A governança de nuvem determina como uma organização opera serviços na nuvem com base em um conjunto definido de regras e políticas. A estrutura fornecida pela governança de nuvem garante que os serviços em nuvem de uma organização apoiem as operações e forneçam a segurança necessária.
Em essência, a governança de nuvem é a aplicação de políticas de governança de TI aos serviços de nuvem, mas em um grau muito mais extenso. Graças à amplitude de serviços cobertos pelas implementações na nuvem, a governança de nuvem deve englobar muitas áreas a fim de manter, com segurança, o perfeito funcionamento dos sistemas.
A governança de nuvem abrange finanças, operações, segurança, conformidade, gerenciamento de dados, desempenho de aplicativos, gestão de ativos e configurações.
Exemplos reais de funções de governança de nuvem
A maioria das organizações tem um comitê de governança de nuvem para supervisionar esta função. O comitê de governança de nuvem é uma equipe multifuncional com representantes da alta administração, TI, segurança, conformidade e unidades de negócio. Ele é responsável por definir e supervisionar políticas e padrões gerais de governança de nuvem.
Garantindo da conformidade com as regulamentações do setor
A governança de nuvem é cada vez mais usada como suporte a programas de conformidade das organizações. A seguir estão as principais áreas de fornecimento de estruturas onde a governança de nuvem ajuda na conformidade.
- Gerenciamento de acesso Uso de fortes sistemas de gerenciamento de identidade e acesso (IAM, Identity and Access Management) para controlar quem pode acessar recursos e dados na nuvem.
- Auditoria e monitoramento Análise regular dos registros de atividades na nuvem para identificar possíveis problemas de conformidade relacionados ao comportamento, configurações e atualizações do usuário.
- Classificação de dados Identificação e categorização de dados com grau de confidencialidade a fim de implementar medidas de segurança adequadas e controles de acesso com base em seu nível de privacidade.
- Criptografia de dados Garantia de que todos os dados que possuem certo grau de confidencialidade sejam criptografados em repouso e em trânsito para proteção contra acesso não autorizado em caso de violação.
- Planejamento de resposta a incidentes Elaboração e implementação de procedimentos claros em resposta a incidentes de segurança e visando à redução ao mínimo da perda de dados na nuvem.
- Gerenciamento de fornecedores Avaliação e monitoramento frequente das práticas de segurança dos provedores de serviços de nuvem para garantir a conformidade com a regulamentação em vigor.
A seguir estão vários exemplos de como as organizações usam a governança de nuvem como suporte à conformidade em seus setores.
- E-commerce (comércio eletrônico) Varejistas online usam a governança de nuvem para orientar a supervisão e o gerenciamento de seus ambientes de nuvem, incluindo a implementação de procedimentos sólidos de solicitação de acesso ao titular dos dados, a aplicação de políticas de retenção de dados e a garantia de que o consentimento do usuário seja obtido de acordo com os regulamentos de privacidade.
- Setor financeiro A governança de nuvem garante supervisão estruturada a empresas de processamento de cartões de crédito, visando garantir que todos os provedores de nuvem usados possuam certificação quanto à conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS, Payment Card Industry Data Security Standard), implementando uma sólida criptografia para dados de titulares de cartão e monitorando regularmente possíveis vulnerabilidades em relação à segurança.
- Setor de saúde Prestadores de serviços de saúde utilizam a governança de nuvem para monitorar seus ambientes de nuvem e garantir a manutenção da conformidade do armazenamento de dados e dos controles de acesso. A governança de nuvem também orienta avaliações de risco frequentes em práticas de gestão de dados e direciona o treinamento de equipes quanto às regulamentações de privacidade dos pacientes e ao tratamento dos dados.
Estabelecendo e monitorando acordos de nível de serviço (SLAs)
Os SLAs (Service Level Agreements) também são controlados por políticas de governança de nuvem, que orientam sobre níveis mínimos de serviço, medidas de segurança e outros elementos críticos de negócios. Alguns exemplos de como organizações utilizam a governança de nuvem para orientar os SLAs:
- Conformidade: para garantir o cumprimento dos requisitos de leis e regulamentações em vigor.
- Gerenciamento de dados: para ajudar a criar controles de acesso a dados, bem como a definir regras de propriedade, retenção e destruição de dados.
- Níveis de serviço: para especificar níveis mínimos de serviço, incluindo disponibilidade, segurança e capacidade de resposta.
Gerenciando os ciclos de vida dos dados
O gerenciamento dos ciclos de vida dos dados também é orientado pelas políticas de governança de nuvem, o que abrange a classificação, a retenção, o controle de acesso e o mascaramento de dados. A seguir estão exemplos reais de setores onde a governança de nuvem oferece suporte ao gerenciamento de ciclo de vida dos dados.
- E-commerce (comércio eletrônico): adoção de controles de acesso granulares a fim de restringir quem pode visualizar detalhes específicos do cliente com base em sua função e localização, visando à conformidade com as leis de privacidade, que exigem que as organizações implementem controles de acesso para a proteção de dados pessoais.
- Serviços financeiros: implementação de políticas de retenção de dados para transações de clientes com base em padrões de conformidade, exigindo que as empresas financeiras mantenham registros detalhados.
- Saúde: definição de diferentes períodos de retenção para dados confidenciais de pacientes (por exemplo, prontuários) com base em requisitos regulatórios e necessidades clínicas.
- Varejo: mascaramento de informações confidenciais de clientes (por exemplo, números de cartão de crédito) ao compartilhar dados entre diferentes departamentos.
Outros exemplos de funções da governança de nuvem
- Definir funções e responsabilidades.
- Estabelecer procedimentos de escalonamento de alerta.
- Habilitar requisitos de controle de acesso.
- Impor políticas de rede.
- Implementar políticas de recuperação de desastres.
- Fornecer orientação em protocolos de uso de nuvem.
- Configurar esquemas de classificação de dados.
- Especificar licenças para serviços de nuvem.
Por que a governança de nuvem é importante
Uma estratégia sólida de governança de nuvem é importante porque ajuda organizações a aproveitar todos os benefícios da nuvem e a evitar erros dispendiosos que são comuns nesse tipo de implantação.
A governança de nuvem fornece um sistema que estrutura regras e orienta sobre como combinar melhor tecnologia, pessoas e processos a fim de alcançar os resultados desejados, manter a segurança, respeitar orçamentos e otimizar o desempenho.
A seguir está uma lista com as diversas formas como a governança de nuvem oferece suporte às empresas.
Ajuda na definição de funções e responsabilidades
A governança de nuvem é amplamente usada por organizações para fornecer uma estrutura que define funções e responsabilidades e impõe políticas relacionadas, como privilégios de acesso atribuídos por meio de sistemas de gerenciamento de identidade e acesso (IAM, Identity and Access Management), autoridade de tomada de decisão e procedimentos de escalonamento. Além disso, os procedimentos de monitoramento e auditoria de funções e responsabilidades, principalmente em termos de privilégios de acesso, são supervisionados por meio da governança de nuvem.
Melhora o gerenciamento dos recursos da nuvem
A governança de nuvem pode separar as cargas de trabalho da nuvem em contas individuais de departamentos, projetos ou centros de custo. Esse divisão ajuda a controlar custos, aumenta a visibilidade, reduzindo vulnerabilidades em relação à segurança.
Aumenta a eficiência administrativa
Com a governança de nuvem, a definição e a imposição de políticas ficam mais fáceis, podendo ser estabelecidas em toda a organização. Isso centraliza o controle sobre os recursos da nuvem para reduzir atividades não conformes e permitir que as equipes gerenciem os custos com mais eficiência.
Facilita o gerenciamento de recursos de computação em nuvem
A governança de nuvem orienta a forma de gerenciar cargas de trabalho a fim de obter eficiência operacional e segurança ideais. Por exemplo, a governança de nuvem pode conter diretivas sobre quando mover cargas de trabalho de vários locatários residentes em uma única conta de nuvem ou assinatura para contas distintas.
Minimiza o risco de segurança na nuvem
Ao criar e impor regras, a governança de nuvem pode aumentar a proteção dos dados, a integridade e a disponibilidade deles. A governança de nuvem estende os controles a todos os sistemas para proteger as informações, não importa onde elas residam.
Oferece suporte à implementação de políticas de recuperação de desastres
A governança de nuvem é amplamente utilizada na fundamentação de políticas de recuperação de desastres. Nesse contexto fundamental, ela dá suporte à recuperação de desastres auxiliando organizações a definirem claramente quais dados e aplicativos são mais críticos para as operações de negócios, o que facilita a priorização da proteção e a prontidão para recuperação.
Automação e governança de nuvem
As plataformas automatizadas de gerenciamento de políticas de governança de nuvem armazenam políticas e monitoram atividades. Se uma violação de política for detectada ou uma ação exigir aprovação antes de ser permitida, o sistema poderá responder automaticamente.
A automação das políticas de governança de nuvem permite que as equipes de TI governem por exceção, economizando tempo e permitindo que a equipe de TI se concentre em atividades mais produtivas.
Funções de automação de governança de nuvem
Uma plataforma de gestão de políticas de governança de nuvem pode realizar ações automatizadas como suporte à gestão de ambientes de nuvem, tais como:
- Alertar quando houver projeção de que os custos excederão o orçamento mensal.
- Auditar o uso da nuvem.
- Automatizar processos, incluindo provisionamento de infraestrutura, ações de fiscalização, alocação de recursos, segurança na nuvem, conformidade, gerenciamento de rede e gerenciamento de carga de trabalho.
- Detectar e corrigir vulnerabilidades automaticamente.
- Interromper uma ação até que o processo de fluxo de trabalho de aprovação seja concluído.
- Revogar o acesso a contas configuradas incorretamente ou que apresentem atividades suspeitas.
- Agendar fluxos de trabalho.
- Enviar um alerta sobre uma violação (por exemplo, texto, e-mail).
- Interromper uma atividade que viole uma política.
- Suspender o lançamento de uma máquina virtual se a capacidade da sua unidade central de processamento (CPU) ultrapassar determinado nível.
- Encerrar uma máquina virtual com portas abertas não autorizadas.
Benefícios da automação da governança de nuvem
São benefícios obtidos com a automação da política de governança de nuvem:
- Eliminação de erros humanos.
- Obtenção de visibilidade sobre o uso da nuvem.
- Otimização do gerenciamento de segurança, custos, operações e desempenho.
- Planejamento e gestão orçamentária de forma mais eficaz.
- Escalonamento muito além das funções de controle manual.
- Simplificação da definição e aplicação de políticas de nuvem.
- Aumento da eficiência administrativa.
- Capacitação das equipes para a gestão de custos com mais eficiência.
- Suporte à aplicação de políticas em uma organização.
- Centralização do controle sobre os recursos da nuvem para reduzir atividades não conformes.
Princípios de governança de nuvem
Os princípios de governança de nuvem constituem a base de um programa eficaz. Os itens a seguir são essenciais ao fornecimento de controles adequados à otimização do uso de serviços em nuvem.
Gestão de ativos e de configuração
Manter o controle dos ativos e de suas configurações é parte importante da governança de nuvem. Diante da propensão das implantações em nuvem tornarem-se desordenadas (o chamado sprawl), a governança de nuvem possibilita a ordem e os processos necessários à manutenção da eficiência operacional, ao controle de custos e à garantia de cumprimento dos requisitos de segurança e privacidade. A governança de nuvem norteia a atribuição e a configuração de recursos.
Gerenciamento de dados
A governança de nuvem desempenha um papel fundamental no gerenciamento do ciclo de vida dos dados de uma organização, tais como a classificação, a criptografia, o acesso, o armazenamento e a exclusão de dados. Estabelecer e impor políticas de governança de nuvem no gerenciamento de dados garante que os devidos controles estejam em vigor para tornar os dados acessíveis, proteger dados confidenciais e eliminar o excesso de dados que amplia as superfícies de ataque e os custos de armazenamento.
Gestão financeira
Integrar a gestão financeira à governança de nuvem ajuda a manter os limites orçamentários de uso da nuvem. Por meio de indicadores, como controles de custos, relatórios e alertas, as políticas de governança de nuvem ajudam organizações a aproveitar os recursos de nuvem de maneira responsável do ponto de vista financeiro. A governança de nuvem estabelece as diretrizes e as políticas que otimizam o uso e evitam estouros de orçamento.
Gestão operacional
A gestão operacional concentra-se na definição dos parâmetros de distribuição de serviços pelos recursos da nuvem. As políticas de governança de nuvem relacionadas à gestão operacional contêm instruções sobre como executar funções operacionais mais importantes.
Gestão de desempenho
A governança de nuvem norteia o monitoramento e a gestão do desempenho de aplicativos e dos recursos de infraestrutura. A governança de nuvem auxilia no fornecimento de níveis eficientes e esperados de serviço de TI.
Gerenciamento de segurança e conformidade
As funções de gestão de segurança e conformidade relacionadas com a governança de nuvem devem basear-se em políticas, programas e processos de segurança já em vigor.
Estruturas de governança de nuvem
Estruturas de governança de nuvem detalham as funções que se enquadram nos princípios de governança de nuvem. Elas são necessárias para estabelecer controles e otimizar o uso dos recursos da nuvem.
Cada um desses elementos está interligado e gera um rico programa de governança de nuvem que direciona as operações sem sobrecarregar os usuários. Cada área das estruturas de governança de nuvem contém:
Gestão de ativos e de configuração
- Processos controlados para implantar clusters ou usar serviços em nuvem.
- Especificações sobre o que executar ou implementar em um ambiente para dar suporte a aplicativos.
- Instruções para controlar o uso e o armazenamento de segredos, como credenciais e criptografia.
Gerenciamento de dados
- Acesso a dados
- Gestão do ciclo de vida dos dados
- Privacidade de dados
- Qualidade dos dados
- Segurança de dados
- Administração de dados
Gestão financeira
- Alocação e rastreamento de custos e uso de dados
- Preparação de orçamento
- Previsão
- Gerenciamento de licenças
Gestão operacional
- Criação de regras e processos para controlar como criar novos aplicativos ou cargas de trabalho com funcionamento na nuvem.
- Definição de requisitos para monitoramento e registro.
- Implantação de códigos de aplicativos em ambientes diversos.
- Determinação de método de alocação dos recursos.
- Estabelecimento de como determinar os requisitos de recursos para novos aplicativos.
- Avaliação dos requisitos computacionais, de armazenamento e de rede.
- Definição de regras de como o status da nuvem é monitorado a fim de garantir o cumprimento dos SLAs.
- Especificação dos requisitos de gerenciamento de identidade e acesso.
Gestão de desempenho
- Latência para recuperar dados, carregar páginas da web ou chamar uma função de API.
- Número de usuários conectados e ativos.
- Número de transações de banco de dados por período.
Gerenciamento de segurança e conformidade
- Segurança de aplicativos
- Backup e recuperação
- Planejamento de continuidade de negócios
- Criptografia de dados e gerenciamento de chaves
- Gerenciamento de identidade e acesso
- Monitoramento e relatórios
- Controles e políticas de privacidade
- Gerenciamento e avaliação de riscos
Escolhendo uma solução de governança de nuvem
As ferramentas de governança de nuvem atendem a vários propósitos, como:
- Demonstrar a conformidade com padrões e regulamentos.
- Possibilita um alto nível de automação em uma ampla variedade de fontes de dados corporativos, incluindo diversas nuvens e aplicativos hospedados.
- Gerenciar e proteger dados.
- Fornecer fortes recursos de pesquisa.
- Simplificar a produção de relatórios.
Ao escolher uma solução de governança de nuvem, é preciso levar em consideração a complexidade da estratégia. Para grandes organizações com uma estratégia diferenciada de governança de nuvem, são de grande auxílio as ferramentas especializadas, que ajudam nas funções de gestão, tais como alocação de recursos e gestão de custos.
Outro fator a ser levado em conta ao escolher uma solução de governança de nuvem é o modo como ela apoia a estratégia geral e a implementação das práticas recomendadas, o que inclui os fatores a seguir.
Gestão de custos
É possível usar as políticas de governança de nuvem para direcionar a implementação de controles e relatórios de gestão de custos, bem como para o monitoramento e a otimização permanentes que deem continuidade à melhoria dos resultados. Além disso, as políticas de governança de nuvem norteiam a gestão da capacidade, com processos que identificam quando recursos não utilizados devem ser desprovisionados e analisam onde os serviços geridos devem ser utilizados.
Excelência operacional
A governança de nuvem pode ser usada para ditar como os recursos são provisionados, com foco na substituição de processos manuais por automação.
Otimização de desempenho
É possível usar as políticas de governança de nuvem para orientar a forma como as cargas de trabalho devem ser avaliadas e implementadas para a obtenção de um desempenho ideal.
Segurança
As políticas de governança de nuvem precisam levar em conta como a segurança é tratada e por quem.
É fundamental entender as divisões de responsabilidades de segurança entre prestadores de serviços e clientes. Em seguida, as políticas de governança de nuvem devem ser aplicadas para impor funções e regras relacionadas à segurança.
Exemplos reais de benefícios da governança de nuvem
Para ilustrar o valor, a seguir listamos exemplos reais de como as organizações utilizam a governança de nuvem. Organizações de todos os perfis e portes podem alcançar esses benefícios.
Gerenciamento de máquinas virtuais
A governança de nuvem melhor a gestão de recursos da nuvem quando implementada sob a forma de políticas automatizadas em ambientes de nuvem para gerenciar máquinas virtuais (VMs). Os benefícios que a automação das políticas de governança de nuvem trazem para o gerenciamento de máquinas virtuais incluem:
- Desativar, automaticamente, VMs não utilizadas a fim de garantir que organizações paguem apenas pelos recursos de nuvem que efetivamente usam.
- Permitir melhor controle e alocação de custos, aplicando marcadores padronizados aos recursos de nuvem para categorizá-los por projeto, departamento ou centro de custo.
- Prevenir o uso não autorizado por meio da implementação de controles de acesso granulares, capazes de garantir que apenas usuários autorizados possam provisionar e gerenciar recursos de nuvem.
- Fornecer insights detalhados sobre o uso de recursos, ajudando as organizações a identificar e lidar com possíveis áreas de ineficiência de custos.
- Reduzir gastos desnecessários com a nuvem, impondo uma política de governança de nuvem que defina um limite de tempo específico para a inatividade da VM, acionando uma ação automatizada para desativar a VM se ela permanecer ociosa além do período estabelecido.
Redução de shadow IT
A governança de nuvem torna os recursos mais acessíveis, o que incentiva usuários a trabalhar dentro da estrutura estabelecida para adquirir serviços em nuvem. Isso reduz o uso de recursos de nuvem não sancionados e ajuda a reduzir o uso de sistemas shadow IT. A governança de nuvem apoia os esforços para controlar o uso de shadow IT, fornecendo políticas de:
- Controles de acesso e uso para garantir que os funcionários utilizem apenas serviços e recursos aprovados no ambiente de nuvem.
- Armazenamento de dados na nuvem, incluindo períodos de retenção e controles de acesso para evitar que os funcionários armazenem informações confidenciais em serviços pessoais de armazenamento na nuvem.
- Monitoramento do uso da nuvem para identificar possíveis atividades de shadow IT e alertar as equipes de TI para que investiguem e resolvam eventual uso não autorizado.
Próximas etapas recomendadas de governança de nuvem
A governança de nuvem deve ser adotada como uma extensão lógica da governança geral de TI. Embora muitos dos princípios da governança de TI se apliquem à governança de nuvem, eles não são os mesmos. A governança de nuvem vai além da governança geral de TI para dar conta da natureza expansiva da computação em nuvem.
Vale lembrar, ainda, que a governança de nuvem também desempenha um papel fundamental na minimização dos riscos de segurança na nuvem por meio do aumento das práticas básicas de segurança de TI. Ao estabelecer e impor regras, a governança de nuvem aumenta a proteção, a integridade e a disponibilidade dos dados.
As organizações devem utilizar a governança de nuvem para ampliar os controles de TI e de segurança em todos os sistemas, a fim de proteger as informações, independentemente de onde elas residam. Com o crescimento da computação em nuvem, é imperativo que as organizações reservem tempo para repensar a governança geral de TI e incorporar as práticas recomendadas para a governança de nuvem.
