Área de design: Governança do Azure

Use a governança do Azure para estabelecer as ferramentas necessárias para dar suporte à governança de nuvem, auditoria de conformidade e guardrails automatizados.

Revisão da área de design

Funções ou papéis: a governança do Azure origina-se de governança na nuvem. Talvez seja necessário implementar a plataforma de nuvem ou um centro de excelência em nuvem definir e aplicar determinados requisitos técnicos. A governança concentra-se na aplicação de operações e requisitos de segurança, podendo exigir segurança na nuvem , TI central , ou operações na nuvem .

Escopo: Considere suas decisões de de identidade, de rede, de segurança e gerenciamento revisões da área de design. Sua equipe pode comparar decisões de revisão da governança automatizada, que faz parte do acelerador de zona de aterrissagem do Azure. As decisões de revisão podem ajudá-lo a determinar o que auditar ou aplicar e quais políticas implantar automaticamente.

Fora do escopo: A governança do Azure estabelece a base para a rede de computadores. Mas não aborda componentes relacionados à conformidade, como segurança de rede avançada ou guarda-corpos automatizados para impor decisões de rede. Você pode abordar essas decisões de rede ao rever as áreas de design de conformidade que estão relacionadas à segurança e à governança . A equipe da plataforma de nuvem deve abordar os requisitos iniciais de rede antes de abordar componentes mais complexos.

Novo ambiente de nuvem (greenfield): Para iniciar a sua jornada na nuvem, crie um pequeno conjunto de assinaturas. Você pode usar modelos de implantação do Bicep para criar suas novas zonas de aterrissagem do Azure. Para obter mais informações, consulte zonas de aterrissagem do Azure Bicep — Fluxo de implantação.

Ambiente de nuvem existente (brownfield): Se você quiser aplicar princípios de governança do Azure de prática comprovada a ambientes existentes do Azure, considere as seguintes orientações:

• Estabeleça uma referência de gestão para o seu ambiente híbrido ou multicloud.

• Implemente recursos do Microsoft Cost Management, como escopos de cobrança, orçamentos e alertas, para garantir que você não exceda seu limite de despesas.

• Use da Política do Azure para impor proteções de governança em implantações do Azure e iniciar tarefas de correção para colocar os recursos existentes do Azure em um estado de conformidade.

• Considere usar a funcionalidade de gestão de direitos do Microsoft Entra para automatizar fluxos de trabalho de solicitação de acesso do Azure, atribuições de acesso, revisões e expirações.

• Use as recomendações do Consultor do Azure para garantir a otimização de custos e a excelência operacional no Azure, que são princípios fundamentais do Microsoft Azure Well-Architected Framework.

O repositório de zonas de acolhimento do Azure Bicep — Fluxo de implantação contém modelos de implantação do Bicep que podem acelerar as suas implantações de zonas de acolhimento do Azure, tanto em cenários greenfield como brownfield. Esses modelos integraram as diretrizes de governança de práticas comprovadas da Microsoft.

Considere usar as atribuições de política padrão da zona de aterrissagem do Azure módulo Bicep para obter uma vantagem inicial na garantia de conformidade para seus ambientes do Azure.

Para obter mais informações, consulte Considerações sobre o ambiente Brownfield.

Visão geral da área de design

A jornada de adoção da nuvem da sua organização começa com controles rígidos para ambientes governamentais.

A governança fornece mecanismos e processos para manter o controle sobre plataformas, aplicativos e recursos no Azure.

Explore as seguintes considerações e recomendações para tomar decisões informadas ao planejar sua zona de pouso.

A área de design de governança se concentra nas decisões de design para sua zona de pouso. Para obter informações sobre processos e ferramentas de governança, consulte Govern no Cloud Adoption Framework for Azure.

Considerações sobre governança do Azure

A Política do Azure ajuda a garantir a segurança e a conformidade para propriedades técnicas empresariais. A Política do Azure pode impor convenções vitais de gerenciamento e segurança nos serviços da plataforma Azure. A Política do Azure complementa o RBAC (controle de acesso baseado em função) do Azure, que controla ações para usuários autorizados. O Gerenciamento de Custos também pode ajudar a dar suporte aos seus custos e gastos contínuos de governança no Azure ou em outros ambientes multicloud.

Considerações sobre implantação

Os conselhos consultivos de mudança podem prejudicar a inovação e a agilidade dos negócios da sua organização. O Azure Policy substitui essas revisões por guarda-corpos automatizados e auditorias de aderência para melhorar a eficiência da carga de trabalho.

• Determine quais políticas do Azure você precisa com base em seus controles de negócios ou regulamentos de conformidade. Use as políticas incluídas no acelerador de zona de aterrissagem do Azure como ponto de partida.

• Use as políticas de incluídas no de implementação de referência de zonas de aterrissagem do Azure para considerar outras políticas que possam se alinhar aos seus requisitos de negócios.

• Aplique convenções automatizadas de rede, identidade, gerenciamento e segurança.

• Gerencie e crie atribuições de política usando definições de política que você pode reutilizar em vários escopos de atribuição herdados. Você pode ter atribuições de políticas de linha de base centralizadas no escopo de gerenciamento, assinatura e grupo de recursos.

• Garantir a conformidade contínua com relatórios de conformidade e auditoria.

• Entenda que a Política do Azure tem limites, como a restrição de definições em qualquer escopo específico. Para obter mais informações, consulte Limites de apólice.

• Compreender as políticas de conformidade regulamentar. As políticas podem incluir critérios de serviços de confiança HIPAA, PCI-DSS ou SOC 2.

Considerações sobre gerenciamento de custos

• Considere a estrutura do custo e do modelo de recarga da sua organização. Determine os principais pontos de dados que transmitem com precisão seus gastos com serviços de nuvem.

• Escolha a estrutura de etiquetas que se adapta ao seu custo e modelo de recarga para ajudar a controlar os seus gastos na nuvem.

• Use a calculadora de preços do Azure para estimar os custos mensais esperados para usar produtos do Azure.

• Obtenha o Benefício Híbrido do Azure para ajudar a reduzir o custo de execução das suas cargas de trabalho na nuvem. Você pode usar suas licenças locais do Windows Server e do SQL Server habilitadas para Software Assurance no Azure. Você também pode usar assinaturas Red Hat e SUSE Linux.

• Obtenha reservas do Azure e comprometa-se com planos de um ou três anos para vários produtos. Os planos de reserva oferecem descontos de recursos, o que pode reduzir significativamente os custos de recursos em até 72% em comparação com os preços pré-pagos.

• Obtenha o plano de poupança Azure para de computação para poupar até 65% em comparação com os preços pré-pagos. Escolha um compromisso de um ou três anos que se aplique a serviços de computação, independentemente da sua região, tamanho da instância ou sistema operacional. Escolha um plano para componentes de computação, como máquinas virtuais, hosts dedicados, instâncias de contêiner, funções premium do Azure e serviços de aplicativo do Azure. Combine um plano de poupança do Azure com reservas do Azure para otimizar o custo de computação e a flexibilidade.

• Use as políticas do Azure para permitir regiões específicas, tipos de recursos e SKUs de recursos.

• Use a política baseada em regras do gerenciamento do ciclo de vida do Armazenamento do Azure para mover dados de blob para as camadas de acesso apropriadas ou para expirar dados no final do ciclo de vida dos dados.

• Use as assinaturas de desenvolvimento/teste do Azure para obter um desconto no acesso para selecionar serviços do Azure para cargas de trabalho que não sejam de produção.

• Use o dimensionamento automático para alocar e desalocar recursos dinamicamente para atender às suas necessidades de desempenho, o que economiza dinheiro.

• Utilize as Máquinas Virtuais Spot do Azure para tirar partido da capacidade de computação não utilizada a um baixo custo. As máquinas virtuais spot são ótimas para cargas de trabalho que podem lidar com interrupções, por exemplo, trabalhos de processamento em lote, ambientes de desenvolvimento/teste e cargas de trabalho de computação grande.

• Selecione os serviços do Azure certos para ajudar a reduzir custos. Alguns serviços do Azure são gratuitos por 12 meses e alguns são sempre gratuitos.

• Selecione o serviço de computação certo para seu aplicativo para ajudar a melhorar a eficiência de custos. O Azure oferece muitas maneiras de hospedar seu código.

Considerações sobre gerenciamento de recursos

• Determine se os grupos de recursos em seu ambiente podem compartilhar as configurações necessárias, um ciclo de vida comum ou restrições de acesso comuns (como RBAC) para ajudar a fornecer consistência.

• Escolha um design de assinatura de aplicativo ou carga de trabalho que seja apropriado para suas necessidades de operação.

• Use configurações de recursos padrão em sua organização para garantir uma configuração de linha de base consistente.

Considerações de segurança

• Aplique ferramentas e guarda-corpos em todo o ambiente como parte de uma linha de base de segurança.
• Notifique as pessoas apropriadas quando encontrar desvios.
• Considere usar a Política do Azure para impor ferramentas, como o Microsoft Defender for Cloud, ou guardrails, como o benchmark de segurança na nuvem da Microsoft.

Considerações sobre gerenciamento de identidades

• Determine quem tem acesso aos logs de auditoria para gerenciamento de identidade e acesso.

• Notifique as pessoas apropriadas quando ocorrerem eventos suspeitos de início de sessão.

• Considere usar de relatórios do Microsoft Entra para controlar a atividade.

• Considere enviar os registos do Microsoft Entra ID para a área central de trabalho dos Registos do Azure Monitor da plataforma.

• Explore as funcionalidades de Governança de IDs do Microsoft Entra, como revisões de acesso e gestão de direitos .

Ferramentas que não são da Microsoft

• Use AzAdvertizer para obter atualizações de governança do Azure. Por exemplo, você pode encontrar informações sobre definições de política, iniciativas, aliases, segurança e controles de conformidade regulatória na Política do Azure ou nas definições de função do RBAC do Azure. Você também pode obter informações sobre as operações dos fornecedores de recursos, as definições e ações das funções do Microsoft Entra, e as permissões de API de primeira parte.

• Use do Visualizador de Governança do Azure para acompanhar seu patrimônio de governança técnica. Você pode usar o recurso de verificador de versão de política para zonas de aterrissagem do Azure para manter seu ambiente atualizado com o estado de liberação de política de zona de aterrissagem do Azure mais recente.

Recomendações de governança do Azure

Recomendações de aceleração de implantação

• Identifique os rótulos do Azure necessários e use o modo de política 'append' para garantir o uso. Para obter mais informações, consulte Definir a sua estratégia de marcação.

• Mapeie os requisitos regulatórios e de conformidade para definições de Política do Azure e atribuições de função do Azure.

• Estabeleça definições de Política do Azure no grupo de gerenciamento raiz de nível superior porque elas podem ser atribuídas em escopos herdados.

• Gerencie atribuições de políticas no nível mais alto apropriado com exclusões nos níveis inferiores, se necessário.

• Use a Política do Azure para controlar os registros do provedor de recursos nos níveis de assinatura ou grupo de gerenciamento.

• Use políticas internas para minimizar a sobrecarga operacional.

• Atribua a função interna de Colaborador da Política de Recursos em um escopo específico para habilitar a governança no nível do aplicativo.

• Limite o número de atribuições do Azure Policy no escopo do grupo de gerenciamento raiz para evitar gerir exclusões em escopos herdados.

Recomendações de gestão de custos

• Use o Gerenciamento de Custos para implementar a supervisão financeira dos recursos em seu ambiente.
• Use tags, como o centro de custo ou o nome do projeto, para acrescentar os metadados do recurso. Essa abordagem ajuda a permitir a análise granular de despesas.

Governança do Azure no acelerador de zona de aterrissagem do Azure

O acelerador de zona de aterrissagem do Azure fornece às organizações controles de governança maduros.

Por exemplo, você pode implementar:

• Uma hierarquia de grupo de gerenciamento que agrupa recursos por função ou tipo de carga de trabalho. Esta abordagem incentiva a coerência dos recursos.
• Um conjunto avançado de políticas do Azure que permite controles de governança no nível do grupo de gerenciamento. Essa abordagem ajuda a verificar se todos os recursos estão no escopo.