Governar para adoção da nuvem de defesa

A metodologia Govern centra-se no domínio da plataforma. Isso afeta o gerenciamento de custos da carga de trabalho, a linha de base de segurança, as funções de acesso à identidade e os parâmetros de consistência de recursos.

Figura 1: Rastreador de domínio - domínio da plataforma

A governança é uma estrutura que alinha pessoal, implantações e orçamentos a uma iniciativa comum e evita o desvio dessa visão. Ele fornece controle sobre ambientes de nuvem e ajuda as organizações de defesa a atingir os objetivos da missão.

As organizações de defesa precisam de governança para mitigar riscos. Custo, segurança e governança de políticas eficazes podem simplificar as operações da plataforma e fornecer um meio de herdar esses guardrails no nível da carga de trabalho. Sem uma governação adequada, verificar-se-ão encargos de gestão significativos e limites de produtividade. A falta de governança também cria lacunas de responsabilidade, introduz riscos de segurança e atrasa o retorno dos investimentos (ROIs) devido a atrasos excessivos na implantação e retrabalho.

Para evitar alguns desses problemas, vale a pena considerar as seguintes práticas recomendadas de governança.

Avaliar funções e responsabilidades

Os proprietários de missões precisam de um modelo de responsabilidade que contabilize todos os recursos na nuvem antes de se comprometer com uma estratégia de governança. Se disponível, os proprietários da missão devem coordenar funções e responsabilidades com a estratégia do corretor de nuvem. Se o corretor de nuvem não fornecer um modelo de funções e responsabilidades, os proprietários da missão precisarão estabelecer funções de governança.

A adoção da nuvem pode alterar aspetos das operações de TI. Estas alterações exigem uma reavaliação dos papéis e das responsabilidades. O objetivo da reavaliação é evitar que vários grupos/pessoal sejam responsáveis pelo mesmo serviço, garantindo que não haja lacunas de responsabilidade.

As técnicas a seguir podem ajudar a evitar redundâncias ou lacunas de governança:

• Criar um mapa de dependência de serviço: um mapa de dependência de serviço é um documento que lista todos os seus serviços de TI e as pessoas responsáveis por eles. Para criar um mapa de dependência de serviço, você deve descrever todos os serviços que sua organização fornece e, em seguida, identificar as equipes ou indivíduos que são responsáveis por cada um desses serviços.
• Rastrear os responsáveis, responsáveis, consultados e informados (RACI): Uma matriz RACI define os níveis de responsabilidade por um determinado serviço. Deve enumerar quem é responsável por cada serviço e quem deve ser consultado e informado no processo de tomada de decisão.

Para obter mais informações, consulte Funções de governança de nuvem.

Automatize a conformidade

As organizações de defesa têm camadas de requisitos de conformidade para proteger dados confidenciais e segredos. A governação é necessária para proteger estes ativos, mas cria encargos de gestão. A governança requer precisão, repetição e consistência, e a automação dessas tarefas tem um desempenho muito melhor do que os humanos. As organizações de defesa devem automatizar os processos de governança. Melhorará a eficiência operacional e a segurança e libertará o pessoal de defesa para se concentrar noutras prioridades.

O Azure simplifica muitos aspetos da governança de defesa. O Azure tem uma ferramenta de governança automatizada chamada Política do Azure que é incorporada à plataforma Azure. Essa ferramenta mantém os ambientes de nuvem alinhados com as políticas, padrões e requisitos de conformidade disponíveis. Ele permite que as equipes automatizem as avaliações de conformidade e até mesmo a correção em relação a padrões de conformidade predefinidos.

Há muitas políticas internas disponíveis no Azure que facilitam a automação de governança. Essas políticas internas atendem a muitos requisitos de conformidade do governo. Eles incluem NIST 800-53, NIST 800-171, CMMC 2.0, Impact-Level 4, Impact-Level 5, ISO 27001:2013, FedRAMP High, entre outros. Há também pastas de trabalho no Microsoft Sentinel que ajudam a visualizar a conformidade. As equipes de governança podem usar políticas para impor a governança em todos os recursos de nuvem. Os usuários selecionam as políticas desejadas e as atribuem ao escopo adequado de recursos. A Política do Azure também permite que os usuários criem e modifiquem políticas para atender a diferentes requisitos de governança.

Essas políticas verificam a conformidade de novas implantações e recursos existentes com as políticas implementadas. Novas implantações que não atendem a um requisito de política não serão implantadas. As implantações existentes que não atendem às políticas de governança também serão identificadas para que as equipes possam impor a conformidade em todos os recursos.

As políticas no Azure criam um guardrail firme e automatizam a maior parte das tarefas de governança. Ao fazer isso, eles mitigam o risco e aumentam a eficiência, ajudando os proprietários da missão a alcançar seus objetivos mais rapidamente.

Para obter mais informações sobre automação de governança, consulte

• Governação da segurança
• Descrição geral do Azure Policy
• Conformidade no Azure
• Padrões de conformidade do Azure
• Ferramenta de visualização de governança
• Pastas de trabalho do Microsoft Sentinel

Criar uma estratégia de governança de custos

Os custos são uma indicação tangível da eficácia da governação. As cobranças devem estar alinhadas com as expectativas e as surpresas em um projeto de lei significam que a abordagem de governança em vigor tem lacunas. A governança de custos consiste em aproveitar ao máximo os recursos necessários e evitar implantações de recursos não autorizadas.

Aqui estão algumas considerações ao construir uma estratégia de governança de custos:

Conheça a responsabilidade de custos - O consumo de recursos precisa de governança para otimizar custos, evitar desperdícios e aderir ao orçamento alocado. A governança de custos fornece técnicas de gerenciamento de custos que permitem prever, controlar e atribuir custos corretamente. A governação dos custos tem frequentemente requisitos legais associados. É apoiado por leis que iniciarão comitês de supervisão orçamentária para investigar e punir se houver infrações.

Rever a faturação - Os custos devem ser revistos a cada ciclo de faturação. Revisões mais frequentes resultarão em um melhor controle de custos. Revisões regulares dos custos ajudarão a identificar a governação numa fase precoce das questões. Recomenda-se que os corretores de nuvem e proprietários de missões implementem orçamentos e alertas com base no escopo de interesse. Os orçamentos ajudarão a controlar os gastos e a enviar alertas se os limites de gastos estiverem excedidos. Vários limites podem ser definidos para garantir que os orçamentos sejam informados a tempo.

Segurança de custos - Uma má governança de custos cria riscos de segurança e limita a capacidade de cumprir os objetivos da missão. Sem governança de custos, qualquer pessoa poderia adicionar um custo extra a uma conta provisionando recursos sem permissão. Os serviços fornecidos desta forma são facilmente ignorados e esquecidos. Recursos esquecidos aumentam a superfície de ataque e potenciais vulnerabilidades na nuvem. As despesas com serviços desnecessários não só criam riscos, como também roubam fundos a outras prioridades. Cobranças inesperadas podem ser um indício de governança incorreta e exigir uma revisão da disciplina de governança da organização.

Análise de tendências - Conduza a análise de tendências para impulsionar a transparência e permitir a visibilidade dos recursos ativos e do consumo. Picos anômalos no gasto de recursos e devem ser levados à equipe técnica para explicação. Pode sinalizar uma nova fase nas operações ou uma lacuna de governança. Sinalize e analise quaisquer novas cobranças ou picos de tendências. Esta forma de gestão ativa de custos ajuda a evitar desperdícios e mitiga riscos. A análise de tendências também pode ajudar a gerenciar a infraestrutura e determinar prioridades futuras. Os proprietários da missão podem ver quanto dinheiro é gasto em uma determinada capacidade. Se o dinheiro gasto não ajudar a cumprir os objetivos da missão, o futuro deste recurso ou carga de trabalho precisa de ser reavaliado.

Para obter mais informações, consulte Governança de custos e gerenciamento de custos e faturamento.

Criar linhas de base de custo

A governança de custos de carga de trabalho começa com estimativas de linha de base. As equipes de defesa devem realizar uma estimativa de TCO para cada carga de trabalho individual que se espera que seja migrada para a nuvem. Os proprietários de missões precisam monitorar esses custos de recursos de nuvem e gerenciar seus serviços adequadamente para alcançar os resultados desejados. Um benefício da nuvem são taxas de serviços compartilhados mais baixas. Eles tendem a ser uma fração das taxas de serviço de datacenter local.

Aqui estão algumas etapas práticas para criar estimativas de carga de trabalho:

Comece com o retorno sobre o investimento (ROI) da mudança para a nuvem - Para calcular o ROI da nuvem, os proprietários de missões precisam determinar o Custo Total de Propriedade (TCO) para cada carga de trabalho individual em transição para a nuvem. O Azure tem uma Calculadora de TCO que permite ao Proprietário da Missão estimar o custo por instância com várias variáveis:

• Instalações (edifícios, imóveis)
• Encargos de eletricidade e arrefecimento
• Rede (interna e/ou externa ao datacenter)
• Hardware (servidores, racks, routers, armazenamento em disco)
• Licenças para software de sistema e aplicativos
• Equipe de operações

Nem todas as variáveis requerem entrada e alguns serviços podem ser difíceis de estimar. Os proprietários das missões devem determinar o nível de precisão necessário para estabelecer esta base de referência. Uma vez criada uma estimativa de TCO, os proprietários da missão devem documentar esses dados para análise posterior.

Estimar os custos mensais dos serviços necessários - A próxima etapa no estabelecimento de uma linha de base de custo da carga de trabalho é determinar os custos mensais estimados para os serviços necessários. Estimativas mensais vinculadas a orçamentos e orçamentos permitem a previsão de negócios. Os recursos de organização de recursos no Azure facilitam orçamentos em diferentes níveis em uma estrutura organizacional. Os orçamentos podem ser aplicados no nível de Grupo de Gerenciamento, Assinatura ou Grupo de Recursos. Informações adicionais sobre como criar, monitorar e atualizar orçamentos no Azure podem ser encontradas na documentação do Microsoft Cost Management. A calculadora de preços do Azure pode ajudar a criar estimativas mensais e calculadora de TCO. Essas estimativas devem ser executadas para cada carga de trabalho individual a ser migrada. Depois que uma estimativa mensal da carga de trabalho do Azure tiver sido calculada, o proprietário da missão deverá documentar esses dados em um repositório ou outro recurso de rastreamento para análise posterior. Esse local deve ser o mesmo que a estimativa de TCO. Para obter mais informações, consulte Ferramentas de custo.

Para mais informações sobre governação, consultar:

• Guia de governação
• Disciplinas de governação

Próximo passo

Após a governança, a adoção da nuvem passa para o domínio da carga de trabalho e começa com a metodologia Adote.

Adotar