraestrutura e determinar prioridades futuras. Os proprietários de missões podem ver quanto dinheiro é gasto em um determinado recurso. Se o dinheiro gasto não ajudar a atingir os objetivos da missão, o futuro desse recurso ou carga de trabalho precisa ser reavaliado.

Para obter mais informações, consulte governança de custos e gerenciamento de custos e cobrança.

Criar linhas de base de custo

A governança de custos da carga de trabalho começa com estimativas de linha de base. As equipes de defesa devem realizar uma estimativa de TCO para cada carga de trabalho individual que deve ser migrada para a nuvem. Os proprietários da missão precisam monitorar esses custos de recursos de nuvem e gerenciar seus serviços adequadamente para alcançar os resultados desejados. Um benefício da nuvem são as taxas de serviços compartilhados mais baixas. Eles tendem a ser uma fração das taxas de serviço do datacenter local.

Aqui estão algumas etapas práticas para criar estimativas de carga de trabalho:

Comece com o retorno sobre o investimento (ROI) da mudança para a nuvem – para calcular o ROI da nuvem, os proprietários da missão precisam determinar o Custo Total de Propriedade (TCO) para cada carga de trabalho individual em transição para a nuvem. O Azure tem uma calculadora de TCO que permite ao proprietário da missão estimar o custo por instância com várias variáveis:

• Instalações (edifício, imóveis)
• Eletricidade e cargas de refrigeração
• Rede (interna e/ou externa ao datacenter)
• Hardware (servidores, racks, roteadores, armazenamento em disco)
• Licenças para software de sistema e aplicativos
• Equipe de operações

Nem todas as variáveis exigem entrada e alguns serviços podem ser difíceis de estimar. Os proprietários da missão devem determinar o nível de precisão necessário para estabelecer essa linha de base. Depois que uma estimativa de TCO é criada, os proprietários da missão devem documentar esses dados para análise posterior.

Estimar os custos mensais dos serviços necessários – a próxima etapa no estabelecimento de uma linha de base de custo da carga de trabalho é determinar os custos mensais estimados para os serviços necessários. As estimativas mensais estão vinculadas aos orçamentos e os orçamentos permitem a previsão de negócios. Os recursos de organização de recursos no Azure facilitam orçamentos em diferentes níveis em uma estrutura organizacional. Os orçamentos podem ser aplicados no nível do Grupo de Gerenciamento, da Assinatura ou do Grupo de Recursos. Informações adicionais sobre como criar, monitorar e atualizar orçamentos no Azure podem ser encontradas na documentação do Gerenciamento de Custos da Microsoft. A calculadora de preços do Azure pode ajudar a criar estimativas mensais e calculadora de TCO. Essas estimativas devem ser executadas para cada carga de trabalho individual a ser migrada. Depois que uma estimativa mensal de carga de trabalho do Azure for calculada, o proprietário da missão deverá documentar esses dados em um repositório ou outro recurso de acompanhamento para análise posterior. Esse local deve ser o mesmo que a estimativa de TCO. Para obter mais informações, consulte ferramentas de custo.

Para obter mais informações sobre governança, consulte:

• Guia de governança
• Disciplinas de governança

Próxima etapa

Após a governança, a adoção da nuvem passa para o domínio da carga de trabalho e começa com a metodologia Adotar.

Adotar