Você está na página 1de 237

Azure Strategy and

Implementation Guide
(Guia de estratégia
e implementação
do Azure)
Fourth Edition (Quarta edição)

O manual essencial para a transformação


da nuvem com o Azure

Jack Lee, Greg Leonardo, Jason Milgram e David Rendón


Azure Strategy and
Implementation
Guide, Fourth Edition
(Guia de estratégia
e implementação do
Azure, quarta edição)
O manual essencial para a transformação da
nuvem com o Azure
Jack Lee

Greg Leonardo

Jason Milgram

David Rendón

BIRMINGHAM – MUMBAI
Azure Strategy and Implementation Guide, Fourth Edition
(Guia de estratégia e implementação do Azure, quarta edição)
Copyright © 2021 Packt Publishing
Todos os direitos reservados. Nenhuma parte deste livro pode ser reproduzida,
armazenada em um sistema de recuperação ou transmitida sob qualquer forma ou por
qualquer meio sem a permissão prévia por escrito da editora, exceto no caso de breves
citações incorporadas em artigos críticos ou comentários.
Não se poupou esforços na preparação deste livro para garantir a precisão das
informações apresentadas. No entanto, as informações contidas neste livro são
vendidas sem garantia, expressa ou implícita. Os autores, a Packt Publishing e seus
revendedores e distribuidores não serão responsabilizados por quaisquer danos
causados ou supostamente causados de forma direta ou indireta por este livro.
A Packt Publishing empenha-se em fornecer informações de marca registrada sobre
todas as empresas e produtos mencionados neste livro pelo uso adequado de capitais.
No entanto, a Packt Publishing não garante a precisão dessas informações.
Autores: Jack Lee, Greg Leonardo, Jason Milgram e David Rendón
Revisores técnicos: Aaditya Pokkunuri e Peter De Tender
Editores de gerenciamento: Siddhant Jain e Mamta Yadav
Editores de aquisições: Saby Dsilva e Ben Renow-Clarke
Editor de produção: Deepak Chavan
Conselho editorial: Vishal Bodwani, Ben Renow-Clarke, Arijit Sarkar e Lucy Wan
Terceira publicação: junho de 2020
Quarta publicação: março de 2021
Referência de produção: 4120421
ISBN: 978-1-80107-797-2
Publicado pela Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham, B3 2PB, UK.
Table of Contents

Prefácio   i

Capítulo 1: Introdução   1

O que é o Microsoft Azure? .....................................................................................  2


Abordagens para adoção do Azure .......................................................................  4
Nuvem pública ................................................................................................................ 4
Nuvem privada ................................................................................................................ 4
Nuvem híbrida ................................................................................................................ 5
Multinuvem ..................................................................................................................... 6
Computação de borda .................................................................................................... 7
Estratégias de migração do Azure .........................................................................  7
Redefinição de hospedagem ......................................................................................... 8
Redefinição de plataformas .......................................................................................... 8
Refatoração ..................................................................................................................... 8
Benefícios de negócios da infraestrutura do Azure ............................................  8
Links úteis .................................................................................................................  9

Capítulo 2: Automação e governança no Azure   10

Azure DevOps .........................................................................................................  11


Modelos do ARM ........................................................................................................... 12
Implantar a IaC do Azure ......................................................................................  14
Benefícios da IaC do Azure ...................................................................................  16
Práticas recomendadas ........................................................................................  17
Parâmetros .................................................................................................................... 17
Variáveis ......................................................................................................................... 18
Recursos ......................................................................................................................... 19
Controle de identidade e acesso ..........................................................................  19
Quais são os benefícios de segurança do Azure? ..................................................... 20
Práticas recomendadas ................................................................................................ 21
Governança do Azure ............................................................................................  23
Quais são os benefícios? .............................................................................................. 23
Resumo ...................................................................................................................  27
Links importantes ..................................................................................................  27

Capítulo 3: Modernizar com a nuvem híbrida e multinuvem   29

O que é a nuvem híbrida, a multinuvem e a computação de borda? .............  30


O que torna uma estratégia híbrida e multinuvem bemsucedida? ................  31
Visão geral do Azure Arc .......................................................................................  32
Gerenciamento de aplicações do Kubernetes em grande escala ........................... 34
Servidores compatíveis com o Azure Arc ................................................................... 35
Serviços de dados compatíveis com o Azure Arc ...................................................... 37
Pré-requisitos para serviços de dados do Azure ....................................................... 39
Modos de conectividade .............................................................................................. 40
Requisitos de conectividade ........................................................................................ 42
Criação do controlador de dados do Azure Arc ........................................................ 43
Azure Arc no GitHub ..................................................................................................... 43
Modernizar seu datacenter com o Azure Stack .................................................  46
Visão geral do Azure Stack Hub .................................................................................. 48
Casos de uso do Azure Stack Hub ............................................................................... 48
Arquitetura do Azure Stack Hub ................................................................................. 51
Provedor de identidade do Azure Stack Hub ............................................................ 51
Como o Azure Stack Hub é gerenciado? .................................................................... 51
Provedores de recursos ............................................................................................... 52
Noções básicas de administração do Azure Stack Hub ........................................... 54
Obter suporte ................................................................................................................ 58
Kit de Desenvolvimento do Azure Stack .................................................................... 58
Gerenciamento de atualizações do Azure Stack Hub .............................................. 59
Visão geral da solução Azure Stack HCI ..............................................................  61
Casos de uso do Azure Stack HCI ................................................................................ 61
Benefícios da integração do Azure ............................................................................. 63
Pré-requisitos do Azure Stack HCI .............................................................................. 64
Parceiros de hardware ................................................................................................. 64
Parceiros de software .................................................................................................. 65
Licenciamento, cobrança e preços ............................................................................. 65
Ferramentas de gerenciamento ................................................................................. 65
Introdução ao Azure Stack HCI e ao Windows Admin Center ..........................  66
Instalar o Windows Admin Center .............................................................................. 66
Adicionar e conectar-se a um cluster do Azure Stack HCI ....................................... 66
Comparar o Azure Stack Hub e o Azure Stack HCI ............................................  69
Resumo ...................................................................................................................  70
Capítulo 4: Migração para a nuvem: planejamento,
implementação e práticas recomendadas   72

Microsoft Azure Well-Architected Framework ...................................................  73


Escolha da infraestrutura subjacente .................................................................  75
Computação .................................................................................................................. 75
Redes .............................................................................................................................. 77
Armazenamento ........................................................................................................... 79
Cenários de migração de workloads ...................................................................  83
Workloads do Windows Server e do Linux ................................................................ 84
SQL Server ...................................................................................................................... 85
Contêineres ................................................................................................................... 87
Workloads VMware ....................................................................................................... 88
Workloads SAP .............................................................................................................. 90
Computação de alta performance .............................................................................. 91
Como alcançar a escala de nuvem e maximizar a performance .....................  95
Dimensionamento automático do Azure ................................................................... 95
Considerações de performance de computação e armazenamento ..................... 95
Backup de nível empresarial e Disaster Recovery .............................................  98
Backup do Azure ........................................................................................................... 98
Azure Site Recovery ...................................................................................................  100
Práticas recomendadas de migração para o Azure e suporte .......................  102
A documentação oficial do Azure ............................................................................  102
Migrações para Azure ................................................................................................  102
Programa de Migração do Azure .............................................................................  102
Azure Architecture Center ........................................................................................  103
Serviço de Aplicativo do Azure .................................................................................  103
Banco de Dados SQL do Azure .................................................................................  103
Treinamento gratuito com o Microsoft Learn ........................................................  103
Entre em contato com um especialista em vendas do Azure ..............................  103
Resumo .................................................................................................................  103

Capítulo 5: Como habilitar o trabalho seguro e remoto com


o Azure AD e a Área de Trabalho Virtual do Azure   104

Implante a infraestrutura de trabalho remoto com segurança ....................  105


Azure Active Directory .........................................................................................  106
Planejar seu ambiente ..............................................................................................  107
Configurar ambientes híbridos e do Azure AD ......................................................  110
Implantar a Área de Trabalho Virtual do Azure .....................................................  117
As etapas para implantar o Azure AD se uniram a máquinas virtuais
na Área de Trabalho Virtual do Azure .....................................................................  124
Modelos do ARM ........................................................................................................  129
Proteger sua infraestrutura de identidade ............................................................  132
Habilitar a conectividade remota ......................................................................  136
WAN Virtual do Azure ................................................................................................  137
Azure VPN ...................................................................................................................  138
Proteger e gerenciar o tráfego para seus workloads ......................................  142
Gateway de Aplicativo com WAF ..............................................................................  144
Firewall do Azure .......................................................................................................  146
Azure Load Balancer e balanceamento de carga entre regiões ..........................  147
Azure Bastion e acesso Just-in-Time (JIT) ................................................................  148
Habilitar o trabalho remoto com a Área de Trabalho Virtual do Azure ........  150
Diretrizes de rede  .....................................................................................................  155
Gerenciar perfis de usuário com o Azure Files e o NetApp Files .........................  157
Exemplo do Azure Monitor para Área de Trabalho Virtual do Azure ..................  159
Integrações de parceiros à Área de Trabalho Virtual do Azure  ..........................  160
Resumo .................................................................................................................  161
Capítulo 6: Fundamentos de segurança para ajudar
a proteger contra os crimes cibernéticos   162

Como habilitar a segurança para trabalhadores remotos .............................  163


Excelência em operações de segurança  ................................................................  163
Cyber Defense Operations Center ...........................................................................  164
Proteger ......................................................................................................................  165
Detectar ......................................................................................................................  165
Responder ...................................................................................................................  166
Associação de Segurança Inteligente da Microsoft ...............................................  166
Obter visibilidade de toda a sua infraestrutura com
a Central de Segurança do Azure .......................................................................  167
Gerenciamento de posturas de segurança e várias nuvens ................................  168
Arquitetura da Central de Segurança do Azure .....................................................  171
Benchmark de Segurança do Azure ........................................................................  172
Obter proteção avançada contra ameaças para seus ambientes híbridos
e de várias nuvens com o Azure Defender .............................................................  174
Painel do Azure Defender .........................................................................................  175
Práticas recomendadas para proteger sua rede .............................................  181
Modernize as operações de segurança com o Azure Sentinel,
um SIEM nativo de nuvem ..................................................................................  183
Uma experiência SecOps unificada ...................................................................  188
Resumo .................................................................................................................  189
Capítulo 7: Ofertas, suporte, recursos e dicas para otimizar
o custo no Azure   191

Noções básicas e previsão de custos ................................................................  192


Economia da nuvem ..................................................................................................  192
Ferramentas de gerenciamento de custos .............................................................  193
Como escolher o modelo de preços certo ..............................................................  199
Otimização dos custos ........................................................................................  200
Assistente do Azure ...................................................................................................  201
Benefício Híbrido do Azure .......................................................................................  201
Reservas do Azure .....................................................................................................  202
Máquinas virtuais spot ..............................................................................................  203
Preços de Desenvolvimento/Teste ..........................................................................  203
Lista de verificação de otimização ...........................................................................  203
Resumo .................................................................................................................  204

Capítulo 8: Conclusão   206

Recursos ................................................................................................................  207
Glossário ...............................................................................................................  207

Índice   211
Prefácio
>
Sobre

Esta seção apresenta brevemente os autores e revisores, a cobertura deste livro, as habilidades
técnicas de que você precisará para começar e os requisitos de hardware e software para
concluir todos os tópicos.
ii | Prefácio

Sobre o Azure Strategy and Implementation Guide, Fourth


Edition (Guia de estratégia e implementação do Azure,
quarta edição)
O Microsoft Azure é uma plataforma poderosa de computação na nuvem que oferece
uma infinidade de serviços e recursos para organizações de qualquer porte que buscam
uma estratégia de nuvem.
Esta quarta edição aborda as atualizações mais recentes sobre conceitos básicos de
segurança, nuvem híbrida, migração para a nuvem, Microsoft Azure Active Directory
e Área de Trabalho Virtual do Azure. Isso engloba todo o espectro de medidas
envolvidas na implantação do Azure, incluindo a compreensão dos conceitos básicos
do Azure, a escolha de uma arquitetura de nuvem adequada, a criação com base
em princípios de design, a familiarização com o Azure DevOps e a aprendizagem
de práticas recomendadas para otimização e gerenciamento.
O livro começa apresentando a plataforma de nuvem do Azure e demonstrando
o escopo substancial da transformação digital e a inovação que pode ser alcançada
com os recursos do Azure. Em seguida, ele fornece insights práticos sobre a
modernização de aplicações, a implantação de Infraestrutura como Serviço (IaaS)
do Azure, o gerenciamento de infraestrutura, as principais arquiteturas de aplicações,
as práticas recomendadas do Azure DevOps e a automação do Azure.
No final do livro, você terá adquirido as habilidades essenciais para impulsionar as
operações do Azure desde o estágio de planejamento e migração para a nuvem até
o gerenciamento de custos e a solução de problemas.

Sobre os autores
Jack Lee é consultor certificado sênior do Azure e líder de prática do Azure com
uma paixão por desenvolvimento de software, nuvem e inovações de DevOps.
Ele é um colaborador ativo da comunidade de tecnologia da Microsoft e se apresentou
em vários grupos de usuários e conferências, incluindo o Global Azure Bootcamp
na Microsoft Canada. Jack é um mentor experiente e juiz em hackathons e também
é o presidente de um grupo de usuários que se concentra em Azure, DevOps e
desenvolvimento de software. Ele é o coautor de Azure for Architects and Cloud
Analytics with Microsoft Azure (Azure para Arquitetos e Análise de Nuvem com o
Microsoft Azure), publicados pela Packt Publishing. Ele foi reconhecido como MVP da
Microsoft por suas contribuições para a comunidade de tecnologia. Você pode seguir
Jack no Twitter em @jlee_consulting.
Prefácio | iii

Greg Leonardo atualmente é um arquiteto de nuvem, que ajuda as organizações com


inovação e adoção da nuvem. Ele trabalha na indústria de TI desde o seu tempo no
exército. É veterano, arquiteto, professor, palestrante e usuário pioneiro. Atualmente,
ele é Especialista Certificado em Arquitetura de Soluções do Azure, Treinador
Certificado pela Microsoft, Microsoft Azure MVP e trabalhou em muitas facetas da
TI ao longo de sua carreira. É presidente da TampaDev, uma reunião da comunidade
que é responsável por #TampaCC, Azure User Group, Azure Medics e vários eventos
de tecnologia em Tampa.
Greg também é autor do livro Hands-On Cloud Solutions with Azure (Soluções de
nuvem práticas com o Azure) e as duas edições anteriores de Azure Strategy and
Implementation Guide (Guia de Estratégia e Implementação do Azure para a Microsoft)
pela Packt Publishing.
Jason Milgram é arquiteto chefe da Science Applications International Corporation
(SAIC), com sede em Reston, Virgínia. Anteriormente, ele foi o primeiro vice-presidente
arquiteto de soluções de nuvem no City National Bank of Florida em Miami e, antes
disso, foi vice-presidente de arquitetura de plataforma e engenharia no Champion
Solutions Group em Boca Raton, Flórida. Jason estudou na Universidade de Cincinnati
e no Massachusetts Institute of Technology – Sloan School of Management. Ele também
foi sargento da reserva do exército dos EUA, servindo de 1990 a 1998. Um Microsoft
Azure MVP (2010-presente), Jason fez mais de 100 apresentações do Azure e escreve
regularmente artigos sobre tópicos do Azure.
David Rendón foi Microsoft MVP por 7 anos consecutivos com experiência no Azure,
trabalhando atualmente como arquiteto de soluções para as regiões da América Latina
e dos EUA da Kemp, um provedor de segurança e software de entrega de aplicações.
Ele apresenta regularmente eventos públicos de IT, como o Microsoft Ignite, eventos
globais do Azure e eventos de grupos de usuários locais nos EUA, na Europa e na
América Latina e pode ser encontrado no Twitter em @daverndn.
David teve um forte foco em tecnologias da Microsoft e no Azure desde 2010. Ele ajuda as
pessoas a desenvolver as habilidades mais procuradas no mercado para avançar em sua
carreira por meio da nuvem e da IA, oferece suporte a parceiros da Microsoft em todo
o mundo sobre orientações técnicas e dá aulas de treinamento do Azure no mundo todo
(Índia, América do Sul e EUA) que ajudam as empresas a migrar aplicações críticas para
a nuvem e treinar suas equipes para serem arquitetos de nuvem certificados.
Você pode entrar em contato com David em /daverndn no LinkedIn e no Twitter e em
/wikiazure no YouTube.
iv | Prefácio

Sobre os revisores
Aaditya Pokkunuri é um engenheiro de banco de dados sênior experiente com 11 anos
de experiência e um histórico comprovado de trabalho na indústria de tecnologia
da informação e de serviços. Tem muita experiência em ajuste de performance,
administração do servidor de banco de dados SQL da Microsoft, SSIS, SSRS, Power
BI e desenvolvimento SQL. Ele tem um forte conhecimento de replicação, clustering,
opções de alta disponibilidade do SQL Server e processos de ITIL. Sua experiência
refere-se a tarefas de administração do Windows, ao Active Directory e a tecnologias
do Microsoft Azure. Aaditya também tem experiência na Nuvem AWS e é um associado
arquiteto de soluções da AWS. É um grande profissional de tecnologia da informação
com diploma de Bacharel em Tecnologia focado em ciência da computação e
engenharia da Universidade de Sastra em Tamil Nadu.

Peter De Tender é um reconhecido especialista no Azure e um instrutor técnico


muito apaixonado e dedicado, que sempre consegue oferecer workshops inspiradores
e profundamente técnicos sobre a plataforma do Azure, repletos de demonstrações
e diversão.

Antes de Peter se juntar à prestigiada equipe de Treinadores Técnicos do Azure na


Microsoft, ele ocupou um cargo semelhante em sua própria empresa por 6 anos. Agora,
ele continua fazendo o que mais gosta: qualificar os clientes e parceiros sobre os
recursos e o maravilhoso mundo do Azure.

Peter é um Treinador Certificado pela Microsoft (MCT) há mais de 10 anos e um


Microsoft MVP desde 2013, inicialmente no Windows IT Pro, migrando para a categoria
Azure em 2015.

Além de ser coautor da edição anterior deste livro, Peter publicou outros materiais
orientados ao Azure com a Packt Publishing, a Apress e por meio de autopublicação.

Você pode seguir Peter no Twitter em @pdtit ou @007ffflearning para manter-se


atualizado sobre suas aventuras no Azure.

Objetivos de aprendizagem
Até o final deste livro de receitas, você será capaz de:
• Entender as principais soluções e tecnologias de infraestrutura do Azure
• Realizar um planejamento detalhado para migrar aplicações para a nuvem
com o Azure
• Implantar e executar serviços de infraestrutura do Azure
• Definir funções e responsabilidades em DevOps
• Familiarizar-se com conceitos básicos de segurança
• Realizar a otimização de custos no Azure
Prefácio | v

Público-alvo
Este livro foi criado para beneficiar arquitetos do Azure, arquitetos de soluções de
nuvem, desenvolvedores do Azure, administradores do Azure e qualquer pessoa
que queira desenvolver experiência para operar e administrar a nuvem do Azure.
A familiaridade básica com sistemas operacionais e bancos de dados ajudará você
a compreender os conceitos abordados neste livro.

Abordagem
O Azure Strategy and Implementation Guide, Fourth Edition (Guia de estratégia
e implementação do Azure, quarta edição), explica cada tópico detalhadamente
e fornece um cenário do mundo real no final para familiarizá-lo com soluções
práticas. Ele também agrega valor às lições que você aprende com dados estatísticos
complementares e representações gráficas.

Requisitos de hardware
O portal do Azure é um console baseado na Web e funciona em todos os navegadores
modernos para desktops, tablets e dispositivos móveis. Para usar o portal do Azure,
você deve ter o JavaScript habilitado no seu navegador.

Requisitos de software
Recomendamos usar o navegador mais recente que é compatível com seu sistema
operacional. Os seguintes navegadores são compatíveis:
• Microsoft Edge (versão mais recente)
• Internet Explorer 11
• Safari (versão mais recente, somente Mac)
• Chrome (versão mais recente)
• Firefox (versão mais recente)

Convenções
Palavras de código no texto, nomes de banco de dados, nomes de pastas, arquivos
e extensões de arquivo são mostrados da seguinte maneira: "Neste código, estamos
usando uma instrução let para o Event chamado WVDConnections e filtragem de
tabelas para linhas que correspondam a usuários com um estado connected."
vi | Prefácio

Veja um bloco de código de exemplo:


let Events = WVDConnections
| where UserName == "userupn";
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId)
on CorrelationId
| project Duration = EndTime - StartTime, ResourceAlias
| sort by Duration asc

Novos termos e palavras importantes são mostrados em negrito. Por exemplo, "A
computação de borda combina o poder da nuvem com dispositivos de Internet das
Coisas (IoT)."
Introdução
1
Atualmente, as empresas enfrentam desafios significativos, desde habilitar o trabalho
remoto e responder ao aumento dos ciberataques até gerenciar o fluxo de caixa
reduzido. O Microsoft Azure é uma plataforma de nuvem poderosa criada para ajudá-lo
a capacitar a produtividade, garantir a segurança, impulsionar a eficiência e economizar
dinheiro, permitindo que você ofereça resiliência, economia de custos e o impacto que
sua empresa exige. Seja você uma startup ou uma empresa multinacional atuando no
mundo todo, você pode começar a implantar e migrar workloads para o Azure com uma
abordagem que atenda às suas necessidades de negócios.
O primeiro passo para aproveitar os diversos recursos oferecidos pelo Azure é o
planejamento cuidadoso. Este livro foi criado para ajudá-lo a realizar esse planejamento
com êxito, oferecendo uma compreensão básica da infraestrutura do Azure, seus
principais recursos e benefícios e práticas recomendadas que ajudarão você a usar o
Azure com êxito, independentemente de você decidir migrar totalmente ou executar
uma abordagem de nuvem híbrida.

Neste capítulo, vamos abordar o seguinte:


• O que é o Microsoft Azure?
• Abordagens para adoção do Azure
• Estratégias de migração do Azure
• Benefícios de negócios da infraestrutura do Azure
2 | Introdução

Este capítulo apresentará a estrutura e uma visão geral dos benefícios de negócios do
Azure. Os capítulos a seguir detalharão isso, fornecendo orientações mais específicas
e uma explicação das tecnologias que ajudarão você a planejar suas estratégias de
migração e implementação da infraestrutura do Azure.

O que é o Microsoft Azure?


O Azure é uma plataforma de computação na nuvem da Microsoft. Ele oferece uma
grande variedade de serviços para indivíduos e organizações. A computação na nuvem
proporciona acesso conveniente e sob demanda a um pool compartilhado de recursos
de computação pela rede. Esses recursos podem variar de armazenamento e servidores
a aplicações que podem ser implantadas rapidamente.
O Azure oferece provisionamento rápido de recursos de computação para ajudar
você a hospedar suas aplicações existentes, agilizar o desenvolvimento de novas
aplicações e até mesmo aprimorar aplicações na infraestrutura local. Esses recursos
são gerenciados pela Microsoft. No entanto, você pode monitorá-los e obter relatórios
e alertas quando surgirem problemas. Tudo isso é criado com base em pools de
recursos que podem ser atribuídos dinamicamente aos serviços necessários, que
podem incluir CPU, memória, armazenamento e largura de banda de rede.
Há quatro categorias de modelos de serviço oferecidos pelo Azure, que são
Infraestrutura como serviço (IaaS), Software como serviço (SaaS), Plataforma
como serviço (PaaS) e sem servidor. A IaaS do Azure é uma infraestrutura de
computação instantânea que oferece recursos essenciais sob demanda de computação,
armazenamento e rede e que é provisionada e gerenciada pela Internet.
É fundamental entender como você pode aproveitar cada um desses modelos de
serviço para atender às suas demandas em constante mudança. Ao usar o Azure, você
tem uma responsabilidade compartilhada em relação aos recursos implantados. Na
Figura 1.1, é possível ver até que ponto você compartilha e gerencia responsabilidades
de workloads com a Microsoft para cada um dos modelos de serviço, permitindo que
você se concentre em recursos que são importantes para a sua aplicação:
Introdução | 3

Figura 1.1: Modelos de computação na nuvem

Dependendo do nível de responsabilidades que você deseja gerenciar em comparação


com o que o Azure gerencia, é possível determinar qual modelo de serviço de nuvem
funciona melhor para sua organização. Modelos diferentes oferecem diferentes graus
de controle sobre o ambiente de desenvolvimento, a capacidade de refatorar suas
aplicações, suas metas de tempo de chegada no mercado e assim por diante. Suas
responsabilidades geralmente aumentam à medida que você migra de SaaS para PaaS
e IaaS. A separação de responsabilidades será abordada detalhadamente no Capítulo
2, Automação e governança no Azure, na seção Controle de identidade e acesso.
No restante deste livro, vamos nos concentrar em IaaS. A IaaS oferece mais controle
sobre o ambiente, pois a Microsoft fornece a infraestrutura de base enquanto você
gerencia as aplicações. Essa abordagem é ótima para organizações que buscam
personalizar as soluções de nuvem para suas aplicações de negócios.
4 | Introdução

Abordagens para adoção do Azure


Ao considerar a adoção do Azure para sua estratégia de infraestrutura de nuvem,
você pode escolher entre diferentes maneiras de implantar serviços de nuvem: nuvem
pública, nuvem privada, nuvem híbrida, várias nuvens e na borda de redes. Decidir entre
esses ambientes de computação pode depender de uma grande variedade de fatores.
Vamos analisar cada uma dessas abordagens.

Nuvem pública
O tipo mais comum de serviço de computação na nuvem é uma nuvem pública, que
é fornecida por provedores de nuvem de terceiros e entregue pela Internet pública.
Os recursos nesses ambientes de nuvem pública tem o gerenciamento e a propriedade
do provedor de nuvem subjacente, que, no caso do Azure, é a Microsoft. Em nuvens
públicas, os recursos são compartilhados com outras organizações ou locatários de
nuvem, que podem incluir serviços como email, CRM, VMs e bancos de dados.
Alguns casos comuns de uso de nuvem pública envolvem organizações que desejam
expor os workloads públicos, como sites públicos ou aplicações móveis. Esses tipos
de aplicações têm workloads com vários serviços e camadas de interface do usuário
para que funcionem. Um bom exemplo disso são os produtos do Office da Microsoft
em diferentes plataformas, como desktop, Web e dispositivos móveis. Essas ofertas
são realizadas com a interface do usuário separada dos serviços, sendo que cada
implementação usa os serviços e a infraestrutura de nuvem nos bastidores para
oferecer a mesma experiência, independentemente da plataforma.
O Azure oferece várias vantagens como uma nuvem pública:
• O Azure foi criado com base em uma vasta rede de servidores e regiões,
o que ajuda a proteger contra falhas e garante alta confiabilidade.
• O Azure pode alcançar uma escalabilidade quase ilimitada, fornecendo serviços
sob demanda para atender às necessidades da sua organização.
• O Azure fornece hardware e software a custos muito mais baixos em comparação
com modelos na infraestrutura local, pois você paga com base no consumo.

Nuvem privada
Como o nome sugere, uma nuvem privada consiste em recursos de computação na
nuvem (hardware e software) usados exclusivamente por uma empresa ou organização,
sendo que os serviços e a infraestrutura são mantidos em uma rede privada. Um
provedor de serviços de terceiros pode hospedar uma nuvem privada, ou ela pode
estar localizada em um datacenter no local.
Introdução | 5

As nuvens privadas muitas vezes são usadas por órgãos governamentais, instituições
financeiras ou prestadores de serviços de saúde para atender a requisitos regulatórios
e de TI específicos com operações críticas para os negócios que buscam um controle
aprimorado sobre seu ambiente. Os ambientes na infraestrutura local podem
expandir para o Azure usando o Azure ExpressRoute ou um túnel VPN site a site para
conectar workloads, mantendo-os isolados da exibição pública. Vamos analisar mais
detalhadamente esses componentes principais da infraestrutura do Azure no Capítulo 5,
Capacitar o trabalho remoto seguro com o Azure AD e a Área de Trabalho Virtual do Azure.
As vantagens de escolher uma nuvem privada são:
• Maior controle sobre seus recursos, pois não são compartilhados com
outras pessoas.
• Maior flexibilidade de personalização do ambiente para atender às necessidades
específicas de negócios.
• Melhor escalabilidade em comparação com as infraestruturas locais.

Esses tipos de soluções baseadas em nuvem são um pouco mais caros devido
à infraestrutura necessária para isolar e acessar os workloads da organização.

Nuvem híbrida
Uma nuvem híbrida é um ambiente de computação que combina um datacenter na
infraestrutura local com uma nuvem pública, permitindo que dados e aplicações sejam
compartilhados entre eles. As nuvens híbridas permitem que as empresas expandam
sua infraestrutura local para a nuvem com facilidade ao processar aumentos de
demanda e reduzam a infraestrutura quando a demanda diminuir. A nuvem híbrida
também proporciona a flexibilidade de usar novas tecnologias que priorizam a nuvem
para workloads novos ou migrados, mantendo outras aplicações e dados críticos
para os negócios na infraestrutura local devido a custos de migração e conformidade
regulatória ou de negócios.
Para ilustrar isso, vamos considerar o cenário de uma empresa fiscal. As empresas
fiscais geralmente precisam de uma grande computação apenas três meses por ano,
o que pode ser caro. Em vez de investir um grande valor de capital em servidores
adicionais na infraestrutura local para oferecer suporte à capacidade máxima, elas
podem usar um ambiente híbrido na nuvem para expandir e reduzir sua computação
sob demanda. Isso permite que elas mantenham os custos baixos com o pagamento
conforme o uso.
O Azure oferece recursos híbridos exclusivos que oferecem aos clientes a flexibilidade
de inovar em qualquer lugar, seja na infraestrutura local, em nuvens ou em ambientes
de borda. Há diferentes modelos de uso híbrido no Azure que podem ajudá-lo a reduzir
o custo da execução de seus workloads na nuvem. Por exemplo, o Benefício Híbrido do
6 | Introdução

Azure permite que você traga suas licenças de servidor existentes na infraestrutura local
para o Azure a fim de maximizar a economia de custos. Isso é conhecido como o modelo
de licenciamento híbrido e se aplica à maioria dos licenciamentos baseados em servidor.

A Microsoft também tem ofertas exclusivas de nuvem específicas para indústrias,


como o Microsoft Cloud para Serviços Financeiros, o Microsoft Cloud para Manufatura
e o Microsoft Cloud para ONGs. Essas nuvens de indústrias combinam a gama completa
de serviços de nuvem da Microsoft com padrões e componentes específicos de
indústrias, fluxos de trabalho e APIs para fornecer soluções personalizadas aos desafios
das indústrias, para que as empresas possam visar as áreas que mais precisam da
transformação tecnológica.
As nuvens híbridas não devem ser consideradas um meio termo temporário que
as organizações usam somente enquanto fazem a transição da infraestrutura local
para o Azure. Em vez disso, uma nuvem híbrida pode ser uma estratégia aplicada
pelas organizações para encontrar uma solução estável que melhor atenda às suas
necessidades de tecnologia da informação.

Multinuvem
Uma abordagem multinuvem envolve o uso de vários serviços de computação na nuvem
de mais de um provedor de nuvem. Isso permite que você misture e combine serviços
de diferentes provedores para obter a melhor combinação para uma tarefa específica
ou aproveitar ofertas em locais específicos, sejam eles nuvens públicas ou privadas.
Por exemplo, os clientes podem escolher uma estratégia multinuvem para atender
aos requisitos regulatórios ou de soberania de dados em diferentes países. Isso também
pode ser feito para melhorar a continuidade dos negócios e Disaster Recovery, por
exemplo, fazendo backup de dados na infraestrutura local em duas nuvens públicas
para unidades de negócios, subsidiárias ou empresas adquiridas que adotam diferentes
plataformas de nuvem.
Os modelos multinuvem podem se tornar muito complexos, pois exigem o gerenciamento
em várias plataformas. O Microsoft Azure fornece soluções para ajudar você a operar
sua nuvem híbrida de forma integrada. Você pode ler mais sobre isso em https://azure.
microsoft.com/solutions/hybrid-cloud-app/. Uma dessas soluções é o Azure Arc, uma
tecnologia de gerenciamento multinuvem. O Azure Arc estende o gerenciamento e os
serviços do Azure com um único plano de controle em ambientes híbridos, multinuvem e
de borda, permitindo um estado consistente em infraestruturas e ambientes de recursos.
Ele fornece maior visibilidade dos recursos, responsabilidade da equipe e capacitação do
desenvolvedor, acelerando a inovação do Azure para qualquer local.
As soluções de nuvem híbrida e multinuvem serão abordadas mais detalhadamente no
Capítulo 3, Modernizar com nuvem híbrida e multinuvem.
Introdução | 7

Computação de borda
A computação de borda combina o poder da nuvem com dispositivos Internet das
Coisas (IoT). Em locais de borda, próximos de onde os dados estão, você pode executar
máquinas virtuais, serviços de dados e contêineres usando a computação de borda para
obter insights em tempo real e reduzir a latência. Na borda da rede, seus dispositivos
gastam menos tempo se comunicando com a nuvem e operam de forma confiável até
mesmo por períodos prolongados offline.
A ampla adoção de sensores inteligentes e dispositivos interconectados, juntamente
com tecnologias de nuvem de última geração, como aprendizado de máquina e IA,
significa que os dispositivos IoT são altamente responsivos às mudanças locais
e têm consciência contextual. Há também benefícios de segurança, dada a natureza
distribuída dos sistemas de computação de borda, o que dificulta que uma única
interrupção comprometa toda a rede.
Isso pode ser benéfico para algo como controle de frotas. Com a ajuda do Azure,
o Programa das Nações Unidas para o Desenvolvimento (PNUD) desenvolveu uma
solução de gerenciamento de frotas usando dispositivos habilitados e a tecnologia
de IoT para obter novos insights. Esses dispositivos IoT de rastreamento enviam
uma quantidade significativa de dados de telemetria quando conectados à Internet
e armazenam esses dados localmente na ausência de uma conexão. Isso permitiu
ao PNUD avançar e gerenciar sua frota de veículos à medida que coordena cerca
de 12.000 membros da equipe com a missão de erradicar a pobreza por meio do
desenvolvimento sustentável. Para saber mais, acesse https://customers.microsoft.
com/story/822486-united-nations-development-programme-nonprofit-azure-iot.

Vimos as diferentes maneiras como você pode adotar o Azure em sua estratégia de
infraestrutura de nuvem. Agora, vamos abordar mais detalhadamente como a migração
do Azure realmente funciona.

Estratégias de migração do Azure


O Microsoft Azure oferece às organizações a capacidade de enviar uma infraestrutura
já existente para a nuvem, migrando alguns workloads para uma abordagem de nuvem
híbrida ou toda a infraestrutura. Isso é chamado de migração. Desde a migração de
aplicações herdadas até a implantação de aplicações no Azure, as organizações precisam
determinar seus requisitos antecipadamente e planejar uma estratégia de migração.
A migração para o Azure pode ser realizada de várias maneiras com base em duas
considerações importantes. A primeira é qual tipo de modelo de implantação você deseja
usar: Azure público, nuvem privada, Azure híbrido ou multinuvem. A segunda é a categoria
ou o tipo de serviço: IaaS, PaaS, SaaS ou sem servidor. Essas estratégias de migração ajudarão
você a entender qual abordagem pode ser ideal para migrar seus workloads para o Azure.

Há três estratégias diferentes para realizar a migração para o Azure: redefinição


de hospedagem, redefinição de plataformas e refatoração.
8 | Introdução

Redefinição de hospedagem
Redefinição de hospedagem, ou lift and shift, é o processo de escolher uma VM
ou um host de aplicação na infraestrutura local e migrá-lo diretamente para o Azure.
É a maneira mais rápida e fácil de migrar porque tem menos dependências, o menor
impacto nos negócios e nenhuma restrição. A redefinição da hospedagem da sua
aplicação é recomendada em cenários em que a velocidade de entrega é necessária.

Redefinição de plataformas
Redefinição de plataformas, ou reimplantação, é quando você deseja escolher algo,
como os Serviços de Informações da Internet (IIS), em uma VM e o migra para uma
oferta de PaaS no Azure. Isso significa que você não precisará gerenciar o sistema
operacional, apenas a aplicação em si. Ela geralmente pode ser executada simplesmente
redirecionando seu processo de DevOps para reimplantar na nova infraestrutura, embora
possa haver DLLs e restrições de terceiros que podem causar problemas nesse cenário.

Refatoração
A refatoração geralmente é recomendada quando o código da aplicação não está em
conformidade com os serviços do Azure. Isso exige que você reescreva a aplicação ou
partes dela para estar em conformidade com os novos padrões em constante evolução,
bem como com as necessidades funcionais e de segurança. Ela também é conhecida como
modernização da aplicação porque você está tornando-a mais nativo ao Azure. Entre as
três estratégias para migrar para o Azure, essa pode ter um risco de custos excedentes.
Você deve observar que não há uma resposta certa ou errada quando se trata de escolher
entre essas abordagens. Identificar suas metas de negócios pode ajudá-lo a determinar
qual estratégia de migração funciona melhor para sua organização.
Vamos falar sobre por que você pode considerar a realização de uma migração para
o Azure.

Benefícios de negócios da infraestrutura do Azure


Ao considerar sua adoção da infraestrutura do Azure, é útil entender os benefícios
que você pode obter ao defender a migração da sua organização. A natureza flexível e
ágil do Azure é algo que um ambiente de infraestrutura local simplesmente não pode
superar. Além disso, ao migrar para o Azure, você obtém os seguintes benefícios:
• Escalabilidade: o Azure pode cuidar do trabalho operacional e permitir que
você expanda e reduza rapidamente os recursos do Azure para atender às
suas demandas de negócios. Você pode provisionar facilmente novos recursos
e expandir ou reduzir os recursos existentes por meio do portal do Azure ou
de forma programática por meio do Azure PowerShell, da interface de linha
de comando do Azure (CLI do Azure) ou de APIs REST.
Introdução | 9

• Economia de custos: o Azure oferece serviços de nuvem em um modelo


de pagamento conforme o uso, permitindo que as organizações migrem de
um modelo de CapEx para um modelo de gastos de OpEx mais ágil. Economize
dinheiro e obtenha agilidade operacional com ofertas híbridas, programas
abrangentes de migração de datacenter e infraestrutura de TI otimizada
para custos.
• Maior velocidade de entrega: como você não precisa esperar que
a infraestrutura seja implantada no seu datacenter para acessar os recursos
necessários, terá um tempo acelerado de chegada ao mercado. A automação
do pipeline contínuo de integração, entrega e implantação na única plataforma
que é o Azure DevOps também desempenha um grande papel nisso.
• Inovação: você tem acesso a todas as tecnologias mais recentes no Azure,
como IA, Machine Learning e IoT do Azure.
• Gerencie ambientes híbridos de forma segura e integrada: você pode começar
a aproveitar os recursos baseados no Azure sem precisar migrar totalmente
sua infraestrutura local existente para a nuvem. Além disso, você pode aplicar
segurança e resiliência em todos esses ambientes híbridos. O Azure permite
que você melhore sua postura de segurança e obtenha insights abrangentes
sobre as ameaças enfrentadas por seus ambientes.

Como mencionado, o Azure pode fornecer recursos sob demanda e opera de acordo
com um modelo baseado no consumo, o que significa que você só paga pelo que usar.
Você não precisa mais investir em recursos e aplicações na infraestrutura local. O Azure
permite que você escale infinitamente suas aplicações para uma melhor performance,
com a segurança como prioridade, beneficiando pequenas e grandes organizações
igualmente.
Agora que temos uma visão geral do Azure e dos serviços que ele oferece, no próximo
capítulo, vamos nos aprofundar em algumas das principais tecnologias e soluções
disponíveis para as organizações.

Links úteis
• Se quiser saber mais sobre a arquitetura do Azure, você pode ler a documentação
sobre recursos e arquiteturas aqui: https://docs.microsoft.com/azure/
architecture/framework/
• Para experimentar o Azure usando 12 meses de serviços gratuitos, acesse:
https://azure.microsoft.com/free/services/virtual-machines/
Automação
2
e governança no Azure

No capítulo anterior, vimos como a infraestrutura na nuvem funciona não apenas


de uma perspectiva nativa, mas também híbrida. Agora, vamos conferir como podemos
criar recursos no Azure. Agora, você pode acessar o portal do Azure e criar qualquer
recurso do Azure. No entanto, isso pode ser muito complicado sem a automação.
A automação no Azure é realizada por meio de modelos do Azure DevOps e do Azure
Resource Manager (ARM). Estamos nos concentrando estritamente em soluções
da Microsoft prontas para uso, mas há várias outras ferramentas de implantação
e desenvolvimento disponíveis que podem ajudá-lo a realizar tarefas de automação.
Depois de implantar seus recursos, você precisa garantir que eles estejam seguros.
Automação e governança no Azure | 11

Neste capítulo, abordaremos o seguinte:


• Azure DevOps e por que é importante
• Modelos do ARM e as diferentes maneiras como podem ser usados
• Conceitos básicos e práticas recomendadas de implantação da Infraestrutura
como código (IaC) do Azure
• Benefícios e práticas recomendadas para controle de identidade e acesso
no Azure
• Governança do Azure

Antes de nos aprofundarmos em como você pode realizar a automação e o que significa
ter a IaC, vamos obter uma visão geral do Azure DevOps e de modelos do ARM para
criar uma base para essa abordagem de automação.

Azure DevOps
Embora este capítulo não seja sobre o Azure DevOps, é uma boa ideia começar com
uma compreensão básica de seus benefícios. O Azure DevOps é uma ferramenta
de desenvolvedor e de negócios, pois pode ser a fonte de verdade para sua base
de código e uma lista de pendências de itens que o código precisa realizar. Vamos
analisar algumas das opções que ele oferece, entre as quais você pode escolher:
• O Azure Repos permite que você crie um repositório Git ou o Controle
de Versão do Team Foundation para armazenar seu controle de origem
de desenvolvimento.
• O Azure Pipelines, um dos processos críticos que usaremos neste capítulo
para os artefatos criados, fornece serviços de build e lançamento para integração
e entrega contínuas (CI/CD) de suas aplicações.
• O Azure Boards ajuda a fornecer uma lista de pendências de produto para
planejar e acompanhar o trabalho, os defeitos de código e outros problemas
que podem surgir durante o desenvolvimento de software.
• O Azure Test Plans permite que você teste o código em seu repositório
e execute testes manuais e exploratórios, juntamente com testes contínuos.
• O Azure Artifacts fornece os elementos necessários para que seu código
seja empacotado e implantado, como os recursos do NuGet geralmente
compartilhados com seus pipelines de CI/CD.
12 | Automação e governança no Azure

Como você pode ver, o Azure DevOps é a ferramenta da Microsoft para implantar
e gerenciar aplicações no Azure como parte do processo de gerenciamento de
lançamento. Para saber mais sobre o Azure DevOps, você pode acessar a documentação
em https://docs.microsoft.com/azure/devops/user-guide/what-is-azure-
devops?view=azure-devops.

Observação
O Azure DevOps está disponível gratuitamente com uma licença para cinco
usuários, por isso, fique à vontade para ver e explorar como funciona
a implantação no Azure. Acesse https://azure.microsoft.com/services/devops/ para
criar sua conta gratuita.

Agora que abordamos algumas das ferramentas em um nível bem detalhado, vamos
conferir os modelos do ARM.

Modelos do ARM
Os modelos do ARM são como sua infraestrutura é representada como código.
Os modelos do ARM ajudam as equipes a adotar uma abordagem mais ágil para
implantar a infraestrutura na nuvem. Não é mais necessário clicar em Implantar
no portal do Azure para criar sua infraestrutura. Um modelo do ARM é uma combinação
de um arquivo JSON que representa a configuração de sua infraestrutura e um script
do PowerShell para executar esse modelo e criar a infraestrutura.
O benefício real de usar o sistema de modelos do ARM é que permite que você tenha
sintaxe declarativa. Isso significa que você pode implantar uma máquina virtual e criar
a infraestrutura de rede ao redor dela. Os modelos acabam fornecendo um processo
que pode ser executado repetidamente de forma muito consistente. Eles gerenciam
o estado desejado da infraestrutura, ou seja, um modelo se torna a fonte de verdade
para esses recursos de infraestrutura. Se você fizer alterações em sua infraestrutura,
deverá ser por meio dos modelos.
O processo de implantação de modelo não pode ser realizado sem orquestrar como
e em que ordem o processo de modelo precisa ser executado. Também é útil dividir
esses arquivos em partes menores e permitir que elas sejam vinculadas ou reutilizadas
em diferentes formas com outros modelos. Isso pode ajudar a entender e controlar
sua infraestrutura, tornando-a repetível e estável. Os modelos do ARM são usados
em pipelines de CI/CD e implantação de código para criar um conjunto de aplicações
na organização.
Automação e governança no Azure | 13

O arquivo JSON a seguir mostra como os modelos do ARM são estruturados:


{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/
deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "variables": {},
  "resources": [],
  "outputs": {}
}

Como você pode ver, há várias partes importantes: parâmetros, variáveis, recursos
e saídas. Vamos abordar brevemente cada um deles:
• Os arquivos de modelos do ARM devem ser parametrizados, e há um arquivo
separado para os parâmetros que mapeia para a lista de parâmetros no arquivo
de modelo JSON.
• A parte variáveis destina-se a variáveis usadas neste arquivo. As variáveis
geralmente são usadas para criar funções de nomenclatura a fim de ajudar
a gerar uma convenção de nomenclatura que já está estruturada e criar essa
estrutura para usar parâmetros de entrada na criação do nome.
• A seção recursos é onde são representados todos os recursos que você está
tentando implantar com este modelo do ARM. Eles podem variar de máquinas
virtuais a sites.
• Por fim, seção saídas é algo que você deseja exportar do seu modelo do ARM
para ser usado em outro lugar, como um nome do SQL Server, antes de executar
seus scripts SQL.

Três arquivos são criados quando você cria um arquivo de modelo do ARM no Visual
Studio:
• O primeiro é o arquivo JSON, que é o modelo representado no código anterior.
• O segundo é o arquivo JSON de entrada do parâmetro, um arquivo que pode ser
alterado com cada implantação para corresponder ao ambiente que você deseja
implantar.
• O terceiro é o script do PowerShell usado para executar o modelo. O script
do PowerShell aceita as entradas do grupo de recursos, o arquivo do modelo
do ARM e o arquivo do parâmetro.
14 | Automação e governança no Azure

Essa foi uma visão geral rápida do Azure DevOps e dos arquivos que são criados quando
você cria um modelo do ARM. Vamos ver como os recursos do Azure são implantados
usando esses modelos do ARM.

Implantar a IaC do Azure


Como vimos na seção Modelos do ARM, usaremos modelos do ARM para implantar nossa
infraestrutura, pois se encaixa perfeitamente em nosso processo de CI/CD. Há várias
maneiras de abordar a criação desses modelos.
Uma maneira é criar um modelo monolítico com todos os recursos que você deseja
implantar. Para tornar as coisas um pouco mais modulares, você pode usar uma
estrutura de modelo aninhado. Como alternativa, convém adotar uma abordagem mais
dissociada e criar modelos menores que podem ser vinculados entre si, tornando uma
estrutura altamente utilizável e repetível.
Vamos conferir cada um desses métodos, começando com a exibição monolítica:

Figura 2.1: Modelo do ARM monolítico

Como você pode ver na Figura 2.1, um modelo do ARM monolítico implanta um front-end
da interface do usuário com uma camada intermediária de API conectada ao banco de
dados SQL. Neste processo, precisamos criar todas as dependências dentro do modelo
JSON. O banco de dados SQL é implantado antes da camada intermediária de API para usar
a cadeia de conexão na configuração da aplicação da API. Em seguida, você implantará
a camada de interface do usuário com a URL da API sendo usada na configuração da
aplicação de interface do usuário. O encadeamento da implantação pode funcionar não
apenas para a implantação de código, mas também para ajudar com a configuração.
Automação e governança no Azure | 15

Como alternativa, você pode implementar um arranjo de modelo aninhado:

Figura 2.2: Modelos do ARM aninhados

Como você pode ver, isso é semelhante à estrutura na Figura 2.1. No entanto,
os modelos dentro dessa estrutura são aninhados em seções separadas de arquivos.
Isso significa que cada modelo possui o recurso que está tentando implantar. Essa
estrutura é semelhante a dividir seu código C# em métodos e ações gerenciáveis.
Isso segue o mesmo processo de implantação abordado no cenário monolítico, mas
os arquivos são aninhados.
A estrutura final é vinculada a modelos do ARM:

Figura 2.3: Modelos do ARM vinculados


16 | Automação e governança no Azure

Como você pode ver, os modelos inicialmente são separados e dissociados uns dos
outros e, em seguida, são vinculados em nosso pipeline de lançamento. Os modelos
vinculados são semelhantes aos modelos aninhados, exceto que os arquivos são
externos ao modelo e ao sistema, enquanto os modelos aninhados são incluídos
no mesmo escopo do modelo pai. Isso ajuda na reutilização no futuro, pois os modelos
são arquivos separados que podem ser vinculados a outros arquivos de implantação.
Devemos observar que, com modelos vinculados ou aninhados, o modo de implantação
só pode ser definido como incremental. No entanto, o modelo principal pode ser
implantado no modo Completo, portanto, se os modelos vinculados ou aninhados
visam o mesmo grupo de recursos, essa implantação combinada será avaliada para uma
implantação completa. Caso contrário, ela será implantada gradualmente. Para saber
mais sobre modos de implantação do ARM, acesse https://docs.microsoft.com/azure/
azure-resource-manager/templates/deployment-modes.
Vimos diferentes maneiras de usar esses modelos do ARM para automatizar
a implantação da infraestrutura. Agora, voltamos para os benefícios disso.

Benefícios da IaC do Azure


O principal benefício do uso da IaC é automatizar a criação, a atualização
e a configuração de diferentes recursos e ambientes. A automação remove o elemento
humano e adiciona alguns benefícios importantes:
• A capacidade de agendar implantações automatizadas, ajudando sua equipe
de operações a trabalhar menos horas.
• A capacidade de fazer o smoke test de suas implantações automatizadas.
• A capacidade de criar um processo repetível.
• Aplicações puramente de recuperação automática podem ser obtidas.
• A capacidade de reverter alterações.
• O Resource Manager ajuda na marcação de recursos.
• O ARM cuida das dependências de recursos no grupo de recursos.

A automação em qualquer ponto é a verdadeira chave para o uso de uma plataforma


como o Azure, seja automatizando implantações de infraestrutura ou testando para
garantir a estabilidade de suas implantações de produção.
A fim de aproveitar esses benefícios, precisamos aprender a usar modelos do
ARM de forma eficaz.
Automação e governança no Azure | 17

Práticas recomendadas
Vamos analisar rapidamente algumas práticas recomendadas para otimizar modelos
do ARM. Mas, primeiro, vamos começar entendendo quais são alguns dos nossos limites
de modelos.
Em geral, o modelo só pode ter no máximo 4 MB, e cada arquivo de parâmetro
é limitado a 64 KB. Você só pode ter 256 parâmetros, com 256 variáveis, contendo 800
recursos, 64 valores de saída e 24.576 caracteres em uma expressão de modelo. Como
já abordamos, você poderá exceder alguns desses limites usando modelos aninhados
se o seu modelo ficar muito grande, mas a Microsoft recomenda que você use modelos
vinculados para ajudar a evitar esses limites. Nas seções a seguir, abordaremos algumas
práticas recomendadas para cada componente em um modelo do ARM.

Parâmetros
O sistema de modelos do ARM no Azure DevOps resolve valores de parâmetro
antes das operações de implantação e permite que você reutilize o modelo para
diferentes ambientes. É essencial salientar que cada parâmetro deve ter um valor
de tipo de conjunto de dados. Você pode encontrar uma lista desses tipos de dados
em https://docs.microsoft.com/azure/azure-resource-manager/templates/template-
syntax#data-types.

Práticas recomendadas
A Microsoft recomenda as seguintes práticas para parâmetros:
• É melhor minimizar o uso de parâmetros. Como salientamos no início
do capítulo, você deve usar variáveis para propriedades e apenas usar
parâmetros para as coisas que precisam ser inseridas.
• É recomendável que você use CamelCase para nomes de parâmetros.
• Também é recomendável que você descreva cada parâmetro, para que quando
outros desenvolvedores usarem o modelo, eles saibam quais são os parâmetros.
• Use parâmetros para as configurações que podem mudar quando o ambiente
muda, como nomes de capacidade ou serviço de aplicação.
• Nomeie seus parâmetros para que sejam facilmente identificáveis.
• Forneça valores padrão para parâmetros. Isso envolve o fornecimento do menor
tamanho da máquina virtual para que os ambientes de não produção usem
recursos menores e outros desenvolvedores que usam o modelo tenham
um ponto de partida básico.
• Se você precisar especificar parâmetros opcionais, evite usar cadeias
de caracteres vazias como valor padrão e, em vez disso, use um valor literal. Isso
ajuda a fornecer uma estrutura de nomenclatura para os usuários do modelo.
18 | Automação e governança no Azure

• Tente usar valores permitidos o mínimo possível, pois eles podem mudar com
o tempo e podem se tornar difíceis de atualizar em seus scripts.
• Sempre use parâmetros para nomes de usuário e senhas ou segredos a serem
definidos para cada ambiente e não codificados no modelo. Você também deve
usar um cadeia de caracteres segura para todas as senhas e segredos.
• Quando você precisar definir um local para o recurso que está implantando,
defina o valor padrão como resourcegroup().location para que o valor do local
seja definido corretamente no grupo de recursos.

Como você pode ver, os parâmetros são muito úteis no processo do modelo do ARM
porque nos oferecem flexibilidade com os ambientes que estamos tentando implantar.
Lembre-se de manter esses modelos o mais simples possível com as aplicações
ou os microsserviços que você está tentando implantar.

Variáveis
As variáveis também são resolvidas antes de iniciar a implantação, e o Resource
Manager substitui a variável por seu valor determinado. As variáveis são úteis para
derivar a nomenclatura complexa no seu modelo e permitem que você repasse somente
os parâmetros necessários.
Um exemplo disso é uma organização que usa uma ID do cliente e depende dela
para a convenção de nomenclatura a fim de manter todos os recursos implantados
no Azure exclusivos à ID do cliente. Neste caso, você cria a ID do cliente como
um parâmetro e, em seguida, desenvolve variáveis para gerar nomes usando seu padrão
de nomenclatura. Você pode encontrar uma lista de tipos de dados aceitáveis para
variáveis em https://docs.microsoft.com/azure/azure-resource-manager/templates/
template-syntax#data-types.

Práticas recomendadas
A Microsoft recomenda as práticas a seguir para variáveis:
• Lembre-se de remover variáveis e arquivos não utilizados, pois podem ser
confusos.
• Use CamelCase para seus nomes de variáveis.
• Use variáveis para valores necessários mais de uma vez no seu modelo.
• Nomes de variáveis devem ser exclusivos.
• Para padrões repetíveis de objetos JSON, use o loop de cópia em variáveis.
Automação e governança no Azure | 19

Recursos
A seção de recursos dos modelos do ARM é reservada para recursos que serão
implantados ou atualizados. Os modelos do ARM geralmente ajudam a derivar o estado
desejado dos recursos no Azure. Ao alterar a infraestrutura do Azure, é sempre uma boa
prática alterar seu modelo primeiro e, em seguida, executá-lo novamente para alterar
seus recursos do Azure. Muitas vezes, as organizações fazem alterações no portal, mas
esquecem-se de alterar o modelo do ARM e, na próxima vez que implantarem esses
recursos, serão implantados no estado errado.

Práticas recomendadas
A Microsoft recomenda as práticas a seguir para recursos:
• Adicione comentários aos seus recursos para que outros saibam sua finalidade.
• Lembre-se de que existem alguns recursos que exigem nomes exclusivos,
portanto, nunca codifique seus nomes de recursos.
• Quando você adiciona uma senha a uma extensão de script personalizada,
use a propriedade CommandToExecute nas configurações protegidas do Azure
Resource Manager.

Agora temos uma compreensão básica dos elementos em um modelo do ARM. Nosso
próximo foco será o controle de identidade e acesso depois que seus recursos forem
implantados.

Controle de identidade e acesso


Antes de nos aprofundarmos, é bom perceber que há uma responsabilidade
compartilhada entre você e o provedor de nuvem quando se trata da segurança
e da proteção de seus recursos. É essencial entender os limites entre a sua
responsabilidade e a do provedor de nuvem. Vamos analisar rapidamente
a responsabilidade compartilhada no Azure, como você pode ver na Figura 2.4:
20 | Automação e governança no Azure

Na infraestrutura local IaaS PaaS Sem servidor SaaS

Segurança física

Infraestrutura de host

Sistema operacional

Controles de rede

Aplicações

Identidade e
infraestrutura do diretório
Identidades

Pontos de extremidade do cliente

Dados

Propriedade do cliente Propriedade da Microsoft

Figura 2.4: Responsabilidade compartilhada do Azure

Dependendo do tipo de serviço escolhido no Azure, suas responsabilidades


variarão, assim como as do provedor de nuvem. Observe as diferenças entre
os recursos na infraestrutura local e as várias opções do Azure. Você pode ver
que, independentemente de novas responsabilidades, você sempre manterá
a responsabilidade de pontos de extremidade, gerenciamento de contas, contas
e repositórios de dados criados por você na nuvem.
Como o Azure é um recurso voltado para o público, a segurança está na vanguarda
de seu desenvolvimento. Há uma grande variedade de ferramentas e consultores
no Azure que ajudam você a aproveitar os diferentes recursos e ferramentas
de segurança do Azure.

Quais são os benefícios de segurança do Azure?


Os grupos de segurança na infraestrutura local das organizações têm recursos
limitados (ferramentas e membros da equipe) somente para exibir explorações
e invasores. Um dos benefícios do uso de uma plataforma como o Azure é que você
pode transferir essas responsabilidades para o provedor na nuvem e obter uma
abordagem mais eficiente e inteligente para o plano de ameaças da sua organização
sem a necessidade de trazer recursos físicos.
Automação e governança no Azure | 21

Um dos benefícios mais significativos do Azure é que, quando você cria um locatário, ele
vem com o Azure AD, que permite começar com uma perspectiva de segurança no Azure.
O Azure AD é usado para proteger todos os serviços e recursos no Azure. Você também
pode usar o Azure AD para proteger suas aplicações ou criar ADs Business to Customer
(B2C) ou Business to Business (B2B) para armazenar suas informações de clientes.
Ferramentas úteis no Azure
Há várias soluções de segurança e auditoria internas no Azure para fortalecer sua
postura de segurança, que podem ser visualizadas no portal do Azure por meio
do painel de segurança e auditoria da tela inicial. Aqui estão algumas ferramentas úteis
no Azure para auxiliar você e sua organização:
• Mencionamos anteriormente que o Azure Resource Manager ajuda a manter
tudo em um único lugar para implantar, atualizar e excluir recursos em sua
solução a fim de oferecer suporte a operações coordenadas.
• O Azure também oferece o Gerenciamento de performance de aplicações
(APM), que é conhecido como Application Insights. O Application Insights
oferece a capacidade de monitorar suas aplicações no Azure e detectar
anomalias de performance.
• O Azure Monitor permite que você visualize sua infraestrutura para seu log
de atividades e os logs de diagnóstico individuais para seus recursos do Azure.
• O Azure Advisor é como um concierge de nuvem personalizado para
ajudá-lo a otimizar seus recursos de nuvem. Esse serviço pode ajudar a detectar
problemas de segurança e performance em suas aplicações.
• A Central de Segurança do Azure ajuda a evitar, detectar e responder a diferentes
planos de ameaças para suas aplicações no Azure. Ela ajuda a fornecer
gerenciamento de políticas e monitoramento integrado de segurança em todas
as suas outras assinaturas.

Práticas recomendadas
Aqui estão algumas das práticas de segurança do Azure recomendadas pela Microsoft:
• Use o Azure AD para controle central de segurança e gerenciamento
de identidades no Azure. Isso simplificará o gerenciamento e a integração.
• Tente manter suas instâncias do Azure AD em uma única fonte de verdade.
• Se você tiver um AD na infraestrutura local, é recomendável integrá-lo ao Azure
AD, usando o Azure AD Connect para obter uma única experiência de logon.
• Se você usar o Azure AD Connect para sincronizar seu AD na infraestrutura local
com o Azure, ative a sincronização de hash de senha caso o recurso principal
fique offline ou seja preterido.
22 | Automação e governança no Azure

• Lembre-se de que você pode usar o Azure AD para autenticação em suas novas
aplicações, e isso pode ser realizado diretamente por meio do Azure AD, B2B
ou B2C.
• Use grupos de gerenciamento para controlar seu acesso a assinaturas. Isso ajuda
com o gerenciamento centralizado, em vez da necessidade de se preocupar com
o Gerenciamento de identidade e acesso do Azure (IAM) em cada assinatura.
• Use o acesso condicional para suas equipes de suporte para que possam
elevar suas permissões quando necessário no Azure, em vez de ter acesso
o tempo todo.
• Bloqueie protocolos herdados que não são usados para impedir planos de ataque.
• É recomendável usar redefinições de senha self-service para seus usuários
se você estiver usando o Azure AD para suas aplicações e quiser garantir que
você monitore esse processo.
• Se você estiver usando o Azure AD Connect, verifique se suas políticas
de nuvem correspondem às suas políticas na infraestrutura local.
• Se possível, habilite a autenticação multifatorial para sua organização.
• Se você deseja fornecer funções internas no Azure, mantenha o acesso baseado
em função, em vez do acesso baseado em regras, pois o acesso baseado
em regras pode ser muito complicado de gerenciar a longo prazo.
• Forneça o acesso de privilégios mínimos ao usuários fazendo logon no Azure,
para que, quando uma conta for comprometida, o acesso seja limitado.
• Defina pelo menos duas contas de acesso de emergência, caso as contas
dos membros da equipe de operações administrativas da organização sejam
comprometidas.
• Controle os locais onde os recursos são criados para sua organização se você
também deseja monitorar atividades suspeitas no seu locatário do Azure AD
ativamente, pois pode haver restrições de dados em diferentes regiões.
• Use a autenticação e a autorização para suas contas de armazenamento.
• Revise e aplique melhorias nas suas práticas recomendadas ao longo do tempo.

Agora que temos uma compreensão da segurança no Azure, podemos analisar como
usar a Governança do Azure.
Automação e governança no Azure | 23

Governança do Azure
A Governança do Azure é definida como o processo e os mecanismos que são usados
para manter o controle sobre seus recursos e aplicações no Azure. São as prioridades
estratégicas envolvidas no planejamento de suas iniciativas na sua organização.
A Governança do Azure é oferecida em dois serviços: Azure Policy e, como abordaremos
no Capítulo 7, Ofertas, suporte, recursos e dicas para otimizar o custo no Azure,
o Gerenciamento de Custos do Azure.
O objetivo do Azure Policy é organizar seus padrões operacionais e avaliar sua
conformidade. O Azure Policy regulamenta a conformidade, a segurança, os custos
e o gerenciamento, implementando a governança para a consistência de seus recursos.
Tudo o que vemos no Azure é regido por essas políticas, que contêm regras de
negócios no formato JSON e definições de política. O esquema para essas definições
de política pode ser encontrado em https://schema.management.azure.com/
schemas/2019- 09- 01/policyDefinition.json.

Quais são os benefícios?


A Governança do Azure e o Azure Policy ajudam a criar e escalar suas aplicações,
mantendo um nível de controle. Isso ajuda a criar proteções e auxilia na implantação
de ambientes totalmente regidos em toda a assinatura da sua organização usando
o Azure Blueprints. Como abordaremos no Capítulo 7, Ofertas, suporte, recursos e dicas
para otimizar o custo no Azure, isso também auxilia no gerenciamento de custos,
fornecendo insights sobre seus gastos para maximizar seu investimento na nuvem.
Além disso, a Governança do Azure oferece os seguintes benefícios:
• Ajuda com a auditoria e a aplicação de suas políticas para qualquer serviço
do Azure
• Ajuda a incentivar a responsabilização em toda a organização, monitorando
os gastos
• Cria ambientes em conformidade, incluindo recursos, políticas e controle
de acesso
• Ajuda a garantir a conformidade com regulamentos externos por meio
de controles de conformidade internos

Nas seções a seguir, analisaremos detalhadamente alguns dos recursos e serviços


disponíveis por meio da Governança do Azure, ou seja, grupos de gerenciamento
do Azure, Azure Policy, Azure Blueprints, Azure Graph, e Gerenciamento de Custos
e Cobrança do Azure.
24 | Automação e governança no Azure

Grupos de gerenciamento do Azure


Os grupos de gerenciamento do Azure ajudam a gerenciar suas assinaturas do Azure,
agrupando-as e realizando ações em relação a esses grupos. Eles permitem definir
segurança, políticas e implantações típicas por meio de blueprints. Eles ajudam a criar
uma visão hierárquica da sua organização para que você possa gerenciar de forma
eficiente seus recursos e assinaturas:

Figura 2.5: Grupos de gerenciamento do Azure

Como você pode ver na Figura 2.5, há uma separação simples entre produção e não
produção. Nesta ilustração, devemos entender que cada grupo de gerenciamento
tem uma raiz ou um pai que cada estrutura hierárquica herda. Você pode criar uma
estrutura global na raiz ou uma política de produção ou não produção em qualquer
uma das ramificações.

Azure Policy
O Azure Policy foi implantado para ajudar a aplicar a conformidade de ativos
em padrões organizacionais no Azure. Usos comuns do Azure Policy são
a implementação da governança para consistência de recursos, segurança, custos
e gerenciamento. Como tudo no Azure, as políticas do Azure estão no formato JSON,
e você pode adicionar regras de negócios para definições de política a fim de ajudar
a simplificar o gerenciamento dessas regras.
Automação e governança no Azure | 25

As políticas do Azure podem ser aplicadas aos recursos do Azure em diferentes


ciclos de vida ou durante uma avaliação de conformidade em andamento. Elas podem
ser usadas como um mecanismo de controle para negar alterações ou registrá-las.
A diferença entre o Azure Policy e o controle de acesso baseado em regras do Azure
(RBAC) é que sua política não restringe as ações do Azure. Isso significa que uma
combinação do Azure RBAC e do Azure Policy fornece todo o escopo de segurança
no Azure.
As práticas a seguir são recomendadas pela Microsoft:
• Quando você usa as políticas do Azure, é sempre bom começar com uma política
de auditoria em vez de uma política de negação, pois definir uma política
de negação pode dificultar as tarefas de automação ao criar os recursos.
• Ao criar suas definições, considere suas hierarquias organizacionais.
É recomendável criar definições de nível superior, como no nível da assinatura
ou do grupo de gerenciamento.
• Crie e atribua definições de iniciativa ou conjuntos de políticas, mesmo para
as menores definições de política.
• É bom lembrar que, quando uma atribuição inicial é avaliada, todas as políticas
dentro dessa iniciativa também são avaliadas.
• Você deve considerar usar políticas para ajudar a controlar sua infraestrutura,
como exigir que o antivírus seja instalado em todas as máquinas virtuais ou
não permitir que tamanhos específicos de máquinas virtuais sejam criados
em um ambiente de não produção. Para obter uma melhor compreensão
da estrutura de definição de política do Azure, você pode saber mais em https://
docs.microsoft.com/azure/governance/policy/concepts/definition-structure.

Azure Blueprints
O Azure Blueprints permite que os grupos de tecnologia desenvolvam um conjunto
repetível de recursos do Azure que ofereçam suporte aos padrões e requisitos de uma
organização. Os blueprints são uma ótima maneira de orquestrar a implantação
de vários recursos, como atribuições de funções, políticas, modelos do ARM e grupos
de recursos. O Azure Blueprints é uma extensão de modelos do ARM, que são
projetados para ajudar na configuração do ambiente, e o Azure Blueprints usa modelos
para atingir esse objetivo.
26 | Automação e governança no Azure

Azure Resource Graph


O Azure Resource Graph foi criado para estender os recursos dos modelos do ARM
para ajudar a explorar recursos mesmo entre assinaturas. As consultas do Azure
Resource Graph permitem que você procure resultados complexos em recursos que
foram implantados no Azure. O Azure Resource Graph é o sistema de consultas que
oferece suporte à pesquisa no Azure. A linguagem de consulta é baseada na linguagem
de consulta Kusto, que também é usada pelo Azure Data Explorer, por isso, talvez você
não a conheça ainda e demore um pouco para se acostumar.
Você precisa dos direitos apropriados no Azure RBAC para ver os recursos. Esta
é a permissão de leitura. Se você não receber nenhum resultado retornado no Azure
ao usar o Azure Resource Graph, verifique sua permissão de leitura primeiro.
O Azure Resource Graph é gratuito para uso, mas é limitado para garantir a melhor
experiência para todos.

Gerenciamento de Custos e Cobrança do Azure


O Gerenciamento de Custos e Cobrança do Azure foi criado para ajudar a analisar,
gerenciar e otimizar os custos de seus workloads no Azure. Ele foi introduzido para
ajudar as empresas a reduzir o risco de possíveis desperdícios e ineficiências à medida
que migram para a nuvem. O Gerenciamento de Custos e Cobrança do Azure faz
o seguinte:
• Auxilia no pagamento de suas contas
• Gera faturas mensais com dados de custo e uso que podem ser baixadas
• Define limites de gastos
• Analisa seus custos proativamente
• Identifica oportunidades para otimizar os gastos para seus workloads no Azure

Abordaremos isso mais detalhadamente no Capítulo 7, Ofertas, suporte, recursos


e dicas para otimizar o custo no Azure, pois indivíduos e organizações gerenciam fluxos
de custos de forma diferente no Azure.
Automação e governança no Azure | 27

Resumo
Como você pôde ver neste capítulo, o Azure e o Azure DevOps têm sinergias
significativas. É essencial criar uma maneira repetível e estável de implantar seu código
e sua infraestrutura na nuvem. Ao aprender a implantar essa infraestrutura na nuvem,
precisávamos entender por que os modelos do ARM são usados. Isso nos levou
a abordar alguns dos conceitos básicos e práticas recomendadas sobre a implantação
dessa infraestrutura para aproveitar nosso código ou aplicações. Analisamos como
exatamente precisamos proteger os recursos e nossas aplicações por meio do controle
de identidade e acesso. Isso nos deu a compreensão de como criar governança
no Azure para garantir a consistência e a conformidade.
O Azure cria muitas estruturas que permitem digerir o que é necessário aproveitar para
garantir que suas aplicações estejam seguras e completas. Também é bom lembrar que,
à medida que você adota o Azure, deve abordá-lo com uma perspectiva de automação.
Uma organização deve desenvolver conformidade, Governança do Azure e práticas
recomendadas que funcionem em toda a organização, minimizando o risco de negócios.
Agora que criamos uma base, no próximo capítulo, vamos avançar para a forma como
podemos modernizar as aplicações.

Links importantes
• Gerenciamento de Custos e Cobrança do Azure: https://docs.microsoft.com/
azure/cost-management-billing/cost-management-billing-overview
• Azure Resource Graph: https://docs.microsoft.com/azure/governance/
resource-graph/
• Azure Blueprints: https://docs.microsoft.com/azure/governance/blueprints/
overview
• Azure Policy: https://docs.microsoft.com/azure/governance/policy/
overview#policy-definition
• Azure Policy: https://docs.microsoft.com/azure/governance/policy/concepts/
definition-structure
• Grupos de gerenciamento do Azure: https://docs.microsoft.com/azure/
governance/management-groups/
• Kit de ferramentas de modelos do ARM: https://docs.microsoft.com/azure/azure-
resource-manager/templates/test-toolkit
• Estrutura de modelos do ARM: https://docs.microsoft.com/azure/azure-
resource-manager/templates/template-syntax
28 | Automação e governança no Azure

• Recomendações de modelos do ARM: https://docs.microsoft.com/azure/azure-


resource-manager/templates/templates-cloud-consistency
• Central de Segurança do Azure: https://azure.microsoft.com/services/security-
center/
• Práticas recomendadas de segurança do Azure: https://azure.microsoft.com/
blog/azure-storage-support-for-azure-ad-based-access-control-now-
generally-available/
• Link de recursos: https://docs.microsoft.com/azure/azure-resource-manager/
templates/template-syntax#resources
• Práticas recomendadas de modelos do ARM: https://docs.microsoft.com/
azure/azure-resource-manager/templates/template-best-practices?WT.mc_
id=azuredevops-azuredevops-jagord
• Variáveis: https://docs.microsoft.com/azure/azure-resource-manager/
templates/template-variables
• Parâmetros: https://docs.microsoft.com/azure/azure-resource-manager/
templates/template-parameters
Modernizar com
3
a nuvem híbrida
e multinuvem
Os ambientes de negócios estão se tornando cada vez mais complexos. Muitas
aplicações de software agora são executadas em diferentes sistemas localizados
na infraestrutura local, fora da infraestrutura local, em várias nuvens e na borda.
O planejamento, a implementação e o gerenciamento adequados desses diversos
ambientes são fatores críticos para ajudar seus usuários e sua organização a aproveitá-
los ao máximo. Este capítulo concentra-se na função das soluções híbridas e multinuvem
do Azure e, em específico, no Azure Arc e na família de soluções do Azure Stack.
No final deste capítulo, você poderá fazer o seguinte:
• Entender o que é a nuvem híbrida, a multinuvem e a computação de borda
• Discutir o que torna uma estratégia híbrida e multinuvem bem-sucedida
• Explicar os servidores compatíveis com o Azure Arc, os serviços de dados
e o gerenciamento de aplicações do Kubernetes
• Apresentar o portfólio do Azure Stack e explicar como ele pode modernizar
seu datacenter
30 | Modernizar com a nuvem híbrida e multinuvem

Este capítulo ensinará sobre os requisitos e abordagens de conectividade do Azure


Arc para a criação de serviços de dados compatíveis com o Azure Arc em clusters
do Kubernetes e serviços gerenciados do Kubernetes. Você também aprenderá como
incluir a família de soluções do Azure Stack em sua arquitetura e gerenciar o Azure
Stack Hub. Na primeira seção, vamos começar com um pouco de terminologia.

O que é a nuvem híbrida, a multinuvem e a computação de borda?


Já apresentamos nuvem híbrida, multinuvem e computação de borda no Capítulo
1, Introdução, mas veja a seguir uma rápida recapitulação:
• Uma abordagem de nuvem híbrida envolve a combinação de recursos de nuvem e
fora da nuvem (como um datacenter na infraestrutura local). Ela pode oferecer maior
flexibilidade, mais opções de implantação, escalabilidade e consistência operacional.
• Uma abordagem multinuvem envolve aproveitar serviços de computação
na nuvem de vários provedores de serviços. Ela pode proporcionar maior
flexibilidade e melhor mitigação de riscos, pois você pode escolher uma
combinação de serviços e provedores regionais que melhor se adapta às
necessidades da sua organização.
• Uma abordagem de computação de borda aproveita o poder de computação
da nuvem em dispositivos próximos aos pontos de extremidade em que
os dados são criados e consumidos. Esses pontos de extremidade podem incluir
sistemas de controle de processos em linhas de produção, sistemas de vigilância
e sensores de edifícios e agentes em locais remotos.
A sua escolha desses ambientes de computação para uso depende de uma grande
variedade de fatores diferentes. Por exemplo, uma abordagem de nuvem híbrida que
inclui sistemas na infraestrutura local pode ser a melhor escolha para sua organização
atender aos requisitos regulatórios e de soberania de dados, melhorando a resiliência
e a continuidade dos negócios.
Por outro lado, se sua organização quiser reduzir a latência de resposta e garantir
a disponibilidade offline no campo, a computação de borda, com suas máquinas virtuais
(VMs), contêineres e serviços de dados por dispositivo, pode ser essencial.
É importante ter em mente que nuvem híbrida, multinuvem e computação de borda
também podem adicionar complexidade operacional. Por exemplo, a abordagem
multinuvem exige lidar com diferentes ambientes de nuvem em diferentes provedores
de serviços, o que representa um desafio adicional para qualquer organização que já
enfrenta uma escassez de talentos de nuvem. Nesse caso, uma solução como o Azure
pode ajudar porque foi criada para facilitar o gerenciamento multinuvem, bem como
a computação de borda e a nuvem híbrida.
Agora que abordamos a terminologia, vamos falar sobre estratégia.
Modernizar com a nuvem híbrida e multinuvem | 31

O que torna uma estratégia híbrida e multinuvem bemsucedida?


Permitir que suas equipes usem a tecnologia que atenda às suas necessidades, fornecer
segurança e governança nos locais da sua organização é um objetivo crucial se você
deseja usar soluções híbridas e multinuvem com êxito. Além de melhorar a experiência
dos usuários finais, esse ambiente também permite operações unificadas para o
desenvolvimento de aplicações e o gerenciamento de TI. Seus desenvolvedores podem criar
aplicações com as mesmas ferramentas, APIs e implantação em toda a sua organização. Seu
gerenciamento, segurança e governança podem ser homogêneos para todos os seus locais
de negócios. Opções consistentes de bancos de dados e pilhas de computação em vários
locais permitem que você mova rapidamente dados e workloads conforme necessário.
Em geral, soluções multinuvem e híbridas do Azure permitem que você otimize:
• Experiência de aplicação do usuário: crie uma experiência de aplicação
consistente em toda a sua nuvem, na infraestrutura local e fora da
infraestrutura local.
• Serviços de dados: a migração, o gerenciamento e a análise de dados podem
ser feitos sem interrupções ao executar os serviços de dados do Azure onde
for necessário.
• Gerenciamento de TI: unifique o gerenciamento, a governança e a segurança
de seus recursos de TI com controle centralizado em todos os seus domínios
organizacionais.
• Proteção contra ameaças e segurança: use um plano de controle em toda a sua
propriedade digital para segurança e proteção avançada contra ameaças de
todos os seus workloads.
• Acesso a identidade e usuário: use uma plataforma unificada para
gerenciamento de identidade e acesso para uma experiência de logon único
e integrado globalmente.
• Redes: conecte workloads e locais distribuídos com segurança em toda a sua
organização, tornando o Azure uma extensão da sua rede atual.

O Azure Arc e o Azure Stack são dois componentes de soluções e produtos


multinuvem e híbridos do Azure. O Azure Arc fornece gerenciamento simplificado
de suas implantações e estende os serviços e dados de aplicações do Azure em
multinuvem, datacenters e borda. Por meio de suas três ofertas e capacidade de utilizar
opcionalmente o Azure Arc, o Azure Stack fornece:
• Um sistema integrado nativo de nuvem que oferece serviços de nuvem do Azure
na infraestrutura local, visando cenários desconectados.
• Uma infraestrutura hiperconvergente (HCI) que moderniza os datacenters,
atualizando os hosts de virtualização com armazenamento e rede modernos
definidos por software combinados com o Hyper-V para computação.
32 | Modernizar com a nuvem híbrida e multinuvem

• Dispositivos de borda/aplicações gerenciadas na nuvem para executar workloads


de computação de borda.

Juntos, eles permitem que você:


• Use um único plano de controle para gerenciar, reger e proteger servidores,
clusters do Kubernetes e aplicações em multinuvem, na infraestrutura local
e na borda de forma integrada.

• Mantenha seus serviços do Azure atualizados em qualquer infraestrutura,


juntamente com a automação, o gerenciamento unificado e a segurança.

• Modernize aplicações na infraestrutura local ou na borda com tecnologias


nativas de nuvem.

• Combine aplicações virtualizadas com um HCI local que pode facilmente


adicionar serviços do Azure à oferta para uma performance de preço ideal.

• Estenda a computação, o armazenamento e a IA do Azure para a IoT e outros


dispositivos de borda e execute o aprendizado de máquina e Advanced Analytics
na borda para obter insights em tempo real.

Observação
Este capítulo se concentra no Azure Arc e no planejamento, na implementação
e nas práticas recomendadas do Azure Stack. Mais informações sobre a segurança
do Azure e tópicos relacionados estão disponíveis em https://azure.microsoft.com/
services/security-center/ e https://docs.microsoft.com/azure/?product=all.

A Microsoft também oferece exemplos de arquitetura de soluções para a criação de


soluções híbridas e multinuvem e um caminho de migração flexível. Veja aqui um
desses exemplos para gerenciar configurações de servidores compatíveis com o Azure
Arc: https://docs.microsoft.com/azure/architecture/hybrid/azure-arc-hybrid-config.

Esperamos que essas primeiras seções tenham lhe dado uma boa base introdutória.
Na próxima seção, vamos nos aprofundar no Azure Arc.

Visão geral do Azure Arc


À medida que as soluções de nuvem, fora da nuvem, na infraestrutura local e fora
da infraestrutura local continuam expandindo cada vez mais, as organizações devem
gerenciar ambientes de TI cada vez mais complexos. Várias nuvens e ambientes
significam várias diferentes ferramentas de gerenciamento e curvas de aprendizagem.
Como um desafio adicional, as ferramentas existentes podem não oferecer suporte
adequado a essas novas versões nativas de nuvem de modelos operacionais como
DevOps e ITOps.
Modernizar com a nuvem híbrida e multinuvem | 33

O Azure Arc oferece uma solução para simplificar o gerenciamento e a governança


desses ambientes. Com o Azure Arc, você pode implantar serviços do Azure e estender
o gerenciamento do Azure a qualquer lugar. É uma única plataforma (painel único)
para o gerenciamento consistente de recursos multinuvem, na infraestrutura local
e na borda, cada um projetado por meio do Azure Arc para o Azure Resource Manager
(ARM). Isso permite que você gerencie VMs, clusters do Kubernetes e bancos de dados
como se estivessem sendo executados no Azure, usando ferramentas de gerenciamento
e serviços do Azure.
Os principais benefícios do Azure Arc são:
• Visibilidade do painel único sobre suas operações e conformidade. Use o portal
do Azure para gerenciar, reger e proteger uma ampla variedade de recursos em
Windows, Linux, SQL Server e Kubernetes, abrangendo datacenters, a borda
e multinuvem.
• A capacidade de arquitetar e projetar aplicações híbridas em grande escala
onde os componentes são distribuídos entre serviços de nuvem pública,
nuvens privadas, datacenters e locais de borda sem sacrificar a visibilidade
e o controle centrais. Codifique centralmente e implante aplicações com
confiança em qualquer distribuição do Kubernetes em qualquer local. Acelere
o desenvolvimento por meio de implantação, configuração, segurança
e capacidade de observação padronizadas.
• A extensão dos dados e serviços de aplicações do Azure para todos os seus
locais. Utilize serviços de aplicações e dados do Azure para implementar
automação e práticas de nuvem a fim de implantar de forma consistente
serviços compatíveis com o Azure Arc escaláveis e atualizados.

Com o Azure Arc, você pode:


• Continuar e estender a aplicação dos processos e serviços administrados pelo
departamento de TI para sua empresa (ITOps) em todos esses ambientes.
• Implantar o DevOps para oferecer suporte a novos padrões nativos de nuvem
em todos os ambientes, incluindo na nuvem e fora da nuvem.
• Gerenciar e administrar servidores Windows e Linux, incluindo máquinas físicas
e virtuais, dentro e fora do Azure.
• Gerenciar e administrar clusters do Kubernetes em grande escala e com controle
de origem para a implantação e a configuração consistentes de aplicações.
• Gerenciar o Banco de Dados SQL do Azure e os serviços de Hiperescala do
PostgreSQL (Azure Data Services) com escala sob demanda com segurança,
atualização e patches automatizados em seus domínios organizacionais dentro
e fora da nuvem.
34 | Modernizar com a nuvem híbrida e multinuvem

Especificamente, os principais recursos do Azure Arc proporcionam:


• Gerenciamento, governança, segurança e inventário de servidores consistentes
em seus ambientes.
• Monitoramento, segurança e atualizações de seus servidores configurando
extensões de VM do Azure para serviços de gerenciamento do Azure.
• Gerenciamento e escalabilidade de clusters do Kubernetes usando qualquer
distribuição do Kubernetes em conformidade com CNFC usando técnicas
de DevOps.
• Gerenciamento baseado em GitOps com Configuração como Código (CaC) para
a implantação de aplicações e configuração em vários clusters, diretamente
no controle de origem.
• O uso do Azure Policy para conformidade e configuração automatizadas
(sem toque) de seus clusters do Kubernetes.
• Implantação da Instância Gerenciada SQL do Azure e do Banco de Dados
do Azure para Hiperescala do PostgreSQL (Azure Data Services) em qualquer
ambiente do Kubernetes, com atualização no nível do Azure, segurança,
monitoramento e aproveitamento de recursos de alta disponibilidade do SQL
do Azure e suporte a cenários desconectados de Hiperescala do PostgreSQL.
• Uma visão unificada de seus ativos compatíveis com o Azure Arc, onde quer que
estejam, seja por meio do portal do Azure, da CLI, do PowerShell ou da API REST.

Observação
Para executar workloads do Kubernetes no Azure Stack HCI, os clientes podem
implantar o Serviço de Kubernetes do Azure no Azure Stack HCI, que é um serviço
arquitetado especialmente para o Azure Stack HCI.

Agora temos uma visão geral do que o Azure Arc pode ajudá-lo a realizar. Vamos ver
isso mais detalhadamente. Primeiro, vamos explicar a infraestrutura compatível com
o Azure Arc, começando com a forma como ela facilita o gerenciamento do Kubernetes
em grande escala. Mais adiante nesta seção, abordaremos os serviços de dados
compatíveis com o Azure Arc que possibilitam a execução de serviços de dados
do Azure na infraestrutura local, em outras nuvens públicas e na borda.

Gerenciamento de aplicações do Kubernetes em grande escala


As vantagens dos contêineres, incluindo sua portabilidade, eficiência e escalabilidade,
os tornaram populares para a implantação de aplicações de negócios. Novas aplicações
podem ser criadas como microsserviços em clusters do Kubernetes. As aplicações herdadas
podem ser modernizadas reescrevendo-as como contêineres. No entanto, com essas
possibilidades, surge a necessidade de gerenciamento do Kubernetes em grande escala.
Modernizar com a nuvem híbrida e multinuvem | 35

O Azure Arc aborda essa necessidade, permitindo que as organizações implantem


aplicações rapidamente em qualquer cluster do Kubernetes em vários locais de acordo
com políticas de gerenciamento robustas. Esse recurso é habilitado por meio do Azure
Kubernetes Configuration Management (AKCM), um serviço do Azure que fornece
gerenciamento de configuração e implantação de aplicações do Azure, usando o
GitOps. A implantação contínua e em conformidade pode ser garantida vinculando
as políticas de aplicação a repositórios específicos do GitHub. Com esse recurso, os
administradores de cluster podem declarar sua configuração de cluster e aplicações
no Git. As equipes de desenvolvimento podem usar as solicitações pull e as ferramentas
que já conhecem (por exemplo, pipelines de DevOps existentes, Git, manifestos do
Kubernetes e gráficos do Helm existentes) para implantar facilmente aplicações em
clusters do Kubernetes compatíveis com o Azure Arc e fazer atualizações na produção.
Os agentes do GitOps ouvem alterações e facilitam as reversões automatizadas se essas
alterações resultarem na divergência entre o sistema e a fonte de verdade.
Por exemplo, uma empresa de varejo com muitos estabelecimentos pode migrar suas
aplicações armazenadas em clusters do Kubernetes de contêineres. O Azure Arc
permite a implantação uniforme, a configuração e o gerenciamento dessas aplicações
conteinerizadas em vários locais. Novos estabelecimentos podem receber conjuntos
específicos de aplicações com controle centralizado de conformidade e configuração.
A equipe de TI também pode monitorar, proteger e alterar configurações e aplicações
em todos os estabelecimentos, aproveitando as políticas para proteger conexões de
rede e evitar configurações incorretas.
O Serviço de Kubernetes do Azure (AKS) pode ser usado para monitorar a integridade
do cluster do Kubernetes, realizar manutenções, montar volumes de armazenamento
e ativar nós para tarefas específicas (por exemplo, usando nós habilitados para GPU
para processamento paralelo). O Azure Arc e o Azure Policy oferecem à equipe de TI
do varejista uma visão unificada no portal do Azure de todos os clusters em todos
os estabelecimentos. Você também pode executar os serviços de dados compatíveis
com o Azure Arc no Azure Stack HCI. Isso será abordado mais adiante no capítulo.

Servidores compatíveis com o Azure Arc


Com os servidores compatíveis com o Azure Arc, você pode aplicar os níveis nativos de
gerenciamento de VM do Azure a máquinas Windows e Linux localizadas fora do Azure,
por exemplo, em uma rede corporativa ou como parte de serviços de outros provedores
de nuvem. Esses recursos que não são do Azure podem ser conectados ao Azure e
gerenciados como recursos do Azure. Cada máquina híbrida conectada é incluída em
um grupo de recursos com uma ID de recurso de nível de máquina. Ela também pode ser
gerenciada usando funcionalidades padrão do Azure, como Azure Policy, RBAC e marcas.
Por exemplo, os provedores de serviços que gerenciam vários ambientes de clientes
podem estender funcionalidades nativas de gerenciamento do Azure por meio do Azure
Arc, como o Azure Lighthouse, que permite que os provedores de serviços façam logon
no locatário para que possam gerenciar assinaturas e grupos de recursos como
delegados pelos clientes.
36 | Modernizar com a nuvem híbrida e multinuvem

A funcionalidade do plano de controle do Azure Arc fornece:


• Grupos de gerenciamento e marcas para organizar seus recursos.
• O uso do Azure Resource Graph para indexação e pesquisa.
• O uso do Controle de acesso baseado em função (RBAC) do Azure para controle
de segurança e acesso.
• Modelos e extensões para automação e criação de ambientes.
• Gerenciamento de atualizações.

Cenários com suporte


Quando você conecta sua máquina a servidores compatíveis com o Azure Arc,
os seguintes benefícios estão disponíveis:
• Inventário e rastreamento de alterações de automação do Azure: usado para
relatar alterações de configuração em servidores monitorados. Isso pode ser
usado para serviços da Microsoft, arquivos e registro do Windows, daemons
Linux e seu software instalado.
• Configuração de estado de automação do Azure: usada para simplificar
a implantação para suas máquinas Windows ou Linux que não são do Azure.
Você também pode usar a extensão de script personalizado para instalação
de software ou configuração pós-implantação.
• Gerenciamento de atualizações: para gerenciar atualizações do sistema
operacional Windows e Linux Server. Para obter mais informações, confira
https://docs.microsoft.com/azure/automation/update-management/enable-
from-automation-account.
• Azure Monitor para VMs: permite que você monitore a performance do sistema
operacional de convidados em sua máquina conectada. Você pode descobrir
componentes de aplicação e monitorar seus processos e dependências.
• Configurações de convidados do Azure Policy: você pode atribuir (e não apenas
auditar) configurações de convidados do Azure Policy à sua máquina híbrida,
assim como você atribui políticas a máquinas nativas do Azure.
• Azure Defender: usado para detectar e responder a ameaças, bem como
gerenciar os recursos de segurança preventiva e conformidade de seus
servidores que não são do Azure.

Observação
Cada máquina híbrida a ser gerenciada por meio do Azure Arc requer a instalação
do Azure Connected Machine Agent. Para monitoramento proativo do sistema
operacional e dos workloads na máquina, você também deve instalar o agente
do Log Analytics para Windows e Linux e, em seguida, gerenciar o dispositivo com
runbooks de automação, gerenciamento de atualizações, Central de Segurança do
Azure ou outros serviços adequados. Os dados de log coletados e armazenados
do dispositivo híbrido podem ser identificados em um espaço de trabalho do Log
Analytics por meio de sua ID de recurso ou outras propriedades.
Modernizar com a nuvem híbrida e multinuvem | 37

Regiões com suporte


Se você habilitar servidores compatíveis com o Azure Arc manualmente ou por meio da
execução de um script de modelo, a opção mais óbvia para o local é a região do Azure
geograficamente mais próxima do seu dispositivo. Sua escolha de região também pode
ser determinada por requisitos de residência de dados, considerando que os dados são
armazenados na geografia do Azure que contém a região escolhida.
Se houver uma interrupção na região do Azure selecionada, sua máquina conectada não
será afetada. Por outro lado, as operações de gerenciamento baseadas no Azure podem
não conseguir ser concluídas. Para um serviço geograficamente redundante com vários
dispositivos ou locais, conecte-os a diferentes regiões do Azure.
Alguns dados são coletados e armazenados na máquina conectada. O seguinte é
armazenado na região onde o recurso de máquina do Azure Arc foi criado:
• O Nome de domínio totalmente qualificado (FQDN) do computador
• O nome do computador
• A versão do Connected Machine Agent
• O nome e a versão do sistema operacional

A cada 5 minutos, a máquina conectada envia um sinal de pulsação para o serviço.


Se esses sinais pararem, o serviço mudará o status do dispositivo no portal para
desconectado em 15 a 30 minutos. Quando o agente da máquina conectada envia
um novo sinal de pulsação, o status mudará de volta para conectado.
Para leitura adicional, confira:
• https://docs.microsoft.com/azure/azure-arc/servers/overview
• https://docs.microsoft.com/azure/azure-arc/servers/agent-overview

Serviços de dados compatíveis com o Azure Arc


Com o Azure Arc e o Kubernetes, os serviços de dados do Azure especificados estão
disponíveis para você executar na infraestrutura de sua escolha fora do Azure, por
exemplo, na infraestrutura local, em dispositivos de borda e em outras nuvens. As
inovações, a escalabilidade e o gerenciamento unificado do Azure estão disponíveis para
workloads de dados em cenários conectados e desconectados. Os primeiros serviços de
dados compatíveis com o Azure Arc a serem disponibilizados (primeiro em visualização)
são a Instância Gerenciada SQL e Hiperescala do PostgreSQL. É importante observar
que você também pode executar os serviços de dados compatíveis com o Azure Arc no
Azure Stack HCI, o que é abordado mais adiante neste capítulo.
38 | Modernizar com a nuvem híbrida e multinuvem

Permanente (sempre atualizado)


Usando os serviços de dados compatíveis com o Azure Arc para workloads na
infraestrutura local, você pode acessar sistematicamente os recursos mais recentes
do Azure. Você também pode configurar atualizações automáticas para receber
os patches e as atualizações mais recentes do Registro de Contêiner da Microsoft,
controlando as cadências de implantação de acordo com sua política e maximizando
o tempo de atividade do sistema. Como uma vantagem adicional, você pode evitar
problemas de fim de suporte para seus bancos de dados, pois os serviços de dados
compatíveis com o Azure Arc são um serviço de assinatura.

Elasticidade
Os serviços de dados compatíveis com o Azure Arc oferecem escala flexível do tipo
nuvem para seus bancos de dados na infraestrutura local, permitindo que você atenda
aos requisitos de workloads voláteis e ampliados, bem como a ingestão e as consultas
de dados em tempo real. Nenhum limite é colocado sobre a escalabilidade, e você
pode gerar instâncias de banco de dados em segundos para tempos de resposta de
menos de 1 segundo. Tarefas administrativas de banco de dados, como configurar alta
disponibilidade, são simplificadas para o nível de alguns cliques. Os workloads de dados
podem escalar dinamicamente de acordo com a capacidade necessária e sem suspender
aplicações, com possibilidades de escala vertical e horizontal para aumentar as réplicas
de leitura ou sharding.

Gerenciamento unificado
Você pode obter uma visão unificada de seus ativos de dados implantados com o Azure
Arc usando ferramentas como o portal do Azure, o Azure Data Studio ou a CLI de Dados
do Azure. Você pode verificar a capacidade e a integridade da infraestrutura usando
logs e telemetria das APIs do Kubernetes. O Azure Monitor também está disponível para
exibições operacionais e insights em toda a sua propriedade de dados.
Para escalar o gerenciamento com recursos, o Azure Arc automatiza tarefas de
gerenciamento de banco de dados. As funcionalidades prontas para uso incluem
monitoramento, provisionamento rápido, escala flexível sob demanda, patches,
configuração de alta disponibilidade e backup e restauração. Com o Azure Arc, os bancos
de dados em seus domínios digitais também podem se beneficiar do Backup do Azure, do
Azure Monitor, do Azure Policy, do Azure RBAC e da Segurança de Dados Avançada.

Gerenciamento em cenários desconectados


Você pode acessar os benefícios do Azure com ou sem uma conexão de nuvem
direta e contínua. Muitos serviços, incluindo monitoramento, backup automatizado/
restauração e provisionamento self-service, podem ser executados localmente,
Modernizar com a nuvem híbrida e multinuvem | 39

independentemente de uma conexão direta com o Azure estar disponível ou não. O


controlador de dados do Azure Arc local oferece funcionalidade de gerenciamento
abrangente em um ambiente hospedado próprio para provisionamento, escala flexível,
backup, atualizações automatizadas, monitoramento e alta disponibilidade. Conectar-se
diretamente ao Azure adiciona opções de integração com outros serviços do Azure,
como o Azure Monitor, e permite que você use o portal do Azure e as APIs do Azure
Resource Manager em qualquer lugar para gerenciamento de seus serviços de dados
compatíveis com o Azure Arc.

Pré-requisitos para serviços de dados do Azure


Você precisará de um cluster do Kubernetes com base em uma grande distribuição do
Kubernetes para a orquestração de serviços de dados do Azure na infraestrutura de sua
escolha. Você também precisará instalar o controlador de dados do Azure Arc antes de
provisionar os serviços de dados do Azure e usar a funcionalidade de gerenciamento
em seu ambiente.
Você deve escolher um SQL Server compatível com o Arc ou uma instância
gerenciada compatível com o Arc?
O Azure já oferece diferentes opções de implantação e gerenciamento para hospedar o
recurso do SQL Server. O suporte ao SQL Server com o Azure Arc aumenta a gama de
possibilidades. As possibilidades do Azure Arc podem ser comparadas da seguinte maneira:
• SQL Server compatível com o Azure Arc (atualmente em visualização): para
servidores SQL em sua própria infraestrutura ou outra nuvem pública, o SQL
Server compatível com o Azure Arc permite que você conecte esses servidores
SQL ao Azure e aproveite os serviços associados do Azure. Não há nenhum
impacto nos servidores SQL de conexão e registro com o Azure. Também não há
nenhuma exigência de migração de dados ou tempo de inatividade. Com o portal
do Azure como seu painel de gerenciamento central, você pode gerenciar todos
os seus servidores SQL. O serviço de avaliação sob demanda do SQL Server
permite que você valide regularmente a integridade do seu ambiente do SQL
Server, reduza os riscos e melhore a performance.

• Instância Gerenciada SQL compatível com o Azure Arc (atualmente em


visualização): a Instância Gerenciada SQL compatível com o Azure Arc é um
serviço de dados SQL do Azure. Ele pode ser criado em qualquer lugar da sua
infraestrutura e tem cerca de 100% de compatibilidade com o mais recente
mecanismo de banco de dados do SQL Server. Com a Instância Gerenciada SQL
compatível com o Azure Arc, você pode fazer o lift and shift de suas aplicações
para os serviços de dados do Azure Arc, minimizando alterações em suas
aplicações e bancos de dados.
40 | Modernizar com a nuvem híbrida e multinuvem

Sem sair da sua infraestrutura existente, você pode migrar suas aplicações existentes do
SQL Server para a versão mais recente do mecanismo do SQL Server e obter a vantagem
adicional dos recursos de gerenciamento integrado como PaaS. Esses recursos ajudam
você a atender a critérios de conformidade, como a soberania de dados. Para fazer isso,
você pode aproveitar a plataforma do Kubernetes com os serviços de dados do Azure,
para o qual a implantação pode estar em qualquer infraestrutura.
Atualmente, as seguintes vantagens estão disponíveis:
• Facilidade de criação, remoção e escala flexível vertical ou horizontal de uma
instância gerenciada em um minuto.

• A plataforma instala automaticamente atualizações e patches para garantir que


você execute a versão mais recente do SQL Server.

• Monitoramento, alta disponibilidade e backup e restauração disponíveis como


serviços de gerenciamento integrados.

Hiperescala do PostgreSQL compatível com o Azure Arc ou Banco de Dados


do Azure para Hiperescala do PostgreSQL?
Essas duas entidades são diferentes entre si de forma semelhante ao que a Instância
Gerenciada SQL habilitada para Arc e o SQL Server compatível com o Arc são entre si.
O Banco de Dados do Azure para Hiperescala do PostgreSQL é um serviço operado no
Azure pela Microsoft e em execução em datacenters da Microsoft. Por comparação,
Hiperescala do PostgreSQL compatível com o Azure Arc faz parte dos serviços de dados
compatíveis com o Azure Arc e é executado em sua própria infraestrutura. No entanto,
as duas entidades são baseadas no fator forma de hiperescala do banco de dados
PostgreSQL habilitado pela extensão Citus.

Modos de conectividade
Seu ambiente de serviços de dados do Azure Arc pode se conectar ao Azure de maneiras
diferentes, dependendo de fatores como sua política de negócios, regulamentos
governamentais e as conexões de rede disponíveis. Com os serviços de dados compatíveis
com o Azure Arc, você pode escolher entre os seguintes modos de conectividade:
• Diretamente conectado (sem suporte no momento da redação deste livro)

• Indiretamente conectado

• Nunca conectado (sem suporte no momento da redação deste livro)


Modernizar com a nuvem híbrida e multinuvem | 41

A disponibilidade de algumas funcionalidades dos serviços de dados compatíveis com


o Azure Arc dependerá do modo de conectividade que você escolher. A opção de modo
de conectividade permite que você decida a quantidade de dados transmitida para
o Azure e o tipo de interação do usuário com o controlador de dados do Arc. Vamos
abordar as diferenças entre conexões diretas e indiretas.

Conexões diretas
Quando os serviços compatíveis com o Azure Arc estão diretamente conectados
ao Azure:
• Os usuários podem operar os serviços de dados do Azure Arc por meio de APIs
do Azure Resource Manager, da CLI do Azure e do portal do Azure.
• O Azure Active Directory (Azure AD) e o Azure RBAC estão disponíveis devido
à comunicação contínua e direta no modo diretamente conectado.
• Serviços como os serviços de segurança do Azure Defender, o Container Insights
e o Backup do Azure no armazenamento de blobs estão disponíveis no modo
diretamente conectado.
As operações no modo diretamente conectado são semelhantes ao uso do portal
do Azure para serviços, por exemplo, provisionamento/desprovisionamento,
configuração e escalabilidade.

Conexões diretas podem ser usadas para:


• Organizações que usam nuvens públicas, como Azure, AWS ou Google Cloud
Platform.
• Locais de borda, como lojas de varejo em que a conectividade com a Internet
é muitas vezes presente e permitida.
• Datacenters corporativos, permitindo uma conectividade mais extensa de/para
a região de dados de seu datacenter e da Internet.

Conexões indiretas
Quando os serviços compatíveis com o Azure Arc estão indiretamente conectados ao
Azure:
• Apenas uma visualização somente leitura está disponível no portal do Azure.
Você pode ver instâncias e detalhes de implantações de instâncias gerenciadas
e instâncias de Hiperescala do Postgres, mas não pode agir com base neles no
portal do Azure.
• Todas as ações devem ser iniciadas localmente usando o Azure Data Studio, a
CLI de Dados do Azure (azdata) ou as ferramentas nativas do Kubernetes, como
kubectl.
• O Azure AD e o Azure RBAC não estão disponíveis.
• Serviços como os serviços de segurança do Azure Defender, o Container Insights
e o Backup do Azure no armazenamento de blobs não estão disponíveis.
42 | Modernizar com a nuvem híbrida e multinuvem

No momento da redação deste livro, somente o modo indiretamente conectado tem


suporte (em visualização).
Conexões indiretas podem ser usadas para:
• Os datacenters na infraestrutura local, como para finanças, serviços de saúde ou
governo, podem não permitir a conectividade dentro ou fora da região de dados.
Isso se deve a políticas de conformidade comercial ou regulatória, muitas vezes
para evitar os riscos de ataques externos ou a extração de dados.

• Locais de borda, como para aplicações de campo de petróleo/gás ou militares,


onde a conectividade com a Internet muitas vezes não está disponível.

• Locais de borda, como navios, com apenas conectividade intermitente.

Nunca conectado
No modo nunca conectado, nenhum dado pode ser enviado de nenhuma maneira de ou
para o Azure. Um caso de uso para esse cenário pode ser uma instalação ultrassecreta
do governo. Esse tipo de ambiente seguro garante o isolamento total de dados.
É importante observar que esse modo ainda não tem suporte.

Requisitos de conectividade
Um agente em seu ambiente é sempre o iniciador da comunicação entre seu ambiente
e o Azure. Isso também é válido para operações iniciadas por um usuário no portal do
Azure, que se tornam tarefas enfileiradas no Azure. Em seguida, um agente em seu
ambiente verifica as tarefas na fila iniciando a comunicação com o Azure. O agente
executa esses relatórios e tarefas para o Azure com base no status de tarefa (conclusão
ou falha).

Conexões disponíveis para o modo indiretamente conectado


Atualmente, há três conexões disponíveis para o único modo com suporte na fase de
visualização, o modo indiretamente conectado. Elas são:
• APIs do Azure Monitor

• APIs do Azure Resource Manager

• Registro de Contêiner da Microsoft (MCR)

Todas as conexões HTTPS com o Azure e o Registro de Contêiner da Microsoft são


criptografadas. Elas usam SSL/TLS e certificados oficialmente assinados e verificáveis.
Modernizar com a nuvem híbrida e multinuvem | 43

APIs do Azure Monitor e APIs do Azure Resource Manager


O Azure Data Studio, a CLI de Dados do Azure (azdata) e a CLI do Azure conectam-se
às APIs do Azure Resource Manager para transmitir e receber dados do Azure para
determinados recursos.
Atualmente, todas as conexões HTTPS/443 de navegador com os painéis do Grafana
e do Kibana e da CLI de Dados do Azure (azdata) com a API do controlador de dados
usam a criptografia SSL com certificados autoassinados. Um recurso é planejado para
possibilitar a criptografia dessas conexões SSL usando seus próprios certificados.

Registro de Contêiner da Microsoft


O MCR é o repositório para as imagens de contêiner de serviços de dados compatíveis
com o Azure Arc. Você pode extrair essas imagens do MCR e enviá-las para um registro
de contêiner privado. Em seguida, você pode configurar o processo de implantação do
controlador de dados para extrair as imagens do contêiner desse registro de contêiner
privado.

As conexões com o servidor de API do Kubernetes do Azure Data Studio e da CLI de


Dados do Azure (azdata) usam a autenticação e a criptografia do Kubernetes que
você implementou. Para executar muitas das ações relacionadas a serviços de dados
compatíveis com o Azure Arc, os usuários do Azure Data Studio e da CLI de Dados do
Azure devem ter uma conexão autenticada com a API do Kubernetes.

Criação do controlador de dados do Azure Arc


Várias abordagens diferentes são possíveis para a criação de serviços de dados compatíveis
com o Azure Arc em clusters do Kubernetes e serviços gerenciados do Kubernetes.
Você pode encontrar uma lista atualizada dos serviços e distribuições do Kubernetes
compatíveis aqui: https://docs.microsoft.com/azure/azure-arc/data/create-data-
controller.
Essa URL também fornecerá requisitos para os serviços e distribuições. Por
exemplo, a versão mínima compatível da aplicação, o tamanho da VM, a memória
e o armazenamento e requisitos de conectividade. Além disso, você encontrará as
informações necessárias durante o processo de criação do controlador.

Azure Arc no GitHub


O repositório do GitHub em https://github.com/microsoft/azure_arc tem diferentes
recursos para ajudá-lo a usar servidores compatíveis com o Azure Arc, SQL Server
compatível com o Azure Arc, Kubernetes compatível com o Azure Arc e serviços de
dados compatíveis com o Azure Arc.

Vamos conferir os diferentes guias disponíveis que podem ajudá-lo na adoção do Azure Arc.
44 | Modernizar com a nuvem híbrida e multinuvem

Servidores compatíveis com o Azure Arc


Esses cenários de implantação estão disponíveis para orientá-lo na integração de
diferentes implantações de servidor Windows e Linux no Azure com o Azure Arc:
• Geral: exemplos que podem ser usados para conectar servidores Windows ou
Linux existentes ao Azure com o Azure Arc.

• Microsoft Azure: guias para integração de uma VM do Azure como um servidor


compatível com o Azure Arc.

• Guias adicionais fornecem informações sobre o uso do Vagrant, da Amazon Web


Services (AWS), da Google Cloud Platform (GCP) e do VMware.

• Servidores compatíveis com o Azure Arc – Cenários e casos de uso do dia 2:


depois que os recursos do servidor forem projetados para o Azure com o Azure
Arc para torná-los servidores compatíveis com o Azure Arc, esses guias mostram
exemplos de gerenciamento desses servidores como recursos nativos do Azure
usando ferramentas de gerenciamento nativas do Azure, como marcas de
recursos, Azure Policy e Log Analytics.

• Servidores compatíveis com o Azure Arc – Cenários de implantação escalada:


guias para integração escalada ao Azure Arc de VMs em diferentes plataformas
e ambientes existentes.

SQL Server compatível com o Azure Arc


Esses cenários de implantação oferecem orientações para implantações de integração
do Microsoft SQL Server em diferentes plataformas para o Azure Arc:
• Microsoft Azure: orientações de integração de uma VM do Azure com uma
instalação do SQL Server como o SQL compatível com o Azure Arc e como
um servidor compatível com o Azure Arc. Este guia é apenas para fins de
demonstração e teste (não tem suporte).

• AWS: orientações para a implantação de ponta a ponta na AWS do Windows Server


com o SQL Server e a integração com o Terraform ao Azure com o Azure Arc.

• GCP: orientações para a implantação de ponta a ponta na GCP do Windows Server


com o SQL Server e a integração com o Terraform ao Azure com o Azure Arc.

• VMware: orientações para a implantação de ponta a ponta no VMware vSphere


do Windows Server com o SQL Server e a integração com o Terraform ao Azure
com o Azure Arc.
Modernizar com a nuvem híbrida e multinuvem | 45

Kubernetes compatível com o Azure Arc


Esta seção tem opções para o Kubernetes compatível com o Azure Arc, para gerar
rapidamente um cluster do Kubernetes pronto para projeção no Azure Arc e
gerenciamento por ferramentas nativas do Azure:
• Geral: demonstração pelo exemplo de conexão com o Arc ou um cluster
do Kubernetes existente.
• AKS: demonstrações de exemplo para a criação de um cluster do AKS a
fim de simular um cluster em execução na infraestrutura local. Exemplos
de implantação incluem o uso do Terraform e um modelo do ARM.
• Amazon Elastic Kubernetes Service (EKS): um exemplo usando o Terraform para
implantar um cluster do EKS na AWS e a conexão deste cluster do EKS ao Azure
com o Azure Arc.
• Google Kubernetes Engine (GKE): um exemplo usando o Terraform para
implantar um cluster do GKE na Google Cloud e a conexão deste cluster
do GKE ao Azure com o Azure Arc.
• Rancher k3s: exemplos de implantação do Kubernetes leve do Rancher K3s
(por exemplo, para uma borda, IoT ou Kubernetes inserido) em uma VM do
Azure ou a integração do VMware do cluster ao Azure com o Azure Arc.
• Azure Red Hat OpenShift (ARO) V4: um exemplo usando o Terraform para
implantar um novo cluster do ARO com a integração do cluster ao Azure
com o Azure Arc.
• Kubernetes no Docker (tipo): um exemplo de uso do tipo para a criação de um
cluster do Kubernetes em sua máquina local (em execução como um cluster local
do Kubernetes usando "nós" do contêiner do Docker) e a integração do cluster
como um cluster do Kubernetes compatível com o Azure Arc.
• MicroK8s: uma demonstração de exemplo do uso do MicroK8s para criar um
cluster do Kubernetes em sua máquina local e a integração do cluster como um
cluster do Kubernetes compatível com o Azure Arc.
• Kubernetes compatível com o Azure Arc – Cenários e casos de uso do dia 2:
depois que os clusters do Kubernetes forem projetados para o Azure com o
Azure Arc, esses guias mostram exemplos de gerenciamento desses clusters
como recursos nativos do Azure usando ferramentas de gerenciamento nativas
do Azure, como configurações de GitOps, Azure Monitor e Azure Policy.
Por exemplo, para AKS (também funciona para GKE), você pode implantar
configurações de GitOps e executar o fluxo de GitOps baseado em Helm no
AKS como um cluster conectado ao Azure Arc. Você também pode aplicar
configurações de GitOps no AKS como um cluster conectado do Azure Arc
usando o Azure Policy para Kubernetes e integrar o Azure Monitor para
contêineres com o AKS como um cluster conectado do Azure Arc.
46 | Modernizar com a nuvem híbrida e multinuvem

Serviços de dados compatíveis com o Azure Arc (em visualização no momento)


Esta seção contém opções de implantação para serviços de dados compatíveis com
o Azure Arc. O objetivo é a rápida geração de novos clusters do Kubernetes e a
implantação de serviços de dados compatíveis com o Azure Arc que estão prontos para
projeção no Azure Arc e o gerenciamento com ferramentas nativas do Azure. Se você
já tiver um cluster do Kubernetes, poderá usar essas informações para implantar os
serviços de dados compatíveis do Azure Arc em um cluster do Kubernetes existente:
https://docs.microsoft.com/azure/azure-arc/data/create-data-controller:
• Serviços de dados no AKS: demonstrações de exemplo para a criação de um
cluster do AKS com a implantação de serviços de dados do Azure Arc no cluster.
Por exemplo, uso do controlador de dados Vanilla do Azure Arc, da Instância
Gerenciada SQL do Azure e da implantação de Hiperescala do PostgreSQL do
Azure no AKS com um modelo do ARM do Azure: https://github.com/microsoft/
azure_arc/tree/main/azure_arc_data_jumpstart/aks/arm_template.

• Serviços de dados no AWS Elastic Kubernetes: demonstrações de exemplo para


a criação de um cluster do EKS e implantação dos serviços de dados do Azure
Arc nesse cluster.

• Serviços de dados no GCP Google Kubernetes: demonstrações de exemplo para


a criação de um cluster do GKE e implantação dos serviços de dados do Azure
Arc nesse cluster.

• Serviços de dados no Kubernetes upstream (Kubeadm): demonstrações de


exemplo para a criação de um cluster do Kubernetes de nó único e implantação
dos serviços de dados do Azure Arc nesse cluster.

O repositório do GitHub fornece uma excelente documentação para começar. Ela


abrange uma grande variedade de cenários, e eles sempre estão procurando mais
documentações se você estiver interessado em contribuir.
Cobrimos muito conteúdo em nossa visão geral do Azure Arc. Esperamos que essas
seções tenham oferecido um ponto de partida sólido à medida que você inicia seus
projetos de prova de conceito. Agora devemos voltar nossa atenção ao Azure Stack,
outra parte crítica da estratégia híbrida e multinuvem do Azure.

Modernizar seu datacenter com o Azure Stack


A família de soluções do Azure Stack pode estender os serviços e recursos do Azure
a todos os seus locais, como seu datacenter na infraestrutura local, escritórios
remotos e dispositivos de borda. Você também pode criar e executar aplicações
híbridas de forma consistente nos limites de local e ambiente, atendendo aos
requisitos de diversos workloads.
Modernizar com a nuvem híbrida e multinuvem | 47

O Azure Stack é uma família de três produtos:


• Azure Stack Hub: um sistema integrado nativo de nuvem que traz serviços
de nuvem do Azure na infraestrutura local

• Azure Stack HCI: uma HCI que moderniza os datacenters atualizando os hosts
de virtualização com armazenamento e rede modernos definidos por software
combinados com o Hyper-V para computação

• Azure Stack Edge: um dispositivo de borda gerenciado pela nuvem para executar
IA/ML, soluções de IoT e workloads de computação de borda

Essas três soluções do Azure Stack podem ser explicadas da seguinte maneira:
1. Azure Stack Hub:
• Nuvem privada e autônoma, permitindo cenários completamente
desconectados, bem como cenários de nuvem híbrida conectados
e mantendo a consistência operacional com o Azure
• Modernização de aplicações (aplicações nativas de nuvem)
• Cenários de soberania, regulamentação e conformidade de dados
• Cenários conectados e desconectados ou com "air gap"
2. Azure Stack HCI:
• Solução híbrida e hiperconvergente integrada ao Azure
• Modernização da arquitetura na infraestrutura local, eliminando
a complexidade do armazenamento em SAN
• Virtualização, armazenamento e rede escaláveis
• Workloads de alta performance
• Filiais físicas e remotas
3. Azure Stack Edge:
• Aplicação gerenciada como serviço do Azure
• Aplicações de computação, IA/ML e IoT aceleradas por hardware
• Workloads de baixa latência
• Recursos de gateway de armazenamento em nuvem
Este capítulo concentra-se no Azure Stack Hub e no Azure Stack HCI. Mais informações
sobre o Azure Stack Edge podem ser encontradas aqui: https://azure.microsoft.com/
products/azure-stack/edge/.
Agora que analisamos um pouco as três soluções do Azure Stack, vamos abordar mais
detalhadamente uma de suas variedades, o Azure Stack Hub.
48 | Modernizar com a nuvem híbrida e multinuvem

Visão geral do Azure Stack Hub


O Azure Stack Hub traz serviços do Azure na infraestrutura local, em seu datacenter,
e é uma extensão do Azure. Usando a mesma plataforma de nuvem em toda a sua
propriedade digital, sua organização pode deixar que os requisitos de negócios
impulsionem decisões de tecnologia com confiança, em vez de deixar que limitações
tecnológicas afetem decisões de negócios.

Por que usar o Azure Stack Hub?


Embora o Azure ofereça aos desenvolvedores serviços abrangentes para a criação
de aplicações modernas, latência, conectividade esporádica, regulamentos de dados
e conformidade, ele pode representar desafios para aplicações baseadas em nuvem.
Para resolver esses problemas, o Azure e o Azure Stack Hub abrem possibilidades
para novos cenários de nuvem híbrida para aplicações, sejam elas destinadas a clientes
ou uso interno:
• Aplicações de nuvem na infraestrutura local: usando serviços do Azure
e microsserviços baseados em contêiner e arquiteturas sem servidor, você pode
estender aplicações atuais ou criar novas para aproveitar as vantagens do estilo
de nuvem e manter a consistência das operações. Essa consistência entre
o Azure Stack Hub na infraestrutura local e o Azure nativo de nuvem permite
um conjunto de processos de DevOps, ajudando a acelerar a modernização
de aplicações e criar aplicações de missão crítica robustas.

• Conformidade com aplicação de nuvem: o Azure Stack Hub permite combinar


requisitos na infraestrutura local com benefícios da nuvem. Você pode criar
e desenvolver aplicações em um ambiente do Azure para implantação na
infraestrutura local com o Azure Stack Hub sem alterações de código para atender
aos requisitos regulatórios e de conformidade. Os exemplos incluem aplicações para
relatórios de despesas, relatórios financeiros, comércio exterior e auditoria global.

• Conectividade intermitente ou sem conectividade: você pode usar


o Azure Stack Hub apenas com conectividade intermitente ou até mesmo
sem conectividade com o Azure ou com a Internet. Locais remotos de
produção, navios e aplicações militares são alguns exemplos. Os dados podem
ser processados em sua instalação do Azure Stack Hub e, em seguida, agregados
no Azure em um momento conveniente para análise adicional, evitando
problemas de latência ou conexão permanente.

Casos de uso do Azure Stack Hub


Entre as muitas possibilidades, listamos exemplos selecionados aqui de seis principais
setores:
Modernizar com a nuvem híbrida e multinuvem | 49

1. Serviços financeiros:
• Modernize aplicações de missão crítica com uma arquitetura de
microsserviços compatível com serviços e contêineres do Azure.
• Atenda aos requisitos regulatórios, simplificando as operações com
a execução de aplicações de nuvem na infraestrutura local e mantendo
dados, aplicações e identidades seguros.
• Aproveite insights em tempo real, reduza os riscos evitando a latência
e melhore a experiência do cliente por meio da IA e de outras aplicações
que são executadas na HCI local.
2. Governo:
• Use a manutenção preditiva em frotas de veículos e gerencie edifícios
para eficiência energética por meio de soluções de IoT que incorporam
o aprendizado de máquina.
• Melhore os serviços para os cidadãos por meio de uma melhor performance
de aplicações e bancos de dados na infraestrutura local, inclusive para
aplicações herdadas.
• Permaneça em conformidade e melhore a governança usando um conjunto
consistente de ferramentas para gerenciamento de aplicações e dados.
3. Manufatura:
• Use recursos de nuvem híbrida para melhorar a produtividade e a eficiência
executando serviços do Azure sem a necessidade de uma conexão
permanente com a Internet.
• Melhore a segurança dos funcionários por meio de aplicações de IA na
borda para alertar sobre os perigos e evitar a avaria da máquina por meio
da manutenção preditiva.
• Monitore o resultado dos estágios de produção em tempo real para
melhorar a qualidade e reduzir defeitos e danos.
4. Varejo:
• Aumente a satisfação do cliente por meio do uso mais inteligente dos dados,
incluindo a análise de promoções e o interesse do cliente local em cada
estabelecimento de varejo.
• Otimize a disponibilidade de produtos monitorando o estoque e a taxa de
compra para encomendar novamente as quantidades certas no momento
certo.
• Reduza as perdas devido a redução, furto, fraude de devolução ou outros
impactos de estoque por meio da inteligência em tempo real com base
em dados de vídeo e aplicação.
50 | Modernizar com a nuvem híbrida e multinuvem

5. Energia:
• Use serviços de nuvem essenciais em atividades e áreas que não estão
conectadas à Internet, como locais de exploração remota e redes elétricas.
• Reduza e evite falhas de equipamentos caras, resolva problemas de locais
remotos mais rapidamente e encontre e corrija problemas antes que eles
afetem a segurança do trabalhador.
• Armazene e processe dados localmente para otimizar imediatamente
a produção e as operações para poços de petróleo, refinarias, usinas
elétricas, parques eólicos e muito mais.
6. Serviços de saúde:
• Modernize sistemas herdados e ajude a proteger os pacientes contra avarias
do sistema, integrando aplicações e dispositivos médicos em ambientes
hiperconvergentes e semelhantes à nuvem.
• Melhore os ambientes clínicos e a utilização de recursos, incluindo
a performance do centro cirúrgico e a ocupação de alas, migrando
a infraestrutura para configurações de nuvem flexíveis.
• Otimize a análise de dados e o gerenciamento de registros de saúde por
meio de agregação, processamento e armazenamento de registros médicos
locais em uma infraestrutura escalável e conteinerizada.

Usos em nível de IaaS, PaaS e aplicação para Azure Stack Hub


O Azure Stack Hub é relevante em cada um desses três níveis de recursos de
nuvem convencionais:
• Nível de aplicação: o Azure Stack Hub pode oferecer suporte à implantação
e à operação de aplicações com práticas modernas de DevOps. As equipes
de DevOps podem maximizar a produtividade e os resultados usando a
infraestrutura como código, a integração/implantação contínuas (CI/CD),
as extensões de VM consistentes com o Azure e outros recursos.

• Nível de Plataforma como serviço (PaaS): o Azure Stack Hub também é uma
plataforma para criar e executar aplicações que exigem serviços de PaaS na
infraestrutura local, como hubs de eventos e aplicações Web. Os serviços
estão disponíveis no Azure Stack Hub da mesma forma que no Azure, para um
ambiente híbrido de desenvolvimento e tempo de execução unificado.

• Nível de Infraestrutura como serviço (IaaS): o Azure Hub Stack permite


recursos altamente isolados e self-service com rastreamento detalhado do uso
e relatórios de uso de vários locatários. Isso o torna uma solução de IaaS ideal
para nuvem privada corporativa e prestadores de serviços. Basicamente, o
Azure Stack Hub é uma plataforma IaaS, que exploramos na série https://azure.
microsoft.com/blog/azure-stack-iaas-part-one/.
Modernizar com a nuvem híbrida e multinuvem | 51

Arquitetura do Azure Stack Hub


Os sistemas integrados do Azure Stack Hub são empacotados como grupos de
4 a 16 servidores (chamados de unidades de escala) fornecidos ao seu datacenter
após serem criados por parceiros de hardware confiáveis. O sistema integrado
com seu hardware e software fornece uma solução que oferece inovação no ritmo
da nuvem e gerenciamento simplificado de TI. O Azure Stack Hub usa o hardware
padrão da indústria e proporciona as mesmas ferramentas de gerenciamento das
assinaturas do Azure, para que você possa usar processos de DevOps consistentes,
independentemente de qualquer conexão com o Azure. Os sistemas integrados do
Azure Stack Hub são compatíveis com a Microsoft e o parceiro de hardware.

Provedor de identidade do Azure Stack Hub


O Azure Stack Hub usa um dos dois provedores de identidade a seguir: Azure AD
ou Active Directory Federation Services (AD FS). Muitas configurações híbridas
conectadas à Internet usam o Azure AD. Por outro lado, as implantações desconectadas
exigem o uso do AD FS. Os provedores de recursos do Azure Stack Hub, juntamente
com outras aplicações, funcionam da mesma forma com o Azure AD ou o AD FS.
Observe que o Azure Stack Hub tem sua própria instância do Active Directory e uma
API do Active Directory Graph.

Como o Azure Stack Hub é gerenciado?


Da mesma forma que a Microsoft fornece serviços do Azure para os locatários,
você pode usar as operações do Azure Stack Hub para fornecer diferentes serviços
e aplicações aos seus usuários locatários. Isso ocorre porque o Azure e o Azure Stack
Hub usam o mesmo modelo de operações.
O Azure Stack Hub introduz uma nova função chamada operador. Esta é uma função
de nível de administrador que é usada para gerenciar, monitorar e configurar o Azure
Stack Hub. É uma função crítica para o ambiente do Azure Stack Hub, que requer
uma ampla gama de habilidades e conhecimentos, que são refletidos na certificação
Microsoft Certified: Azure Stack Hub Operator Associate (https://docs.microsoft.
com/learn/certifications/azure-stack-hub-operator?WT.mc_id=Azure_blog-wwl)
e no exame AZ-600: Configuring and Operating a Hybrid Cloud with Microsoft Azure
Stack Hub (https://docs.microsoft.com/learn/certifications/exams/az-600?WT.mc_
id=Azure_blog-wwl).
Para se preparar para este exame, publicamos um conjunto de materiais (incluindo
os principais materiais do Foundation Core do Azure Stack Hub https://github.com/
Azure-Samples/Azure-Stack-Hub-Foundation-Core/tree/master/ASF-Training)
listados nos blogs da TechCommunity: https://techcommunity.microsoft.com/t5/
azure-stack-blog/azure-stack-hub-operator-certification-az-600/ba-p/2024434.
52 | Modernizar com a nuvem híbrida e multinuvem

O Azure Stack Hub pode ser gerenciado usando três opções:


• Portal do administrador

• Portal do usuário

• PowerShell

O portal do administrador pode ser usado para ações de gerenciamento no Azure


Stack Hub, como monitoramento de status ou manutenção de integridade do sistema
integrado, adicionando itens do mercado, adicionando capacidade e adicionando novos
provedores de recursos para habilitar novos serviços de PaaS. O guia de início rápido do
portal de administração do Azure Stack Hub (https://docs.microsoft.com/azure-stack/
operator/azure-stack-manage-portals) tem mais informações sobre como usar o portal
do administrador para gerenciar o Azure Stack Hub.
Os modelos de início rápido do Azure Stack Hub também estão disponíveis com
exemplos para a implantação de recursos, desde uma simples instalação de VM até
implantações mais complexas, como o Exchange e o SharePoint.
Como um operador do Azure Stack Hub, você pode habilitar vários tipos de recursos
para seus usuários. Por exemplo, isso pode incluir servidores SQL e MySQL, bem
como imagens personalizadas de VM, serviços de aplicações, funções do Azure, hubs
de eventos e outros. Como operador, você também pode gerenciar problemas de
capacidade, criar ofertas de uso e assinaturas para locatários e responder a alertas.
Os usuários podem aproveitar os recursos self-service do portal do usuário para
consumir recursos de nuvem, como aplicações Web, contas de armazenamento e VMs.
Os usuários consomem serviços disponibilizados pelo operador e podem provisionar,
monitorar e gerenciar serviços que assinam, como armazenamento, aplicações Web
e VMs. Os usuários têm a opção de gerenciar seu ambiente com o portal do usuário
ou o PowerShell.
O Azure Stack Hub fornece um ambiente multilocatário. Isso permitiu que vários
provedores de serviços (incluindo provedores de soluções de nuvem, provedores
de serviços gerenciados e fornecedores de software independentes (ISVs)) criassem
e oferecessem valor além da plataforma do Azure Stack Hub e fornecessem isso a vários
clientes, sendo cada cliente isolado e protegido em suas próprias assinaturas do Azure
Stack Hub.

Provedores de recursos
Os provedores de recursos são serviços que formam a base para todos os serviços de
IaaS e PaaS do Azure Stack Hub. Há três provedores de recursos de IaaS fundamentais
no Azure Stack Hub:
Modernizar com a nuvem híbrida e multinuvem | 53

• Provedor de recursos de computação: permite a criação de VMs pelos locatários


do Azure Stack Hub. Com esse provedor, as VMs e as extensões de VM podem
ser criadas.
• Provedor de recursos de rede: permite a criação de grupos de segurança
de rede, IPs públicos, redes virtuais e balanceadores de carga de software.
• Provedor de recursos de armazenamento: oferece suporte à criação de serviços
de armazenamento de blobs, tabelas e filas do Azure. O Azure Key Vault (usado
para criar e gerenciar chaves secretas) também tem suporte por meio deste
provedor de recursos.

Você também pode implantar e usar qualquer um desses provedores de recursos


de PaaS opcionais com o Azure Stack Hub:
• Serviço de aplicação: uma oferta de PaaS que permite que os clientes criem
aplicações Web, de API e do Azure Functions para qualquer dispositivo ou
plataforma. Seus clientes internos e externos podem automatizar seus processos
empresariais e integrar suas aplicações com as aplicações na infraestrutura local.
Essas aplicações do cliente podem ser executadas por operadores de nuvem
do Azure Stack Hub em VMs compartilhadas ou dedicadas que são totalmente
gerenciadas.
• Hubs de Eventos : os Hubs de Eventos no Azure Stack Hub permitem que
você concretize cenários de nuvem híbrida. As soluções baseadas em streaming e
eventos são compatíveis, tanto para processamento na infraestrutura local quanto
na nuvem do Azure. Se seu cenário é híbrido (conectado) ou desconectado, sua
solução pode oferecer suporte ao processamento de eventos/fluxos em grande
escala. Seu cenário é limitado apenas pelo tamanho do cluster, que você pode
provisionar de acordo com suas necessidades. (Fonte: https://docs.microsoft.
com/azure/event-hubs/event-hubs-about)
• Hub IoT (visualização): o Hub IoT no Azure Stack Hub permite que você crie
soluções IoT híbridas. O Hub IoT é um serviço gerenciado, atuando como um
hub de mensagem central para comunicação bidirecional entre sua aplicação IoT
e os dispositivos gerenciados. Você pode usar o Hub IoT no Azure Stack Hub para
criar soluções IoT com comunicações confiáveis e seguras entre dispositivos IoT
e um back-end de solução na infraestrutura local. (Fonte: https://github.com/
MicrosoftDocs/azure-docs/blob/master/articles/iot-hub/about-iot-hub.md)
• SQL Server: permite que você forneça bancos de dados SQL como um serviço
aos seus locatários do Azure Stack Hub, oferecendo um conector para uma
instância do SQL Server.

• MySQL Server: permite que você disponibilize bancos de dados MySQL como
um serviço do Azure Stack Hub, oferecendo um conector para uma instância do
MySQL Server.
54 | Modernizar com a nuvem híbrida e multinuvem

Noções básicas de administração do Azure Stack Hub


Há vários aspectos fundamentais da administração do Azure Stack Hub que você
deve conhecer, incluindo a compreensão dos builds, a escolha de ferramentas de
gerenciamento, as responsabilidades típicas de um operador do Azure Stack Hub e o
que comunicar aos seus usuários para ajudá-los a se tornarem mais produtivos.

Compreensão dos builds


Veja a seguir dois componentes relacionados a build que você deve conhecer:
• Sistemas integrados: os pacotes de atualização distribuem versões atualizadas
do Azure Stack Hub para sistemas integrados do Azure Stack Hub. Você pode
importar esses pacotes e aplicá-los usando o bloco Atualizações no portal do
administrador.

• Kit de desenvolvimento: o Kit de Desenvolvimento do Azure Stack (ASDK) está


disponível como uma área restrita para que você avalie o Azure Stack Hub e crie
e teste aplicações em um ambiente de não produção. A página de implantação
do ASDK fornece mais informações sobre a implantação: https://docs.microsoft.
com/azure-stack/asdk/asdk-install.

A inovação no Azure Stack Hub é rápida, com lançamentos regulares de novos builds.
Se você estiver executando o ASDK e quiser migrar para o build mais recente e os
recursos mais recentes do Azure Stack Hub, não poderá simplesmente aplicar pacotes
de atualização. Você deverá implantar novamente o ASDK. A documentação do ASDK no
site do Azure reflete o mais recente build de lançamento: https://docs.microsoft.com/
azure-stack/asdk/.

Conhecimento dos serviços disponíveis


O Azure Stack Hub oferece suporte a um subconjunto em constante evolução dos
serviços do Azure. Você precisará conhecer os serviços que pode oferecer aos usuários
do Azure Stack Hub a qualquer momento.

Serviços fundamentais
Por padrão, o Azure Stack Hub inclui os seguintes serviços fundamentais na implantação:
• Computação

• Armazenamento

• Rede

• Key Vault
Modernizar com a nuvem híbrida e multinuvem | 55

Esses serviços fundamentais permitem que você proponha IaaS para seus usuários com
uma configuração mínima.

Serviços adicionais
Veja a seguir os serviços de PaaS adicionais com suporte no momento:
• Serviço de Aplicativo

• Azure Functions

• RPs SQL e MySQL

• Hubs de Eventos

• Hub IoT (em visualização)

• Kubernetes (em visualização)


Antes que você possa oferecer esses serviços adicionais aos seus usuários, é necessária
uma configuração adicional. Confira os Tutoriais e os Guias de instruções para obter
mais informações: https://docs.microsoft.com/azure-stack/operator/.

Quais ferramentas de gerenciamento você pode usar?


O portal do administrador é a maneira mais fácil de aprender os conceitos básicos de
gerenciamento. Você também pode usar o PowerShell para gerenciamento do Azure
Stack Hub, embora existam algumas etapas de preparação. Ele pode ajudar você a se
familiarizar com a maneira como o PowerShell se aplica ao Azure Stack Hub. Acesse
Introdução ao PowerShell no Azure Stack Hub: https://docs.microsoft.com/azure-
stack/user/azure-stack-powershell-overview.
Como um mecanismo subjacente de implantação, gerenciamento e organização, o Azure
Stack Hub usa o Azure Resource Manager. Para saber mais sobre o Resource Manager
para que você possa gerenciar o Azure Stack Hub e ajudar no suporte aos usuários,
acesse o white paper Introdução ao Azure Resource Manager: https://download.microsoft.
com/download/E/A/4/EA4017B5-F2ED-449A-897E-BD92E42479CE/Getting_Started_
With_Azure_Resource_Manager_white_paper_EN_US.pdf.

Responsabilidades típicas de administrador/provedor


Os usuários veem a função do operador do Azure Stack Hub como a disponibilização
dos serviços necessários para eles. Assim, decida quais serviços serão propostos e, em
seguida, crie planos, ofertas e cotas para disponibilizar esses serviços. Veja também
a Visão geral de como oferecer serviços no Azure Stack Hub: https://docs.microsoft.com/
azure-stack/operator/service-plan-offer-subscription-overview.
56 | Modernizar com a nuvem híbrida e multinuvem

Você também precisará adicionar itens ao Marketplace do Azure Stack Hub.


O download de itens do Marketplace para o Azure Stack Hub no Azure é a maneira
mais fácil de fazer isso.

Observação
Você deve usar o portal do usuário, em vez do portal do administrador, para testar
a disponibilidade do usuário de seus serviços e os planos e as ofertas para esses
serviços.

Além de fornecer serviços, há tarefas periódicas do operador a serem executadas para


garantir que o Azure Stack Hub continue sendo executado corretamente. Essas tarefas
incluem:
• A criação de contas de usuário para implantação do Azure AD (https://docs.
microsoft.com/azure-stack/operator/azure-stack-add-new-user-aad) ou a
implantação do AD FS (https://docs.microsoft.com/azure-stack/operator/
azure-stack-add-users-adfs).

• Atribuição de função RBAC (não restrita a administradores) (https://docs.


microsoft.com/azure-stack/operator/azure-stack-manage-permissions).

• Monitoramento da integridade da infraestrutura (https://docs.microsoft.com/


azure-stack/operator/azure-stack-monitor-health).

• Gerenciamento de rede (https://docs.microsoft.com/azure-stack/operator/


azure-stack-viewing-public-ip-address-consumption) e gerenciamento de
recursos de armazenamento (https://docs.microsoft.com/azure-stack/
operator/azure-stack-manage-storage-accounts).

• Substituição de hardware com falha, como um disco com falha (https://docs.


microsoft.com/azure-stack/operator/azure-stack-replace-disk).

Comunicação com seus usuários


Seus usuários precisarão saber como se conectar ao ambiente do Azure Stack Hub,
como assinar ofertas e como usar os serviços do Azure Stack Hub. A documentação
do usuário do Azure Stack Hub (https://docs.microsoft.com/azure-stack/user/)
é uma fonte útil de informações.

Compreensão sobre como usar os serviços do Azure Stack Hub


Antes de os usuários trabalharem com serviços e criarem aplicações no Azure Stack
Hub, há pré-requisitos, como versões específicas do PowerShell e APIs. Há também
algumas diferenças de recursos entre um serviço do Azure e o serviço correspondente
Modernizar com a nuvem híbrida e multinuvem | 57

do Azure Stack Hub. Por isso, os usuários devem conhecer o seguinte conteúdo:
• Principais considerações para usar serviços ou criar aplicações para o Azure Stack
Hub: https://docs.microsoft.com/azure-stack/user/azure-stack-considerations

• Considerações para VMs no Azure Stack Hub: https://docs.microsoft.com/


azure-stack/user/azure-stack-vm-considerations

• Diferenças e considerações para o armazenamento do Azure Stack Hub:


https://docs.microsoft.com/azure-stack/user/azure-stack-acs-differences

As informações nesses três artigos oferecem uma visão geral das diferenças entre os
serviços no Azure e no Azure Stack Hub. São informações adicionais à documentação
global do Azure para um serviço do Azure específico.

Conexões para usuários no Azure Stack Hub


No caso do ASDK, os usuários podem configurar uma conexão de rede virtual privada
(VPN) para se conectar ao ambiente do ASDK se não estiverem usando a Área de
Trabalho Remota. Mais informações estão disponíveis aqui: https://docs.microsoft.
com/azure-stack/asdk/asdk-connect.
Os usuários também desejarão saber como se conectar por meio do portal do usuário
(https://docs.microsoft.com/azure-stack/user/azure-stack-use-portal) ou usando
o PowerShell. A URL do portal do usuário variará de acordo com a implantação em um
ambiente integrado de sistemas, portanto, forneça aos usuários o endereço correto.
Se o portal for publicado na Internet, os usuários também poderão usar algo como
o Cloud Shell para gerenciar e criar recursos no Azure Stack Hub (observe que o serviço
do Cloud Shell em si não está disponível no Azure Stack Hub, por isso, você precisaria
estar em um ambiente conectado).
Antes de usar os serviços por meio do PowerShell, os usuários podem precisar registrar
provedores de recursos, como o provedor de recursos da rede que gerencia recursos
como balanceadores de carga, interfaces de rede e redes virtuais. Os usuários devem
instalar o PowerShell (https://docs.microsoft.com/azure-stack/operator/powershell-
install-az-module), fazer o download de módulos adicionais (https://docs.microsoft.
com/azure-stack/operator/azure-stack-powershell-download) e configurar o
PowerShell (o que inclui o registro do provedor de recursos): https://docs.microsoft.
com/azure-stack/user/azure-stack-powershell-configure-user.
58 | Modernizar com a nuvem híbrida e multinuvem

Assinatura de uma oferta


Os usuários também devem assinar uma oferta (https://docs.microsoft.com/azure-stack/
operator/azure-stack-subscribe-plan-provision-vm) criada por um operador antes de usar
os serviços. As ofertas são grupos de um ou mais planos que permitem que os operadores
do Azure Stack Hub controlem coisas como ofertas trial e planejamento de capacidade e
até mesmo deleguem a criação de assinaturas do Azure Stack Hub a outros usuários.

Obter suporte
O Azure Stack Hub abrange muitas áreas. Antes de entrar em contato com o Suporte
da Microsoft, consulte esta página da Web. Ela esclarece perguntas e problemas
comuns com links de solução de problemas: https://docs.microsoft.com/azure-stack/
operator/azure-stack-servicing-policy.
Além dos problemas descritos, veja a seguir algumas considerações de suporte adicionais.

Sistemas integrados
Um sistema integrado se beneficia de um processo coordenado de escalonamento
e resolução entre a Microsoft e os parceiros de hardware do fabricante de
equipamentos originais da Microsoft (OEM).
O Suporte da Microsoft pode ajudar se houver um problema de serviços de nuvem.
Para abrir uma solicitação de suporte, selecione o ícone de ajuda e suporte (ponto
de interrogação) no canto superior direito do portal do administrador. Depois disso,
selecione Ajuda + suporte e Nova solicitação de suporte na seção Suporte.
O fornecedor de hardware OEM é seu primeiro ponto de contato se houver um
problema com implantação, patch, atualização, hardware (incluindo unidades
substituíveis em campo) ou qualquer software de marca de hardware, como
o software em execução no host do ciclo de vida do hardware.
Você deve entrar em contato com o Suporte da Microsoft para obter ajuda com outros
problemas.

Kit de Desenvolvimento do Azure Stack


O ASDK é uma implantação de nó único do Azure Stack Hub que você pode fazer
o download e usar gratuitamente. Todos os componentes do ASDK são instalados
em VMs em execução em um computador de host único que deve ter recursos
suficientes. O ASDK destina-se a fornecer um ambiente no qual você pode avaliar
o Azure Stack Hub e desenvolver aplicações modernas usando APIs e ferramentas
consistentes com o Azure em um ambiente de não produção.
Modernizar com a nuvem híbrida e multinuvem | 59

Como o ASDK é um produto gratuito, não há um suporte formal oferecido. Você


pode fazer perguntas relacionadas ao suporte sobre o ASDK nos fóruns da Microsoft
monitorados regularmente (https://social.msdn.microsoft.com/Forums/azure/
home?forum=azurestack). Para acessar os fóruns, selecione o ícone de ajuda e suporte
(ponto de interrogação) no canto superior direito do portal do administrador e, em
seguida, selecione Ajuda + suporte e Fóruns do MSDN na seção Suporte. No entanto,
não há suporte oficial oferecido por meio do Suporte da Microsoft, pois o ASDK é um
ambiente de avaliação.
Gerenciamento de atualizações do Azure Stack Hub
Você pode ajudar a manter o Azure Stack Hub atualizado aplicando atualizações
completas e expressas, hotfixes e atualizações de driver e firmware do OEM.
No entanto, lembre-se de que os pacotes de atualizações do Azure Stack Hub são
destinados a sistemas integrados e não podem ser aplicados ao ASDK, para o qual
uma nova implantação é necessária. Consulte Reimplantar o ASDK em https://docs.
microsoft.com/azure-stack/asdk/asdk-redeploy.

Tipos de pacotes de atualização


Para sistemas integrados, há três tipos diferentes de pacotes de atualização:
• Atualizações de software do Azure Stack Hub: essas atualizações são baixadas
diretamente da Microsoft e podem incluir atualizações de recursos do Azure
Stack Hub, segurança do Windows Server e atualizações não relacionadas
à segurança. Cada pacote de atualização pode ser do tipo completo ou expresso:
• Os pacotes de atualização completos atualizam os sistemas operacionais do
host físico na unidade de escala. Eles exigem uma janela de manutenção maior.
• Os pacotes de atualização expressos são escopo e não atualizam os sistemas
operacionais subjacentes do host físico.
• Hotfixes do Azure Stack Hub: essas atualizações urgentes abordam um problema
específico. Cada hotfix é lançado com um artigo correspondente da base de
conhecimento da Microsoft que detalha o problema, a causa e a resolução.
Os hotfixes são baixados e instalados como os pacotes completos de atualização
para o Azure Stack Hub. Leia mais sobre eles aqui: https://docs.microsoft.com/
azure-stack/operator/azure-stack-servicing-policy#hotfixes.

• Fornecedor de hardware OEM – Atualizações disponibilizadas: essas


atualizações são gerenciadas por cada fornecedor de hardware. Eles
normalmente contêm atualizações de driver e firmware, e cada fornecedor
os hospeda em seu próprio site.
60 | Modernizar com a nuvem híbrida e multinuvem

Quando atualizar
As atualizações acima são lançadas em diferentes frequências:
• Atualizações de software do Azure Stack Hub: vários pacotes de atualização
de software completos e expressos são lançados por ano pela Microsoft.
• Hotfixes do Azure Stack Hub: eles são urgentes e podem ser lançados a qualquer
momento. Quando você atualiza de uma versão importante para outra, se há
hotfixes na nova versão. Eles são instalados automaticamente.
• Atualizações do fornecedor de hardware OEM: essas atualizações são lançadas
por fornecedores de hardware OEM conforme necessário.

Você deve manter seu ambiente do Azure Stack Hub em uma versão de software
compatível do Azure Stack Hub se quiser continuar recebendo suporte. Para obter mais
informações, acesse este link para ler a política de manutenção do Azure Stack Hub:
https://docs.microsoft.com/azure-stack/operator/azure-stack-servicing-policy.

Verificar as atualizações disponíveis


A notificação de atualizações depende de fatores como sua conectividade com
a Internet e o tipo de atualização:
• Para atualizações de software e hotfixes lançados pela Microsoft, você verá um alerta
de atualização aparecer no painel Atualização para instâncias do Azure Stack Hub
que estão conectadas à Internet. Reinicie a VM do controlador de gerenciamento de
infraestrutura se essa folha não for exibida. Para instâncias que não estão conectadas,
você pode assinar o feed RSS (https://azurestackhubdocs.azurewebsites.net/xml/
hotfixes.rss) para receber a notificação de cada lançamento de hotfix.
• As notificações sobre as atualizações oferecidas pelos fornecedores de hardware
OEM dependem de suas comunicações com seu fabricante. Para obter mais
informações, acesse a página Aplicar atualizações do OEM do Azure Stack Hub:
https://docs.microsoft.com/azure-stack/operator/azure-stack-update-oem.

Atualizar de uma versão principal para a próxima


A atualização de uma versão principal para a próxima versão principal deve ser feita
na ordem correta e passo a passo. Você não pode ignorar uma atualização de versão
principal. Para obter mais detalhes, consulte este link: https://docs.microsoft.com/
azure-stack/operator/azure-stack-updates#how-to-know-an-update-is-available.

Hotfixes nas principais versões


Em uma versão principal, pode haver vários hotfixes. Eles são cumulativos, com
o último pacote de hotfix para essa versão principal, incluindo todos os hotfixes
anteriores para ele. Para obter mais informações, consulte https://docs.microsoft.com/
azure-stack/operator/azure-stack-servicing-policy#hotfixes.
Modernizar com a nuvem híbrida e multinuvem | 61

O provedor de recursos de atualização


O Azure Stack Hub lida com a aplicação de atualizações de software da Microsoft por
meio de um provedor de recursos de atualização. O provedor verifica se as atualizações
foram aplicadas entre as aplicações do Service Fabric e seus tempos de execução, todos
os hosts físicos e todas as VMs e os serviços associados a eles.
Durante o processo de atualização, você tem acesso a uma visão geral de status
de alto nível no Azure Stack Hub, onde você pode ver o progresso para os diferentes
subsistemas.
Abordamos os conceitos básicos do Azure Stack Hub. Em seguida, avançaremos para
o Azure Stack HCI, uma solução de cluster de HCI.

Visão geral da solução Azure Stack HCI


O Azure Stack HCI foi criado para hospedar workloads Linux e Windows virtualizados
no hardware de parceiros validados. Projetado para o ambiente híbrido (na
infraestrutura local e na nuvem), o Azure Stack HCI combinado com os serviços
híbridos do Azure fornece recursos como opções de Disaster Recovery e backup para
suas VMs, bem como monitoramento baseado em nuvem. Você também obterá um
único painel para todas as suas implantações e a capacidade de gerenciar o cluster
com ferramentas como o Windows Admin Center, o System Center e o PowerShell.
Além disso, o AKS no Azure Stack HCI está disponível. É uma implementação na
infraestrutura local do orquestrador do AKS. Consulte https://docs.microsoft.com/
azure-stack/aks-hci/overview.
O software do Azure Stack HCI está disponível para download aqui: https://azure.
microsoft.com/products/azure-stack/hci/hci-download/. Como uma solução na
infraestrutura local com conexões internas de nuvem híbrida, ele é cobrado na sua
assinatura do Azure como um serviço do Azure.

Casos de uso do Azure Stack HCI


Há vários casos de uso para o Azure Stack HCI, que abordaremos agora.

Consolidação e modernização de datacenters


O uso do Azure Stack HCI para atualizar hosts de virtualização mais antigos com
a possível consolidação tem vários possíveis benefícios. Ele pode aprimorar a
escalabilidade e facilitar o gerenciamento e a segurança de seu ambiente. Ele também
pode reduzir o volume e o custo total de propriedade, substituindo o armazenamento
herdado em SAN. Ferramentas e interfaces unificadas, juntamente com um único ponto
de suporte, simplificam a administração e as operações de sistemas.
62 | Modernizar com a nuvem híbrida e multinuvem

Gerenciamento de infraestrutura híbrida para filiais


O gerenciamento de infraestrutura híbrida pode ser desafiador para empresas com
filiais. Quando vários locais devem funcionar sem uma equipe de TI dedicada, torna-se
mais complicado manter os serviços de identidade sincronizados, fazer backups de
dados e implantar aplicações. Nessa situação, as empresas precisam de semanas ou
meses para implantar atualizações de aplicações em vários escritórios e infraestruturas.
Melhores soluções são necessárias para implantar de forma rápida e fácil alterações
de identidade e aplicações em escritórios remotos, permitindo o monitoramento
centralizado para anomalias e violações.
Considere o exemplo de um banco internacional com 300 escritórios em todo o
mundo, para o qual cada atualização global de todos os escritórios é exigida por ano.
Agravando ainda mais o problema, os vários locais dificultam a correção consistente
de configurações e a prevenção de possíveis riscos de segurança, como portas abertas.
Os lançamentos de aplicações novas e atualizadas para filiais também são um problema
para qualquer empresa que tem dezenas ou centenas de locais. Isso é especialmente
verdadeiro quando os locais remotos precisam executar aplicações em servidores locais
por motivos de latência ou conectividade restrita à Internet.
Para ajudá-lo a superar esses desafios, o Azure Stack HCI oferece HCI com base em
servidores x86 padrão da indústria com computação, armazenamento e rede definidos
por software. Usando a integração do Azure Arc interna ao Windows Admin Center,
você pode facilmente começar a usar a nuvem do portal do Azure para gerenciar a HCI.
Reduzindo ou removendo a necessidade de uma equipe local de TI, você pode atender
às demandas de TI em constante evolução de filiais, lojas de varejo e locais de campo,
implantando aplicações baseadas em contêineres em qualquer lugar e aplicações
de negócios essenciais em VMs altamente disponíveis. Em seguida, o Azure Monitor
permite que você visualize a integridade do sistema em diferentes domínios.

Filiais físicas e remotas


O Azure Stack HCI fornece uma maneira acessível de modernizar escritórios remotos e
filiais, incluindo lojas de varejo e locais de campo (as soluções de cluster de dois servidores
estão disponíveis no momento por menos de US$ 20.000 por local). A resiliência aninhada
significa que os volumes podem permanecer online e acessíveis, mesmo caso ocorra várias
falhas de hardware simultâneas. A tecnologia de testemunhas em nuvem permite o uso
do Azure como o desempate leve para o quórum de cluster. Isso impede que as condições
de split-brain ainda não envolvam o custo de um terceiro host. No portal do Azure, você
recebe uma visão centralizada das implantações remotas do Azure Stack HCI.

Áreas de trabalho virtuais


O Azure Stack HCI fornece performance semelhante ao local para suas áreas
de trabalho virtuais na infraestrutura local. É ideal se você precisa oferecer suporte
à soberania de dados para seus usuários, bem como baixa latência.
Modernizar com a nuvem híbrida e multinuvem | 63

Benefícios da integração do Azure


O Azure Stack HCI permite que você aproveite os recursos combinados de nuvem e na
infraestrutura local por meio de infraestrutura híbrida, com monitoramento, segurança
e backup nativos de nuvem.
Primeiro, seu cluster do Azure Stack HCI deve ser registrado com o Azure. Em seguida,
você poderá utilizar o portal do Azure para:
• Monitoramento: você obtém uma visão geral dos clusters do Azure Stack HCI.
Aqui, você pode agrupá-los por grupo de recursos e marcá-los. Novos recursos
futuros também permitirão a criação e o gerenciamento de VMs no portal.

• Cobrança: use sua assinatura do Azure para pagar o Azure Stack HCI
(após a fase de visualização gratuita).

• Suporte: o suporte do Azure Stack HCI está disponível por meio de um plano
de suporte Standard ou Professional Direct do Azure.

Esses serviços híbridos adicionais do Azure também estão disponíveis para assinatura:
• Azure Site Recovery para Disaster Recovery como serviço (DRaaS) e alta
disponibilidade.

• Azure Monitor, para ter uma visão centralizada dos eventos em suas aplicações,
infraestrutura e rede, incluindo Advanced Analytics orientada por IA.

• Testemunha em nuvem, para aproveitar o Azure como o desempate leve


do quórum de cluster.

• Backup do Azure para proteger os dados, armazenando-os fora do local,


além de obter proteção contra ransomware.

• Gerenciamento de Atualizações do Azure para avaliar e implantar atualizações


para VMs do Windows na infraestrutura local e hospedadas no Azure.

• Adaptador de Rede do Azure para usar uma VPN ponto a site para conexões
entre suas VMs do Azure e seus recursos na infraestrutura local.

• Sincronização de Arquivos do Azure para sincronização em nuvem do seu


servidor de arquivos.

Consulte também Conectar o Windows Server a serviços híbridos do Azure: https://docs.


microsoft.com/windows-server/manage/windows-admin-center/azure/index.
64 | Modernizar com a nuvem híbrida e multinuvem

Pré-requisitos do Azure Stack HCI


Inicialmente, você precisará de:
• Um cluster de pelo menos dois servidores escolhidos no catálogo do Azure Stack
HCI e seu parceiro de hardware da Microsoft escolhido.

• Uma assinatura gratuita do Azure.

• Uma conexão de Internet para transmissões de saída HTTPS a cada 30 dias ou


mais com frequência para cada servidor no cluster.

Se seus clusters abrangerem vários locais, você precisará de uma conexão mínima
de 1 GB entre sites (mas preferencialmente uma conexão com RDMA de 25 GB), com
uma latência média de ida e volta de 5 ms se você planeja ter replicação síncrona com
gravações sendo feitas simultaneamente nos dois locais.
Se você pretende usar a Rede definida por software (SDN), planeje também a criação
de VMs de controlador de rede em um disco rígido virtual (VHD) para o sistema
operacional do Azure Stack HCI (para obter mais informações, acesse a página
Planeje-se para implantar um controlador de rede: https://docs.microsoft.com/azure-
stack/hci/concepts/network-controller).
Consulte também:
• Requisitos do sistema: https://docs.microsoft.com/azure-stack/hci/concepts/
system-requirements

• Requisitos do AKS no Azure Stack HCI (para AKS no Azure Stack HCI): https://docs.
microsoft.com/azure-stack/aks-hci/overview#what-you-need-to-get-started

Parceiros de hardware
Ao encomendar configurações validadas do Azure Stack HCI do seu parceiro da
Microsoft escolhido, você pode iniciar operações sem tempo indevido de design ou
implantação. A implementação e o suporte também estão disponíveis por meio de
parceiros da Microsoft em um único ponto de contato por meio de acordos de suporte
conjunto. As opções incluem a compra de nós validados ou um sistema integrado
com pré-instalação do sistema operacional do Azure Stack HCI, juntamente com as
extensões de parceiros de atualização de driver e firmware.

Opções de implantação
• Sistemas integrados: compre servidores validados com uma pré-instalação do
Azure Stack HCI de um parceiro de hardware.
Modernizar com a nuvem híbrida e multinuvem | 65

• Nós validados: compre servidores bare metal validados de um parceiro de


hardware e assine o serviço do Azure Stack HCI. Vá para o portal do Azure, onde
você pode fazer o download do sistema operacional do Azure Stack HCI.

• Hardware reaproveitado: reaproveite seu hardware existente. Para obter


detalhes sobre esse caminho, clique no seguinte link: https://docs.microsoft.
com/azure-stack/hci/deploy/migrate-cluster-same-hardware.

Você pode ler mais sobre o Azure Stack HCI aqui: https://azure.microsoft.com/
overview/azure-stack/hci.
Você também pode conferir o catálogo do Azure Stack HCI. Ele tem detalhes sobre mais
de 100 soluções de parceiros da Microsoft. Você pode encontrar o catálogo online aqui:
https://azure.microsoft.com/products/azure-stack/hci/catalog/.

Parceiros de software
Os parceiros da Microsoft estão desenvolvendo software para incorporar na plataforma
do Azure Stack HCI sem a necessidade de substituir as ferramentas já conhecidas dos
administradores de TI. Para analisar uma lista de ISVs em destaque e suas aplicações, confira
este link: https://docs.microsoft.com/azure-stack/hci/concepts/utility-applications.

Licenciamento, cobrança e preços


A cobrança do Azure Stack HCI usa o número de núcleos do processador físico para
calcular a taxa de assinatura mensal, em vez de uma licença perpétua. As informações
sobre o número de núcleos que você está usando são carregadas e avaliadas para
cobrança automaticamente quando você se conecta ao Azure. Dessa forma, e como
mais VMs não significam custos mais altos, os ambientes virtuais mais densos levarão a
preços mais acessíveis.

Ferramentas de gerenciamento
Você tem direitos completos de cluster de administração com o Azure Stack HCI,
permitindo gerenciar diretamente:
• Clustering de failover: https://docs.microsoft.com/windows-server/failover-
clustering/failover-clustering-overview

• Hyper-V no Windows Server: https://docs.microsoft.com/windows-server/


virtualization/hyper-v/hyper-v-on-windows-server

• SDN: https://docs.microsoft.com/windows-server/networking/sdn/

• Espaços de Armazenamento Diretos: https://docs.microsoft.com/windows-


server/storage/storage-spaces/storage-spaces-direct-overview
66 | Modernizar com a nuvem híbrida e multinuvem

Você também tem estas ferramentas de gerenciamento disponíveis para uso:


• PowerShell: https://docs.microsoft.com/powershell/

• Server Manager: https://docs.microsoft.com/windows-server/administration/


server-manager/server-manager

• System Center: https://www.microsoft.com/system-center

• Windows Admin Center: https://docs.microsoft.com/windows-server/manage/


windows-admin-center/overview

• Outras ferramentas que não são da Microsoft, como o 5Nine Manager

Introdução ao Azure Stack HCI e ao Windows Admin Center


Estas seções se aplicam ao Azure Stack HCI, versão 20H2. Elas pressupõem que você
já configurou um cluster em sua instalação do Azure Stack HCI e oferecem instruções
para se conectar ao cluster e monitorar a performance do cluster e do armazenamento.

Instalar o Windows Admin Center


O Windows Admin Center é uma aplicação implantada localmente e baseada em
navegador para gerenciar o Azure Stack HCI. O Windows Admin Center pode ser
instalado em um servidor no modo de serviço, mas é mais simples instalá-lo em um
computador de gerenciamento local no modo de área de trabalho. No modo de serviço,
as tarefas que exigem CredSSP, como criação de cluster e instalação de atualizações
e extensões, exigem o uso de uma conta que é membro do grupo de administradores
de gateway no servidor do Windows Admin Center. Para obter mais detalhes, confira
https://docs.microsoft.com/windows-server/manage/windows-admin-center/
configure/user-access-control#gateway-access-role-definitions.

Adicionar e conectar-se a um cluster do Azure Stack HCI


Depois de instalar o Windows Admin Center, você pode adicionar um cluster para ser
gerenciado na página de visão geral do Windows Admin Center do painel principal.
O painel também mostra informações sobre uso de armazenamento, memória e CPU,
juntamente com alertas e informações de integridade sobre servidores, unidades
e volumes. As informações de performance do cluster, como operações de entrada/
saída/segundo (IOPS) e latência por hora, dia, semana, mês ou ano, são mostradas
na parte inferior das exibições do painel.
Modernizar com a nuvem híbrida e multinuvem | 67

Monitorar componentes individuais


O menu Ferramentas à esquerda do painel permite fazer uma busca detalhada de
qualquer componente do cluster para exibir resumos e inventários de máquinas
virtuais, servidores, volumes, unidades e comutadores virtuais. No painel, a ferramenta
Monitor de Performance permite visualizar, comparar e adicionar contadores de
performance para Windows, aplicações ou dispositivos em tempo real.

Visualizar o painel do cluster


Para visualizar as informações do painel do cluster sobre a integridade e a performance
do cluster, selecione o nome do cluster em Todas as conexões. Em seguida, à esquerda
em Ferramentas, selecione Painel. Você poderá ver:
• Latência média do cluster em milissegundos

• Alertas de eventos de cluster

• Uma lista de:


• Unidades de disco disponíveis no cluster
• Servidores que ingressaram no cluster
• VMs em execução no cluster
• Volumes disponíveis no cluster
• Cluster total:
• Uso da CPU para o cluster
• IOPS
• Uso da memória para o cluster
• Uso do armazenamento para o cluster
Para obter mais informações, acesse este link: https://docs.microsoft.com/azure-
stack/hci/manage/cluster.

Usar o Azure Monitor para monitoramento e alertas


Você também pode usar o Azure Monitor para coletar eventos e contadores de
performance para análise e relatórios, reagir a condições específicas e receber
notificações por email. Ao clicar no Azure Monitor no menu Ferramentas,
você fará uma conexão direta do Windows Admin Center ao Azure.
68 | Modernizar com a nuvem híbrida e multinuvem

Coletar informações de diagnóstico


A guia Diagnósticos no menu Ferramentas permite coletar informações de solução
de problemas para seu cluster. Essas informações também podem ser solicitadas pelo
Suporte da Microsoft se você pedir ajuda.

Gerenciar VMs com o Windows Admin Center


Você pode usar o Windows Admin Center para gerar e gerenciar suas VMs no Azure Stack
HCI (Azure Stack HCI, versão 20H2 e Windows Server 2019). A funcionalidade inclui:
• Criar uma nova VM.

• Listar VMs em um servidor ou em um cluster.

• Visualizar detalhes da VM, incluindo informações detalhadas e gráficos


de performance na página dedicada para uma determinada VM.

• Visualizar métricas de VM agregadas para ver o uso e a performance geral


de recursos para todas as VMs em um cluster.

• Alterar as configurações de VM para memória, processadores, tamanho do disco


e muito mais (observe que você precisará interromper uma VM primeiro antes
de alterar determinadas configurações).

A funcionalidade adicional inclui:


• Mover uma VM para outro servidor ou cluster

• Ingressar uma VM em um domínio

• Clonar uma VM

• Importar e exportar uma VM

• Visualizar logs de exportação de VM

• Proteger VMs com o Azure Site Recovery (um serviço opcional de valor agregado)

Observe que você também pode se conectar a uma VM de outras formas do que apenas
por meio do Windows Admin Center:
• Por meio de um host Hyper-V usando uma conexão Remote Desktop Protocol
(RDP)

• Usando o Windows PowerShell


Modernizar com a nuvem híbrida e multinuvem | 69

Você também pode fazer alterações em Espaços de Armazenamento Diretos para


o cluster e alterar as configurações gerais do cluster. Isso pode incluir:
• Testemunhas de cluster

• Comportamento de desligamento do nó

• Definir e gerenciar pontos de acesso

• Criptografia de tráfego

• Balanceamento de carga de VM

Você também pode monitorar seu cluster do Azure HCI por meio do Azure Monitor.

Comparar o Azure Stack Hub e o Azure Stack HCI


O Azure Stack HCI e o Azure Stack Hub podem desempenhar um papel essencial
em sua estratégia híbrida e multinuvem. Aqui está um breve resumo de suas diferenças:
• Azure Stack Hub: permite que você execute aplicações de nuvem na
infraestrutura local, quando estiver desconectado ou para atender aos requisitos
regulatórios, aproveitando os serviços consistentes do Azure.

• Azure Stack HCI: permite que você execute aplicações virtualizadas na


infraestrutura local, fortaleça e substitua a infraestrutura de servidor antiga
e conecte-se ao Azure para serviços de nuvem.

O Azure Stack Hub oferece processos inovadores, embora possa exigir novas
habilidades. Ele traz serviços do Azure no seu datacenter. Por outro lado, com o Azure
Stack HCI, você pode usar habilidades existentes e processos conhecidos e conectar
seu datacenter aos serviços do Azure. Também pode ser útil comparar o que o Azure
Stack Hub e o Azure Stack HCI não foram criados para fazer ou possíveis restrições.
Limitações do Azure Stack Hub:
• O Azure Stack Hub deve ter um mínimo de 4 nós, bem como seus próprios
comutadores de rede.

• O Azure Stack Hub limita o conjunto de funcionalidades e configurabilidade


do Hyper-V para manter-se consistente com o Azure.

• O Azure Stack Hub não oferece acesso a tecnologias subjacentes


de infraestrutura.
70 | Modernizar com a nuvem híbrida e multinuvem

Limitações do Azure Stack HCI:


• O Azure Stack HCI não oferece ou aplica multilocatários nativamente.

• O Azure Stack HCI não oferece recursos de PaaS na infraestrutura local.

• O Azure Stack HCI não inclui conjuntos de ferramentas nativas de DevOps.

• O Azure Stack HCI só pode funcionar com workloads virtualizados. Nenhuma


aplicação pode ser implantada na estrutura.

Para obter leitura adicional, acesse https://docs.microsoft.com/azure-stack/operator/


compare-azure-azure-stack?view=azs-2008.

Resumo
À medida que os ambientes de negócios evoluem, as aplicações de software podem
ser executadas em diferentes sistemas na infraestrutura local, fora do local, em várias
nuvens e na borda das redes. As soluções híbridas e multinuvem podem permitir
implantar e gerenciar seus aplicações com êxito se você também criar um ambiente
único e consistente nos locais da sua organização. Ao fazer isso, você oferece aos
seus desenvolvedores um conjunto unificado de ferramentas para criar aplicações.
Você pode facilmente mover aplicações e dados entre locais para garantir a eficiência
e a conformidade e oferecer aos usuários uma experiência ideal.
O Azure Arc e o portfólio do Azure Stack são dois importantes componentes
de soluções e produtos híbridos e multinuvem do Azure. O Azure Arc oferece
gerenciamento unificado para implantar serviços do Azure e estender o gerenciamento
do Azure a qualquer lugar. Com servidores compatíveis com o Azure Arc, você pode
aplicar o gerenciamento de VM nativo do Azure a máquinas Windows e Linux fora
do Azure. Com o Azure Arc e o Kubernetes, você pode executar os serviços de dados
do Azure especificados na infraestrutura de sua preferência.
Por comparação, o Azure Stack torna os serviços do Azure disponíveis em locais na
nuvem e fora da nuvem, permitindo que você crie e execute aplicações híbridas para
diferentes workloads de forma consistente em locais e ambientes. O Azure Stack
Hub é um sistema integrado nativo de nuvem que permite que você use os serviços
de nuvem do Azure na infraestrutura local, enquanto o Azure Stack HCI oferece HCI
que moderniza os datacenters e os hosts de virtualização.
Individualmente, juntos ou em combinação com outras soluções da Microsoft e do
Azure, o Azure Arc e o Azure Stack podem ajudá-lo a enfrentar os desafios e aproveitar
ao máximo as oportunidades em setores que abrangem finanças, governo, manufatura,
varejo, energia, saúde e muito mais.
Modernizar com a nuvem híbrida e multinuvem | 71

Você pode experimentar funcionalidades como o Azure Arc imediatamente, usando


o Guia de início rápido do Azure Arc no AKs, no AWS Elastic Kubernetes Service, no
GKE ou em uma VM do Azure. Algumas principais etapas de exemplo são as seguintes:
1. Instalar as ferramentas do cliente.
2. Criar o controlador de dados do Azure Arc.
3. Criar uma instância gerenciada no Azure Arc.
4. Criar um Banco de Dados do Azure para o grupo de servidores de Hiperescala
do PostgreSQL no Azure Arc.
Para obter mais informações sobre soluções e produtos híbridos e multinuvem do
Azure e como usá-los com êxito para sua empresa ou organização, acesse estas páginas
da Web da Microsoft:
• Soluções híbridas e multinuvem do Azure: https://azure.microsoft.com/
solutions/hybrid-cloud-app/

• Arquitetura híbrida e multinuvem do Azure: https://docs.microsoft.com/azure/


architecture/browse/?azure_categories=hybrid

• Documentação de soluções e padrões híbridos e multinuvem do Azure: https://


docs.microsoft.com/hybrid/app-solutions/?view=azs-1910

Esperamos que este capítulo tenha sido útil em sua jornada híbrida e multinuvem
do Azure. Em seguida, exploraremos como planejar e implementar a migração para
o Azure.
Migração para a
4
nuvem: planejamento,
implementação
e práticas
recomendadas
Os clientes estão acelerando a jornada para a nuvem a fim de otimizar custos,
aumentar a segurança e a resiliência, além de escalar sob demanda. Uma das
principais motivações para as organizações migrarem para o Azure é a redução
do custo total de propriedade (TCO) da infraestrutura de TI. Ao migrar para o Azure,
as organizações podem sair de um modelo de despesas de capital (CapEx) com
comprometimentos fixos antecipados e adotar um modelo de despesa operacional
(OpEx) mais flexível e escalável. Com o modelo OpEx, as organizações reduzem
os gastos pagando apenas pelos recursos e os serviços que consomem.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 73

Como abordaremos neste capítulo, este é apenas um dos muitos benefícios que você
obterá migrando para o Azure. Primeiro, veremos que a Microsoft fornece uma
estrutura que o guiará na arquitetura tendo em vista a confiabilidade, a segurança
e a alta disponibilidade. Em seguida, exploraremos a infraestrutura subjacente
do Azure para ajudar você a fazer a melhor escolha para atender às suas metas
de migração. Depois de obter o conhecimento fundamental da infraestrutura
do Azure, abordaremos alguns dos cenários comuns de migração de workload e
como obter a escala de nuvem e maximizar a performance.
Neste capítulo, abordaremos os seguintes tópicos:
• Well-Architected Framework da Microsoft
• Escolha da infraestrutura subjacente
• Cenários de migração de workloads
• Como alcançar a escala de nuvem e maximizar a performance
• Backup de nível empresarial e Disaster Recovery
• Práticas recomendadas de migração para o Azure e suporte

Vamos começar abordando as práticas recomendadas de arquitetura para planejar,


projetar e implementar sistemas confiáveis no Azure usando o Microsoft Azure Well-
Architected Framework.

Microsoft Azure Well-Architected Framework


À medida que as organizações transferiam sua equipe de trabalho para o trabalho
em casa, a infraestrutura e as aplicações críticas foram afetadas. Enquanto algumas
organizações conseguiram migrar suas aplicações para a nuvem, outras precisaram
reformular o ambiente na nuvem. No entanto, projetar e implantar um workload
bem-sucedido na nuvem pode se uma tarefa desafiadora, principalmente quando
há restrição de tempo para uma organização garantir o apoio aos seus clientes
em todo o mundo.
Ao operar na nuvem, há vários princípios de design e considerações que diferem
da operação na infraestrutura local, por exemplo, a maneira de gerenciar workloads,
custos de infraestrutura, monitoramento, segurança e performance. Muitas das tarefas
de gerenciamento que costumávamos executar para aplicações na infraestrutura local
não se aplicam à nuvem.
Se esses fatores relativos aos workloads que executamos na nuvem não forem levados
em conta, haverá várias consequências que poderão afetar o custo dos serviços
no Azure e a performance da aplicação.
74 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Para ajudar você e sua organização a resolver a complexidade de planejar, projetar


e implementar sistemas confiáveis no Azure, a Microsoft criou o Azure Well-
Architected Framework, que oferece as práticas recomendadas para criar soluções
na nuvem do Azure. Essa estrutura destina-se a guiá-lo para melhorar a qualidade
de suas soluções em execução no Azure e compreende cinco pilares principais:
• Otimização de custos para que você possa criar soluções econômicas.
• Excelência operacional para garantir a continuidade da operação, mantendo
seus sistemas em produção com tempo de inatividade mínimo.
• Eficiência de performance para escalar a capacidade sob demanda e atender
às necessidades de negócios quando há picos de uso.
• Confiabilidade para ter a capacidade de se recuperar rapidamente de possíveis
falhas que podem afetar a disponibilidade das aplicações.
• Segurança para proteger suas aplicações e dados e responder rapidamente
a possíveis ameaças e vulnerabilidades.

Com base nos padrões da indústria, a Microsoft está ajudando os clientes a melhorar
a qualidade de seus workloads. A estrutura está no centro da iniciativa Microsoft
Azure Well-Architected. Ele inclui a documentação, as arquiteturas de referência
e os princípios de design para ajudar você a entender e descobrir como esses workloads  
podem ser mais bem projetados, implementados e implantados com êxito na nuvem.
A Microsoft também incluiu o Azure Well-Architected Review, que é uma aplicação Web
com perguntas e respostas para você entender melhor como os workloads estão sendo
projetados e avaliar quais pontos você precisa melhorar.
Além disso, o Azure Advisor está alinhado com os mesmos cinco pilares do Azure
Well-Architected Framework para fornecer recomendações em tempo real para todos
os recursos em execução na nuvem e melhorar a performance deles.
Recomendamos o roteiro de aprendizagem da Microsoft a seguir para o Well-
Architected Framework: https://docs.microsoft.com/learn/paths/azure-well-
architected-framework/
Muitas organizações iniciam a jornada para a nuvem no Azure com a Infraestrutura
como Serviço (IaaS). Na próxima seção, primeiro estabeleceremos nosso conhecimento
básico sobre o IaaS do Azure, aprendendo sobre os três principais serviços do Azure.
Mais adiante, neste capítulo, analisaremos outros cenários comuns de migração
de workloads.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 75

Escolha da infraestrutura subjacente


Nesta seção, examinaremos a infraestrutura subjacente do Azure. Em sua essência,
um ambiente típico de IaaS no Azure consiste nos três serviços a seguir:
• Computação
• Rede
• Armazenamento

Esses três serviços compõem os principais blocos de construção de arquitetura


em um ambiente IaaS. Vamos explorar cada um desses serviços principais em detalhes,
começando com a computação do Azure.

Computação
Se você está implantando novos workloads ou migrando os existentes para a nuvem,
a computação do Azure tem a infraestrutura necessária para executar seu workload.
Veja alguns dos principais recursos da computação do Azure:
• O Azure oferece mais de 700 tamanhos de máquina virtual (VM) que podem
resolver quase todos os tipos de workload. De workloads de desenvolvimento/
teste e de produção de missão crítica a cenários de computação de alta
performance de aplicações voltadas para o cliente.
• Você pode executar suas aplicações no Windows Server e em várias distribuições
Linux, como Red Hat, SUSE, Ubuntu, CentOS, Debian, Oracle Linux e CoreOS.
Além disso, a Microsoft fornece suporte integrado 24x7 com o Red Hat e o SUSE.
• O Azure fornece infraestrutura bare metal criada especificamente para executar
um número crescente de soluções, como SAP HANA, NetApp ou Cray no Azure.
• O Azure oferece uma base permanente com CPUs e GPUs da Intel®, AMD
e NVIDIA, ajudando você a obter a melhor relação de preço/performance.
• Você pode optar por executar suas aplicações em qualquer região disponível
do Azure. Também pode aproveitar várias regiões para aumentar a resiliência
de suas aplicações em escala.
• O Azure oferece uma ampla gama de modelos de preços, desde o pagamento
conforme o uso até as reservas, que incluem descontos por prazo de 1 ou 3
anos. Esses benefícios se somam às ferramentas de otimização que oferecem
recomendações de redimensionamento e orientações para você aproveitar
ao máximo o seu ambiente do Azure.
76 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

• Se você tiver assinaturas existentes do Windows Server, licenças do SQL


Server ou do Windows Server com Software Assurance e o Benefício Híbrido
do Azure, poderá reutilizá-las para ter uma economia significativa nos custos
ao migrar os workloads para o Azure. Além disso, por meio do Benefício Híbrido
do Azure para Linux, é possível usar as assinaturas do software Red Hat e SUSE
pré-existentes na infraestrutura local no Azure.

Talvez um dos cenários de migração mais comuns para os clientes do Azure seja
migrar um ambiente existente na infraestrutura local para a nuvem com pouca
ou nenhuma alteração. Isso é frequentemente chamado de migração "lift and shift"
ou re-hospedagem. Podemos aproveitar as tecnologias de virtualização para ajudar
a migrar os workloads existentes na infraestrutura local para o Azure. Sem dúvida,
a virtualização simplificou muito a forma como as organizações implantam e gerenciam
a infraestrutura de TI no Azure, em parte, graças a soluções como o Microsoft
Hyper-V e o VMware vSphere. Além disso, os administradores que estão familiarizados
com as características e os comportamentos da execução de VMs na infraestrutura
local podem adaptar as mesmas habilidades ao Azure.
Na tabela a seguir, fornecemos alguns casos de uso comuns e recomendamos serviços
de computação do Azure para cada um. Você pode usar esta tabela para planejar sua
próxima estratégia de migração para a nuvem. Também incluímos links para cada
serviço de computação do Azure para que você possa saber mais sobre eles.

Serviços de computação Casos de uso comuns


Serviço de Aplicativo do Azure: Para desenvolver aplicações nativas da nuvem
https://azure.microsoft.com/services/app- para Web e dispositivos móveis com uma
service/ plataforma totalmente gerenciada.

Host Dedicado do Azure: Implantar VMs do Azure em um servidor


https://azure.microsoft.com/services/ físico dedicado para isolar os workloads
virtual-machines/dedicated-host/ somente para uso por sua organização.

Azure Functions: Você pode acelerar o desenvolvimento de


https://azure.microsoft.com/services/ aplicativos usando uma arquitetura orientada
functions/ a eventos e sem servidor sem nenhuma
configuração adicional.

Instâncias de Contêiner do Azure (ACI): Para ajudar você a executar facilmente


https://azure.microsoft.com/services/ contêineres no Azure com um único
container-instances/ comando.

Azure Kubernetes Service (AKS): Para simplificar a implantação, o


https://azure.microsoft.com/services/ gerenciamento e a operação do Kubernetes.
kubernetes-service/
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 77

Serviços de computação Casos de uso comuns


Azure Service Fabric: Para desenvolver microsserviços e orquestrar
https://azure.microsoft.com/services/ contêineres no Windows e no Linux.
service-fabric/

Lote do Azure: Para acessar o agendamento de trabalho


https://azure.microsoft.com/services/ em escala de nuvem e o gerenciamento de
batch/ computação em VMs de 10x, 100x, 1000x.

Serviços de Nuvem do Azure Se preferir usar uma tecnologia de PaaS para


https://azure.microsoft.com/services/ implantar aplicações na Web e na nuvem que
cloud-services/ sejam escaláveis, confiáveis e de operação de
baixo custo.

Máquinas virtuais: Se você precisar provisionar rapidamente


https://azure.microsoft.com/services/ VMs Linux e Windows e manter o controle
virtual-machines/ total sobre seu ambiente de nuvem.

Conjuntos de escalas de máquinas virtuais: Para escalar automaticamente um grande


https://azure.microsoft.com/services/ número de VMs de balanceamento de
virtual-machine-scale-sets/ carga em minutos a fim de obter alta
disponibilidade e performance com base na
demanda.

Solução Azure VMware: Se você quiser executar seus workloads


https://azure.microsoft.com/services/ VMware nativamente no Azure.
azure-vmware/
Tabela 4.1: Serviços recomendados do Azure para casos de uso comuns

Agora que vimos os recursos da Computação do Azure, vamos examinar as Redes


do Azure.

Redes
As redes do Azure conectam e entregam com segurança seus workloads nativos
e híbridos de nuvem com serviços de rede de Confiança Zero e com baixa latência.
A Confiança Zero é um conceito de segurança que promove a ideia de que
as organizações não devem confiar automaticamente em nada dentro ou fora de seus
perímetros. Em vez disso, qualquer coisa que tente se conectar aos seus sistemas deve
ser verificada antes que o acesso seja concedido.
Na tabela a seguir, fornecemos alguns casos de uso comuns e o serviço de rede
recomendado do Azure para escolha. Você pode usar esta tabela para planejar sua
próxima estratégia de migração para a nuvem. Também incluímos links para cada
serviço de redes do Azure para que você possa saber mais sobre eles:
78 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Serviços de rede Casos de uso comuns


Azure Bastion: Para acessar suas VMs via RDP e SSH
https://azure.microsoft.com/services/ privadas e totalmente gerenciadas.
azure-bastion/

Rede Virtual do Azure: Para conectar tudo, de VMs a conexões VPN


https://azure.microsoft.com/services/ de entrada.
virtual-network/

Azure ExpressRoute: Se você precisar adicionar conectividade de


https://azure.microsoft.com/services/ rede privada da sua rede na infraestrutura
expressroute/ local ao Azure.

Gateway de VPN do Azure: Para usar a Internet para acessar redes


https://azure.microsoft.com/services/vpn- virtuais do Azure com segurança.
gateway/

WAN Virtual do Azure: Para conectar escritórios, locais de varejo


https://azure.microsoft.com/services/ e sites com segurança com um portal
virtual-wan/ unificado.

Proteção contra DDoS do Azure: Para proteger suas aplicações contra ataques
https://azure.microsoft.com/services/ddos- de DDoS.
protection/

Firewall do Azure: Você precisa adicionar recursos de firewall


https://azure.microsoft.com/services/ nativo com manutenção zero e alta
azure-firewall/ disponibilidade interna.

Gerenciador de Firewall do Azure: Você precisa de uma maneira de gerenciar


https://azure.microsoft.com/services/ a política de segurança de rede
firewall-manager/ e o roteamento centralmente.

Azure Load Balancer: É necessário equilibrar as conexões de


https://azure.microsoft.com/services/load- entrada e saída e solicitações para aplicações.
balancer/

Gerenciador de Tráfego: Você precisa encaminhar o tráfego de


https://azure.microsoft.com/services/ entrada para obter melhor performance
traffic-manager/ e disponibilidade.

Observador de Rede: Você precisa monitorar e diagnosticar


https://azure.microsoft.com/services/ problemas de rede.
network-watcher/
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 79

Serviços de rede Casos de uso comuns


Firewall de Aplicação Web do Azure: Você precisa usar um serviço de firewall
https://azure.microsoft.com/services/web- para aplicativos Web a fim de melhorar
application-firewall/ a segurança do aplicativo Web.

Gateway de Aplicativo do Azure: Você deseja usar um balanceador de carga de


https://azure.microsoft.com/services/ tráfego da Web para gerenciar o tráfego para
application-gateway/ suas aplicações Web.

Azure DNS: Você deseja garantir respostas de DNS


https://azure.microsoft.com/services/dns/ ultrarrápidas e disponibilidade para atender
aos seus requisitos de domínio.

Link Privado do Azure: Você precisa fornecer acesso privado aos


https://azure.microsoft.com/services/ serviços hospedados na plataforma do Azure.
private-link/

Azure Front Door: Você precisa fornecer um ponto de entrega


https://azure.microsoft.com/services/ escalável e aprimorado para a segurança para
frontdoor/ aplicações Web que são globais e baseados
em microsserviços.

Azure CDN: Você precisa acelerar a entrega de conteúdo


https://azure.microsoft.com/services/cdn/ de alta largura de banda para clientes globais.

Analisador de Internet do Azure Você precisa testar como a performance será


(visualização): afetada pelas mudanças na infraestrutura de
https://azure.microsoft.com/services/ rede.
internet-analyzer/
Tabela 4.2: Serviços recomendados do Azure para casos de uso comuns

Outro componente importante da infraestrutura do Azure é o armazenamento,


que abordaremos na próxima seção.
Armazenamento
Os dados estão crescendo a um ritmo acelerado nas empresas de hoje. As organizações
exigem as melhores soluções de armazenamento disponíveis. Quando se trata de soluções
de armazenamento, o Azure oferece uma infinidade de serviços que as organizações podem
escolher para atender a quaisquer requisitos de performance e custo dos negócios:
• Armazenamento em Disco do Azure
• Arquivos do Azure
• Armazenamento de Blobs do Azure
• Azure Data Lake Storage
• Azure NetApp Files
80 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Vamos analisar em detalhes cada uma dessas ofertas de armazenamento do Azure.

Armazenamento em Disco do Azure


O Armazenamento em Disco do Azure foi projetado para ser usado com VMs do Azure.
Ele oferece alta performance, além de armazenamento em bloco altamente durável para
suas aplicações de missão e crítica de negócios.

Alguns dos principais recursos e benefícios do Armazenamento em Disco do Azure


incluem:
• Armazenamento econômico:
• Otimiza os custos e obtém o armazenamento exato de que você precisa para
seus workloads com uma variedade de opções de disco em uma variedade
de preços e características de performance.
• Migre aplicações clusterizadas ou de alta disponibilidade baseados
em Windows e Linux para a nuvem com discos compartilhados.
• Resiliência incomparável:
• O Azure oferece uma garantia de disponibilidade para todas as VMs
de instância única usando o Armazenamento em Disco do Azure.
• O Armazenamento em Disco do Azure oferece durabilidade de nível
empresarial com uma taxa de falha anual de 0%.
• Dimensionamento perfeito e alta performance:
• Escale a performance dinamicamente com o Armazenamento de Disco Ultra
do Azure e obtenha IOPS e taxa de transferência elevadas, além da latência
consistente inferior a milissegundos.
• Escale a performance sob demanda com níveis de performance e recursos
internos de bursting para atender às demandas de negócios.
• Segurança interna:
• Proteja seus dados com criptografia automática usando as chaves
gerenciadas pela Microsoft ou suas próprias chaves personalizadas.
• Restrinja a exportação e a importação de discos para ocorrer somente
dentro de sua rede virtual privada com o suporte do Link Privado do Azure.
Há quatro tipos de opções de armazenamento em disco que você pode escolher com
base em seus requisitos de custo e performance:
• Armazenamento de Disco Ultra
• SSD Premium
• SSD Standard
• HDD Standard
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 81

Os workloads com uso intensivo de dados e transações podem se beneficiar da alta


performance e dos recursos consistentes de baixa latência do Armazenamento de
Disco Ultra do Azure. Alguns exemplos desses tipos de workloads incluem o SAP HANA,
bancos de dados de nível superior, como o SQL Server e o Oracle, e bancos de dados
NoSQL, como MongoDB e Cassandra.
Para saber mais sobre cada uma dessas opções de armazenamento em disco, acesse
https://docs.microsoft.com/azure/virtual-machines/disks-types.

Arquivos do Azure
Os Arquivos do Azure são um excelente serviço de compartilhamento de arquivos
de nuvem totalmente gerenciado que é sem servidor e seguro. Você pode acessar
arquivos compartilhados nos Arquivos do Azure usando protocolos NFS e SMB
padrão da indústria. Além disso, ele pode servir como armazenamento compartilhado
persistente para contêineres com sua forte integração com o AKS. Se você estiver
procurando uma experiência híbrida entre plataformas, gostará de saber que
os compartilhamentos de arquivos do Azure podem ser montados simultaneamente
pelo Azure ou na infraestrutura local, esteja você no Windows, no Linux ou no macOS
por meio do Azure File Sync.
Para saber mais sobre os Arquivos do Azure, acesse https://docs.microsoft.com/azure/
storage/files/storage-files-introduction.

Armazenamento de Blobs do Azure


O Armazenamento de Blobs do Azure fornece armazenamento altamente escalável,
disponível e seguro. Em termos de segurança, os dados podem ser protegidos com
criptografia em repouso e proteção avançada contra ameaças, enquanto o acesso
a dados pode ser protegido usando o Azure Active Directory (Azure AD),
o controle de acesso baseado em função (RBAC) e o controle em nível de rede.
É ideal para os seguintes tipos de workloads:
• Aplicações móveis e nativas da nuvem
• Computação de alta performance
• Workloads de machine learning
• Arquivos de armazenamento
82 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Alguns dos principais recursos e benefícios do Armazenamento de Blobs do Azure incluem:


• É totalmente compatível com o desenvolvimento de aplicações nativas da nuvem:
• Fornece o dimensionamento e a segurança exigidos por aplicações nativas
da nuvem.
• É compatível com o Azure Functions e muitas estruturas
de desenvolvimento populares, como .NET, Python, Java e Node.js.
• Armazene petabytes de dados:
• Arquive dados raramente acessados da maneira mais econômica.
• Substitua fitas magnéticas antigas pelo Armazenamento de Blobs do Azure
e minimize a necessidade de migrar entre gerações de hardware.
• Expanda para computação de alta performance (HPC):
• Capaz de atender aos requisitos de alta taxa de transferência de aplicações
de HPC.
• Expanda para bilhões de dispositivos IoT:
• Fornece armazenamento para coletar pontos de dados de bilhões
de dispositivos IoT.
Você pode saber mais sobre o Armazenamento de Blobs do Azure em https://docs.
microsoft.com/azure/storage/blobs/storage-blobs-overview.

Azure Data Lake Storage


O Azure data Lake Storage oferece uma solução de data lake altamente escalável
e econômica para ferramentas analíticas de Big Data. Ele é otimizado para workloads
de ferramentas analíticas e oferece suporte ao Azure Synapse Analytics e ao Power BI,
fornecendo uma única plataforma de armazenamento para ingestão, processamento
e visualização.

Ele é econômico, pois permite que o dimensionamento do armazenamento e da


computação seja realizado de forma independente (isso é algo que não pode ser obtido com
os data lakes na infraestrutura local). O Azure Data Lake Storage Gen2 também permite que
você otimize ainda mais os custos usando políticas automatizadas de gerenciamento de
ciclo de vida e possa expandir ou reduzir automaticamente com base no uso.

Em termos de segurança, ele fornece o mesmo nível de segurança oferecido pelo


Armazenamento de Blobs do Azure, incluindo criptografia em repouso e proteção
avançada contra ameaças. Como o Armazenamento de Blobs do Azure, o acesso a dados
pode ser protegido usando o Azure AD, o RBAC e controle de nível de rede.

Você pode saber mais sobre o Azure Data Lake Storage em https://docs.microsoft.
com/azure/storage/blobs/data-lake-storage-introduction.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 83

Azure NetApp Files


A execução de workloads de arquivos com uso intensivo de performance e latência
na nuvem pode ser um desafio. O Azure NetApp Files facilita para as empresas
a migração e a execução de aplicações de linha de negócios (LOB) e para profissionais
de armazenamento a migração e a execução de aplicações baseadas em arquivos
complexos, sem nenhuma alteração no código. O Azure NetApp Files é um serviço
totalmente gerenciado do Azure com tecnologia de armazenamento líder da indústria
da NetApp. Ele é amplamente usado como o serviço de armazenamento de arquivos
compartilhado subjacente em vários cenários, entre eles:
• Migração ("Lift and Shift") de aplicações compatíveis com POSIX Linux
e Windows
• SAP HANA
• Bancos de dados
• Aplicativos e infraestrutura de HPC
• Aplicações Web corporativas

Você pode saber mais sobre o Azure NetApp Files em https://docs.microsoft.com/


azure/azure-netapp-files/.
Isso encerra nosso tour rápido pela infraestrutura do Azure com uma visão geral dos
principais serviços do Azure: computação, redes e armazenamento. Na próxima seção,
analisaremos alguns cenários comuns de migração de workloads.

Cenários de migração de workloads


Na seção anterior, obtivemos um entendimento básico da infraestrutura subjacente
do Azure. Continuaremos a aproveitar esse conhecimento abordando os seguintes
cenários comuns de migração de workloads:
• Workloads do Windows Server e do Linux
• SQL Server
• Contêineres
• Workloads VMware
• Workloads SAP
• HPC

Vamos começar com workloads do Windows Server e do Linux.


84 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Workloads do Windows Server e do Linux


Quando se trata de migrar VMs do Windows Server e do Linux na infraestrutura local
para o Azure, a Microsoft recomenda usar o hub Migrações para Azure de ferramentas
e serviços. O serviço Migrações para Azure fornece um hub central para descoberta,
avaliação e migração para o Azure. A ferramenta Migração do Servidor no serviço
Migrações para Azure foi criada especificamente para a migração do servidor para o Azure.

Alguns dos principais recursos e benefícios do Migrações para Azure incluem:


• É possível migrar em diferentes ambientes e cenários, incluindo servidores
na infraestrutura local, VMs, bancos de dados, aplicativos Web e desktops virtuais.
• Você pode executar, de forma abrangente, recursos de descoberta, avaliação
e migração usando ferramentas incorporadas do Azure, além de ferramentas
de terceiros de sua escolha.
• Você tem total visibilidade do andamento da migração no painel.
• É possível migrar de forma eficiente com ferramentas de migração "lift and shift"
rápidas, sem nenhum custo adicional (incluídas na assinatura do Azure).
Depois de migrar suas VMs para o Azure, é necessário habilitar o Gerenciamento
Automatizado do Azure para simplificar tarefas comuns e repetitivas de gerenciamento
de TI. O Gerenciamento Automatizado do Azure permite que os administradores
de TI gerenciem e automatizem suas operações do dia a dia e executem o gerenciamento
do ciclo de vida em servidores Windows e Linux usando uma interface de apontar e clicar.

O Gerenciamento Automatizado do Azure funciona com qualquer VM nova ou existente


do Windows Server ou do Linux no Azure. Ele implementa automaticamente as práticas
recomendadas de gerenciamento de VM, conforme definido no Microsoft Cloud
Adoption Framework. O Gerenciamento Automatizado do Azure elimina a necessidade de
descoberta de serviço, inscrição e configuração de VMs. Por exemplo, o Gerenciamento
Automatizado do Azure permite que os clientes implementem as práticas recomendadas
de segurança, oferecendo uma maneira fácil de aplicar uma linha de base do sistema
operacional às VMs de acordo com a configuração de linha de base da Microsoft. Serviços
como a Central de Segurança do Azure são automaticamente integrados por meio
do perfil de configuração escolhido pelo cliente. Se a configuração da VM derivar das
práticas recomendadas aplicadas, o Gerenciamento Automatizado do Azure detectará e
trará automaticamente a VM de volta para a configuração desejada.
Para saber mais sobre o serviço Migrações para Azure, acesse https://docs.microsoft.
com/azure/migrate/migrate-services-overview.
Para saber mais sobre o Gerenciamento Automatizado do Azure, acesse https://azure.
microsoft.com/services/azure-automanage.
Para saber mais sobre a Central de Segurança do Azure, acesse https://azure.microsoft.
com/services/security-center/.

Para obter informações sobre o Microsoft Cloud Adoption Framework, acesse https://
docs.microsoft.com/azure/cloud-adoption-framework/.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 85

SQL Server
O SQL do Azure é uma família de produtos seguros, gerenciados e inteligentes que são
criados no mecanismo de banco de dados conhecido do SQL Server na nuvem do Azure.
A plataforma de dados da Microsoft usa a tecnologia do SQL Server e a disponibiliza
em uma enorme variedade de ambientes diferentes. Isso inclui a nuvem pública, além
de ambientes de nuvem privada (que podem ser hospedados por terceiros) e máquinas
físicas na infraestrutura local. Como resultado, os destinos do SQL do Azure têm uma
experiência consistente com o SQL Server na infraestrutura local, permitindo que você
traga suas habilidades, ferramentas, linguagens e estruturas favoritas para o Azure
com suas aplicações. É possível migrar suas aplicações com facilidade usando o serviço
Migrações para Azure e continuar a usar os recursos com os quais está familiarizado.

A tabela a seguir fornece uma imagem clara de cada oferta do SQL do Azure e sua finalidade
para que você possa tomar uma decisão embasada que atenda aos seus requisitos:

Oferta do SQL
do Azure Caso de uso comum
Suporte a aplicações na nuvem modernas em um serviço de banco
Banco de dados de dados inteligente e totalmente gerenciado que inclui computação
SQL do Azure sem servidor.
Instância Migrar uma aplicação existente na infraestrutura local para o Azure
Gerenciada SQL que requer 100% de paridade de recursos com um mecanismo de
banco de dados completo do SQL Server. Você não deseja cuidar da
do Azure atualização ou da manutenção do SQL Server quando sua aplicação
é migrada para o Azure.

SQL Server em Realize lift-and-shift com facilidade dos workloads do SQL


Server, mantendo a compatibilidade total com o SQL Server e
VMs do Azure
acesso no nível do sistema operacional. Você deseja ter controle
completo sobre o servidor de banco de dados, bem como o
sistema operacional subjacente em que ele é executado.
Tabela 4.3: Ofertas do SQL do Azure e casos de uso comuns

Vamos abordar cada uma destas ofertas do SQL do Azure com mais detalhes.
Banco de dados SQL do Azure
O banco de dados SQL do Azure é uma oferta de Plataforma como Serviço (PaaS)
do Azure e é um mecanismo de banco de dados do SQL Server totalmente gerenciado
hospedado no Azure. O banco de dados SQL do Azure é baseado no SQL Server
Enterprise Edition mais recente e estável. É a escolha ideal para organizações que
exigem aplicações de nuvem com recursos atuais e estáveis do SQL Server, reduzindo
os requisitos de tempo de desenvolvimento e marketing.
Com o banco de dados SQL do Azure, é possível escalar e reduzir rapidamente conforme
necessário, sem interrupções. Ele também fornece recursos adicionais que não estão
disponíveis no SQL Server, incluindo alta disponibilidade, inteligência e gerenciamento
incorporados.
86 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Instância Gerenciada de SQL do Azure


A Instância Gerenciada de SQL do Azure é uma oferta de PaaS do azure e é semelhante
a uma instância do mecanismo completo de banco de dados do Microsoft SQL Server.
É ideal para migrar aplicações na infraestrutura local para o Azure com o mínimo
ou nenhuma alteração no banco de dados. A Instância Gerenciada de SQL do Azure
inclui todos os benefícios de PaaS do banco de dados de SQL do Azure, mas adiciona
recursos que estavam anteriormente disponíveis apenas no SQL Server em VMs
do Azure (como veremos na seção a seguir), incluindo uma rede virtual nativa e cerca
de 100% de compatibilidade com o SQL Server na infraestrutura local.

SQL Server na VM do Azure


O SQL Server na VM do Azure é uma oferta de Infraestrutura como Serviço (IaaS) do
Azure e permite que você execute o SQL Server completo em uma VM no Azure. O SQL
Server em VMs do Azure é ideal para migrar um banco de dados na infraestrutura local
existente usando a abordagem lift-and-shift para o Azure, com o mínimo ou nenhuma
alteração no banco de dados. Com o SQL Server em VMs do Azure, você tem total controle
administrativo sobre a instância do SQL Server e o sistema operacional subjacente
em execução na VM do Azure. No entanto, com esse controle total, você também é
responsável por atualizar, manter e fazer backup de seu software na VM. Isso não será um
problema se sua organização já tiver recursos de TI disponíveis para cuidar de VMs.

Estes são mais alguns benefícios do SQL Server na VM do Azure:


• Você pode instalar e hospedar o SQL Server no Azure, seja em uma VM do
Windows Server ou do Linux.
• Todas as versões e edições mais recentes do SQL Server estão disponíveis para
instalação em uma VM do Azure.
• Você pode usar uma licença existente para o SQL Server na VM do Azure
ou provisionar uma imagem de VM pré-criada do SQL Server que já inclua uma
licença do SQL Server. Isso também é válido para as ofertas de PaaS por meio
do Benefício Híbrido do Azure.
• O SQL Server em VMs do Azure permite que você crie um sistema com alta
capacidade de personalização para atender às necessidades de performance
e disponibilidade da sua aplicação
• Você pode usar o SQL Server na VM do Azure para transformar rapidamente
um ambiente a fim de desenvolver e testar aplicações tradicionais do SQL Server.

Para encerrar esta seção, veremos as principais diferenças entre essas três ofertas
de banco de dados do Azure.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 87

Principais diferenças entre o banco de dados SQL do Azure, a Instância


Gerenciada de SQL do Azure e o SQL Server em VMs do Azure
A diferença mais significativa entre essas três ofertas de banco de dados do Azure
é que o SQL Server em VMs do Azure permite que você tenha controle total sobre
o mecanismo de banco de dados. O banco de dados SQL e as Instâncias Gerenciadas
do SQL são baseados em PaaS. Isso significa que não é necessário gerenciar suas
próprias atualizações ou backups para o banco de dados SQL e Instâncias Gerenciadas
de SQL. Por outro lado, o SQL Server em VMs do Azure é baseado em IaaS, portanto,
você precisa cuidar de suas próprias atualizações para o sistema operacional,
o software de banco de dados e backups. Você deve escolher a oferta de banco
de dados do Azure apropriada de acordo com seus requisitos de migração.

Outra tecnologia que tem sido amplamente adotada por muitas organizações são
os contêineres.

Contêineres
Os contêineres ganharam uma enorme popularidade porque permitem que você mova
facilmente suas aplicações de um ambiente para outro sem alterá-los. Quando se trata
de contêineres, o Azure fornece várias opções, incluindo:
• Azure Kubernetes Service (AKS)
• Instância do Contêiner do Azure (ACI)
• Aplicativo Web para Contêineres
O ACI permite criar um contêiner isolado para pequenas aplicações que não exigem
orquestração de contêineres. Essas instâncias têm um tempo de inicialização rápido
e podem aproveitar a rede virtual do Azure e IPs públicos. O ACI é ideal para aplicações
de prova de conceito (POC).

Para saber mais sobre o ACI, acesse https://azure.microsoft.com/services/container-


instances/.

O AKS simplifica o processo de implantação de um cluster de kubernetes gerenciado no


Azure. Como uma boa parte da responsabilidade pelo gerenciamento é transferida para o
Azure, a complexidade e a sobrecarga operacional de gerenciar o Kubernetes são reduzidas.

O Azure gerencia os mestres de Kubernetes e cuida de tarefas críticas como


manutenção e monitoramento da integridade e manutenção para você. Isso significa
que você só precisa gerenciar os nós do agente. Portanto, você também paga apenas
pelos nós do agente, e não pelos mestres, em seus clusters; como um serviço
gerenciado do kubernetes, o AKS é gratuito. Se você quiser criar um cluster do AKS,
poderá fazê-lo no portal do Azure. Como alternativa, é possível usar a CLI do Azure
ou várias opções de implantação orientadas por modelo, como modelos do Gerenciador
de Recursos do Azure (ARM) e o Terraform.
88 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Todos os nós são implantados e configurados para você ao implantar um cluster


do AKS, ou seja, mestres e agentes. Durante a implantação, você também pode
configurar recursos adicionais, como a integração do Azure AD, rede avançada
e monitoramento. O AKS também oferece suporte a contêineres do Windows Server.
Para saber mais sobre o AKS, acesse https://docs.microsoft.com/azure/aks/intro-
kubernetes.
Com o Aplicativo Web para Contêineres, você pode implantar e executar aplicações
conteinerizadas no Windows e no Linux com facilidade. Ele oferece escala automática
e balanceamento de carga integrados. É possível automatizar seu processo de integração
contínua/implantação contínua (CI/CD) com o GitHub, o Registro de Contêiner do
Azure e o Docker Hub. Também é possível configurar o dimensionamento automático
para atender à demanda de workloads. Por exemplo, você pode configurar regras de
dimensionamento para reduzir custos durante o horário de pico.
Para saber mais sobre o Aplicativo Web para Contêineres, acesse https://azure.
microsoft.com/services/app-service/containers/.

Workloads VMware
Com a solução VMware no Azure, você pode mover facilmente os workloads da VMware
de seus ambientes na infraestrutura local para o Azure. Isso permite que você continue
a gerenciar seus ambientes VMware existentes com as mesmas ferramentas com
as quais você está familiarizado enquanto administra seus workloads da VMware
nativamente no Azure.
Você pode saber mais sobre a solução VMware no Azure em https://azure.microsoft.
com/services/azure-vmware/.
Outra abordagem para migrar os workloads da VMware para o Azure é usando
a ferramenta Migrações para Azure: servidor. Há duas maneiras pelas quais você pode
migrar suas VMs VMware para o Azure:
1. Migração sem servidor
2. Migração baseada em agente
Vamos destacar as etapas envolvidas em cada um destes tipos de migrações abaixo
e fornecer links para recursos onde você pode obter instruções de migração detalhadas.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 89

Migração sem servidor


Obtenha a seguir uma visão geral das etapas envolvidas em uma migração sem servidor:
1. Configure o dispositivo Migrações para Azure.
2. Replique as VMs.
3. Acompanhe e monitore o status de migração.
4. Faça um teste de migração.
5. Migre as VMs.
6. Conclua a migração.
Para obter mais informações sobre a migração sem servidor, acesse: https://docs.
microsoft.com/azure/migrate/tutorial-migrate-vmware

Migração baseada em agente


Obtenha a seguir uma visão geral das etapas envolvidas em uma migração baseada
em agente:
1. Prepare o Azure para trabalhar com Migrações para Azure:
a. Crie um projeto Migrações para Azure.
b. Verifique as permissões da conta do Azure.
c. Configure uma rede na qual as VMs do Azure ingressarão após a migração.
2. Prepare-se para a migração baseada em agente:
a. Configure uma conta da VMware. Isso permite que o recurso Migrações para
Azure descubra máquinas para migração e, dessa forma, o agente de serviço
de mobilidade possa ser instalado em máquinas que você deseja migrar.
b. Prepare uma máquina que atuará como o dispositivo de replicação.
c. Adicione a ferramenta Migrações para Azure: migração de servidor.
3. Configure o dispositivo de replicação.
4. Replique as VMs.
5. Para verificar se tudo está funcionando como esperado, execute uma migração
de teste.
6. Execute uma migração completa para o Azure.
90 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Para obter mais informações sobre a migração baseada em agente, acesse: https://docs.
microsoft.com/azure/migrate/tutorial-migrate-vmware-agent
Empresas com workloads SAP podem estar interessadas em migrar para o Azure.
Abordaremos isso na próxima seção.

Workloads SAP
O Azure é otimizado para workloads SAP, e você pode migrar a maioria dos sistemas
SAP NetWeaver e S/4HANA existentes para o Azure sem problemas. O Azure
é extremamente escalável e pode provisionar VMs com mais de 200 CPUs e terabytes
de memória. Para os workloads mais exigentes, o Azure também oferece Instâncias
Grandes HANA (HLIS). As HLIs são baseadas em hardware físico dedicado
em um datacenter do Azure que execute o Intel Optane, que é uma oferta de nuvem
exclusiva.
Para implantar seus workloads SAP em IaaS do Azure com êxito, é necessário entender
as diferenças entre as ofertas de provedores de hospedagem tradicionais e o IaaS
do Azure. Um provedor de hospedagem tradicional adaptaria a infraestrutura (por
exemplo, tipo de servidor, armazenamento e rede) ao workload que um cliente deseja
hospedar. No caso da IaaS do Azure, o ônus de identificar o requisito de workloads
e escolher as VMs, o armazenamento e os componentes de rede do Azure apropriados
para a implantação é do cliente.
Para planejar uma migração bem-sucedida, você deve anotar o seguinte:
• Quais tipos de VMs do Azure suportariam seus requisitos de workload SAP?
• Quais serviços de banco de dados do Azure podem fornecer o suporte exigido
por seus workloads SAP?
• Obtenha uma compreensão das várias taxas de transferência SAP oferecidas pelo
suporte a tipos de VM do Azure e SKUs de HLI.

Além disso, é necessário descobrir o status dos recursos de IaaS do Azure e das
limitações de largura de banda em comparação com o consumo real pelas contrapartes
dos recursos na infraestrutura local. Dessa forma, você deve conhecer os vários
recursos de VMs do Azure e HLI compatíveis com o SAP em termos de:
• Memória e recursos de CPU
• IOPS de armazenamento e taxa de transferência
• Largura de banda e latência da rede
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 91

Para saber mais sobre a migração de SAP para o Azure, acesse: https://azure.microsoft.
com/solutions/sap/migration/.

Para saber como a Microsoft migrou suas próprias aplicações SAP para o Azure e outros
cenários de SAP no Azure, acesse: https://www.microsoft.com/itshowcase/sap-on-
azure-your-trusted-path-to-innovation-in-the-cloud.

As organizações com tarefas complexas de uso intenso de computação e processos exigem


recursos de HPC. Vamos analisar em detalhes as ofertas de HPC para Azure na próxima seção.
Computação de alta performance
À medida que as empresas adquirem maiores volumes de dados e métodos mais
sofisticados para manipulá-los, o HPC torna-se mais predominante. Nos últimos
tempos, cada vez mais organizações começaram a entender como podem reinventar
e transformar seus negócios usando soluções de HPC. No entanto, muitas dessas
organizações não têm um histórico de HPC e, portanto, não têm clusters de hardware
existentes nem outros investimentos em hardware de HPC para usar como ponto
de partida. É nesse ponto que o Azure HPC pode agregar alguns de seus maiores
valores. O Azure HPC oferece a capacidade de desenvolver e hospedar aplicações
e experiências inovadoras sem a necessidade de implantar na infraestrutura local.

Veja a seguir alguns exemplos de diferentes indústrias e o uso que fariam do HPC:

Indústrias Para o que usam o HPC?


Finanças Modelagem de riscos, prevenção de fraudes

Engenharia Dinâmica fluida computacional (CFD), análise de elementos finitos


(FEA), electronic design automation (EDA), simulação de
engenharia química, desenvolvimento de veículos autônomos

Ciências biológicas Sequenciamento de genoma, splicing de DNA, biologia


molecular, desenvolvimento farmacêutico
Modelagem de clima (WRF), processamento sísmico, modelagem
Ciências da Terra de reservatórios
Fabricação Engenharia digital de veículos, Indústria 4.0, manutenção
preditiva, gêmeos digitais
Tabela 4.4: Como o HPC é usado em diferentes indústrias

O Azure permite executar workloads de HPC de nível empresarial na nuvem, sem os custos
e os riscos de investir no planejamento, na implantação e no gerenciamento de seus
próprios clusters de HPC na infraestrutura local. Um sistema Azure HPC tem a vantagem
de que você pode provisionar recursos dinamicamente à medida que forem necessários
e desligá-los quando a demanda cai. O Azure facilita a coordenação de uma tarefa de HPC
em muitas VMs e oferece suporte a uma grande variedade de tamanhos de VM, tipos de
processador e opções de armazenamento comuns aos requisitos de dados de HPC.
92 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

No Azure, há várias opções de tecnologias para atender às suas demandas de HPC:


• Máquinas virtuais da série H: VMs baseadas em CPU com interconexão de alta
performance
• Máquinas virtuais da série N: GPU e outras VMs baseadas em acelerador com
interconexão de alta performance
• Supercomputador Cray: opções para ambientes dedicados e totalmente
gerenciados
• Azure Cycle Cloud: para expandir ambientes e clusters
• Cache do Azure HPC: para a sincronização de Big Data na infraestrutura local
• Lote do Azure: para escalar trabalhos de aplicação

Alguns dos principais ISVs da indústria em operação no Azure incluem a Ansys,


a Altair e a Willis Towers Watson. Vamos analisar em detalhes cada uma destas ofertas
do Azure HPC.

Observação
O Linux é o sistema operacional mais comum para workloads de HPC e, portanto,
o Azure oferece total suporte ao Linux como o sistema operacional padrão para
VMs de HPC.

Máquinas virtuais da série H do Azure


As máquinas virtuais da série H são otimizadas para aplicações de HPC que têm demandas
de largura de banda de memória e dimensionamento excepcionalmente altos, por exemplo:
• Química computacional
• Automação de design eletrônico
• Análise de elementos finitos
• Dinâmica de fluidos
• Simulação de transferência de calor
• Simulação quântica
• Renderização
• Simulação de reservatório
• Análise de riscos
• Processamento sísmico
• Spark
• Modelagem de clima

A série H também oferece suporte a interconexões extremamente rápidas com o RDMA


InfiniBand, tornando-as altamente capazes para workloads firmemente acoplados que
exigem muitas comunicações entre os servidores durante o processamento.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 93

Saiba mais sobre instâncias de HPC de VMs do Azure em https://azure.microsoft.com/


pricing/details/virtual-machines/series/.

Máquinas virtuais da série N do Azure


As máquinas virtuais da série N oferecem suporte a uma variedade de GPUs e são
adequadas para workloads de uso intenso de gráficos e computação, incluindo:
• Aprendizado profundo
• Visualização remota de ponta
• Análise preditiva

Essas VMs também oferecem suporte a interconexões extremamente rápidas com o


RDMA InfiniBand, tornando-as altamente capazes para workloads firmemente acoplados
que exigem muitas comunicações entre os servidores durante o processamento.
Saiba mais sobre as VMs da série N em https://azure.microsoft.com/pricing/details/
virtual-machines/series/.

Supercomputador Cray
O Cray no Azure fornece um supercomputador dedicado e totalmente gerenciado
em sua rede virtual. A Microsoft e a Cray se uniram para oferecer a você performance,
dimensionamento e elasticidade extremos, capazes de lidar com os workloads de HPC
mais exigentes. Agora você pode obter seu próprio supercomputador Cray fornecido
como um serviço gerenciado e executá-lo junto com outros serviços do Azure para
alimentar seus grandes fluxos de trabalho de computação.
Para saber mais sobre Cray no Azure, acesse https://azure.microsoft.com/solutions/
high-performance-computing/cray/.

Azure CycleCloud
O Azure CycleCloud é uma ferramenta empresarial para gerenciar e orquestrar
ambientes HPC no Azure. Ele é direcionado a administradores de HPC que desejam
implantar um ambiente de HPC usando um agendador específico. O Azure CycleCloud
é um recurso predefinido e oferece suporte a muitos agendadores de HPC amplamente
utilizados, entre eles:
• Grid Engine
• HTCondor
• PBS Professional
• Plataforma LSF
• Slurm Workload Manager
94 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Com o Azure CycleCloud, os administradores da HPC podem:


• Escalar automaticamente a infraestrutura para executar trabalhos de forma
eficiente em qualquer escala.
• Criar e montar diferentes tipos de sistemas de arquivos nos nós de cluster
de computação a fim de oferecer suporte a workloads de HPC.
• Provisionar a infraestrutura para sistemas de HPC.
É interessante observar que o Azure CycleCloud e o Lote do Azure são produtos
da mesma linha. Falaremos sobre o Lote do Azure posteriormente nesta seção.

Saiba mais sobre o Azure CycleCloud em https://docs.microsoft.com/azure/


cyclecloud/overview.

Cache de HPC do Azure


O Cache de HPC do Azure traz o dimensionamento da computação na nuvem para seu
fluxo de trabalho existente, armazenando em cache os arquivos no Azure e ajudando
a aumentar a velocidade de acesso aos seus dados para tarefas de HPC. Você pode
até mesmo usar o Cache de HPC do Azure para acessar seus dados em links WAN,
como no ambiente de armazenamento conectado pela rede (NAS) no datacenter local.
Falaremos mais sobre o Cache de HPC do Azure mais adiante neste capítulo.
Saiba mais sobre o Cache de HPC do Azure em https://azure.microsoft.com/services/
hpc-cache/.

Lote do Azure
O Lote do Azure é um serviço para trabalhar com tarefas paralelas de uso intenso de
computação em grande escala no Azure. Ao contrário das VMs de HPC e do Microsoft
HPC Pack, o Lote do Azure é um serviço gerenciado. Você fornece dados e aplicações
e especifica se devem ser executados no Linux ou no Windows, quantas máquinas usar
e quais regras se aplicam à escala automática. O Lote do Azure trata do provisionamento
da capacidade de computação e otimiza a forma como o trabalho é feito em paralelo.
Você só paga pela computação subjacente, pelas redes e pelo armazenamento utilizados.
O serviço de agendamento e gerenciamento de Lote do Azure é gratuito.
O Lote do Azure é um serviço ideal para workloads pesados, como modelagem
de risco financeiro, renderização 3D, transcodificação de mídia e análise de sequência
genética. Pense no Lote do Azure como uma camada de serviço de gerenciamento
e agendamento flexível sobre a plataforma do Azure. Mesmo que você possa fornecer
milhares de VMs para oferecer suporte a workloads pesados sem a ajuda do Lote
do Azure, essa tarefa sem ele exigiria que você cuidasse de todo o agendamento de
milhares de VMs e da distribuição do trabalho de acordo com a capacidade disponível.
Saiba mais sobre o Lote do Azure em https://docs.microsoft.com/azure/batch/batch-
technical-overview.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 95

Os serviços HPC no Azure colocam técnicas de HPC ao seu alcance e capacitam você
a executar novas tarefas. Você aprendeu sobre as soluções disponíveis no Azure para
workloads de HPC: Lote do Azure, VMs de HPC e o Microsoft HPC Pack. Agora você
pode escolher a melhor opção para seus workloads de HPC.

Concluímos aqui a visão geral dos cenários comuns de migração de workloads. Na próxima
seção, vamos analisar como alcançar a escala de nuvem e maximizar a performance no Azure.

Como alcançar a escala de nuvem e maximizar a performance


Aqui, vamos analisar como alcançar a escala de nuvem e maximizar a performance
depois de migrar o workload para o Azure. Começaremos analisando a escala do
Azure e como o dimensionamento automático pode ajudar a alcançar esse objetivo.
Em seguida, vamos abordar as opções disponíveis para otimização de performance
de computação e armazenamento.

Dimensionamento automático do Azure


O dimensionamento automático permite que um sistema ajuste os recursos necessários
para atender à demanda variável dos usuários enquanto controla os custos associados
a esses recursos. É possível usar o dimensionamento automático com muitos serviços
do Azure, como Conjuntos de Dimensionamento de Máquinas Virtuais do Azure.
O dimensionamento automático exige que você configure as regras que especificam
as condições em que os recursos devem ser adicionados ou removidos.
Suponha que você administre uma loja de artigos especiais online. Durante as temporadas de
férias, seu site pode experimentar um aumento de curto prazo no tráfego. Esses picos podem
acontecer a qualquer momento, o que dificulta o planejamento de possíveis picos no tráfego.
Essa imprevisibilidade de eventos significa que o dimensionamento manual não é uma opção
e seria extremamente caro manter seus recursos do site disponíveis em todos os momentos
em caso de um aumento repentino. É nesse ponto que o dimensionamento automático do
Azure é útil. Ele expandirá ou diminuirá automaticamente seus recursos de acordo com suas
regras de dimensionamento automático configuradas, proporcionando a você paz de espírito.
Na mesma linha do dimensionamento, também precisamos analisar as considerações
de performance de computação e armazenamento.

Considerações de performance de computação e armazenamento


Como você pode lembrar, na seção A escolha da infraestrutura subjacente deste capítulo,
destacamos vários serviços do Azure para computação e armazenamento. Quando se trata
de considerações sobre performance de computação, os Conjuntos de Dimensionamento
de Máquinas Virtuais do Azure são um serviço que oferece alta performance e alta
disponibilidade e podem ser usados em vez de conjuntos de disponibilidade. Para sua
consideração de performance de armazenamento, o Disco Ultra do Azure fornece a mais alta
performance com a menor latência. Nesta seção, vamos nos aprofundar em cada um desses
dois serviços para suas considerações de performance de computação e armazenamento.
96 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Consideração sobre performance de computação: Conjuntos


de Dimensionamento de Máquinas Virtuais
Com os Conjuntos de Dimensionamento de Máquinas Virtuais, você pode criar
e gerenciar um grupo diversificado de VMs com balanceamento de carga e dimensionar
e reduzir automaticamente o número de VMs com base na demanda e no uso reais,
ou de acordo com uma agenda personalizada definida por você. O melhor de tudo é que
você não precisa configurar manualmente cada VM.

Nos bastidores, os Conjuntos de Dimensionamento de Máquinas Virtuais usam um


balanceador de carga para distribuir solicitações entre as instâncias de VM e uma sonda de
integridade para determinar a disponibilidade de cada instância. Veja como isso funciona:
1. Os Conjuntos de Dimensionamento de Máquinas Virtuais usam a sonda
de integridade para efetuar ping na instância.
2. Se a instância responder, o Conjunto de Dimensionamento de Máquinas Virtuais
determinará que a instância ainda está disponível.
3. Se o ping falhar ou expirar, o Conjunto de Dimensionamento de Máquinas Virtuais
determina que a instância não está disponível e interrompe o envio de solicitações
para ela.
Os Conjuntos de Dimensionamento de Máquinas Virtuais oferecem suporte a VMs Linux e
Windows no Azure e permitem que você gerencie, configure e atualize centralmente um
grupo heterogêneo de VMs. Conforme a demanda cresce, o número de VMs em execução
no conjunto de dimensionamento aumenta. Por outro lado, conforme a demanda cai,
as VMs em excesso podem ser encerradas. Você pode ter até 1.000 VMs em um único
Conjunto de Dimensionamento de Máquinas Virtuais por zona de disponibilidade.
Se você lida com grandes workloads cuja demanda varia e é imprevisível, os Conjuntos
de Dimensionamento de Máquinas Virtuais são uma solução ideal. Você pode obter
o controle total das VMs individuais no seu Conjunto de Dimensionamento e garantir
alta disponibilidade em escala com o modo de orquestração flexível. É possível
alterar os tamanhos das VMs sem reimplantar o conjunto de dimensionamento nem
misturar VMs spot do Azure e VMs pré-pagas na mesma escala definida para otimizar
seus custos. Você também pode gerenciar VMs e Conjuntos de Dimensionamento
de Máquinas Virtuais usando as mesmas APIs e acelerar suas implantações definindo
domínios de falha durante o processo de criação de VMs.

Para saber mais sobre os Conjuntos de Dimensionamento de Máquinas Virtuais do


Azure, acesse https://azure.microsoft.com/services/virtual-machine-scale-sets/.

Depois de abordarmos a computação, agora vamos analisar quais opções


de armazenamento você deve considerar para workloads de HPC.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 97

Consideração sobre armazenamento em cache de arquivos de alta


performance: Cache de HPC do Azure
Conforme abordado anteriormente, o Cache de HPC do Azure acelera o acesso aos
seus dados para tarefas de HPC, armazenando arquivos em cache no Azure. No portal
do Azure, você pode facilmente iniciar e monitorar o cache de HPC do Azure. Mesmo
que você altere o destino de armazenamento no back-end, o acesso do cliente
permanece simples, já que os contêineres de Blobs ou o armazenamento NFS existente
podem se tornar partes do namespace agregado do Cache de HPC do Azure.
Para saber mais, assista a um breve vídeo sobre o Cache de HPC do Azure em https://
azure.microsoft.com/resources/videos/hpc-cache-overview/.

Consideração sobre armazenamento sensível à latência: Azure NetApp Files


O Azure NetApp Files é um serviço de armazenamento de arquivos de classe
empresarial medido que permite escolher os níveis de serviço e performance desejados.
Por padrão, ele é altamente disponível, de alta performance e é compatível com todos
os tipos de workload. O serviço permite configurar instantâneos sob demanda, bem
como gerenciar políticas (atualmente em visualização) que agendam instantâneos
de volume automáticos.
O Azure NetApp Files facilita para os profissionais de armazenamento e LOB empresarial
a migração e a execução de aplicações baseadas em arquivos complexos, sem nenhuma
alteração no código. É o serviço de armazenamento de arquivos compartilhado de
escolha que é subjacente a uma ampla gama de cenários, incluindo a migração de
aplicações compatíveis com POSIX Linux e Windows (lift-and-shift), aplicativos Web
corporativos, bancos de dados, SAP HANA e aplicativos e infraestrutura de HPC.

Consideração sobre performance de armazenamento: Discos Ultra do Azure


Como abordado anteriormente neste capítulo, se sua VM do Azure exibir a mais alta
performance, taxa de transferência e IOPS com a menor latência, considere o Disco
Ultra do Azure. O Disco Ultra do Azure fornece performance de primeira linha com
os mesmos níveis de disponibilidade que as ofertas de disco existentes. Um dos
principais benefícios do Disco Ultra do Azure é que você pode ajustar dinamicamente
a performance do SSD juntamente com seu workload sem precisar reiniciar suas VMs
do Azure. Isso o torna ideal para workloads pesados com uso intenso de transações,
como SAP HANA, SQL Server e Oracle.
Para saber mais sobre os Discos Ultra do Azure, acesse https://docs.microsoft.com/
azure/virtual-machines/disks-enable-ultra-ssd.

Na próxima seção, falaremos sobre a continuidade dos negócios e a Disaster Recovery


e como realizá-los usando as ferramentas apropriadas do Azure.
98 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Backup de nível empresarial e Disaster Recovery


No momento da redação deste documento, e principalmente devido à pandemia,
organizações de todos os portes optaram por migrar suas operações para o Microsoft
Azure, para habilitar o trabalho remoto seguro e melhorar a eficiência operacional.
Além disso, as organizações que migram para o Azure podem reduzir significativamente
o CapEx, pois há muito pouca ou nenhuma necessidade de adquirir infraestrutura
em um investimento inicial ao implantar workloads na nuvem pública. No entanto, é
importante projetar uma infraestrutura confiável que possa ajudar você a manter seus
dados e aplicações para que eles estejam sempre disponíveis e acessíveis.
A fim de ajudar você a proteger seus dados e aplicações críticos de qualquer possível
falha, é importante sempre fazer cópias de seus dados e fornecer acesso seguro a esses
backups para garantir a continuidade dos negócios. O backup do Azure pode ajudar
você a fazer backup de seus dados e restaurá-los no Azure.

Backup do Azure
A realização de backups na nuvem pode ajudar as organizações a reduzir custos
e melhorar a consistência no gerenciamento de armazenamento. O Backup do Azure foi
criado para ajudar você a fazer backup e restaurar seus dados na nuvem.

Embora saibamos que o Azure produz pelo menos três cópias de seus dados
e as armazena usando o armazenamento do Azure, é fundamental manter um backup
e melhorar sua postura de segurança, permitindo a proteção contra danos, eliminações
acidentais ou ransomware.

Como o Backup do Azure é um serviço totalmente gerenciado, integrado ao Azure, você


pode fazer backups de dados que estão na infraestrutura local ou na nuvem e restaurá-
los de volta a um período específico para garantir a continuidade dos negócios.

O Backup do Azure não exige que você configure nenhuma infraestrutura, o que
o torna simples de usar, reduzindo o custo de propriedade. O Backup do Azure fornece
integração nativa com diferentes workloads que são executados no Azure, como VMs
do Azure, bancos de dados como o SQL Server em máquinas virtuais ou arquivos
do Azure PostgreSQL, SAP e Azure. Portanto, não é necessário provisionar nenhuma
infraestrutura para realizar backups.
Como o Backup do Azure armazena os dados? Nos bastidores, o Backup do Azure
depende principalmente do armazenamento de Blobs do Azure para armazenar seus
backups e garantir a confiabilidade, pois você pode escolher entre uma variedade
de opções de redundância para os backups, como armazenamento de redundância
local (LRS), armazenamento com redundância geográfica (GRS), armazenamento
com redundância geográfica e acesso de leitura (RA-GRS) ou armazenamento com
redundância de zona (ZRS). O Backup do Azure melhora a segurança, pois tem recursos
de criptografia para proteger dados em trânsito e em repouso e recursos como controle
de acesso baseado em função, além de fornecer exclusão reversível de dados de backup
por até 14 dias sem cobranças adicionais.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 99

À medida que os dados das organizações aumentam juntamente com seus workloads
em várias assinaturas do Azure, regiões do Azure e até mesmo locatários, é fundamental
manter seus dados e recursos seguros e compatíveis. Portanto, os recursos de governan-
ça tornam-se relevantes para monitorar e aplicar padrões de governança nos backups.
Para saber mais sobre orientação e práticas recomendadas para o Backup do Azure,
acesse https://docs.microsoft.com/azure/backup/guidance-best-practices.
Backup Center é um recurso novo recurso gerenciamento central nativo que ajuda
a monitorar, operar, reger e obter insights sobre seu backup em toda a sua propriedade de
backup. Você pode gerenciar todas as fontes de dados e instâncias de backup em todos os
seus cofres. Você também pode selecionar uma fonte de dados específica para obter mais
detalhes sobre o backup. Por meio do Backup Center, você pode iniciar restaurações de
seus dados e adicionar políticas e cofres, conforme mostrado na Figura 4.1:

Figura 4.1: Página do Backup Center


100 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Usando o Backup Center, você pode integrar recursos de governança, como as


políticas do Azure, que permitem que as organizações auditem e implantem políticas
para alcançar um estado desejado de objetivo de backup. Em seguida, você pode usar
a conformidade de backup para ver se sua organização está seguindo essas políticas.
Agora que analisamos como funciona o Backup do Azure, outra consideração para
a criação de sistemas confiáveis é a capacidade de recuperação. Vamos ver como
o Azure pode ajudar você a melhorar os processos de failover e recuperação por meio
do Azure Site Recovery.

Azure Site Recovery


Como uma organização, você precisa garantir a continuidade dos negócios
e reduzir o tempo de inatividade quando ocorre um desastre. O planejamento para
a continuidade dos negócios e a Disaster Recovery implica a adoção de um mecanismo
para garantir que seus workloads e dados sejam seguros e resilientes a interrupções
planejadas ou não planejadas.
O Azure Site Recovery (ASR) pode ajudar você a manter suas aplicações e workloads
em execução durante interrupções planejadas ou não planejadas. O ASR tem
a capacidade de replicar os workloads que estão sendo executados na infraestrutura
local ou em VMs e restaurá-los em um local diferente. Dessa forma, se ocorrer uma
interrupção no seu local principal, você poderá replicar seus workloads para um local
secundário e garantir a continuidade dos negócios. Depois que seu local principal
estiver em execução, você poderá executar um failback nele.
Com esse mecanismo de Disaster Recovery, o ASR ajuda a reduzir os custos
de infraestrutura, eliminando a necessidade de criar ou manter um datacenter
secundário dispendioso. Além disso, você só paga pelos recursos de computação
quando as VMs são ativadas, ou seja, no momento do failover real.
Além disso, é simples de implantar e gerenciar. Há uma interface gráfica de apontar
e clicar para configurar a replicação e realizar operações contínuas, incluindo
simulações de DR sem impacto. Isso significa que todo o plano de Disaster Recovery
pode ser testado realizando um failover para um site secundário, sem afetar o site
de produção. Por fim, há uma integração perfeita com outros serviços do Azure.
Vamos dar um exemplo de uma organização que está procurando habilitar um cenário
de Disaster Recovery para suas aplicações em execução em VMs no Azure. Ao habilitar
o ASR para uma VM, o ASR requer a instalação de uma extensão na VM, essa extensão
é o serviço de Mobilidade do Site Recovery, conforme mostrado na Figura 4.2:
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 101

Figura 4.2: Azure Site Recovery

Observação
O serviço de mobilidade do Site Recovery deve ser instalado na VM a ser replicada.
Se você planeja habilitar o ASR em um Dispositivo Virtual de Rede do Azure
(NVA), é altamente recomendável confirmar se a extensão pode ser instalada, pois
muitos NVAs têm um sistema operacional fechado e não é possível habilitar o ASR
para essas máquinas virtuais.

Durante o processo de replicação, as gravações de disco de VM são enviadas para


uma conta de armazenamento em cache na região de origem, e os dados são enviados
da conta de armazenamento em cache para a região de destino ou a região secundária.
Neste momento, o Azure estabelece pontos de recuperação a partir dos dados
replicados.
Ao executar um failover para a VM, o ponto de recuperação é utilizado pelo ASR para
restaurar a VM para a região de destino.
102 | Migração para a nuvem: planejamento, implementação e práticas recomendadas

Em geral, para habilitar o ASR em suas VMs, você deve:


• Criar um cofre de Serviços de Recuperação para armazenar os dados que
serão copiados juntamente com as informações de configuração das VMs.
É recomendável ter pelo menos uma função de colaborador na assinatura.
• Habilitar a replicação e definir as configurações de origem e destino
ao executar um failover. Todos os recursos, incluindo as VMs e os componentes
de rede, são criados na região de destino.
• Preparar as VMs para garantir a conectividade de saída e verificar se as VMs têm
os certificados raiz instalados.
• Executar um failover de teste, e sugerimos o uso de uma rede de não produção
para fins de teste a fim de evitar qualquer impacto sobre os recursos na rede
de produção.

Observe que o acesso às contas de armazenamento que são utilizadas pelos cofres
de ASR só é permitido por meio do Backup do Azure. Dessa forma, você pode melhorar
a segurança e proteger seus dados.

Encerramos aqui nossa discussão sobre a continuidade dos negócios e a Disaster


Recovery. Na seção final, vamos analisar alguns recursos úteis para guiar você em sua
jornada de migração para a nuvem no Azure.

Práticas recomendadas de migração para o Azure e suporte


Você pode procurar os seguintes recursos para documentação, tutoriais e muito mais,
dependendo de suas necessidades.

A documentação oficial do Azure


A documentação oficial do Azure fornece uma grande quantidade de informações sobre
como começar, arquitetar e projetar suas aplicações para a nuvem, documentação
sobre todos os produtos do Azure, tutoriais e muito mais: https://docs.microsoft.com/
azure/.

Migrações para Azure


Saiba como usar o recurso Migrações para Azure para descobrir, avaliar e migrar sua
infraestrutura, dados e aplicações na infraestrutura local para o Azure: https://docs.
microsoft.com/azure/migrate/migrate-services-overview.

Programa de Migração do Azure


Saiba como o Programa de Migração do Azure pode acelerar sua jornada de migração
para a nuvem com práticas recomendadas, recursos e diretrizes: https://azure.
microsoft.com//migration/migration-program/.
Migração para a nuvem: planejamento, implementação e práticas recomendadas | 103

Azure Architecture Center


Saiba como criar aplicações no Azure que sejam seguros, resilientes, escaláveis
e altamente disponíveis, seguindo práticas comprovadas da indústria: https://docs.
microsoft.com/azure/architecture/guide/.

Serviço de Aplicativo do Azure


Saiba como usar o Serviço de Aplicativo do Azure com nossos guias rápidos, tutoriais
e exemplos: https://docs.microsoft.com/azure/app-service/.

Banco de Dados SQL do Azure


Saiba mais sobre a família do SQL do Azure de produtos do mecanismo de banco
de dados SQL Server na nuvem: https://docs.microsoft.com/azure/azure-sql/.

Treinamento gratuito com o Microsoft Learn


Para garantir que as equipes obtenham e mantenham a proficiência no Azure,
o Microsoft Learn fornece uma plataforma de treinamento gratuita para desenvolver
novas habilidades e certificações por meio da aprendizagem online interativa: https://
docs.microsoft.com/learn/.

Entre em contato com um especialista em vendas do Azure


Fale com a equipe de especialistas da Microsoft para ver como a Microsoft pode ajudar
você a migrar para o Azure: https://azure.microsoft.com/migration/web-applications/
app-migration-contact-sales/.

Resumo
Ao longo deste capítulo, analisamos como planejar, projetar e implementar sistemas
confiáveis na nuvem. Abordamos a iniciativa Microsoft Azure Well-Architected e como
ele pode ajudar você a adotar práticas recomendadas para melhorar a qualidade
de seus workloads em execução na nuvem. Em seguida, analisamos profundamente
a infraestrutura subjacente do Azure para fornecer todas as informações de que você
precisa para decidir qual é a melhor maneira de atender às suas metas de migração.
Também falamos sobre cenários comuns de migração de workloads e como obter escala
de nuvem e maximizar a performance no Azure.

Por fim, analisamos como o ASR e o Backup do Azure podem ajudar você a adotar
rapidamente o trabalho remoto para seus funcionários, garantindo a continuidade dos
negócios durante um failover e acesso aos seus dados de forma segura.

No próximo capítulo, analisaremos como melhorar sua postura de segurança


ao habilitar o trabalho remoto.
Como habilitar
5
o trabalho seguro
e remoto com
o Azure AD e a Área
de Trabalho Virtual
do Azure
No capítulo anterior, aprendemos que a transição para a nuvem não se trata apenas
de migrar recursos na infraestrutura local para a nuvem, mas é uma jornada que
envolve melhorar a escalabilidade, a segurança e a produtividade baseada em
nuvem para permitir o trabalho de colaboração remota em qualquer lugar.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |105
Trabalho Virtual do Azure

Este capítulo abordará os desafios comuns de infraestrutura que as organizações


enfrentam ao tentar habilitar o trabalho remoto e como os principais componentes
de infraestrutura do Azure, como rede, identidade, segurança, computação
e armazenamento, podem capacitar o atual espaço de trabalho digital moderno.
Neste capítulo, vamos abordar:
• Implante a infraestrutura de trabalho remoto com segurança
• Gerenciar o acesso por meio do Azure Active Directory
• Habilitar a conectividade remota
• Proteger e gerenciar o tráfego para seus workloads
• Habilitar trabalhadores remotos com a Área de Trabalho Virtual do Azure

Começaremos falando sobre os conceitos básicos da implantação do trabalho remoto


com o Azure.

Implante a infraestrutura de trabalho remoto com segurança


O trabalho remoto tem sido uma transição obrigatória para a maioria das organizações
no ano passado e trouxe vários desafios para as pessoas que costumavam trabalhar
de escritórios corporativos em tempo integral.
Permitir o trabalho em casa é a chave para ajudar as pessoas a se manterem conectadas
em uma organização e com parceiros e clientes em um mundo híbrido. As empresas
estão fazendo a transição para uma tendência inovadora: o trabalho híbrido.
Embora algumas pessoas já tenham voltado a trabalhar no escritório, as empresas
podem permitir que os funcionários trabalhem remotamente em um futuro próximo.
Podemos esperar um futuro em que o trabalho híbrido será o novo padrão.
Esse é o nosso principal desafio. Devemos preparar nossas infraestruturas para
permitir o acesso de dispositivos pessoais e domésticos às nossas redes corporativas,
e o Microsoft o Azure fornece a flexibilidade e os controles para habilitar essa
integração com segurança.
Nas seções a seguir, analisaremos alguns dos serviços mais recentes disponíveis
no Azure para implantar a infraestrutura de trabalho remoto com segurança usando
o Azure Active Directory, serviços de rede e a Área de Trabalho Virtual do Azure.
Vamos começar com um dos pilares fundamentais, o Azure Active Directory.
106 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Azure Active Directory


Com o Azure Active Directory (Azure AD), você não só poderá habilitar o trabalho
remoto, mas também poderá permitir que os usuários acessem com segurança
as aplicações necessárias fora da rede corporativa.
É importante ter uma forte base de identidade na nuvem, e o Azure AD é o
componente-chave para capacitar os usuários que trabalham remotamente.
O Azure AD é uma oferta baseada em nuvem da Microsoft que fornece recursos
de gerenciamento de identidade e acesso. Isso significa que o Azure AD pode abranger
diferentes ambientes, permitindo que os funcionários tenham acesso a recursos
que podem ser localizados em suas aplicações baseadas em nuvem e seu datacenter
na infraestrutura atual.
O Azure AD é o maior serviço de identidade baseado em nuvem oferecido no mundo,
com mais de 200 mil organizações e mais de 30 bilhões solicitações de autenticação
diárias. O Azure AD também ajuda a detectar e corrigir ameaças à segurança. Um dos
principais desafios para as organizações que buscam usar os serviços de gerenciamento
de identidade e acesso inclui o processo de integração.
Vamos dar uma olhada rápida nos principais componentes e configurações que
podem ajudá-lo a habilitar o acesso à aplicação com segurança. Antes de analisarmos
os recursos do Azure AD para habilitar o trabalho remoto, é importante entender
que o Azure AD é um serviço baseado em nuvem para gerenciamento de identidade
e acesso. Portanto, ele é adequado para diferentes tipos de usuários, como:
• Administradores de TI que buscam controlar o acesso a aplicações, protegendo
identidades e credenciais de usuários para atender aos requisitos de governança.
• Desenvolvedores de aplicativos que podem usar os recursos do Azure
AD e a integração com as APIs do Azure AD para oferecer experiências
personalizadas de aplicativos.
• Assinantes de vários serviços, como Microsoft 365, Dynamics 365 ou
Microsoft Azure.

Há algumas considerações que você deve levar em conta ao escolher o Azure AD,
que abordaremos a seguir.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |107
Trabalho Virtual do Azure

Planejar seu ambiente


Antes de executar qualquer implantação para o Azure AD, precisamos garantir que
temos o modelo de licenciamento certo que nos permitirá configurar corretamente
o Azure AD com os recursos necessários para a nossa organização. Há três camadas
principais de licenciamento do Azure AD:
• Azure AD gratuito
• Azure AD Premium P1
• Azure AD Premium P2

Vamos começar com o Azure AD gratuito. Essa camada fornecerá alguns recursos
básicos, como gerenciamento de usuários e grupos, sincronização de diretórios
na infraestrutura local, alteração de senha self-service para usuários da nuvem e logon
único em plataformas de nuvem, como Azure, Microsoft 365 e soluções de SaaS
de terceiros, como visto na Figura 5.1:

Figura 5.1: Azure AD


108 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Se você estiver buscando permitir que os usuários que fazem parte do acesso da sua
organização em recursos na infraestrutura local e na nuvem, o Azure AD Premium
P1 pode atender às principais necessidades da sua organização. Essa camada oferece
suporte a gerenciamento de grupos self-service e grupos dinâmicos e permite que
o Microsoft Identity Manager e os recursos de write-back de nuvem permitam que
seus usuários na infraestrutura local executem uma redefinição de senha self-service,
conforme mostrado na Figura 5.2:

Figura 5.2: Ambiente híbrido do Azure AD


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |109
Trabalho Virtual do Azure

O Azure AD Premium P2 é a camada ideal se sua organização estiver buscando


aproveitar recursos de segurança avançados, como políticas de acesso baseadas
em risco com base no Azure AD Identity Protection, que pode detectar atividades
maliciosas usando algoritmos de aprendizado de máquina em escala de nuvem,
conforme mostrado na Figura 5.3:

Figura 5.3: Acesso condicional do Azure AD

Quando sua organização se inscrever para um serviço Microsoft como o Azure,


o Microsoft intune ou o Microsoft 365, ele terá direito a uma instância de serviço
dedicada do Azure AD chamada de locatário. Um locatário representa uma organização.
Você pode aproveitar a criação do seu locatário do Azure AD usando o portal do Azure,
no qual você pode configurar e executar todas as tarefas administrativas relacionadas
ao Azure AD. Além disso, você pode fazer uso da API do Microsoft Graph para acessar
os recursos do Azure AD.
Agora que examinamos os vários cenários e modelos de licenciamento disponíveis para
o Azure AD, avançaremos para analisar a configuração da implantação do locatário
do Azure AD.
110 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Configurar ambientes híbridos e do Azure AD


Embora você possa estar familiarizado com a maioria dos recursos do Active
Directory Domain Services (AD DS) é importante destacar que o Azure AD e o AD DS
têm algumas semelhanças e diferenças, e vale a pena fazer uma revisão rápida para
entender melhor o escopo de cada produto. A tabela a seguir resume algumas das
principais diferenças:

Recurso Active Directory Domain Azure Active Directory


Services (AD DS) (Azure AD)
Provisionar Você pode criar usuários internos Você pode estender a infraestrutura de
ou usar um sistema de identidade da sua organização para a nuvem
usuários por meio do Azure AD Connect para
provisionamento.
sincronizar identidades.
Habilitar Você pode criar usuários externos O Azure AD fornece suporte para
identidades manualmente como usuários identidades externas por meio do Azure AD
comuns em uma floresta AD B2B, incluindo identidades de conta local,
externas externa dedicada.
corporativa ou social, permitindo o acesso
a logon único às suas aplicações e APIs.

Credenciais O Azure AD abrange a nuvem e a


Você pode gerenciar credenciais infraestrutura local e melhora
com base em senhas, autenticação significativamente a segurança usando a
de certificado e autenticação de autenticação multifatorial e tecnologias sem
cartão inteligente. senha, como FIDO2.
Infraestrutura O Active Directory pode habilitar os O Azure AD é o plano de controle para
componentes na infraestrutura local, acessar aplicações, e você pode ter controle
como DNS, DHCP, IPSec, WiFi, NPS sobre os usuários que devem ou não ter
e acesso de VPN. acesso a aplicações em condições
necessárias.
Aplicações As aplicações na infraestrutura local O Azure AD pode permitir que os
herdadas usam LDAP, NTLM e Kerberos ou trabalhadores remotos acessem aplicações
autenticação baseada em na infraestrutura local usando agentes de
cabeçalho para controlar o acesso Proxy de Aplicação do Azure AD executados
aos usuários. na infraestrutura local.
Desktops Você pode usar o Azure AD para entrar em
Você pode entrar em dispositivos dispositivos Windows e aproveitar o acesso
Windows Windows e gerenciá-los usando a condicional para aplicar os controles de
política de grupo e o System acesso corretos e as políticas
Center Configuration Manager. organizacionais.
Servidores Os recursos de gerenciamento para
Windows servidores Windows na Você pode usar o Azure AD DS para
infraestrutura local podem incluir gerenciar suas máquinas do Windows Server
políticas de grupo ou outras no Azure.
soluções de gerenciamento.
Tabela 5.1: Comparação entre AD DS e Azure AD
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |111
Trabalho Virtual do Azure

As identidades gerenciadas do Azure AD podem ser usadas se sua organização tiver


workloads do Linux e precisar fornecer acesso e comunicação seguros a esses recursos.
Para começar a trabalhar com o Azure AD, você deve usar um locatário, que geralmente
representa uma organização. É possível começar a trabalhar com um locatário existente
ou você pode criar um novo locatário do Azure AD.
Ao criar uma assinatura do Azure, ela terá uma relação de confiança com o Azure
AD para autenticar usuários, serviços e dispositivos. Sua organização pode ter várias
assinaturas do Azure, estabelecer uma relação de confiança com uma instância
do Azure AD e aproveitar uma entidade de segurança para fornecer acesso aos recursos
que são protegidos pelo locatário do Azure AD.
Com base nos tipos de usuários que sua aplicação vai autenticar, há dois tipos principais
de ambientes que podem ser criados:
• Contas do Azure AD (ou contas da Microsoft)
• Contas do Azure AD B2C

As contas do Azure AD, ou da Microsoft, referem-se a contas como outlook.com


e live.com ou contas relacionadas a trabalho e escola. As contas do Azure AD B2C
referem-se ao uso de contas locais ou sociais, como sua identidade social do Facebook
ou do Twitter, entre outras identidades, para obter acesso de logon único aos suas
aplicações e APIs.
112 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Criar seu locatário do Azure AD


A criação de um novo locatário do Azure AD pode ser feita por meio do portal do Azure.
Depois de ter sua assinatura do Azure pronta para uso, a próxima etapa é acessar
o portal do Azure e selecionar a opção Azure Active Directory, conforme mostrado
na Figura 5.4:

Figura 5.4: Azure AD no portal do Azure


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |113
Trabalho Virtual do Azure

Na página Visão geral, clique em Criar um locatário, conforme mostrado na Figura 5.5:

Figura 5.5: Criar um locatário

Em seguida, no painel Básico, você pode escolher o tipo de locatário que deseja
criar. Selecione Azure Active Directory ou Azure Active Directory (B2C), conforme
mostrado na Figura 5.6:

Figura 5.6: Tipo de locatário do Azure AD


114 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

No painel Configuração, você pode fornecer um nome para a organização e o nome


de domínio inicial que deseja usar, conforme mostrado na Figura 5.7:

Figura 5.7: Configuração do Azure AD

Em seguida, o Azure validará sua implantação. Depois de concluído, clique em Criar,


conforme mostrado na Figura 5.8:

Figura 5.8: Criar locatário do Azure AD


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |115
Trabalho Virtual do Azure

Você deve ver uma notificação no portal do Azure relacionada à criação do locatário
do Azure AD, conforme mostrado aqui:

Figura 5.9: Criação de locatário em andamento

Em apenas alguns minutos, seu novo locatário do Azure AD deve estar pronto. Você
verá a notificação no portal do Azure, conforme mostrado na Figura 5.10:

Figura 5.10: Criação de locatário do Azure AD bem-sucedida

Clique na notificação para ser redirecionado para sua nova página de locatário,
conforme mostrado na Figura 5.11:

Figura 5.11: Locatário do Azure AD


116 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Para ambientes híbridos, é recomendável usar o Azure AD Connect para obter


a integração de identidade híbrida, pois ele fornece os recursos necessários para
sincronizar os usuários na infraestrutura local com o Azure AD, mas também permite
que os usuários usem a mesma senha
na infraestrutura local e na nuvem sem a necessidade da infraestrutura adicional
de um ambiente federado.
Embora a federação seja uma configuração opcional, o Azure AD Connect pode ser útil
para configurações híbridas que estão usando uma infraestrutura de Active Directory
Federation Services (AD FS) na infraestrutura local.

Preparar a infraestrutura para a Área de Trabalho Virtual do Azure


A Área de Trabalho Virtual do Azure pode ajudá-lo a habilitar o trabalho híbrido
para sua organização e oferece a flexibilidade necessária para escalar os recursos
de infraestrutura conforme necessário.
Embora existam diferentes maneiras de implantar a infraestrutura remota, o Azure
agora fornece um recurso de introdução para instalar e configurar rapidamente sua
Área de Trabalho Virtual do Azure em sua implantação, inclusive para assinaturas com
ou sem DS AD DS do Azure e modelos do ARM.
Se sua organização já tem um Active Directory na infraestrutura local ou está apenas
começando com o Azure AD, é possível habilitar o trabalho híbrido por meio da Área
de Trabalho Virtual do Azure. Vamos revisar como você pode aproveitar o novo recurso
de introdução para implantar a Área de Trabalho Virtual do Azure sem AD DS.

Pré-requisitos para implantar a Área de Trabalho Virtual do Azure


O recurso de introdução está disponível no portal do Azure para implantar a Área
de Trabalho Virtual do Azure sem AD DS.
Vamos precisar do seguinte antes de implantar a Área de Trabalho Virtual do Azure:
• Uma assinatura ativa do Azure com um locatário do Azure AD
• Uma conta com permissões de administrador global no Azure AD
• Uma conta com permissões de proprietário na assinatura

Fluxo de trabalho
Nos bastidores, o recurso de introdução executará um assistente e realizará uma série
de validações se você tiver uma assinatura ativa com permissões de administrador
global válidas, as permissões certas do proprietário e se você tem ou não uma
configuração do Azure AD DS.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |117
Trabalho Virtual do Azure

Em seguida, ele criará uma Entidade de Serviço do Azure AD e do grupo


de administradores do AAD DC.

Ele também validará as contas a serem criadas e, em seguida, provisionará os recursos, como
a rede virtual, grupos de segurança de rede, o grupo de usuários da Área de Trabalho Virtual
do Azure e os componentes adicionais necessários para que a Área de Trabalho Virtual do
Azure funcione, como a conta de armazenamento para os perfis FSLogix e os pools de hosts.

Implantar a Área de Trabalho Virtual do Azure


Você pode seguir estas etapas para implantar a Área de Trabalho Virtual do Azure:
1. Vá para o portal do Azure e, depois de fazer logon em sua pesquisa de assinatura
da Área de Trabalho Virtual do Azure na barra de pesquisa localizada no topo,
como mostrado na Figura 5.12:

Figura 5.12: Área de Trabalho Virtual do Azure

2. Uma nova guia está disponível para você chamada Introdução, como mostrado
na Figura 5.13. Selecione essa opção e clique no botão Iniciar:

Figura 5.13: Criar uma nova Área de Trabalho Virtual do Azure


118 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

3. Agora você deve ver o assistente de introdução para a configuração inicial. Na guia
de Noções básicas, você fornecerá as informações relacionadas ao grupo Recurso,
Local as credenciais de usuário do Azure e as credenciais de administrador do
domínio, conforme mostrado na Figura 5.14.
• Você pode criar um novo grupo de recursos ou escolher um existente.
• Para o provedor de identidade, podemos selecionar uma configuração
existente ou uma assinatura vazia. Se você selecionar a opção
de configuração existente, isso significa que já tem AD DS configurados.
• Escolha o local onde sua Área de Trabalho Virtual do Azure será implantada.
• Forneça o nome principal do usuário completo (UPN) do administrador
do Azure Active Directory que tem permissões para implantar recursos
e conceder permissões.
• Insira o UPN de um novo usuário do Active Directory que será criado
e receberá permissões para ingressar em máquinas em seu novo domínio.
Clique em Próximo: máquinas virtuais para ir para a próxima guia:

Figura 5.14: assistente do Guia de Introdução


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |119
Trabalho Virtual do Azure

4. A guia Máquinas virtuais realmente simplifica a maneira como você define sua
infraestrutura a ser implantada. Você pode começar definindo se deseja que
os usuários compartilhem essa máquina virtual. Você pode criar uma implantação
única ou de várias sessões, conforme mostrado na Figura 5.15.

Figura 5.15: configuração do usuário

5. Agora selecione a Imagem para a máquina virtual, escolha uma imagem


personalizada ou selecione um VHD de um blob de armazenamento. Você pode
ver diferentes opções de imagem disponíveis para selecionar na Figura 5.16:

Figura 5.16: configuração da imagem


120 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

6. Em seguida, defina o Tamanho da máquina virtual, o Prefixo do nome da máquina


virtual e o Número de máquinas virtuais para a implantação, conforme mostrado
na Figura 5.17:

Figura 5.17: configuração da máquina virtual

7. Opcionalmente, você pode vincular modelos do ARM marcando a caixa de seleção


Vincular modelo do Azure, que exibirá dois novos campos adicionais. Você pode
inserir o URL do arquivo do modelo do AR e o URL de um arquivo de parâmetro,
conforme mostrado na Figura 5.18. Para essa demonstração, não anexaremos um
modelo do ARM.

Figura 5.18: vincular modelo do Azure

8. Na guia Atribuições, você criará um usuário de teste conforme mostrado na Figura


5.19. Depois de configurar os detalhes, selecione a opção Revisar + criar para validar
a implantação e selecione Criar.

Figura 5.19: criar uma conta de usuário de teste


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |121
Trabalho Virtual do Azure

9. Você pode ver uma implantação concluída da Área de Trabalho Virtual do Azure
na Figura 5.20:

Figura 5.20: implantação da Área de Trabalho Virtual do Azure

10. Você observará que o assistente criou vários grupos de recursos com diferentes
prefixos: avd, -deployment e -prerequisite, conforme mostrado na Figura 5.21:

Figura 5.21: Área de Trabalho Virtual do Azure – grupos de recursos


122 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

O grupo de recursos az-virtual-desktop-avd, neste caso, contém o ambiente


da Área de Trabalho Virtual do Azure, incluindo os discos do sistema operacional,
máquinas virtuais, interfaces de rede, grupos de aplicações, identidade gerenciada,
pool de host e um espaço de trabalho, conforme mostrado na Figura 5.22:

Figura 5.22: Área de Trabalho Virtual do Azure – grupos de recursos -avd

O az-virtual-desktop-deployment contém os artefatos de implantação, incluindo


a conta de automação e runbooks, conforme mostrado na Figura 5.23:
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |123
Trabalho Virtual do Azure

Figura 5.23: Área de Trabalho Virtual do Azure – grupos de recursos -deployment

Por fim, o az-virtual-desktop-prerequisite apresenta componentes como o Azure


AD Domain Services, rede virtual, interfaces de rede, o endereço IP público e o
balanceador de carga do Azure, conforme mostrado na Figura 5.24:

Figura 5.24: Área de Trabalho Virtual do Azure – grupos de recursos -prerequisite


124 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Caso precise estender seu ambiente, você pode criar um novo pool de host ou expandir
seu pool existente.

As etapas para implantar o Azure AD se uniram a máquinas virtuais na


Área de Trabalho Virtual do Azure
Agora vamos dar uma olhada em como implantar o Azure Active Directory com
máquinas virtuais na Área de Trabalho Virtual do Azure.
Você pode criar um novo pool de host ou estender o pool existente. Vamos estender
nosso pool de host e, para isso, acesse o painel da Área de Trabalho Virtual do
Azure, selecione Pools de host e clique na guia Máquinas virtuais. Você verá a opção
de ingressar na máquina virtual no Azure AD.

Figura 5.25: estender um pool de host existente


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |125
Trabalho Virtual do Azure

Isso acionará um assistente para adicionar máquinas virtuais de forma semelhante para
criar uma nova máquina virtual. Você pode ver a configuração básica da máquina virtual
na Figura 5.26:

Figura 5.26: adicionar máquinas virtuais a um pool de hosts


126 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Na próxima guia, você configurará as propriedades para as máquinas virtuais adicionais,


conforme visto na Figura 5.27:

Figura 5.27: configurar máquinas virtuais


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |127
Trabalho Virtual do Azure

Você precisará fornecer um Nome de usuário local para a Conta de administrador


da máquina virtual. Uma conta de administrador local com esse nome será criada
em cada máquina virtual. Você pode excluir o administrador ou redefinir a senha após
o provisionamento inicial da máquina virtual.

Figura 5.28: configurar a rede e a segurança


128 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Depois que a validação for concluída, você poderá prosseguir para a criação.

Figura 5.29: adicionar novas máquinas virtuais a um pool de hosts


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |129
Trabalho Virtual do Azure

Depois de alguns minutos, você verá que a implantação está completa e suas novas
máquinas virtuais estão agora no pool de host:

Figura 5.30: visão geral da implantação

Dependendo do seu caso de uso, você pode aproveitar os modelos do ARM para criar
a infraestrutura para sua implantação da Área de Trabalho Virtual do Azure.

Modelos do ARM
Os modelos do Azure Resource Manager (ARM) são usados para simplificar a criação
do seu ambiente de nuvem. O modelo do ARM mostrado na Figura 5.31 vai ajudá-lo com
a implantação de uma máquina virtual com o Active Directory e o Azure AD Connect
instalados:

Figura 5.31: Componentes do modelo do ARM


130 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Este modelo do ARM provisionará os seguintes recursos:


• Uma rede virtual
• Uma sub-rede
• Um Grupo de Segurança de Rede (NSG):
• Permite tráfego do AD, permite tráfego de entrada do Remote Desktop
Protocol (RDP) e restringe o acesso de Zona Desmilitarizada (DMZ)
• DNS configurado para apontar para o controlador de domínio
• Uma máquina virtual:
• O AD DS está instalado e configurado.
• Os usuários de teste estão criados no domínio.
• O Azure AD Connect está instalado e pronto para configuração.
• Um endereço IP público foi atribuído para administração remota via RDP

Depois que o modelo do ARM for implantado, o status será alterado para Concluído.
Neste momento, o controlador de domínio está pronto para a conectividade RDP.

Observação
Você também pode experimentar diferentes modelos do ARM com base nas suas
necessidades e retirá-los dos modelos de início rápido do Azure, como:

active directory new domain HA 2 DC zones: https://github.com/Azure/azure-


quickstart-templates/tree/master/application-workloads/active-directory/active-
directory-new-domain-ha-2-dc-zones

active-directory-new-domain-module-use: https://github.com/Azure/azure-
quickstart-templates/tree/master/application-workloads/active-directory/active-
directory-new-domain-module-use

active-directory-new-domain: https://github.com/Azure/azure-quickstart-
templates/tree/master/application-workloads/active-directory/active-directory-
new-domain

Agora podemos avançar para configurar o Azure AD Connect com AD DS. Você pode
se conectar à máquina virtual do Azure recentemente provisionada para instalar
o Azure AD Connect usando este link: https://www.microsoft.com/download/
confirmation.aspx?id=47594.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |131
Trabalho Virtual do Azure

Configurar o Azure AD Connect com o AD DS


Como mencionado anteriormente, o Azure AD Connect ajudará você a obter
a integração de identidade híbrida, pois fornece recursos para sincronizar os usuários
na infraestrutura local.
A próxima etapa do processo é conectar-se ao controlador de domínio e configurar
o Azure AD Connect. Se sua organização tiver uma topologia de floresta única, você
poderá usar as Configurações expressas.
Você pode encontrar mais detalhes sobre a instalação do Azure AD Connect aqui:
https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-install-
custom.
A figura a seguir mostra o assistente do Azure AD Connect:

Figura 5.32: Assistente do Azure AD Connect

Até agora, analisamos o Azure AD Connect com o AD DS para sincronizar com


o Azure AD. Depois que sua organização tiver o Azure AD configurado corretamente,
é importante proteger as identidades dos funcionários com mecanismos
de autenticação mais fortes e minimizar possíveis ataques de identidade.
132 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Proteger sua infraestrutura de identidade


Vivemos em um mundo onde as senhas não são mais seguras suficiente, e a maioria
dos ataques está relacionada a fraquezas de senhas e violações de dados, a maioria
delas envolvendo phishing. É importante proteger sua identidade com mecanismos
de autenticação mais fortes. A Autenticação Multifatorial do Azure AD (MFA) é um
deles. Vamos conferir.

Autenticação Multifator do Azure AD


A autenticação forte usando o Azure AD pode impedir até 99,9% de ataques
de identidade. Ao desenvolver sua estratégia para fortalecer suas credenciais, você deve
implantar os métodos mais seguros, utilizáveis e rentáveis para sua organização e seus
usuários. Um dos principais benefícios do uso do Azure AD é o suporte à MFA, que
requer o uso de pelo menos dois métodos de verificação. Dessa forma, a MFA do Azure
AD ajuda a proteger o acesso a dados e aplicações.
Os recursos de MFA do Azure AD estão disponíveis e licenciados de maneiras
diferentes. Você pode consultar a documentação para obter mais detalhes:
https:// docs.microsoft.com/azure/active-directory/authentication/howto-mfa-
mfasettings.
A MFA do Azure AD requer pelo menos dois dos seguintes métodos de autenticação:
• Algo que você já sabe: um nome de usuário e uma senha é a maneira mais comum
que um usuário forneceria credenciais.
• Algo que você já tem: pode ser um dispositivo confiável, como seu telefone
ou uma chave de hardware.
• Algo que você já é: como uma verificação de impressão digital ou facial.

Como administrador, é possível definir quais formas de autenticação secundária


podem ser usadas.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |133
Trabalho Virtual do Azure

Azure AD Identity Protection


Implementar uma política de segurança de risco do usuário usando o Azure AD Identity
Protection pode ajudá-lo a identificar possíveis riscos e tomar medidas manuais para
cada uma deles, se necessário. Existem diferentes tipos de detecção de risco que
você pode identificar e, como administrador, você pode usar relatórios-chave para
suas investigações. A edição do Azure AD Premium P2 ou uma assinatura do EMS E5
é necessária para usar o Azure AD Identity Protection.
Há principalmente duas políticas de risco que podem ser habilitadas no Azure AD:
política de risco de logon e política de risco do usuário. Embora as duas políticas
trabalhem para automatizar a resposta à detecção de riscos em seu ambiente, vale
a pena entender a diferença entre elas:
• Uma política de risco de logon é uma resposta automatizada que você pode
configurar para um nível de risco de logon específico e bloquear o acesso
a recursos, exigindo que o usuário seja aprovado na MFA para provar sua
identidade a fim de obter acesso a um recurso específico. Ao configurar uma
política de risco de logon, você precisa definir os usuários e grupos aos quais eles
se aplicam.
• Por outro lado, um administrador de TI pode personalizar a experiência
de logon com base nos logons arriscados anteriores do usuário com uma política
de risco do usuário. Uma política de risco do usuário também é uma resposta
automatizada que corrige os usuários quando eles atingem um nível de risco
específico ou há uma alta probabilidade de que suas credenciais tenham sido
comprometidas. Essa política permitirá que você bloqueie o acesso aos recursos
ou exija que o usuário redefina sua senha para manter sua identidade segura.

Aqui está uma referência para configurar políticas de risco: https://docs.microsoft.


com/azure/active-directory/identity-protection/howto-identity-protection-
configure-risk-policies.

Privileged Identity Management


O Privileged Identity Management (PIM) é útil para as organizações que estão
migrando para a nuvem (se não já estiverem lá) e estão buscando minimizar os
riscos, principalmente quando se trata de contas privilegiadas atribuídas a funções
na organização. Estamos nos referindo a contas que podem acessar muitos recursos
e dados.
O PIM é um serviço no Azure AD que ajuda a reduzir esses riscos ao aplicar Just in
Time (JIT) e Just Enough Access (JEA) para essas contas.
134 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

O PIM força os administradores na organização que precisam usar privilégios


administrativos para elevar seu privilégio para usá-lo, por isso, exige aprovação para
ativar regras privilegiadas e aplica MFA.
Você pode seguir essas etapas para configurar o PIM para sua organização: https://
docs.microsoft.com/azure/active-directory/privileged-identity-management/
pim-security-wizard.

Proxy de Aplicativo do Azure AD


A experiência de segurança no Azure AD fornece uma solução completa para todos
os recursos de segurança de identidade. Usando o Proxy de Aplicativo do Azure AD,
você pode habilitar o acesso ao trabalho remoto a recursos na infraestrutura local. Isso
significa que o Proxy de Aplicativo do Azure AD permite que você publique aplicações
na infraestrutura local para usuários fora da rede corporativa, estendendo os recursos
do Azure AD como um ponto de gerenciamento central para todos os aplicativos
da organização.
Isso traz alguns benefícios, como MFA e acesso condicional. Mais importante, ele evita
as limitações de soluções tradicionais, como VPNs, pois não há necessidade de abrir
o acesso a toda a rede. O Proxy de Aplicativo do Azure AD permite que você controle
quais recursos devem ser acessíveis e funciona em vários dispositivos, incluindo
dispositivos móveis e desktops.
Uma organização pode ter uma rede corporativa com várias aplicações entre
departamentos dentro da DMZ com vários segmentos, bem como usuários fora da rede
que precisam obter acesso a esses recursos na rede corporativa.
A fim de habilitar o Proxy de Aplicativo do Azure AD, primeiro você precisa instalar
agentes locais na rede, que são chamados de conectores.
Esses conectores são agentes executados em uma máquina do Windows Server
em sua rede corporativa e são responsáveis pela comunicação entre sua aplicação
na infraestrutura local e o Proxy de Aplicativo do Azure AD.
Os conectores também podem ser integrados ao Active Directory na infraestrutura
local, dependendo do mecanismo de logon único necessário. É importante observar que
o Proxy de Aplicativo do Azure AD exige a licença do Azure AD Premium P1 ou P2:
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |135
Trabalho Virtual do Azure

Figura 5.33: Fluxo de trabalho do Proxy de Aplicativo do Azure AD

O fluxo de trabalho de Proxy de Aplicativo do Azure AD, como visto na Figura 5.33,
é o seguinte:
1. Sua organização pode ter uma aplicação voltada para o público por meio de um
ponto de extremidade que pode ser uma URL.
2. Os usuários externos podem se conectar à aplicação usando essa URL.
3. Os usuários externos serão redirecionados para um serviço de nuvem; o provedor
de identidade, que é o Azure AD, autenticará o usuário usando MFA, acesso
condicional ou qualquer outro método.
4. Depois de autenticado, o Azure AD enviará o token para o dispositivo cliente
do usuário.
5. Em seguida, o Azure AD enviará o token para o serviço de Proxy de Aplicativo
do Azure AD, e o usuário será redirecionado para a aplicação na infraestrutura local
usando o conector de Proxy de Aplicativo.
6. O conector de Proxy de Aplicativo do Azure AD executará a autenticação adicional
em nome do usuário se o logon único estiver configurado.
7. Por fim, o conector envia a solicitação para a aplicação na infraestrutura local, e a
resposta é enviada de volta para o usuário por meio do conector e serviço de Proxy
de Aplicativo do Azure AD.
136 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Como você pode ver, o Proxy de Aplicativo do Azure AD pode ser usado para suas
aplicações na infraestrutura local que precisam ser acessados de fora da rede
corporativa.

Acesso condicional do Azure AD


Para habilitar o trabalho remoto para usuários que tentam acessar aplicações
na infraestrutura local e na nuvem, os administradores precisam garantir que
as pessoas certas tenham as permissões certas para acessar os recursos. O acesso
condicional é um recurso Premium no Azure AD que aborda esses desafios, fornecendo
um mecanismo para controlar o acesso aos recursos com base em políticas.
Usando o acesso condicional do Azure AD, como administrador, você pode facilmente
proteger os ativos da sua organização e aplicar os controles de acesso corretos por
meio de políticas que podem ser configuradas com base em alguns sinais comuns, como
dispositivo, aplicação, local de IP e associação de usuários ou grupos.
Exemplos de acesso condicional do Azure AD incluem:
• Local: os usuários que acessam um recurso quando estão fora da rede
corporativa devem usar MFA.
• Plataforma de dispositivo: defina uma política para cada plataforma
de dispositivo que bloqueia o acesso. Por exemplo, permita apenas dispositivos
iOS, mas não o Android.
• Aplicativos de nuvem: exige que os aplicativos que usam informações
confidenciais sejam bloqueados se o Azure AD detectar um logon com riscos.

Isso encerra nossa análise detalhada sobre o Azure AD. Vamos avançar para as outras
maneiras pelas quais o Azure pode ajudá-lo a habilitar a conectividade remota.

Habilitar a conectividade remota


Quando se trata de conectividade, a Rede Virtual do Azure é o elemento constitutivo
fundamental para estender sua conectividade ao Azure e fornecer a melhor
conectividade e experiência de aplicação na organização, em parceiros e em
clientes. O Azure fornece uma grande variedade de recursos de rede para fornecer
conectividade e habilitar o trabalho remoto de forma segura.
Esses recursos de rede incluem vários serviços de rede do Azure. Há três serviços
principais que permitem o trabalho remoto: WAN Virtual do Azure, VPN do Azure
e ExpressRoute.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |137
Trabalho Virtual do Azure

WAN Virtual do Azure


O WAN Virtual do Azure fornece uma estrutura unificada para recursos de segurança
de rede e roteamento para você se conectar e abranger diferentes regiões. Ele também
permite implantar Soluções de virtualização de rede (NVAs) do Azure dentro de um
hub de WAN virtual.
Um hub na WAN virtual é basicamente uma rede virtual em que você pode implantar
gateways integrados com o ExpressRoute e NVAs. Para habilitar o trabalho remoto, você
pode usar os recursos de WAN Virtual do Azure a fim fornecer uma melhor experiência
de conectividade para usuários remotos. Ele pode conectar várias ramificações por
meio de VPNs site a site e usuários remotos por meio de VPNs ponto a site.
Quando você usa a WAN Virtual do Azure, você pode expandir a conectividade
com vários hubs para obter um hub totalmente combinado que permite alcançar
uma abordagem de conectividade qualquer para qualquer. Dessa forma, você pode
conectar um usuário remoto ao Azure e, ao mesmo tempo, interconectar um ponto
de extremidade do ExpressRoute ou uma ramificação por trás de uma VPN site a site.
É importante destacar que cada WAN Virtual do Azure tem um roteador que controla
as rotas com todos os outros gateways no hub. Ele também permite recursos
de trânsito de rede para rede com até 50 Gbps na capacidade de agregação.
A WAN Virtual do Azure vem com recursos de segurança integrados. Você
pode implantar um hub por região e provisionar vários firewalls, que podem ser
gerenciados por meio do Gerenciador de Firewall do Azure. Dessa forma, você pode
usar o Gerenciador de Firewall do Azure para trabalhar em assinaturas, regiões
e implantações e criar políticas para proteger todo o tráfego que passa pela rede.
Atualmente, a maioria das organizações depende de parceiros e fornecedores para
habilitar esses recursos de rede por meio de dispositivos baseados em hardware
ou virtual. Eles podem ser migrados para o Azure, pois você tem a capacidade
de implantar um NVA pelo Azure Marketplace e integrá-lo no hub de WAN Virtual.
Além disso, existem recursos de BGP incorporados para habilitar o roteamento
de trânsito em várias redes e rotas de transporte que informam dispositivos na
infraestrutura local e gateways de VPN Azure sobre se eles são alcançáveis ou não:
138 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Figura 5.34: Redes do Azure

Você pode provisionar várias redes virtuais no Azure em várias regiões, fornecendo aos
trabalhadores remotos uma conexão VPN ponto a site ou uma conexão site a site para
sua conexão de gateway VPN da sua rede na infraestrutura local à rede virtual. Isso
é mostrado na Figura 5.34.

Azure VPN
Um gateway VPN Azure permite que você envie tráfego criptografado em locais
na infraestrutura local e Redes Virtuais do Azure pela Internet ou entre outras redes
virtuais. É possível ter várias conexões com o mesmo gateway VPN. No entanto, você
só pode ter uma única conexão VPN por rede virtual.
Antes de provisionar um tipo específico de gateway VPN, precisamos entender
as configurações disponíveis para conexões de gateway VPN e avaliar qual delas é a
melhor opção para sua organização. O Azure fornece várias topologias de conexão que
você pode escolher para atender às necessidades da sua organização: site a site (S2S),
multissite, ponto a site (P2S) e ExpressRoute.
Vamos abordar cada uma delas.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |139
Trabalho Virtual do Azure

Site a site e multissite


O gateway VPN site a site é a melhor opção para sua organização se você estiver
buscando obter configurações híbridas entre seu local na infraestrutura local e redes
virtuais. S2S é uma conexão com um túnel VPN IPsec/IKE (IKEv1 ou IKEv2), o que
significa que, para implantar esse tipo de conexão, você precisará de um dispositivo
de VPN localizado em seu datacenter na infraestrutura local e um endereço IP público
atribuído a ele. A figura a seguir mostra um esquema de conectividade VPN S2S:

Figura 5.35: VPN site a site

Se sua organização tiver vários locais na infraestrutura local, é possível conectar


ramificações à mesma rede virtual usando uma abordagem de conexão multissite por
meio de uma VPN baseada em rotas. Tenha em mente que as redes virtuais só podem
ter um único gateway VPN. Todas as conexões que estão passando pelo mesmo gateway
VPN compartilharão a largura de banda disponível:

Figura 5.36: VPN multissite


140 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Além disso, você pode configurar uma conexão de rede para rede e combiná-la com
uma configuração multissite, conforme visto na Figura 5.17. Você pode estabelecer
conectividade com várias redes virtuais nas mesmas assinaturas, regiões e modelos
de implantação diferentes.

VPN ponto a site


Se você estiver buscando conceder aos usuários remotos acesso a recursos no Azure,
você pode utilizar conexão de gateway VPN P2S. Neste modo de implantação, não
há necessidade de um dispositivo de VPN na infraestrutura local. Em vez disso,
a conexão é estabelecida diretamente do dispositivo cliente, como visto na Figura 5.37:

Figura 5.37: VPN ponto a site

Esse tipo de conexão é econômico se você quiser permitir que alguns usuários remotos
acessem recursos na nuvem por meio de uma rede virtual.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |141
Trabalho Virtual do Azure

ExpressRoute
Como é muitas vezes ouvido na área, o ExpressRoute é seu cabo de Ethernet para
o Azure. Ele fornece conectividade entre seu local na infraestrutura local e o Azure
usando uma conexão privada por meio de um parceiro conhecido como provedor de
conexão. O ExpressRoute oferece conectividade de camada 3, que oferece suporte a
conexões de rede de qualquer a qualquer, conexões Ethernet ponto a ponto ou uma
conexão cruzada virtual.
Com base nas necessidades da sua organização e no provedor de conectividade, você
pode escolher como deseja criar uma conexão com a nuvem. Há quatro maneiras de
criar uma conexão:
• Colocalização de troca de nuvem: se o seu datacenter for localizado em uma
instalação com uma troca de nuvem, você poderá aproveitar a conexão cruzada
de camada 2 ou as conexões cruzadas de camada 3 gerenciadas por meio
da troca de Ethernet do provedor para conectar sua infraestrutura e o Azure.
• Conexão Ethernet ponto a ponto: neste modelo, você pode conectar seu
datacenter ao Azure por meio de provedores de Ethernet que oferecem conexões
de camada 2 ou conexões de camada 3 gerenciadas e criam sua conexão privada
usando links Ethernet ponto a ponto.
• Conexão qualquer a qualquer (IPVPN): você pode habilitar a conectividade
WAN entre o Azure e filiais ou datacenters, geralmente oferecida como uma
conectividade de camada 3 gerenciada.
• ExpressRoute Direct: você pode conectar-se à rede global da Microsoft
e alcançar uma conectividade ativa/ativa em grande escala para atender
a necessidades diferentes, como ingestão de dados em massa em serviços
do Azure ou isolamento de conectividade.

Os circuitos do ExpressRoute, como na Figura 5.38, fornecem uma ampla gama de


largura de banda, de 50 Mbps até 10Gbps e escala dinâmica sem tempo de inatividade:
142 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Figura 5.38: ExpressRoute

Além disso, é possível ter um circuito do ExpressRoute e uma conexão S2S ao mesmo
tempo. Embora possam coexistir, isso exige dois gateways de rede virtual para a mesma
rede virtual, um usando o tipo de gateway VPN e o outro usando o tipo de gateway
ExpressRoute.
Com suas conexões com o Azure estabelecidas, vamos ver como você pode proteger
e gerenciar o tráfego para suas aplicações baseadas em nuvem.

Proteger e gerenciar o tráfego para seus workloads


A segurança é uma responsabilidade compartilhada entre a Microsoft, parceiros
e clientes. O Azure fornece controles e serviços de segurança para proteger os recursos
de identidade, rede e dados.
Na seção anterior do Azure Active Directory, analisamos como você pode aproveitar
os recursos de identidade e gerenciamento disponíveis no Azure AD para garantir
o acesso seguro a dados e recursos. Proteger a infraestrutura e os workloads para
acesso remoto diariamente é uma tarefa crítica, e a Microsoft fornece soluções de nível
empresarial para proteger o tráfego para suas aplicações, sejam elas fornecidas por
meio do Azure ou de um local na infraestrutura local.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |143
Trabalho Virtual do Azure

O Azure pode ajudar a proteger sua infraestrutura de nuvem usando controles


de segurança de rede para gerenciar o tráfego, configurar regras de acesso, estender
a conectividade aos recursos na infraestrutura local e proteger sua rede virtual.
Um dos principais serviços que você pode usar para proteger aplicativos Web é
o Firewall de Aplicação Web do Azure (WAF), conforme mostrado na Figura 5.39:

Figura 5.39: WAF do Azure

O WAF do Azure está em conformidade com vários padrões de conformidade, incluindo,


mas não limitados a PCI-DSS, HIPAA, SOC, ISO e CDSA. Uma lista completa de ofertas
de conformidade pode ser encontrada aqui: https://docs.microsoft.com/azure/
compliance/.
144 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Gateway de Aplicativo com WAF


Sua organização pode estar executando aplicações na nuvem ou na infraestrutura local,
com usuários remotos tentando acessar esses workloads. O Gateway de Aplicativo é um
importante componente Plataforma como Serviço (PaaS) que pode facilitar isso. É um
Controlador de Entrega de Aplicações (ADC) leve que fornece suporte para terminação
SSL, afinidade de sessão e roteamento baseado em conteúdo. Esse conjunto de recursos
torna o Gateway de Aplicativo um serviço flexível. Ele pode ser implantado, juntamente
com o WAF do Azure ou o Azure Front Door, para melhorar os recursos de escalabilidade
e proteger suas aplicações na infraestrutura local ou na nuvem em relação ao OWASP e a
outras vulnerabilidades, sem a necessidade de configurações adicionais.
O Gateway de Aplicativo e o WAF do Azure são serviços gerenciados de PaaS, para que
você possa economizar tempo e fornecer a proteção certa para suas aplicações, enquanto
o Azure cuida da infraestrutura subjacente, conforme mostrado na figura a seguir:

Figura 5.40: Gateway de Aplicativo do Azure e WAF do Azure

Os principais benefícios da WAF do Azure incluem:


• Proteção pré-configurada contra os 10 principais ataques OWASP.
• Proteção de bot.
• Um mecanismo de regras personalizado (filtragem geográfica, restrição de IP,
filtragem de parâmetro HTTP e restrição de tamanho).
• Logs e métricas para detecção e alertas.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |145
Trabalho Virtual do Azure

Outro caso de uso comum é a integração com o Azure Front Door, que fornece um
serviço global de entrega e aceleração de aplicações no Azure, além do balanceamento
de carga regional para aplicativos Web.
Um dos principais benefícios de usar o Azure Front Door com a WAF do Azure é
a capacidade de detectar e evitar ataques contra seus aplicativos Web antes que
eles cheguem à rede virtual. Você pode interromper ataques mal-intencionados
próximos às origens antes que eles entrem em sua rede virtual e criem limites de taxa
ou de solicitações para proteger sua aplicação contra inundações. Podemos ver como
isso funciona na Figura 5.41:

Figura 5.41: Azure Front Door e WAF do Azure

Isso pode permitir que você publique e proteja o acesso aos seus aplicativos Web, sejam
eles hospedados na infraestrutura local ou na nuvem.
146 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Firewall do Azure
O próximo controle de segurança no perímetro que sua organização pode usar para
proteger seus recursos de rede virtual é o Firewall do Azure. O Firewall do Azure
permite que você crie, aplique e registre aplicações e políticas de conectividade de rede
da camada 3 até a camada 7 do modelo OSI e entre assinaturas e redes virtuais.
O Firewall do Azure é fundamental ao considerar o trabalho remoto, pois pode fornecer
proteção para suas implantações de infraestrutura da Área de Trabalho Virtual do Azure
no Azure, juntamente com a inteligência contra ameaças para que os usuários remotos
possam acessar adequadamente suas áreas de trabalho virtuais. É recomendável usar
Nomes de Domínio Totalmente Qualificado (FQDNs) ao usar a Área de Trabalho Virtual
para simplificar o acesso. O Firewall do Azure fornece uma integração simplificada para
a Área de Trabalho Virtual do Azure, permitindo recursos de filtragem para tráfego
de saída, conforme mostrado na Figura 5.42:

Figura 5.42: Firewall do Azure

É importante observar que o Firewall do Azure é um serviço gerenciado totalmente


baseado em nuvem, e o Azure cuida da infraestrutura subjacente.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |147
Trabalho Virtual do Azure

Azure Load Balancer e balanceamento de carga entre regiões


Muitas vezes, as organizações têm dificuldades com workloads baseados em nuvem
quando há um aumento no tráfego da aplicação e querem oferecer uma melhor
experiência ao cliente. O Azure fornece recursos integrados de balanceamento
de carga para recursos de nuvem para que você possa criar aplicativos Web altamente
disponíveis e escaláveis.
O principal componente para obter alta disponibilidade é o Azure Load Balancer, como
visto na Figura 5.43. Ele opera na camada 4 do modelo OSI e representa um único
ponto de contato para os clientes. O Azure Load Balancer é otimizado para workloads
na nuvem a fim de distribuir o tráfego de entrada para instâncias de pool de back-end.
O Azure Load Balancer pode ser voltado para o público, para que possa carregar
o balanceamento do tráfego da Internet para seus aplicações no Azure ou podem ser
voltados internamente, onde IPs privados são necessários apenas no front-end:

Figura 5.43: Azure Load Balancer


148 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Você encontrará dois perfis principais do Azure Load Balancer: Basic e Standard.
Anteriormente, você só conseguia adicionar interfaces de rede associadas a máquinas
virtuais ou conjuntos de escalas de máquinas virtuais no pool de back-end de um
balanceador de carga. No entanto, devido às recentes melhorias que permitem
o balanceamento de carga em endereços IP, agora você pode carregar os recursos de
balanceamento no Azure por meio de endereços IPv4 privados ou IPv6 por meio do perfil
Standard, o que amplia a capacidade de balanceamento de carga entre contêineres.
No passado, o Azure Load Balancer era capaz de carregar o balanceamento apenas
em uma região específica. Agora, você pode usar o Azure Load Balancer para
balanceamento de carga entre regiões para distribuir o tráfego de entrada e habilitar
cenários de alta disponibilidade com redundância geográfica:

Figura 5.44: Balanceador de carga entre regiões

É possível criar recursos entre regiões sobre uma solução existente do balanceador de
carga, e um grande benefício é a capacidade de usar uma configuração de IP de front-
end estático.

Azure Bastion e acesso Just-in-Time (JIT)


Às vezes, as organizações precisam fornecer acesso remoto aos recursos no Azure
e desejam fornecer uma maneira segura de se conectar a esses recursos sem
a necessidade de ter uma conexão VPN ou atribuir IPs públicos a uma máquina virtual.
O Azure Bastion permite que você gerencie seus recursos de forma segura, fornecendo
conectividade RDP/SSH a máquinas virtuais implantadas em uma rede virtual, sem
precisar de IPs públicos diretamente do portal do Azure:
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |149
Trabalho Virtual do Azure

Figura 5.45: Azure Bastion

O Azure Bastion é uma solução gerenciada e, no back-end, um conjunto de escala


de máquina virtual que é implantado em sua rede virtual para que os usuários remotos
possam se conectar via RDP/SSH sem exposição ao IPs públicos. Isso significa que ele
também tem a capacidade de escalar conforme necessário, dependendo do número
de sessões simultâneas.
Juntamente com os recursos de proteção e conectividade, a Central de Segurança
do Azure pode ser usada para implementar o acesso JIT, o que permite bloquear
o tráfego de entrada para suas máquinas virtuais para reduzir a exposição a ataques
e auditar facilmente o acesso à máquina virtual.
O acesso JIT também pode ser usado com o Firewall do Azure para reduzir a exposição
a ataques volumétricos de rede, criando políticas para definir as portas que você deseja
proteger, por exemplo, para definir por quanto tempo elas devem permanecer abertas
e filtrar os IPs que devem ter acesso à máquina virtual.
Agora que abordamos os principais serviços que podem permitir que sua organização
proteja e gerencie melhor o tráfego para suas aplicações, vamos conferir na parte
final: habilitar o trabalho remoto por meio da infraestrutura da Área de Trabalho
Virtual do Azure.
150 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Habilitar o trabalho remoto com a Área de Trabalho Virtual


do Azure
No atual ambiente, todos nós temos visto um impacto em como colaboramos com
colegas de nossas organizações, bem como parceiros e clientes. Empresas de todos
os portes investiram na adoção de ferramentas de colaboração que podem habilitar o
trabalho remoto e proporcionar a melhor experiência para os funcionários manterem-se
conectados durante a interrupção dos negócios e melhorarem a produtividade.

O Virtual Desktop Infrastructure (VDI) é uma solução de virtualização que fornece


um ambiente de área de trabalho para usuários remotos, como se estivessem
trabalhando em seu computador local. A Área de Trabalho Virtual do Azure possibilita
o trabalho remoto, proporcionando a melhor experiência para manter a infraestrutura
subjacente e pode até ser criado em minutos.

A Área de Trabalho Virtual do Azure oferece suporte a uma grande variedade


de sistemas operacionais, incluindo o Windows 10 e o Windows 11 Enterprise, Windows
10 e Windows 11 Enterprise Multi-Session, o Windows 7 Enterprise e o Windows Server
2012 R2, 2016 e 2019. Dependendo das necessidades da sua organização, você pode
aproveitar um modelo de licenciamento específico, como Microsoft 365 E3, E5, A3, A5
ou F3; Business Premium; Windows E3, E5, A3, or A5; ou licenças de acesso de cliente
RDS. A Figura 5.46 demonstra como a Área de Trabalho Virtual do Azure funciona:

Figura 5.46: arquitetura da rede virtual do Azure


Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |151
Trabalho Virtual do Azure

• À esquerda, os pontos de extremidade geralmente estão na rede


na infraestrutura local e podem estender a conectividade por meio de S2S
ou Express Route, e o Azure AD Connect pode integrar o AD DS na infraestrutura
local com o Azure AD.
• Sua organização pode gerenciar o AD DS, o Azure AD, as assinaturas do Azure,
as redes virtuais, o armazenamento e os espaços de trabalho e pools de host
da Área de Trabalho Virtual do Azure.
• A Microsoft gerencia o plano de controle da Área de Trabalho Virtual do Azure,
que lida com componentes de acesso Web, gateway, agente, diagnósticos
e extensibilidade, como APIs REST.

Para que sua organização utilize a Área de Trabalho Virtual do Azure, você precisa
do Azure AD, uma instância do Windows Server Active Directory em sincronia com
o Azure AD e uma assinatura do Azure. As máquinas virtuais para a Área de Trabalho
Virtual do Azure podem ser associadas a dispositivos ingressados no AD híbrido
ou ingressado no domínio.
A nova experiência baseada em ARM para a Área de Trabalho Virtual do Azure
facilita o gerenciamento de seu ambiente. Isso inclui uma nova interface de usuário
de monitoramento integrado ao Log Analytics e interface de usuário de gerenciamento
por meio do portal do Azure. Ela também permite que você gerencie seu ambiente
usando o módulo do Azure PowerShell para a Área de Trabalho Virtual do Azure.
A experiência baseada em ARM também fornece melhor controle de acesso
de administrador, pois aproveita o Controle de Acesso Baseado em Função (RBAC) com
funções personalizadas internas. Você também pode publicar aplicações e gerenciar
o acesso por meio de usuários individuais e grupos de usuários do Azure AD. Além
disso, agora você pode especificar a geografia que prefere para o armazenamento.

O diagrama a seguir fornece uma visão geral de alto nível da arquitetura da Área de
Trabalho Virtual do Azure:

Figura 5.47: estrutura da Área de Trabalho Virtual do Azure


152 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Por meio do portal do Azure, você terá uma experiência perfeita gerenciando sua
implantação da Área de Trabalho Virtual do Azure, incluindo pools de host, grupos
de aplicações, espaços de trabalho e usuários:

Figura 5.48: Gerenciar a Área de Trabalho Virtual do Azure por meio do portal do Azure

Você pode usar recursos do ARM para provisionar a Área de Trabalho Virtual do Azure.
Você precisa registrar o provedor de recurso Microsoft.DesktopVirtualization
e, em seguida, criar os pools de host conforme necessário, incluindo a especificação
dos detalhes da máquina virtual e fornecer os parâmetros para a rede virtual do
Azure. Depois disso, você pode prosseguir para criar os grupos de aplicações e
adicionar grupos de usuários ou usuários do Azure AD a eles. Por fim, você configura
seu espaço de trabalho da Área de Trabalho Virtual do Azure e, em seguida, instala
o cliente Área de Trabalho Virtual do Azure para Windows no dispositivo cliente.
Há um roteiro de aprendizagem no Microsoft Learn sobre como fornecer áreas
de trabalho e aplicativos remotos do Azure com a Área de Trabalho Virtual do
Azure: https://docs.microsoft.com/learn/paths/m365-wvd/.
Além disso, você pode aproveitar os modelos do ARM para automatizar o processo
de implantação do seu ambiente da Área de Trabalho Virtual do Azure: https://github.
com/Azure/RDS-Templates/.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |153
Trabalho Virtual do Azure

Componentes que você pode gerenciar na Área de Trabalho Virtual do Azure


A tabela a seguir compara os recursos que a Microsoft gerencia na Área de Trabalho
Virtual do Azure e aqueles que você pode cuidar:

Gerenciado por

Componente Microsoft Clientes

Acesso à Web

Gateway

Agente de conexão

Diagnóstico

Componentes de extensibilidade

Rede virtual do Azure

Azure AD

AD DS
Hosts de sessão da Área de Trabalho
Virtual do Azure
Espaço de trabalho da Área de Trabalho
Virtual do Azure

Tabela 5.2: Responsabilidades para o gerenciamento de recursos

Estes são os componentes gerenciados pela Microsoft:


• Acesso à Web: por meio deste serviço, os usuários podem acessar suas áreas
de trabalho usando um navegador da Web compatível com HTML5.
• Gateway: esse serviço permite que os usuários remotos estabeleçam uma
conexão com aplicativos e áreas de trabalho da Área de Trabalho Virtual
do Azure em qualquer dispositivo que possa executar o cliente Área de Trabalho
Virtual do Azure.
• Agente de conexão: este serviço gerencia conexões do usuário e fornece
recursos de balanceamento de carga.
• Diagnósticos: este é um agregador baseado em eventos para identificar possíveis
falhas dos componentes.
• Componentes de extensibilidade: isso inclui ferramentas de terceiros
e extensões adicionais que podem ser habilitadas para a Área de Trabalho
Virtual do Azure.
154 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Estes são os componentes que você gerencia:


• Redes virtuais do Azure: é possível configurar a topologia de rede conforme
necessário para fornecer acesso a desktops e aplicações com base nas políticas
da sua organização.
• Azure AD : embora este seja um pré-requisito para o uso da Área de Trabalho
Virtual do Azure, você pode gerenciar os recursos de integração e segurança
do Azure AD para manter sua conformidade com o ambiente.
• AD DS: é um pré-requisito para habilitar a Área de Trabalho Virtual do Azure
que inclui sincronização com o Azure AD. Você também pode aproveitar o
Azure AD Connect para associar o AD DS com o Azure AD.
• Hosts de sessão da Área de Trabalho Virtual do Azure: é possível executar
uma variedade de sistemas operacionais, incluindo o Windows 10 e Windows
11 Enterprise; o Windows 10 e Windows 11 Enterprise multisessão; o Windows
7 Enterprise; o Windows Server 2012 R2, 2016 e 2019 e também imagens
personalizadas do Windows.
• Espaço de trabalho de Área de Trabalho Virtual do Azure : é um espaço
de trabalho para gerenciar e publicar recursos de pool de host.

Como dimensionar o ambiente de Área de Trabalho Virtual do Azure


No passado, o dimensionamento do seu ambiente de Área de Trabalho Virtual do
Azure foi um pouco difícil devido à disponibilidade de apenas algumas orientações
básicas. Agora você pode utilizar o avaliador de experiência de Área de Trabalho Virtual
do Azure, uma ferramenta que pode ajudar você a encontrar o tamanho certo para
o seu ambiente de acordo com as necessidades da sua organização.
O avaliador de experiência de Área de Trabalho Virtual do Azure está disponível
em https://azure.microsoft.com/services/virtual-desktop/assessment/.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |155
Trabalho Virtual do Azure

Inicialmente, você encontrará uma tabela que mostra a região com o menor tempo
de viagem de volta do seu local atual e também fornece uma referência ao tamanho
das máquinas virtuais e dos serviços de rede necessários para sua implementação:

Região do Azure Tempo de ida e volta (ms)


Leste dos EUA 2 15
Leste dos EUA 2 20
Centro-Norte dos EUA 41
Centro-Sul dos EUA 41
Canadá Central 43
EUA Central 47
Leste do Canadá 54
Centro-Oeste dos EUA 62

Tabela 5.3: Tempos de viagem de ida e volta para diferentes regiões do Azure

Com base no seu local atual, você pode escolher uma região preferencial para
proporcionar uma melhor experiência do usuário. Lembre-se de que também
há componentes adicionais que podem afetar sua implantação, como condições
de rede, dispositivos de usuário final e a configuração das máquinas virtuais.

Diretrizes de rede
Como já abordamos, os componentes de rede são essenciais para permitir o trabalho
remoto. A largura de banda é uma das principais métricas que você deve examinar
ao dimensionar seu ambiente, pois isso afetará a experiência do usuário. A tabela
a seguir mostra algumas recomendações com base em diferentes tipos de workload
e pode ser encontrada em https://docs.microsoft.com/windows-server/remote/
remote-desktop-services/network-guidance:

Tipo de workload Largura de banda recomendada


Leve 1.5 Mbps
Média 3 Mbps
Pesado 5 Mbps
Power 15 Mbps
Tabela 5.4: Largura de banda recomendada para diferentes tipos de workload
156 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

A resolução de exibição é outro fator forma, junto com a largura de banda. A tabela
a seguir mostra a largura de banda recomendada para uma experiência ideal do usuário:

Resoluções de exibição típicas em 30 fps Largura de banda recomendada


Cerca de 1024 × 768 px 1.5 Mbps
Cerca de 1280 × 720 px 3 Mbps
Cerca de 1920 × 1080 px 5 Mbps
Cerca de 3840 × 2160 px (4K) 15 Mbps
Tabela 5.5: Largura de banda recomendada para diferentes resoluções de exibição em 30 fps

No que diz respeito às máquinas virtuais para seu ambiente de Área de Trabalho
Virtual do Azure, a Microsoft fornece exemplos de diferentes tipos de workload para
dimensionar corretamente as máquinas virtuais necessárias para o seu ambiente:

Tipo de workload Usuários de exemplo Aplicações de exemplo


Leve Usuários fazendo Aplicações de entrada de banco de dados, interfaces de linha
tarefas básicas de
entrada de dados de comando

Média Consultores e pesqui- Aplicações de entrada de banco de dados, interfaces de linha


sadores de mercado de comando, Microsoft Word, páginas da Web estáticas

Pesado Engenheiros de Aplicações de entrada de banco de dados, interfaces de linha


software, criadores de comando, Microsoft Word, páginas da Web estáticas,
de conteúdo Microsoft Outlook, Microsoft PowerPoint, páginas da Web
dinâmicas
Power Designers gráficos, Aplicações de entrada de banco de dados, interfaces de linha de
fabricantes de modelos comando, Microsoft Word, páginas da Web estáticas, Microsoft
3D, pesquisadores de Outlook, Microsoft PowerPoint, páginas da Web dinâmicas,
aprendizado de Adobe Photoshop, Adobe Illustrator, design computadorizado
máquina (CAD), manufatura computadorizada (CAM)

Tabela 5.6: Exemplos de diferentes tipos de workload

Além disso, um exemplo de métrica que você deve levar em consideração com base nos
workloads é o número de usuários que acessam a mesma aplicação ao mesmo tempo.
Dito isso, você pode considerar as recomendações de várias sessões ou de sessão única
com base nas necessidades da sua organização.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |157
Trabalho Virtual do Azure

A Microsoft fornece um tamanho de máquina virtual com base no número máximo


sugerido de usuários por CPU virtual (vCPU) e exemplos de instâncias do Azure
que correspondem à configuração mínima da máquina virtual:

Tipo de Máximo de Mínimo de Exemplos de Mínimo de


usuários por armazenamento de instâncias armazenamento de
workload vCPU vCPU/RAM/SO do Azure contêiner de perfil
2 vCPUs, 8 GB de RAM,
Leve 6 D2s_v3, F2s_v2 30 GB
16 GB de armazenamento
4 vCPUs, 16 GB de RAM,
Média 4 D4s_v3, F4s_v2 30 GB
32 GB de armazenamento
4 vCPUs, 16 GB de RAM,
Pesado 2 D4s_v3, F4s_v2 30 GB
32 GB de armazenamento
6 vCPUs, 56 GB de RAM, D4s_v3, F4s_v2,
Power 1 30 GB
340 GB de armazenamento NV6

Tabela 5.7: Recomendações de várias sessões

Como recomendação geral, é uma boa ideia usar discos SSD Premium para workloads
críticos e considerar GPUs se você planeja executar programas com uso intenso
de gráficos em suas máquinas virtuais.

Gerenciar perfis de usuário com o Azure Files e o NetApp Files


Embora o Azure ofereça uma ampla variedade de soluções de armazenamento,
os contêineres de perfis do FSLogix são uma das soluções de perfil de usuário
recomendadas para um serviço de Área de Trabalho Virtual do Azure, pois eles
são projetados para percorrer perfis em ambientes de computação remota não
persistentes.
Quando um usuário faz logon, um contêiner de perfis de usuário é dinamicamente
anexado ao ambiente de computação. Você também pode criar contêineres de perfis
usando o Azure NetApp Files para provisionar rapidamente volumes SMB para a Área
de Trabalho Virtual do Azure.
158 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

A tabela a seguir fornece uma comparação entre as diferentes soluções disponíveis para
perfis de usuário de contêiner de perfis FSLogix da Área de Trabalho Virtual do Azure:

Recursos Arquivos do Azure NetApp Files Espaços de


Azure armazenamento diretos
Caso de uso Objetivo geral Ultra-performance ou Entre plataformas
migração do NetApp na
infraestrutura local

Serviço de Sim, solução nativa Sim, solução nativa Não, autogerenciada


plataforma do Azure do Azure
Disponibili- Todas as regiões Selecionar regiões Todas as regiões
dade regional
Redundância Redundância Redundância local Redundância local/redundância
local/redundância de de zona/redundância geográfica
zona/redundância
geográfica
Camadas e Standard Padrão HDD padrãSo: limites de até
performance Premium máximo de Premium máximo de até 500 IOPS por disco
até 100k IOPS por 100k IOPS por compartil- SSD padrão: limites de até
compartilhamento hamento com 5 GBps por 4.000 IOPS por disco
compartilhamento a cerca SSD Premium: limites de até
com 5 GBps por
20.000 IOPS por disco
compartilhamento de 3 ms de latência
Recomendamos discos Premium
a cerca de 3 ms para espaços de armazenamento
de latência direto
Capacidade 100 TiB por 100 TiB por volume, até Máximo de 32 TiB por disco
compartilhamento 12,5 PiB por assinatura
Infraestrutura Tamanho mínimo Pool de capacidade Duas máquinas virtuais no IaaS do
obrigatória de compartilha- mínima 4 TiB, tamanho do Azure (+ Testemunha em nuvem)
mento 1 GiB volume mínimo 100 GiB ou pelo menos três máquinas
virtuais sem custos para discos
Protocolos SMB 2.1/3. e REST NFSv3, NFSv4.1 (visual- NFSv3, NFSv4.1, SMB 3,1
ização), SMB 3.x/2.x

Tabela 5.8: perfis de usuário de contêiner do FSLogix da Área de Trabalho Virtual do Azure

Para procurar os detalhes de disponibilidade regional para o Azure NetApp Files


e outros produtos, acesse https://azure.microsoft.com/global-infrastructure/
services/.
A tabela a seguir fornece uma comparação das soluções de armazenamento que
o Armazenamento do Azure oferece para a Área de Trabalho Virtual do Azure que são
compatíveis com o Azure com perfis de usuário de contêiner de perfis do FSLogix:
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |159
Trabalho Virtual do Azure

Recursos Arquivos do Azure Azure NetApp Files Espaços de


armazenamento diretos
Nuvem, na infraestrutura
Acesso local e híbrida (sincronizaç Nuvem, na infraestrutura Nuvem, na infraestrutura
ão de arquivos do Azure) local (via ExpressRoute) local
Backup Integração de instantâne Instantâneos de Azure Integração de instantâneo
o de backup do Azure NetApp Files de backup do Azure
Segurança e Todos os certificados ISO concluído Todos os certificados
conformidade compatíveis do Azure1 compatíveis do Azure1
Integração do Active Directory nativo Azure AD DS e Active Compatível somente com
Azure Active e Azure AD DS2 Directory3 nativo Active Directory nativo ou
Directory Azure AD DS

Tabela 5.9: Soluções de armazenamento que o Armazenamento do Azure oferece para a Área
de Trabalho Virtual do Azure

Veja a seguir alguns links relevantes para obter mais informações:


1. Ofertas de conformidade da Microsoft: https://docs.microsoft.com/compliance/
regulatory/offering-home
2. Integração do Azure Files com o AD: https://docs.microsoft.com/azure/storage/
files/storage-files-active-directory-overview
3. Integração do Azure NetApp Files com o AD: https://docs.microsoft.com/azure/
azure-netapp-files/azure-netapp-files-faqs#does-azure-netapp-files-support-
azure-active-directory

Exemplo do Azure Monitor para Área de Trabalho Virtual do Azure


É importante minimizar o risco de falhas no ambiente de Área de Trabalho Virtual
do Azure. O Azure fornece integração nativa com o Azure Monitor para identificar
rapidamente problemas por meio de um único painel.
Você pode revisar os seguintes logs de atividade:
• Atividades de gerenciamento
• Conexões
• Registro de host
• Erros
• Pontos de verificação

Para monitorar seu ambiente de Área de Trabalho Virtual do Azure, você precisa criar
um espaço de trabalho do Log Analytics por meio do portal do Azure ou do PowerShell
e, em seguida, conectar as máquinas virtuais ao Azure Monitor.
160 | C
 omo habilitar o trabalho seguro e remoto com o Azure AD e a Área de Trabalho
Virtual do Azure

Depois de integrar sua Área de Trabalho Virtual do Azure no Log Analytics, você poderá
realizar consultas personalizadas usando Kusto Query Language (KQL) para analisar
a integridade do seu ambiente de Área de Trabalho Virtual do Azure. Um caso de uso
simples pode ser se houver a necessidade de encontrar a duração da sessão pelo
usuário, conforme mostrado no seguinte código:
let Events = WVDConnections | where UserName == "userupn" ;
Events
| where State == "Connected"
| project CorrelationId , UserName, ResourceAlias , StartTime=TimeGenerated
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId)
on CorrelationId
| project Duration = EndTime - StartTime, ResourceAlias
| sort by Duration asc
Nesse código, estamos usando uma declaração let para a instância de evento
denominada WVDConnections e tabelas de filtragem para linhas correspondentes
aos usuários com um estado conectado. Em seguida, como uma boa prática, usamos
o projeto para selecionar apenas as colunas de que precisamos antes de executar
a junção. Extraímos eventos com o primeiro EventType e com o segundo EventType
e, em seguida, unimos os dois conjuntos em CorrelationId.
Depois disso, alteramos o nome da coluna de carimbo de data/hora e classificamos
os resultados em ordem crescente.
É possível usar pastas de trabalho do Azure Monitor para criar visualizações
personalizadas da performance da Área de Trabalho Virtual do Azure. Você pode
encontrar um exemplo de pasta de trabalho da Área de Trabalho Virtual do Azure
aqui: https://github.com/wvdcommunity/AzureMonitor/blob/master/WVD-ARM-
monitoring-workbook.json.

Integrações de parceiros à Área de Trabalho Virtual do Azure


Os parceiros da Microsoft são um componente fundamental para habilitar totalmente
os recursos de trabalho remoto de uma organização; há integrações de parceiros
da Área de Trabalho Virtual do Azure com Citrix e VMware.
A Citrix ampliou sua oferta de aplicativos e áreas de trabalho virtuais para o Azure,
que pode ser consumido como um serviço gerenciado e está disponível no Azure
Marketplace. Esta é uma combinação de novas tecnologias e novos direitos. Ele
oferece suporte a uma experiência multisessão do Windows 10 e Windows 11, se você
tiver a licença RDS apropriada, poderá usar o Windows Server. Ele também oferece
suporte a experiências de sessão única persistente e não persistente.
Como habilitar o trabalho seguro e remoto com o Azure AD e a Área de |161
Trabalho Virtual do Azure

Você pode ler mais sobre aplicativos virtuais e áreas de trabalho virtuais para o Azure
aqui: https://azure.microsoft.com/services/virtual-desktop/citrix-virtual-apps-
desktops-for-azure/.
A VMware é um provedor aprovado de Área de Trabalho Virtual do Azure que
simplifica a implantação de ambientes híbridos de Área de Trabalho Virtual do Azure
por meio de seu plano de controle do Horizon para habilitar uma única interface
de gerenciamento para implantações na infraestrutura local e na nuvem.
Os clientes podem aproveitar várias sessões do Windows 10 e Windows 11 e a
plataforma está disponível por meio da Licença Universal do Horizon, que inclui
a capacidade de implantar o VMware Horizon em qualquer plataforma compatível:
• Você pode ler mais sobre o VMware Horizon Cloud no Microsoft Azure aqui:
https://azure.microsoft.com/services/virtual-desktop/vmware-horizon-cloud/
• Guia de início rápido da Área de Trabalho Virtual do Azure: https://azure.
microsoft.com/resources/quickstart-guide-to-windows-virtual-desktop/
• Área de Trabalho Virtual do Azure: "Guia de Migração para Serviços de Área
de Trabalho Remota": https://azure.microsoft.com/resources/windows-virtual-
desktop-migration-guide-for-remote-desktop-services/

Resumo
Neste capítulo, analisamos os desafios comuns relacionados à infraestrutura que
as organizações enfrentam ao tentar habilitar o trabalho remoto e como o Azure
AD pode ajudar sua organização a manter protegidos as identidades e os recursos
de seus funcionários. Também aprendemos a usar os componentes de rede do Azure
para habilitar a conectividade e garantir o acesso aos workloads da sua organização
na infraestrutura local e na nuvem. Por fim, analisamos como proporcionar uma melhor
experiência de usuário final por meio da Área de Trabalho Virtual do Azure e vimos
orientações sobre o dimensionamento e a configuração de seu ambiente.
O próximo capítulo fornecerá uma linha de base de segurança e recomendações
sobre como usar os serviços de segurança disponíveis para sua organização para que
você possa aplicar estruturas de controle de segurança padrão às suas implantações
do Azure e aplicar a governança em todos os seus recursos.
Fundamentos de
6
segurança para ajudar
a proteger contra os
crimes cibernéticos
Este capítulo ajudará você a entender os conceitos básicos de segurança do Azure e vai
orientá-lo pelos serviços de segurança disponíveis. Analisaremos como usar os serviços
da Microsoft para adotar uma estratégia de Confiança zero em sua organização, além
de soluções que você pode utilizar para proteger seus workloads, avaliar e melhorar sua
postura de segurança. Neste capítulo, vamos abordar o seguinte:
• Como habilitar a segurança para trabalhadores remotos
• Como obter visibilidade de toda a sua infraestrutura usando a Central
de Segurança do Azure
• Como obter proteção avançada contra ameaças para seus ambientes híbridos
e de várias nuvens com o Azure Defender
• Como proteger sua rede
• Como modernizar as operações de segurança com o Azure Sentinel
• Uma experiência SecOps unificada
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 163

Antes de detalhar os serviços que você pode usar para proteger os ambientes,
é importante entender como implementar com eficácia práticas de segurança para
proteger seus ambientes, estejam eles na infraestrutura local ou na nuvem. Vamos
começar abordando os principais desafios que enfrentamos hoje e como começar
a trabalhar em uma estratégia de segurança eficaz para sua organização.

Como habilitar a segurança para trabalhadores remotos


A COVID-19 não só afetou empresas de diferentes portes e segmentos verticais, mas
também alimentou o crime cibernético. O medo relacionado a essa pandemia levou
os criminosos cibernéticos com diferentes habilidades e motivações a capitalizar,
imitando fontes confiáveis e organizações nacionais de saúde com diferentes
táticas e técnicas.
Habilitar o trabalho remoto tem sido um desafio, principalmente para as organizações
que foram usadas para fornecer acesso a aplicações na infraestrutura local somente
dentro da rede corporativa. A segurança é uma responsabilidade compartilhada entre
a Microsoft e seus clientes; no mundo atual, uma violação de segurança em uma
organização pode significar milhões de dólares em danos.
À luz da pandemia, organizações de todos os portes tiveram que adotar novos sistemas
e controles para proteger o acesso aos recursos na infraestrutura local e na nuvem.

Excelência em operações de segurança


Como muitos funcionários tendem a continuar trabalhando remotamente,
há a necessidade de habilitar ambientes de trabalho híbridos. O uso de princípios
de Confiança zero pode ajudar as organizações a garantir que seus funcionários
tenham acesso aos recursos de que precisam, sejam esses recursos no datacenter
privado ou na nuvem.
Uma abordagem de Confiança zero envolve a verificação e o monitoramento
constantes do acesso a todos os serviços corporativos, aplicações e conexões
de rede. Simplificando, "nunca confie, sempre verifique".
Ao adotar um modelo de segurança de Confiança zero, as organizações podem
deixar de usar redes virtuais privadas tradicionais para acessar aplicações herdadas,
migrando-as para o Microsoft Azure.
As aplicações da nuvem podem ser acessadas pela Internet e para as aplicações que
não podem ser migrados totalmente para o Azure. Eles podem ser publicados por
meio do proxy da aplicação do Azure Active Directory (Azure AD), conforme vimos
no Capítulo 5, Como habilitar o trabalho seguro e remoto com o Azure AD e a Área
de Trabalho Virtual do Azure.
164 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Os funcionários terão a capacidade de acessar aplicações que usam diariamente por


meio da Área de Trabalho Virtual do Azure de uma forma mais segura e restringir
o movimento para outros recursos. Essa abordagem oferece à sua organização
a capacidade de alinhar uma estratégia de segurança de primeiro na nuvem e garante
que os funcionários tenham acesso às aplicações de que precisam, quando precisam
e com os níveis de acesso corretos.
A Microsoft fornece uma linha de base de segurança para proteger pessoas,
dispositivos, infraestrutura e dados contra vulnerabilidades por meio de soluções
de segurança baseadas em identidade. Portanto, a Microsoft fortalece os produtos e os
serviços para identificar e resolver vulnerabilidades com rapidez e eficiência. Há duas
plataformas principais disponíveis para você garantir que possa adotar as práticas
recomendadas em sua estratégia de segurança:
• Portal de engenharia de segurança
• Microsoft Security Response Center

A Microsoft está sempre melhorando sua proteção de serviços e dados por meio
de gerenciamento operacional e práticas de mitigação de ameaças. Você pode usar
o Portal de engenharia de segurança para saber mais sobre as práticas de segurança
que a Microsoft está usando para proteger aplicações e serviços.
Por outro lado, é possível usar o Microsoft Security Response Center (MSRC) para
manter seus sistemas protegidos e gerenciar os riscos de segurança. No portal MSRC,
você verá as últimas atualizações de segurança, detalhes sobre a família de produtos,
a gravidade e o impacto das vulnerabilidades e terá acesso para fazer o download
de atualizações de segurança que podem ser aplicadas ao seu sistema.

Cyber Defense Operations Center


O Microsoft Cyber Defense Operations Center realiza a detecção de invasões
e responde a comprometimentos e ataques, ajudando você a proteger melhor
uma equipe de trabalho remota. Ele protege a infraestrutura de nuvem e os serviços,
os produtos e os dispositivos que os clientes usam, bem como os recursos internos
da Microsoft, além do perímetro de segurança tradicional.
O Microsoft Cyber Defense Operations Center agrupa os especialistas em resposta
de segurança da empresa para ajudar a proteger, detectar e responder a ameaças
de segurança 24x7 contra a infraestrutura e os ativos de TI da Microsoft globalmente.
A postura de segurança cibernética da Microsoft está comprometida em proteger,
detectar e responder a ameaças de segurança cibernética. Com base nesses três pilares,
explicados nas seções a seguir, a Microsoft pode fornecer uma estrutura útil para
estratégias e recursos de segurança.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 165

Proteger
A Microsoft está empenhada em proteger os recursos de computação usados por
clientes e funcionários para garantir a resiliência da infraestrutura e dos serviços
de nuvem. As táticas de proteção da Microsoft se inserem em nove categorias principais:
• Monitoramento e controles do ambiente físico, como acesso físico a datacenters,
triagem e aprovação de acesso no perímetro da instalação, no interior do edifício
e no piso do datacenter.
• Componentes de rede definida por software para proteger a infraestrutura
de nuvem contra invasões e ataques, como ataques de negação de serviço
distribuídos (DDoS).
• Controles de identidade e gerenciamento com autenticação multifator
para garantir que os recursos e os dados críticos sejam protegidos.
• O uso de privilégios just-enough-administration (JEA) e just-in-time (JIT) para
garantir o acesso correto aos recursos.
• Gerenciamento de configuração e higiene adequada, mantidos por meio
de software antimalware e atualizações do sistema.
• Identificação e desenvolvimento de assinaturas de malware implantadas
na infraestrutura da Microsoft para detecção e defesa avançadas.
• Fortalecimento de todos as aplicações, serviços online e produtos por meio
do Microsoft Security Development Lifecycle (SDL).
• Redução da superfície de ataque restringindo serviços.
• Execução de medidas apropriadas para proteger dados confidenciais, ativação
da criptografia em trânsito e em repouso e aplicação do princípio de acesso
de menor privilégio.

Detectar
Embora a Microsoft continue investindo nessas camadas de proteção, os criminosos
cibernéticos estão sempre procurando maneiras de explorá-las. Não há nenhum ambiente
totalmente protegido, pois os sistemas podem falhar e as pessoas podem cometer erros.
Portanto, a Microsoft adotou uma posição de Presumir violações para garantir que um
comprometimento seja rapidamente detectado e ações apropriadas sejam executadas.
As táticas de detecção da Microsoft se inserem em seis categorias principais:
• Monitoramento de rede e ambientes físicos
• Destaque da atividade anormal com base na análise de identidade e comportamento
• Ferramentas de machine learning para descobrir irregularidades
• Identificação de atividades anômalas por meio de processos e ferramentas analíticas
• Aumento da eficácia usando processos automatizados baseados em software
• Determinação de processos de correção e resposta a anomalias em sistemas
166 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Responder
A aceleração da triagem, mitigação e recuperação fazem parte do compromisso
da Microsoft de fornecer informações relevantes e úteis por meio de sistemas
de resposta automatizados. O principal objetivo é proteger vulnerabilidades, mitigar
ataques e, além disso, responder a eventos de segurança cibernética.
As táticas de resposta da Microsoft se inserem nas seis categorias principais a seguir:
• Sinalização de eventos que exigem intervenção por meio de sistemas de resposta
automatizados
• Resposta rápida, fornecendo um processo de resposta a incidentes bem definido,
documentado e escalável disponível para todos os respondentes
• Especialização em Microsoft Teams para garantir uma compreensão profunda
das plataformas, dos serviços e das aplicações em execução em datacenters
na nuvem para resolver incidentes
• Determinação de escopos de incidentes por meio de ampla pesquisa corporativa
em dados e sistemas na nuvem e na infraestrutura local
• Uma melhor compreensão dos incidentes por meio de análise forense profunda
• Um tempo de resposta e recuperação rápidos por meio de ferramentas
de software de segurança e automação
As organizações podem aprender com o Microsoft Cyber Defense Operations Center
e adotar práticas recomendadas para proteger seus ambientes e melhorar a postura
de segurança, bem como usar soluções e integrações disponíveis na Associação
de Segurança Inteligente da Microsoft.

Associação de Segurança Inteligente da Microsoft


A Associação de Segurança Inteligente da Microsoft (MISA) é um ecossistema de
fornecedores de software independentes de toda a indústria de segurança cibernética,
com o objetivo final de melhorar a segurança de uma organização compartilhando seus
conhecimentos e integrando suas soluções, para melhor se defender contra um mundo
de ameaças crescentes.

Os benefícios da associação MISA incluem:


• Produtos de segurança da Microsoft para estender os recursos da solução
• Uma estratégia de lançamento no mercado para aproveitar oportunidades de
comarketing
• Conexões do cliente
• Acesso às equipes de produtos para diferenciar suas soluções
A MISA fornece orientação e recursos para a criação de aplicativos, fluxos de trabalho
e integração com o gerenciamento de segurança, proteção contra ameaças, proteção
de informações e soluções de gerenciamento de identidades e acessos da Microsoft
para que você possa criar soluções de segurança conectadas e habilitar experiências
para cenários entre produtos.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 167

Você pode encontrar membros da MISA por meio do seguinte URL:


https://www.microsoft.com/misapartnercatalog

Nesta seção, analisamos como a Microsoft garante a excelência das operações


de segurança e as táticas que uma empresa deve seguir para proteger, detectar
e responder a possíveis ameaças de segurança.

A fim de melhorar sua postura de segurança, é importante ter visibilidade de todo


o seu ambiente e a capacidade de usar mecanismos para evitar ameaças de segurança.
Na próxima seção, veremos os principais recursos da Central de Segurança e como usar
esse serviço.

Obter visibilidade de toda a sua infraestrutura com a Central


de Segurança do Azure
A visibilidade unificada em todo o ambiente é fundamental para monitorar sua postura
de segurança, detectar ameaças e responder rapidamente a elas. A Central de
Segurança pode fornecer os mecanismos para monitorar seus ambientes e responder
proativamente às ameaças de segurança.

Se você navegar até o portal do Azure e procurar Central de Segurança, poderá ver
o serviço em sua assinatura, conforme mostrado na Figura 6.1:

Figura 6.1: Visão geral da Central de Segurança do Azure


168 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Na página Central de Segurança, você pode obter uma visão geral da postura
de segurança dos recursos em sua assinatura, juntamente com recomendações para
fortalecer a segurança desses recursos:
1. Classificação de segurança : o núcleo dos recursos de gerenciamento de postura
de segurança na nuvem da Central de Segurança do Azure é a Classificação
de segurança. Esta é uma medida do status atual das recomendações de segurança
para todos os recursos. Ela é calculada usando a relação entre seus recursos
íntegros, os recursos totais e uma ponderação da importância de algumas das
recomendações de segurança em relação às outras. Quanto maior a pontuação,
menor o nível de risco identificado.
2. Conformidade regulatória: fornece insights sobre o nível de conformidade
com os vários padrões regulatórios e da indústria que você aplicou às suas
assinaturas. O Azure Defender deve ser habilitado para monitorar sua pontuação
de conformidade.
3. Azure Defender : é a plataforma de proteção de workloads de nuvem integrada
da Central de Segurança. Acesse o Azure Defender de dentro da Central
de Segurança e proteja seus workloads híbridos e de várias nuvens em execução
em servidores, SQL, armazenamento, contêineres e IoT. O Defender faz parte
da solução de detecção e resposta estendidas (XDR).
4. Gerenciador de Firewall : a integração do Gerenciador de Firewall do Azure
no painel principal da Central de Segurança do Azure permite que os clientes
verifiquem o status de cobertura do firewall em todas as redes e gerenciem políticas
de firewall do Azure de forma centralizada.

Gerenciamento de posturas de segurança e várias nuvens


Com a rápida adoção de serviços de nuvem em vários provedores de nuvem,
as organizações podem simplificar as operações, habilitar o trabalho remoto e melhorar
a produtividade dos funcionários. O uso de aplicações de nuvem em várias plataformas
introduz novos riscos e ameaças.

Gerenciamento da Postura de Segurança na Nuvem (CSPM) é um termo usado


para abordar os principais atributos que uma solução de segurança deve incluir para
fornecer a visibilidade e os recursos para ajudar você a entender seu ambiente e como
protegê-lo melhor, seja na nuvem ou na infraestrutura local.

Com a Classificação de segurança do Azure, a Central de Segurança pode ajudar


a melhorar a postura de segurança e reduzir a probabilidade de comprometer seus
recursos. Isso vai além de IaaS ou PaaS e também se aplica a SaaS. Na verdade, O Estudo
do impacto econômico total da Central de Segurança do Azure destaca que a Central
de Segurança do Azure pode reduzir em 25% o risco de uma violação de segurança.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 169

Você pode ler mais sobre o estudo TEI no seguinte URL: https://query.prod.cms.
rt.microsoft.com/cms/api/am/binary/RWxD0n

A plataforma de segurança na nuvem da Microsoft pode melhorar a configuração


de segurança de sua infraestrutura de nuvem e ajudar você a detectar e proteger seus
ambientes no Azure, na infraestrutura local e em outras nuvens.

As organizações que adotaram uma abordagem de várias nuvens agora podem


melhorar facilmente sua postura de segurança, pois a Microsoft fornece um sistema
de gerenciamento de segurança de infraestrutura unificado por meio da Central
de Segurança para fortalecer a postura de segurança de seus recursos de nuvem e na
infraestrutura local, fornecendo proteção contra ameaças e análise profunda. Por meio
da Central de Segurança, você pode avaliar continuamente o estado de segurança
de seus recursos, incluindo os que estão em execução em outras nuvens e datacenters
na infraestrutura local.
A Central de Segurança fornece as ferramentas necessárias para proteger os serviços
e fortalecer a rede. Você pode ativar a Central de Segurança em sua assinatura do Azure
e usar os recursos de detecção e resposta estendidos para habilitar a proteção contra
ameaças em ambientes em operação no Azure, na infraestrutura local e em outras nuvens.

A maioria das organizações que migram para o Azure normalmente migra para a nuvem
aplicações que tenham alguns controles de segurança herdados implementados para
tentar proteger esses workloads. Na realidade, as ameaças na nuvem diferem das
ameaças na infraestrutura local. Portanto, a Central de Segurança aborda a necessidade
de uma ferramenta nativa da nuvem que forneça a capacidade de identificar possíveis
vulnerabilidades em seus recursos e recomendações sobre como lidar com essas
vulnerabilidades.
Existem várias estratégias, táticas e ferramentas para usar e proteger seus ambientes
híbridos e de várias nuvens. Veja a seguir uma estratégia proposta para proteger seu
ambiente de várias nuvens em quatro fases:

Figura 6.2: Quatro fases para proteger seu ambiente de várias nuvens
170 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Fase 1: Identificar o status da postura de segurança da sua organização


É importante entender e avaliar o status dos recursos e o uso real; para isso, você pode
usar a Cloud Discovery para analisar todo o tráfego que passa por sua rede. Esse
processo de identificação de anomalias pode ser realizado por meio de machine
learning, um mecanismo de detecção de anomalias ou por meio de políticas
personalizadas concentradas principalmente nos processos de descoberta
e investigação.
Fase 2: Detectar comportamentos suspeitos entre os workloads
É recomendável usar ferramentas de monitoramento de nuvem para que você possa
aprender com os alertas, ajustar as detecções de atividades para identificar os
verdadeiros comprometimentos e melhorar o processo de manipulação de grandes
volumes de detecções de falsos positivos. Há algumas recomendações específicas
que você pode seguir, como configurar intervalos de endereços IP, ajustar o uso
de monitoramento e sensibilidade de alertas e ajustar as políticas de detecção
de anomalias.
Fase 3: Avaliar e remediar erros de configuração e status de conformidade
A Central de Segurança pode avaliar todos os recursos de determinada assinatura
e fornecer recomendações para todo o ambiente. Ao selecionar uma recomendação
específica, a Central de Segurança redirecionará você para a página Detalhes
da recomendação, onde você verá detalhes adicionais e instruções sobre como
corrigir o problema identificado.
Para uma abordagem de várias nuvens, se sua organização estiver usando a
Amazon Web Services (AWS) ou a Google Cloud Platform (GCP), é possível fazer
busca detalhada dos recursos de segurança na configuração para AWS. Ao conectar
sua AWS à Central de Segurança do Azure, você poderá ver as recomendações da AWS
na Central de Segurança, ajudando você a abordar uma abordagem de várias nuvens.
Fase 4: Automatizar a proteção e a aplicação de políticas para recursos de nuvem
Essa fase é concentrada em proteger seus recursos de nuvem contra vazamentos
de dados em tempo real por meio da aplicação de políticas de controle e acesso
a recursos. Isso impedirá a exfiltração de dados e o upload de arquivos maliciosos
para suas plataformas de nuvem.
É possível criar uma política de sessão que bloqueie o upload de arquivos rotulados
incorretamente e configura políticas para impor a criação correta de rótulos. Dessa
forma, você pode garantir que os dados salvos na nuvem tenham as permissões
de acesso corretas aplicadas.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 171

Arquitetura da Central de Segurança do Azure


Como a Central de Segurança é integrada nativamente ao Azure, você pode monitorar
quase todos os recursos que fazem parte do seu ambiente e protegê-los sem nenhuma
implantação adicional. Como mencionado anteriormente, a Central de Segurança pode
proteger servidores que não são do Azure e oferecer suporte a servidores Windows
e Linux por meio da instalação do agente da Central de Segurança, conforme mostrado
na Figura 6.3:

Figura 6.3: Arquitetura da Central de Segurança do Azure e do Azure Sentinel

O agente coleta todos os eventos de segurança, que são então correlacionados no


mecanismo de análise de segurança para fornecer recomendações personalizadas com
base em suas políticas de segurança definidas. As políticas de segurança são baseadas
em iniciativas de política criadas na política do Azure e podem ser usadas para definir
a configuração desejada de seus workloads para garantir o cumprimento dos requisitos
de segurança da organização ou de qualquer regulamentação específica.
A Central de Segurança inclui três principais políticas de segurança:
• Políticas padrão incorporadas: são políticas atribuídas automaticamente quando
você habilita a Central de Segurança. Elas fazem parte de uma iniciativa interna
e você pode personalizá-las posteriormente.
• Políticas personalizadas: é possível usar políticas de segurança personalizadas
e adicionar suas próprias iniciativas personalizadas para receber recomendações
se seu ambiente não segue as políticas criadas. Você pode configurar uma
iniciativa personalizada na Central de Segurança, selecionar a assinatura
ou o grupo de gerenciamento ao qual você gostaria de adicionar a iniciativa
personalizada e definir os parâmetros para ela.
• Políticas de conformidade regulatória: você poderá ver um painel
de conformidade que mostra o status de todas as avaliações em seu ambiente,
para ajudar a melhorar a conformidade regulatória.
172 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Benchmark de Segurança do Azure


A segurança é um esforço conjunto entre a Microsoft e sua organização e clientes.
Temos que garantir que nossos workloads permaneçam seguros, estejam eles
na infraestrutura local ou na nuvem. Para ajudar você a melhorar a segurança de seus
workloads, dados e serviços em execução na nuvem, a Microsoft fornece linhas de base
de segurança para o Azure se concentrar em áreas de controle centradas na nuvem
e aplica orientações prescritivas e práticas recomendadas para fortalecer a segurança
por meio do Benchmark de Segurança do Azure (ASB).
O ASB concentra-se principalmente em áreas de controle centradas na nuvem. Dessa
forma, você pode seguir recomendações e orientações que compõem o Cloud Adoption
Framework, o Azure Well-Architected Framework e as Práticas Recomendadas
de Segurança da Microsoft.

É importante entender o contexto e a terminologia usados nas linhas de base


de segurança do Azure, portanto, precisamos enfatizar alguns termos:
• Controle: é a descrição de um recurso ou atividade, não específico de uma
tecnologia, que precisa ser abordado. Por exemplo, Proteção de Dados é um
controle de segurança que contém ações específicas que devem ser executadas
para garantir que seus dados sejam protegidos.
• Benchmark : contém recomendações de segurança para uma tecnologia
específica e pode ser categorizado pelo controle a que ele pertence. Por
exemplo, o ASB compreende recomendações de segurança específicas do Azure.
• Linha de base: é a implementação do benchmark de segurança nos serviços
do Azure. Por exemplo, uma organização pode habilitar recursos de segurança
do SQL do Azure seguindo a linha de base de segurança do SQL do Azure.

Se sua organização é nova no Azure e está procurando recomendações para


proteger implantações e melhorar a postura de segurança dos ambientes existentes
ou está tentando atender aos requisitos regulamentares para clientes altamente
regulamentados, o ASB é o ponto de partida ideal. Ele inclui ferramentas, rastreamento
e controles de segurança e é consistente com benchmarks de segurança bem
conhecidos, como os descritos pelos controles da Central de Segurança da Internet
(CIS) versão 7.1 e National Institute of Standards and Technology (NIST) SP800-53.
O ASB pode ajudar você a proteger os serviços utilizados no Azure por meio de uma
série de recomendações de segurança que incluem:
• Controles de segurança: são recomendações que você pode aplicar aos seus
serviços e locatários do Azure.
• Linhas de base de serviço: elas podem ser aplicadas aos serviços do Azure
para obter recomendações sobre a configuração da segurança de um serviço
específico.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 173

Para implementar o ASB, você pode começar planejando sua implementação


e validando os controles corporativos e as linhas de base específicas do serviço que
podem atender melhor às necessidades da sua organização. Em seguida, monitore sua
conformidade usando o painel de conformidade regulatória da Central de Segurança.
Por fim, estabeleça proteções para impor a conformidade por meio dos Azure
Blueprints e da Política do Azure. O ASB inclui os seguintes domínios de controle:
• Segurança de rede
• Gerenciamento de identidades
• Acesso privilegiado
• Proteção de Dados
• Gerenciamento de Ativos
• Log e detecção de ameaças
• Resposta a incidentes
• Gerenciamento de postura e vulnerabilidade
• Segurança do ponto de extremidade
• Backup e recuperação
• Governança e estratégia

ASB é a política de segurança padrão para a Central de Segurança do Azure para


que você possa estender a riqueza de recomendações de segurança no Azure.
Como resultado, o Azure Secure Score refletirá um conjunto muito mais amplo
de recomendações e compreenderá um conjunto mais amplo de recursos do Azure.
Além disso, o layout de conjunto de controles completo do ASB no painel
de conformidade agora está disponível para todos os clientes da Central de Segurança
do Azure, incluindo a camada gratuita da Central de Segurança do Azure, bem como
os clientes existentes do Azure Defender. Os clientes podem exibir sua conformidade
em relação aos controles de benchmark na exibição de conformidade enquanto
visualizam o impacto detalhado na classificação segura. Ao priorizar a correção
de recomendações de segurança usando métricas de classificação segura, os clientes
podem obter uma classificação mais segura e alcançar seus objetivos de conformidade,
tudo ao mesmo tempo.
Você pode revisar as atualizações mais recentes do arquivo de mapeamento de linha
de base de segurança completo da Central de Segurança no seguinte repositório
do GitHub: https://github.com/MicrosoftDocs/SecurityBenchmarks/.
174 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Obter proteção avançada contra ameaças para seus ambientes


híbridos e de várias nuvens com o Azure Defender
À medida que o número de trabalhadores remotos aumentou nos últimos meses,
as organizações têm tido uma necessidade muito maior de garantir que os funcionários
tenham acesso por meio de vários tipos de dispositivos aos recursos da empresa.
Dessa forma, é importante ajustar as políticas de segurança para permitir o trabalho
remoto e manter seus dados seguros. Como mencionado na seção anterior, a Central
de Segurança pode melhorar seu gerenciamento da postura de segurança na nuvem
(CSPM) e fornecer recursos de proteção de workloads na nuvem (CWP).
Você pode usar a Central de Segurança gratuitamente em qualquer assinatura, que
inclui a detecção de erros de configuração de segurança em seus recursos do Azure,
uma classificação segura para melhorar sua postura na nuvem híbrida e habilitar
o Azure Defender para proteção avançada para seus workloads híbridos do Azure.
O Azure Defender é integrado ao mesmo serviço nativo de nuvem que a Central
de Segurança e fornece recursos de segurança adicionais, como alertas de segurança
e proteção avançada contra ameaças.
O Azure Defender inclui suporte nativo para serviços do Azure, como máquinas virtuais,
bancos de dados SQL, armazenamento, contêineres, aplicativos Web, redes e servidores
que não são do Azure hospedados na infraestrutura local ou em outras nuvens, como
AWS e GCP.
Para estender a proteção de nuvem híbrida para seus bancos de dados SQL e servidores
em operação em outras nuvens ou na infraestrutura local, é recomendável usar o Azure
Arc e o Azure Defender. Você pode encontrar os detalhes sobre a cobertura de recursos
e preços no seguinte site: https://azure.microsoft.com/pricing/details/azure-
defender/.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 175

Painel do Azure Defender


Se você navegar até o portal do Azure e procurar a Central de Segurança na Central
de Segurança, você encontrará o painel do Azure Defender como na Figura 6.4:

Figura 6.4: Painel do Azure Security Defender

O painel do Azure Defender fornecerá a cobertura geral de seus recursos, alertas


de segurança, proteção avançada e insights sobre seus recursos mais atacados,
juntamente com os alertas de vulnerabilidade de máquinas virtuais:
176 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Figura 6.5: Painel do Azure Defender

Vamos analisar o que o Azure Defender pode fazer por servidores, SQL, armazenamento
e registros de contêiner.

Azure Defender para servidores


O Azure Defender é integrado ao Azure Monitor para proteger suas máquinas baseadas
no Windows. Enquanto a Central de Segurança apresenta as sugestões de alertas
e correção, o Azure Defender coleta registros de auditoria de máquinas, incluindo
máquinas Linux, por meio do auditd, uma estrutura de auditoria Linux comum que
reside no kernel.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 177

Sua organização pode se beneficiar do uso do Azure Defender para servidores de várias
maneiras, pois fornece recursos de detecção e proteção de ameaças, como o seguinte:
• Integração com o Microsoft Defender para Ponto de Extremidade, de modo que
quando houver uma ameaça detectada ele dispare um alerta mostrado na Central
de Segurança.
• Use o scanner de vulnerabilidades Qualys, que abordaremos em breve.
• O acesso JIT pode ser usado para bloquear o tráfego de entrada para suas
máquinas virtuais, reduzindo a exposição a ataques.
• Altere o monitoramento ou o monitoramento da integridade do arquivo, o que
pode ajudar você a examinar arquivos e registros de um sistema operacional,
aplicações e alterações no tamanho do arquivo, listas de controle de acesso e o
hash do conteúdo que pode indicar um ataque.
• É possível usar controles de aplicação adaptáveis para obter uma solução
inteligente e automatizada para criar uma lista de permissão de aplicações que
podem ser executados em suas máquinas e obter alertas de segurança se houver
aplicações em execução não definidos como seguros.
• O fortalecimento de rede adaptável pode ajudar você a melhorar sua postura de
segurança por meio do fortalecimento do Grupo de Segurança de Rede (NSG).
• A Central de Segurança pode avaliar seus contêineres e comparar as
configurações com o benchmark do Docker da Central de Segurança da
Internet (CIS).
• Você pode usar a detecção de ataques sem arquivos e obter alertas de segurança
detalhados com descrições e metadados.
• Os alertas do Linux auditd e a integração do log Analytics podem ser usados
para coletar registros enriquecidos que podem ser agregados a eventos.

Azure Defender para SQL


O Azure Defender para SQL pode ser utilizado para proteger seus workloads contra
possíveis ataques de injeção SQL, padrões de consulta e acesso de banco de dados
anômalos, além de atividades suspeitas. Ele pode ser usado para serviços baseados em
IaaS e PaaS. Simplificando, ele é compatível com os seguintes dois escopos:
• Servidores de banco de dados SQL: inclui o banco de dados SQL do Azure,
instâncias gerenciadas do SQL do Azure e pool do SQL dedicados no Azure Synapse.
• Servidores SQL em máquinas: estende a proteção para servidores SQL baseados
no Azure, mas também para outros ambientes na nuvem e na infraestrutura
local, como o SQL Server em máquinas virtuais do Azure, o SQL Server na
infraestrutura local em execução em máquinas Windows e o SQL Server
habilitado para Azure Arc.
178 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Azure Defender para Armazenamento


Para os trabalhadores remotos que acessam aplicações na nuvem que têm a capacidade
de fazer upload de arquivos, precisamos garantir que possamos determinar se os arquivos
carregados são suspeitos. Por meio do Azure Defender para Armazenamento, podemos
usar a análise de reputação de hash e acionar alertas caso haja atividades suspeitas ou
comportamento anômalo ou se houver algum possível malware sendo carregado.

O Azure Defender para Armazenamento exibirá um alerta e poderá enviar um email ao


proprietário do armazenamento solicitando aprovação para excluir esses arquivos.

Azure Defender para registros de contêineres


Com o Registro de Contêiner do Azure, você pode criar, armazenar e gerenciar suas imagens
e artefatos de contêiner em um serviço de Registro do Docker gerenciado e privado.
Você pode verificar as vulnerabilidades em suas imagens de contêiner com o Azure
Defender e revisar as descobertas — categorizadas por gravidade — na lista de
recomendações de segurança da Central de Segurança.

As imagens podem ser verificadas em três fases diferentes: no envio, nas imagens
recentemente extraídas e na importação. Essas imagens são extraídas do Registro
e, em seguida, executadas em uma área restrita isolada com o scanner Qualys.
Em seguida, a Central de Segurança apresentará os resultados.

Scanners de vulnerabilidade Qualys


O Azure Defender inclui três scanners Qualys: um para máquinas, um para registros de
contêineres e outro para SQL. Os scanners Qualys, conforme mostrado na Figura 6.6,
são integrados à Central de Segurança e monitoram suas máquinas por meio de uma
extensão instalada no recurso real. Em seguida, o serviço de nuvem do Qualys executa
a avaliação de vulnerabilidade e envia suas descobertas para a Central de Segurança:

Figura 6.6: Scanner de vulnerabilidade da Central de Segurança do Azure


Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 179

O scanner de vulnerabilidade funciona da seguinte maneira:


1. Depois que o Azure Defender estiver habilitado para sua assinatura, você poderá
usar a recomendação avaliação de vulnerabilidade deve ser habilitada em máquinas
virtuais para implantar a extensão integrada do scanner de vulnerabilidade.
2. Após a instalação da extensão, o agente coleta as informações de segurança
necessárias, incluindo a versão do sistema operacional, portas abertas, software
instalado, variáveis de ambiente e metadados associados aos arquivos. Ocorre uma
verificação a cada 4 horas, e todos os dados são enviados para o serviço de nuvem
Qualys para serem analisados.
3. O Qualys analisa as informações e cria as descobertas por máquina. Esses
resultados são enviados para a Central de Segurança.
4. Em seguida, você pode revisar as vulnerabilidades da máquina na página
recomendações da Central de Segurança.
É possível verificar as máquinas que não são Azure conectando-as à Central de
Segurança com o Azure Arc e, em seguida, implantando a extensão como acima. Para
grandes implantações, é possível usar scripts de remediação do Azure Resource
Manager (ARM), PowerShell, Aplicativos Lógicos do Azure ou a API REST.

Alertas
Como a Central de Segurança pode ser utilizada para proteger seus recursos
implantados no Azure, em outras nuvens e na infraestrutura local, ela pode gerar vários
tipos de alertas que são acionados por detecções avançadas disponíveis por meio do
Azure Defender.
Esses alertas de segurança serão gerados se houver ameaças detectadas em qualquer
recurso. A Central de Segurança fornece uma visão única de uma campanha de
ataque que contém os incidentes. Incidente de segurança é uma coleção de alertas
relacionados.
180 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Você poderá inspecionar os alertas de segurança e revisar mais detalhes relacionados,


conforme mostrado na Figura 6.7:

Figura 6.7: Detalhes dos alertas de segurança

À medida que seu ambiente continua a crescer, é mais provável que você tenha um
número maior de alertas mostrados na Central de Segurança, e você precisará ter um
controle melhor dos seus alertas e priorizá-los corretamente. A Central de Segurança
atribui uma gravidade a esses alertas de segurança em quatro categorias:
• Informativo: você verá esses tipos de alertas se fizer uma busca detalhada de um
incidente de segurança composto por vários alertas.
• Baixo: esses tipos de alertas podem indicar um ataque bloqueado ou um falso
positivo com baixo impacto.
• Médio: esses alertas indicam que um recurso pode estar comprometido devido a
atividades suspeitas. Por exemplo, um logon de um local anômalo.
• Alto: um alerta de alta gravidade indica que há uma alta probabilidade de que seu
recurso esteja comprometido e você precisa agir imediatamente.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 181

A Central de Segurança permite exportar alertas de maneiras diferentes. Você pode fazer
o download de um relatório CSV no painel de alertas, configurar a exportação contínua
ou usar um conector SIEM (como o Azure Sentinel) para transmitir alertas de segurança.
Embora o Azure Defender possa ajudar você a proteger e remediar possíveis vulner-
abilidades, também é importante implementar as práticas recomendadas na configuração
dos recursos que são essenciais para seus workloads, como os recursos de rede.

Práticas recomendadas para proteger sua rede


Na seção anterior deste capítulo, Excelência das operações de segurança, analisamos o
princípio de Confiança zero. Isso pressupõe que as violações são inevitáveis e, portanto,
devemos garantir que tenhamos os controles certos implementados para verificar cada
solicitação. O gerenciamento de identidades desempenha um papel fundamental nisso.
Há três objetivos principais para proteger sua rede no modelo de Confiança zero:
• Preparação para lidar com ataques com antecedência
• Redução da superfície de ataque e a extensão dos danos
• Fortalecimento de sua presença na nuvem, incluindo recursos e configurações
que fazem parte do seu ambiente, para reduzir as chances de comprometimento

Se sua organização estiver habilitando o trabalho remoto e implementando uma


estrutura de Confiança zero de ponta a ponta, há algumas práticas recomendadas a
serem seguidas para alcançar esses objetivos:
• Segmentação de rede
• Proteção contra ameaças
• Criptografia

Vamos verificar cada um em detalhes.

Segmentação de rede
Proteger sua rede corporativa é prioridade máxima, mas isso está mais difícil do que
nunca, pois o trabalho remoto redefine o perímetro de segurança. Ele não é mais
definido pelos locais físicos de uma organização, mas agora se estende a cada ponto de
extremidade que acessa dados e serviços corporativos. Portanto, depender de firewalls
e VPNs tradicionais não é suficiente para proteger essa nova propriedade digital.
Sabe-se que não há um design de arquitetura único para as organizações; cada
organização tem necessidades de negócios diferentes a serem atendidas. Adotar uma
abordagem de Confiança zero pode ajudar a garantir a segurança ideal para seus
trabalhadores remotos sem comprometer a experiência da aplicação.
182 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

As empresas tradicionais costumavam proteger seus perímetros corporativos usando


controles de rede tradicionais. As redes tradicionais tendem a ter poucos perímetros de
segurança de rede e uma rede simples e aberta, o que torna mais fácil para os invasores
mover-se rapidamente por toda a rede. As redes de Confiança zero são totalmente
distribuídas com microssegmentação. A segmentação de rede granular remove a confiança
da rede, o que minimiza drasticamente o movimento lateral e a exfiltração de dados.
As redes de Confiança zero empregam proteção contra ameaças de machine learning
e filtragem baseada em contexto, o que pode frustrar até mesmo os ataques mais
sofisticados. Nas redes tradicionais, nem todo o tráfego é devidamente criptografado,
o que as torna mais suscetíveis a ataques man-in-the-middle, escutas e sequestro de
sessão. Em redes de Confiança zero, todo o tráfego é criptografado usando padrões da
indústria para garantir que os dados em trânsito permaneçam confidenciais.
O principal objetivo é ir além de uma rede centralizada para uma segmentação mais
abrangente e distribuída usando microperímetros. Dessa forma, as aplicações podem
ser particionadas em várias redes virtuais do Azure e se conectar por meio de um
modelo hub-spoke. Além disso, é recomendável implantar o Firewall do Azure na rede
virtual do hub para inspecionar todo o tráfego.
Para oferecer suporte a essa abordagem, o Microsoft Azure fornece vários
componentes de rede nativos da nuvem para permitir o trabalho remoto e atenuar
problemas de rede. As organizações estão usando NVAs de terceiros disponíveis por
meio do Microsoft Azure Marketplace para fornecer conectividade crítica em ambientes
de várias nuvens e na infraestrutura local.

Proteção contra ameaças


As aplicações de nuvem expostos à Internet têm maior risco de ataques e, portanto,
devemos garantir a verificação de todo o tráfego que passa por eles. A proteção
contra ameaças envolve a capacidade de atenuar ameaças de ataques conhecidas
e desconhecidas.
Ataques desconhecidos são principalmente ameaças que não correspondem a nenhuma
assinatura conhecida. Para ataques conhecidos, na maioria dos casos, há uma assinatura
disponível e podemos garantir que cada solicitação seja verificada em relação a eles.
Os serviços disponíveis no Azure, como o Firewall de Aplicativo Web (WAF), podem
ser utilizados para proteger o tráfego HTTPS. É possível usar o Azure WAF junto
com o Azure Front Door ou o Gateway de Aplicativo do Azure, enquanto o Firewall
do Azure pode ser usado para filtragem baseada em inteligência contra ameaças na
camada 4 do modelo OSI.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 183

Criptografia
O Azure permite que você garanta a proteção de dados confidenciais. Ele fornece
suporte em várias áreas de criptografia, incluindo em repouso, em trânsito e
gerenciamento de segredos. A criptografia de dados em repouso pode ser aplicável
a recursos de armazenamento persistentes, como armazenamento em disco ou de
arquivos, e está disponível para serviços em SaaS, PaaS e IaaS.
Por meio da criptografia do lado do servidor, você pode usar chaves de gerenciador de
serviços ou chaves de gerenciador de clientes usando o cofre de chaves ou o hardware
do controlador do cliente. A criptografia do lado do cliente inclui dados manipulados
por uma aplicação em funcionamento na infraestrutura local ou fora do Azure, e dados
que são criptografados quando recebidos pelo Azure.
Em uma abordagem de Confiança zero, devemos garantir que todo o tráfego do usuário
para a aplicação seja criptografada. Podemos cumprir esse objetivo usando o Azure
Front Door para impor o tráfego HTTPS para aplicações expostas à Internet e utilizar
serviços de rede e recursos como o Gateway de VPN (conexão ou S2S).
Além disso, se você estiver habilitando o acesso a recursos no Azure por meio de
máquinas virtuais, poderá proteger a comunicação usando o Azure Bastion, conforme
abordado no Capítulo 5, Como habilitar o trabalho seguro e remoto com o Azure AD
e a Área de Trabalho Virtual do Azure.
Agora que analisamos as práticas recomendadas para proteger sua rede e o tráfego no
ambiente, é importante também ter um mecanismo para obter insights dos recursos
que fazem parte do seu ambiente e ser capaz de analisar proativamente possíveis
ameaças no ambiente.

Modernize as operações de segurança com o Azure Sentinel,


um SIEM nativo de nuvem
As organizações que permitem o trabalho remoto precisam de uma maneira de
monitorar e obter mais insights de seus ambientes, estejam eles na nuvem ou na
infraestrutura local.
O Azure Sentinel é um serviço de gerenciamento de eventos e informações de
segurança nativo de nuvem (SIEM) que permite simplificar a coleta de dados de
várias fontes, incluindo ambientes na infraestrutura local e várias nuvens, por meio de
conectores internos para que você possa analisar proativamente possíveis ameaças e
simplificar as operações de segurança.

O Azure Sentinel correlaciona os logs e os sinais de segurança de todas as fontes em


suas aplicações, serviços, infraestrutura, redes e usuários. O Azure Sentinel pode
identificar ataques com base em seus dados e os coloca em um mapa para que você
possa analisar todo o tráfego.
184 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Em primeiro lugar, você precisa conectar seus recursos, que podem incluir
componentes de rede, aplicações e fontes de dados. O Azure Sentinel fornece uma
ampla variedade de conectores para extrair dados, incluindo serviços da Microsoft,
como Microsoft 365 Defender, Azure AD, Microsoft Defender para Identidade
(anteriormente, Azure ATP), Microsoft Cloud App Security e alertas do Azure Defender
da Central de Segurança, como visto na Figura 6.8:

Figura 6.8: Conectores de dados do Azure Sentinel

Como alternativa, você pode escolher entre soluções de terceiros ou criar seus próprios
conectores personalizados, pois o Azure Sentinel é compatível com o Formato Comum
de Evento, o Syslog e a API REST para conectar suas fontes de dados. Todos os dados
coletados são armazenados em um espaço de trabalho de Log Analytics, que é um
contêiner onde os dados são coletados e agregados. Ao habilitar o Azure Sentinel em sua
assinatura, você poderá selecionar um espaço de trabalho do Log Analytics específico.
Depois de conectar seus recursos, você poderá selecionar uma pasta de trabalho
específica que forneça uma tela para análise de dados e que permita criar relatórios
visuais personalizados no portal do Azure. Você pode criar suas próprias pastas de
trabalho de acordo com suas necessidades de negócios e combinar dados de várias
fontes em um único relatório, juntamente com visualizações personalizadas.
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 185

Por meio do painel do Azure Sentinel, como visto na Figura 6.9, você pode obter uma
visão geral de alto nível da postura de segurança da sua organização, pois inclui eventos
e alertas ao longo do tempo, incidentes por status e possíveis eventos maliciosos:

Figura 6.9: Painel do Azure Sentinel

Vamos explorar mais alguns recursos que o Azure Sentinel fornece: detecção e busca de
ameaças, investigação e resposta a incidentes e gerenciamento de vários locatários.

Habilitar a detecção e busca de ameaças


Indicadores de ameaça de fluxo que sua organização está usando no Azure Sentinel para
aprimorar sua análise de segurança e procurar ameaças de segurança nas fontes de dados
da sua organização, seja no Azure, em outras nuvens ou na infraestrutura local.
O Azure Sentinel fornece um recurso de busca, mostrado na Figura 6.10, que inclui
consultas incorporadas que podem filtrar provedores ou fontes de dados para ajudar
seus analistas de segurança a encontrar problemas rapidamente nos dados que você já
tem. Cada consulta fornece uma descrição detalhada para o caso de uso e você pode
personalizar suas consultas conforme necessário:
186 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Figura 6.10: Busca de ameaças do Azure Sentinel

As consultas são baseadas na Kusto Query Language e totalmente integradas com


o Azure Monitor. Depois de personalizar uma consulta que forneça insights de alto
valor sobre possíveis ataques, você poderá salvá-la e usar blocos de notas para
executar campanhas de busca de ameaças automatizadas.

Investigação e resposta a incidentes


O Azure Sentinel permite que você veja as operações de incidentes ao longo do
tempo. Os incidentes são criados com base em regras analíticas e incluem evidências
relevantes de uma investigação; portanto, eles podem conter vários alertas. Se os
analistas da sua organização estão tentando investigar incidentes, o Azure Sentinel
fornece recursos de gerenciamento de incidentes que podem ser acessados por meio
da página Incidente. Você pode analisar quantos incidentes você tem abertos, em
andamento ou fechados:
Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 187

Figura 6.11: Propriedades e filtros da tabela de incidentes do Azure Sentinel

Você pode fazer busca detalhada de cada incidente e ver o carimbo de data e hora,
juntamente com o status e a gravidade do incidente. Também é possível usar o gráfico
de investigação, que fornece um mapa ilustrativo das entidades relacionadas ao alerta
e aos recursos associados a ele.

No entanto, o objetivo é ser capaz de responder a um alerta de segurança e automatizar


respostas a esses alertas assim que possível. Os guias estratégicos de segurança
do Azure podem ajudar você a orquestrar e automatizar sua resposta. Esses guias
estratégicos de segurança são baseados em Aplicativos Lógicos do Azure e podem
melhorar a maneira de responder a um alerta de segurança.

Quando você receber um alerta de segurança, poderá executar um guia estratégico


manualmente ou automatizar o seu guia de segurança. Para executar manualmente um
guia de segurança, acesse a página Incidentese, na guia Alertas, configure o guia que
deseja executar na lista de guias disponíveis.

A resposta automatizada envolve a configuração de um gatilho do alerta de segurança.


Você pode configurar a ação de desencadear um guia de segurança quando há uma
correspondência no seu alerta.

Gerenciar vários locatários/ambientes multilocatário


Um grande benefício de usar o Azure Sentinel para modernizar suas operações de
segurança é a extensibilidade para gerenciar os recursos do Azure Sentinel do seu
cliente de seu próprio locatário do Azure, não havendo necessidade de se conectar
ao locatário do cliente. Essa capacidade de multilocação é realmente útil para
organizações que atuam como provedores de serviços de segurança gerenciados para
outras organizações ou clientes.
Essa capacidade de gerenciar vários locatários no Azure Sentinel de seu próprio locatário
do Azure é viabilizada pelo Azure Lighthouse, que permite recursos de gerenciamento
multilocatário e melhora a governança em recursos e locatários. Se sua organização fornece
serviços gerenciados para vários clientes, você pode usar ferramentas de gerenciamento
mais abrangentes, delegar o gerenciamento de recursos, exibir informações entre
locatários do portal do Azure, usar modelos do ARM para integrar clientes, executar tarefas
de gerenciamento e também fornecer serviços gerenciados usando o Azure Marketplace.
188 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Com base em verticais e perfis da indústria, as organizações devem cumprir requisitos


regulatórios que fornecem recomendações sobre controles de segurança que devem
ser adotados, como PCI-DSS, NIST, ISO27001, etc.
Atender a essas obrigações de conformidade regulatória pode ser um desafio
significativo em um ambiente de nuvem ou híbrido. Na seção final, veremos os recursos
disponíveis no Azure que podem ajudar você a aplicar esses padrões organizacionais.

Uma experiência SecOps unificada


À medida que as organizações implantam aplicações de nuvem e fornecem acesso para
trabalhadores remotos, manter a consistência para garantir a conformidade com a
nuvem, evitar configurações incorretas, reduzir o risco de possíveis ataques e alcançar
a governança em toda a organização podem se tornar enormes desafios.
Você pode impor padrões organizacionais para avaliar a conformidade em escala
usando a Política do Azure e avaliar a conformidade avaliando as propriedades de seus
recursos por meio de definições de política. A Política do Azure fornece um painel de
conformidade que pode ser usado para ver mais detalhes granulares por recurso ou por
política, o que garante que seus recursos estejam em conformidade. Além disso, você
pode definir iniciativas do Azure, que são uma coleção de definições de política do Azure,
para ajudar a alcançar seus objetivos e simplificar o gerenciamento de suas políticas:

Figura 6.12: Conformidade com a política


Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos | 189

Nesse contexto, sua organização pode utilizar um novo recurso na Política do Azure
chamado conformidade regulatória, em versão prévia no momento da elaboração
deste documento, que fornece definições de iniciativa integradas para guiar você pelos
domínios de controles e conformidade. Isso significa que você pode ver qual domínio
de conformidade deve ser coberto, seja por sua organização, pela Microsoft ou um
domínio de conformidade compartilhada.
Você verá uma nova guia na página Conformidade chamada Controles que permite
filtrar pelo domínio de conformidade e verificar os detalhes por linha:

Figura 6.13: Página Controles em Política

Ao usar a conformidade regulatória na Política do Azure, sua organização pode


alcançar a conformidade necessária para suas necessidades de negócios. Na página de
conformidade, você poderá ver se um domínio de conformidade é de responsabilidade
da Microsoft, do cliente ou se é uma responsabilidade compartilhada. Você pode exibir
detalhes adicionais dos resultados da auditoria se o controle que está analisando for de
responsabilidade da Microsoft.

Resumo
A habilitação do trabalho remoto torna as operações de segurança mais desafiadoras,
pois há um aumento significativo no número de pontos de extremidade e ambientes
que precisam ser monitorados e protegidos. Por meio da adoção de uma estratégia de
Confiança zero, podemos reduzir o risco de possíveis ataques e comprometimentos.
190 | Fundamentos de segurança para ajudar a proteger contra os crimes cibernéticos

Neste capítulo, analisamos alguns dos principais serviços que a Microsoft fornece para
ajudar a adotar uma estratégia de Confiança Zero em sua organização e responder
a ameaças de forma rápida e inteligente.
Analisamos como capacitar suas equipes de operação de segurança usando o Azure
Sentinel, um SIEM nativo de nuvem, para ajudar as equipes de operações de segurança
a ficar à frente de seus adversários. Também vimos como usar a Central de Segurança
do Azure para monitorar quase todos os recursos que fazem parte do seu ambiente
e protegê-los sem nenhuma implantação adicional e usar o Azure Defender para
proteger os workloads, estejam eles na nuvem ou na infraestrutura local.
No próximo capítulo, vamos ver como otimizar os custos de nuvem usando ferramentas
disponíveis em sua assinatura do Azure para rastrear o uso de recursos, gerenciar
custos em todos os seus ambientes e implementar políticas de governança para
o gerenciamento de custos efetivo.
Ofertas, suporte,
7
recursos e dicas para
otimizar o custo
no Azure
No capítulo anterior, você viu os fundamentos da proteção de suas aplicações contra
os crimes cibernéticos. Agora vamos nos concentrar em várias ofertas do Azure
e o suporte obtido da Microsoft para otimizar custos, várias ferramentas que podem
ser usadas para reduzir custos e dicas para gerenciar esses custos.
À medida que as organizações começam sua jornada para a nuvem, uma das principais
coisas que elas precisam aprender é como otimizar seus custos. Do ponto de vista
do cliente, a previsão de custos pode ser baseada em como reduzir a área ocupada
pelo datacenter, modelos de preços OPEX, produtividade da equipe e outros fatores.
Neste capítulo, vamos abordar o seguinte:
• Noções básicas e previsão de custos
• Estratégias para otimizar seus custos

O primeiro passo é entender e planejar os custos que sua organização enfrenta.


192 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

Noções básicas e previsão de custos


As organizações devem realizar análises oportunas em sua fatura do Azure para
monitorar os custos e reduzir a sobrecarga necessária para gerenciar seus recursos
de TI. Usando ferramentas como Gerenciamento de Custos e Cobrança do Azure
e o Azure Advisor, você pode analisar, gerenciar e otimizar seus workloads. Antes
de analisar essas ferramentas e os benefícios que elas proporcionam, devemos
primeiro entender os fatores mais críticos para prever seus custos em uma
infraestrutura de nuvem.

Economia da nuvem
É importante que as empresas entendam a economia da nuvem para que possam
prever seus custos e maximizar o investimento na nuvem. As empresas devem analisar
qual deve ser seu retorno sobre o investimento (ROI) ao migrar de um workload
na infraestrutura local para a nuvem ou mudar de outros workloads para o Azure.
Principalmente, você precisará comparar o custo da operação de seu datacenter atual.
Isso pode incluir custos de capital, custos operacionais e de manutenção e custos
de licenciamento de software. Você também deve determinar o custo de migrar suas
operações de TI para a nuvem.
Para resumir a economia da nuvem, o foco da sua organização deve estar na seguinte
fórmula de oito pontos:
1. Reduza a área ocupada do datacenter simplificando as operações.
2. Concentre-se em utilizar benefícios da nuvem sob demanda como parte
de um modelo de despesas operacionais.
3. Aumente a produtividade liberando sua equipe de tarefas de manutenção.
4. Busque a sustentabilidade dos negócios.
5. Explore suas opções de escalabilidade e forneça recursos quando eles são
necessários.
6. Atenda aos padrões de conformidade e segurança.
7. Use a infraestrutura de nuvem de alta disponibilidade para garantir a continuidade
dos negócios.
8. Otimize os custos de workload e uso.
O Azure oferece soluções para ajudar você em relação a todos esses objetivos, que
exploraremos nas seções a seguir.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 193

Ferramentas de gerenciamento de custos


O Azure tem uma ampla gama de ferramentas para proporcionar uma ótima experiência
de desenvolvedor e operações e para ajudar a entender o custo dos recursos que estão
sendo usados no Azure. Todas as soluções de gerenciamento de custos abordadas neste
capítulo têm um impacto nos negócios se utilizadas corretamente. Vamos analisar
a lista de ferramentas disponíveis para você no Azure.

Gerenciamento de Custos e Cobrança do Azure


Com seu conjunto completo de recursos de gerenciamento de custos de nuvem
e uma visão exclusiva e unificada de todas as suas nuvens, o Gerenciamento de Custos
e Cobrança do Azure ajudam você a aumentar a responsabilidade organizacional
e gerenciar os gastos com a nuvem com confiança. O serviço de Gerenciamento
de Custos e Cobrança permite que você confira escopos de cobrança, aprofunde-
se em seu gerenciamento de custos, analise seus grupos de gerenciamento,
diagnostique e solucione problemas:

Figura 7.1: Página de Gerenciamento de Custos + Cobrança

Os grupos de gerenciamento são uma maneira única de agrupar assinaturas e custos.


Embora este capítulo não seja sobre grupos de gerenciamento, vale ressaltar que eles
ainda são um recurso útil do Azure para gerenciar suas assinaturas.
194 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

As organizações precisam adotar uma abordagem exclusiva para fornecer acesso


ao gerenciamento de custos para usuários que não estão na parte financeira da
organização. Há maneiras de permitir que essas estruturas de custo sejam visíveis para
o lado de operações e desenvolvimento da sua organização. Os painéis e as APIs do
Power BI podem ser usados para extrair relatórios e criar painéis puros e exclusivos a
fim de acessar informações de custo; você pode ler mais sobre isso aqui: https://docs.
microsoft.com/power-bi/connect-data/desktop-connect-azure-cost-management.
Além do Power BI, o Azure permite a integração com aplicações personalizadas, bem
como aplicações SaaS como o CRM para digerir e usar seus dados.

Como mencionado, os grupos de gerenciamento podem ajudar a fornecer uma visão


melhor dos custos, e você pode usar tags para atribuir os códigos de orçamento em
uma organização. A captura de tela a seguir demonstra como os custos podem ser
visualizados em uma base de serviço:

Figura 7.2: Custos agrupados por serviço

Com o Azure, sua organização pode gerenciar facilmente os custos de ambientes


de nuvem híbrida (por exemplo, Azure e AWS) de um único local, obtendo os melhores
insights de dados das duas nuvens.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 195

Vamos fazer uma análise rápida da seção Gerenciamento de custos sobre o modelo
pré-pago (um modelo de preços que abordaremos mais adiante no capítulo):

Figura 7.3: Seção Gerenciamento de custos

Como podemos ver, a seção Gerenciamento de custos permite analisar custos, criar
alertas de custos, atribuir orçamentos e obter recomendações de consultores. Ao clicar
em Análise de custos, você obterá uma divisão dos recursos no escopo do grupo
de recursos, como armazenamentos de dados ou contas sem servidor.
196 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

Você também pode definir alertas de custo, que é uma excelente ferramenta para
ajudar a monitorar os gastos excessivos em ambientes de não produção, definindo
um limite e, em seguida, recebendo alertas. Os alertas podem ser usados em conjunto
com orçamentos, conforme mostrado na seguinte captura de tela:

Figura 7.4: Alertas para o limite orçamentário

Orçamentos e alertas são um próximo passo inestimável para as organizações


depois de visualizarem seus gastos atuais. É necessário monitorar e analisar a fatura
do Azure para garantir que não haja cobranças ou infraestrutura oculta inseridas. Isso
geralmente é essencial para ambientes de não produção, onde os itens são um pouco
menos controlados do que na produção.
Quando um alerta é acionado, você deve realizar uma revisão de custos para isolar
as causas e determinar se é necessário executar qualquer ação. Isso pode ser na forma
de revisar seus orçamentos ou implementar controles adicionais de Política do Azure,
entre outros. A atribuição de orçamentos também ajuda a controlar os custos de
projetos e unidades de negócios de suas diferentes equipes.
Para ler sobre a Política do Azure e seu papel importante na governança, acesse
https:// docs.microsoft.com/azure/governance/policy/overview.
Para saber mais sobre os recursos do Gerenciamento de Custos e Cobrança
do Azure, acesse https://docs.microsoft.com/azure/cost-management-billing/cost-
management-billing-overview.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 197

Calculadora de preços do Azure


A calculadora de preços do Azure é uma ferramenta gratuita que pode ser usada
para obter estimativas de custo em tempo real dos serviços de assinatura. Você pode
personalizar sua visão das estimativas por meio de um painel central. A calculadora
de preços pode ser combinada com outros utilitários, como a calculadora Custo Total
de Propriedade (TCO) da Adobe, para uma melhor otimização de custos. Podemos criar
estimativas e salvá-las em nossas contas ou compartilhá-las com as partes pertinentes.
As regiões do Azure às vezes podem afetar o custo dos recursos no Azure. Por isso,
é útil usar a calculadora de preços do Azure para prever os custos antes de selecionar
um recurso:

Figura 7.5: A calculadora de preços do Azure

A calculadora de preços do Azure pode ser encontrada aqui: https://azure.microsoft.


com/pricing/calculator/.
198 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

Um dos obstáculos que as organizações podem encontrar ao usar a calculadora


de preços é levar em conta a infraestrutura em torno dos recursos que estão
procurando para obter a estimativa certa. Você deve sempre levar em conta toda
a infraestrutura de rede necessária para implantar suas aplicações na nuvem.
Por exemplo, considere uma organização com duas VMs, uma em um site e a outra
executando serviços para oferecer suporte a esse site, que deseja migrar as duas VMs
para a nuvem. Ela insere as duas VMs na calculadora de preços e descobre seu custo
médio mensal.
Uma das coisas que ela deveria ter feito nesse cenário é examinar o uso de VMs
para dimensioná-las diretamente no Azure. Muitas organizações alocam em excesso
as máquinas que são necessárias para a expansão futura, mas na nuvem, é possível
expandir a qualquer momento, portanto, não é necessário implantar recursos
extremamente grandes. A organização também ignorou os roteadores e firewalls
e não levou em conta os conjuntos de escalas de VM nem a capacidade de proteger
sua infraestrutura em caso de desligamento de uma VM. Como podemos ver, um bom
plano pode reduzir boa parte do caminho.

Calculadora do custo total de propriedade


Quando as empresas querem ter uma visão maior e holística do que significa migrar
suas soluções do Azure, elas podem usar a calculadora TCO. Ela fornece informações
detalhadas sobre a movimentação de workloads na infraestrutura local para a nuvem
e o que será necessário para tornar a transição mais fácil.
Você pode encontrar mais informações sobre essa calculadora em https://azure.
microsoft.com/pricing/tco/calculator/.

Migrações para Azure


Outra ferramenta a ser usada se você estiver optando por migrar da infraestrutura
local para a nuvem é o serviço Migrações para Azure. O serviço Migrações para
Azure fornece um painel único centralizado de exibição de vidro para avaliar e migrar
servidores, infraestruturas, aplicações e dados na infraestrutura local para a nuvem.
Isso auxilia as organizações, fornecendo uma ampla gama de ferramentas e opções para
ajudar no processo de avaliação e migração desses diferentes recursos e workloads para
o Azure.
Para obter mais informações sobre como usar o Migrações para Azure, acesse https://
docs.microsoft.com/azure/migrate/migrate-services-overview.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 199

Como escolher o modelo de preços certo


Além de ferramentas, é igualmente importante entender os vários modelos de preços
que o Azure oferece para prever melhor os recursos e os custos. No Azure, há dois
modelos de preços padrão para serviços:
• O modelo pré-pago, também conhecido como modelo baseado no consumo
• O modelo de preço fixo

A maioria dos recursos do Azure, como PaaS ou sem servidor, usará o modelo baseado
em consumo. Um exemplo de preços fixos é as Instâncias de Máquinas Virtuais
Reservadas do Azure (RIs) ou Reservas do Azure, mais amplamente.
O modelo de preços fixos é mais previsível, enquanto o modelo pré-pago pode ser
variável, portanto, você precisa considerar os requisitos de negócios ao escolher entre
eles. Vamos analisar em detalhes os dois modelos nas seções a seguir.

Modelo com base no consumo


O modelo com base em consumo ou pré-pago segue uma estrutura baseada
em utilitário. Isso significa que você paga pelo que usa e não há custo mensal ou fixo
para os recursos. Um exemplo disso seria uma aplicação de função, em que você
pagaria um dólar por um milhão de utilizações do aplicativo.
Esse modelo de pagamento pelo que é usado pode ajudar você a controlar os custos,
mas também pode aumentá-los. Um exemplo disso pode ser o CosmosDB,
que é baseado em unidades de uso ou solicitação e pode se tornar muito caro,
dependendo de quantas vezes as consultas são executadas.
É possível usar padrões arquitetônicos como nivelamento de carga base
e dimensionamento automático de serviços para ajudar com níveis mínimos
de performance fixos. Se você precisar de workloads intermitentes, poderá usar algo
como um padrão de aceleração para manter a qualidade do serviço sob carga.

Modelo de preço fixo


Em um modelo de preço fixo, você paga pelo recurso, seja ele utilizado ou não.
Já mencionamos reservas do Azure e, especificamente, RIs, mas outro exemplo seria
um plano de Serviço de Aplicativo no Azure. Ao selecionar um tipo de recurso, você
gera um custo mensal e, independentemente de quantas pessoas utilizam a aplicação,
você ainda paga esse custo. Esse modelo de custos ajuda as organizações a prever
seus gastos no Azure um pouco melhor, mas também pode ser um problema com base
na utilização.
200 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

As organizações compram instâncias reservadas quando planejam fazer uso extenso


de VMs para suas aplicações. Em troca do comprometimento com recursos por prazos
fixos, o Azure pode fornecê-los com base em tarifas de desconto. Na migração para
a nuvem, pode haver incerteza em relação ao uso de recursos, portanto, dependendo
de seus workloads, talvez seja melhor analisá-los antes de considerar RIs.

Há uma compensação entre escalabilidade e previsibilidade ao manter os custos


estruturados, e a maioria das organizações opta por uma abordagem mista dos dois
modelos de preços.

Para obter mais informações sobre modelos de preços, acesse https://docs.microsoft.


com/azure/architecture/framework/cost/design-price.
Agora que temos uma compreensão das várias maneiras pelas quais o Azure pode
ajudar a avaliar e manter os custos em dia, vamos otimizar esses custos.

Otimização dos custos


A otimização de custos é o processo de redução dos custos de recursos, identificando
desperdício, recursos mal gerenciados e recursos do tamanho correto, além
da reserva de capacidade. Sendo o gerenciamento de custos um dos cinco princípios
de governança da nuvem, é importante se concentrar em maneiras de estabelecer
um plano de gastos e orçamento para seus recursos de nuvem. Também é aconselhável
usar monitoramento e alertas para aplicar esses orçamentos e detectar anomalias
que surgem de práticas de desenvolvimento. A Microsoft fornece o Cloud Adoption
Framework para orientação sobre isso, que detalha ferramentas, práticas recomendadas
e documentação para ajudar as organizações a ter sucesso na nuvem. Você pode
encontrar mais informações em https://docs.microsoft.com/azure/cloud-adoption-
framework/.

Um método geral para calcular o custo e fazer alterações nos modelos de preços
abordados anteriormente é o monitoramento dos workloads a uma taxa
de transferência máxima. Por exemplo, se a utilização for alta o tempo todo, um modelo
pré-pago será menos eficiente para a estimativa de custo de linha de base. Portanto,
ao fornecer flexibilidade, o modelo pré-pago não sempre representa uma economia
de custos.

Como já foi salientado, a melhor otimização de custos é ter um plano, portanto, você
deve usar as ferramentas disponíveis, desde calculadoras de preços a checklists,
para estabelecer suas políticas, orçamentos e controles a fim de limitar os gastos em
suas soluções. O Azure Well-Architected Framework é um ótimo ponto de partida
para a criação dessas políticas e uma boa fonte de informações. Ele está localizado
em https://docs.microsoft.com/azure/architecture/framework/cost/. Abordamos
o Azure Well-Architected Framework no Capítulo 4, Migração para a nuvem:
planejamento, implementação e práticas recomendadas.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 201

À medida que começarmos a explorar as opções de otimização que o Azure oferece nas
próximas seções, tenha em mente que não se trata apenas de migrar um workload para
o Azure, mas também de todos os itens que o cercam. Ao migrar para a nuvem, muitas
organizações ignoram alguns dos custos de infraestrutura subjacentes associados.

Assistente do Azure
Um dos serviços úteis que você pode acessar por meio do Gerenciamento de Custos
do Azure é o Assistente do Azure. O Assistente do Azure analisa a configuração e o uso
de recursos, fornecendo ofertas e recomendações personalizadas para que você possa
otimizar seus recursos a fim de obter rentabilidade, segurança e performance. Por
exemplo, ele ajuda a apontar recursos não utilizados ou os que estão ociosos há muito
tempo, incluindo recursos de dimensionamento correto, como o SQL.
Para obter mais informações sobre o Assistente do Azure, acesse https://docs.
microsoft.com/azure/advisor/advisor-overview.
É importante ressaltar que você deve dimensionar corretamente seus recursos para
a nuvem. A maioria das organizações investe excessivamente em infraestrutura interna
apenas para fins de crescimento futuro. Ao migrar para o Azure, você pode escalar
horizontalmente, bem como verticalmente, portanto, se sua máquina precisar de mais
recursos, poderá adicionar mais. Você também pode usar uma abordagem híbrida,
na qual não é necessário migrar todos os seus workloads para a nuvem. Você pode
mover as partes do workload que precisam de mais performance ou mais escalabilidade
no nível da instância.

Benefício Híbrido do Azure


O Benefício Híbrido do Azure é um benefício de licenciamento que reduz drasticamente
os custos de execução de workloads na nuvem. Ele permitirá que você use licenças
do Windows ou do SQL Server habilitadas para o software na infraestrutura local,
bem como assinaturas do Red Hat e SUSE Linux no Azure. Esses tipos de benefícios
podem reduzir os custos em 40% ou mais. Além disso, você obtém três anos adicionais
de atualizações de segurança gratuitamente ao migrar workloads do Windows Server
ou do SQL Server 2008 e 2008 R2 para o Azure.
Um dos principais objetivos do Modelo de Benefício Híbrido da Microsoft é a economia
que provém do uso de uma licença híbrida do Windows ou do SQL Server, que diminui
o custo de uma instância gerenciada em quase 85%. Esses benefícios também podem
se aplicar a sistemas operacionais de VM. A Figura 7.6 mostra algumas possíveis
economias de custo envolvendo RIs e o Benefício Híbrido do Azure:
202 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

Figura 7.6: Possível economia de custos

É recomendável que você use a calculadora de Benefício Híbrido para descobrir


sua economia geral de custos usando o modelo híbrido, que pode ser encontrada
em https://azure.microsoft.com//pricing/hybrid-benefit/#calculator.

Reservas do Azure
As reservas do Azure podem ajudar você a economizar dinheiro ao se compromete com
um custo de um ou três anos para seus recursos. Esses compromissos podem gerar
uma economia de até 72% dos custos em comparação com o modelo pré-pago, já que
se trata de um contrato por tempo para usar esses recursos pagos antecipadamente.
As reservas devem ser usadas quando você tem planos de aplicação de longo prazo
que se encaixam nas escalas de tempo. Elas só são aplicadas a recursos específicos
no Azure, como VMs.

Para saber mais sobre reservas, acesse os seguintes links:


• https://azure.microsoft.com/reservations/
• https://docs.microsoft.com/azure/cost-management-billing/reservations/
save-compute-costs-reservations
• https://azure.microsoft.com/pricing/reserved-vm-instances/
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 203

Máquinas virtuais spot


As máquinas virtuais spot permitem que você use a capacidade de computação
do Azure não utilizada com bons descontos. A ressalva é que, quando o Azure precisa
da capacidade de volta, ele remove sua VM spot. Por esse motivo, as VMs spot são
adequadas para workloads que podem ser interrompidos, como processamento em lote,
ambientes de não produção, análise de Big data e aplicações sem estado em grande
escala baseados em contêiner. A capacidade disponível varia de região para região,
dependendo da hora do dia ou do tamanho do workload; como resultado, essas VMs
não têm SLA. Você pode ver o histórico de preços e a taxa de remoção das VMs spot
selecionadas no portal do Azure.
Se quiser saber mais sobre como usar VMs spot, acesse https://docs.microsoft.com/
azure/virtual-machines/spot-vms.

Preços de Desenvolvimento/Teste
O Azure DevTest permite que os desenvolvedores criem VMs ou outros recursos
de PaaS sem precisar de aprovação rápida. Ele permite que as equipes desenvolvam
ambientes que não são produção para testar aplicações rapidamente e permite que
as organizações definam um orçamento consistente para esses recursos de não
produção ou áreas restritas. Além disso, ele oferece a capacidade de definir agendas
de inicialização automática e desligamento de VMs, a fim de reduzir custos e permitir
que as políticas sejam implementadas para garantir que os recursos maiores não sejam
usados.

Para saber mais sobre como usar o Azure DevTest, acesse https://docs.microsoft.com/
azure/devtest-labs/devtest-lab-overview.

Lista de verificação de otimização


Com base no que aprendemos neste capítulo, veja algumas maneiras de otimizar seus
custos no Azure que você pode implementar hoje:
1. Dimensione corretamente seus recursos não utilizados porque eles podem escalar
horizontalmente e verticalmente na nuvem.
2. Desligue seus recursos não utilizados quando eles não forem necessários. Isso pode
ser realizado por meio de scripts de automação.
3. Aproveite os modelos híbridos na nuvem, migrando apenas os workloads
necessários para a nuvem. Obtenha mais informações em https://docs.microsoft.
com/azure/cost-management-billing/costs/tutorial-acm-opt-recommendations.
4. Use instâncias de reserva para os grandes recursos de VM que serão usados por
um longo período na nuvem.
5. Configure orçamentos, aloque custos para diferentes grupos e receba alertas
ao se aproximar desses orçamentos.
204 | Ofertas, suporte, recursos e dicas para otimizar o custo no Azure

6. Configure ambientes Azure DevTest para desenvolvimento e teste antes de publicá-


los em seus workloads públicos.
7. Explore outros serviços do Azure, como PaaS, SaaS ou sem servidor, para otimizar
sua abordagem para a nuvem e controlar os custos.
8. Otimize o custo de seus workloads, seguindo as recomendações de práticas
recomendadas do Assistente do Azure.
9. Analise a arquitetura de seus workloads usando a avaliação do Microsoft Azure
Well-Architected Review e a documentação de design para ver onde é possível
otimizar os custos.
10. Aproveite as ofertas e os termos de licenciamento do Azure, como o Benefício
Híbrido do Azure, pagando antecipadamente por workloads previsíveis com
reservas, máquinas virtuais spot do Azure e preços do Azure Dev/Test. Para obter
mais informações sobre as ofertas do Azure, acesse https://azure.microsoft.com/
support/legal/offer-details/.

Resumo
Como vimos, é benéfico para as organizações implementar o gerenciamento de custos
e proteções em toda a organização a fim de ajudar a liberar suas equipes para que
elas possam proporcionar mais inovação. Equilibrar seus workloads para performance
e resiliência ao tentar manter os custos na nuvem pode ser complicado, e você não
deve permitir que os custos sejam a única força motriz.
Neste capítulo, analisamos maneiras de otimizar seus custos, desde o dimensionamento
correto ou a criação de automação em torno de recursos não utilizados até a criação
de orçamentos e alertas para que suas equipes monitorem as despesas.
Com o Azure, há uma diferença de custo distinta entre os datacenters na infraestrutura
local e a virtualização desses datacenters na nuvem. Analisamos algumas maneiras
de abordar esses custos e modelos de custo no Azure. Falamos sobre os benefícios
exclusivos da adoção do Azure, incluindo a capacidade de se estender até a nuvem
com modelos híbridos para workloads que não precisam ser executados totalmente
na nuvem. Também vimos algumas ferramentas para ajudar a gerenciar e otimizar
os custos.
Ofertas, suporte, recursos e dicas para otimizar o custo no Azure | 205

Em resumo, lembre-se sempre de:


• Escolher os serviços de computação do Azure apropriados às suas necessidades
• Dimensionar corretamente os recursos
• Desligar os recursos que não estão sendo usados
• Configurar o dimensionamento automático
• Reservar instâncias
• Usar o Benefício Híbrido do Azure
• Configurar orçamentos para diferentes equipes e projetos

Não devemos permitir que os custos conduzam o uso do Azure, mas esteja ciente dos
fatores que podem afetar o resultado final.
Conclusão
8
Obrigado por ler o Azure Strategy and Implementation Guide, Fourth Edition (Guia de
estratégia e implementação do Azure, quarta edição). Ao longo dos diferentes capítulos,
analisamos como você pode iniciar sua jornada na nuvem do Azure, usar o Microsoft
Azure Well-Architected Framework e adotar práticas recomendadas para melhorar
a qualidade dos workloads na nuvem. Há muitos cenários diferentes possíveis para
a operação de seus workloads no Azure para atender às necessidades de solução da sua
organização. Aprendemos como é importante usar princípios de design e percebemos
como o planejamento é essencial ao migrar recursos para o Azure.
Esperamos que este guia completo tenha proporcionado uma melhor compreensão
das mais recentes tecnologias e inovações do Azure, como elas podem ajudar sua
empresa e a estrutura para sua estratégia de adoção do Azure.
Conclusão | 207

Recursos
Veja alguns recursos úteis para ajudar você a dar os próximos passos na sua jornada
de migração para o Azure:
• Faça um tutorial gratuito sobre os princípios básicos do Azure com exercícios
práticos: https://docs.microsoft.com/learn/paths/az-900-describe-cloud-
concepts/
• Inscreva-se para ter uma conta gratuita do Azure para explorar os serviços
de infraestrutura do Azure: https://azure.microsoft.com/free/
• Explore o Cloud Adoption Framework para obter mais insights sobre como
migrar para a nuvem: https://docs.microsoft.com/azure/cloud-adoption-
framework/

Glossário
• Taxa de falha anual (AFR): a probabilidade estimada de que um dispositivo
ou componente falhará durante um ano inteiro de uso.
• Modernização de aplicativos: a modernização de um ativo de TI existente
que envolve a refatoração ou a nova arquitetura ou ambas. Os objetivos
da modernização de aplicativos geralmente são produzir eficiências operacionais
e de custos na nuvem.
• Zona de disponibilidade: uma área isolada de falhas em uma região do Azure
com componentes de energia, resfriamento e rede redundantes.
• Azure AD Multi-Factor Authentication (MFA): um tipo de autenticação em que
os usuários são solicitados a verificar sua identidade por meio de uma forma
adicional de identificação, como impressão digital ou um código no celular.
• Azure Arc: permite que você visualize e gerencie recursos de computação,
estejam eles na infraestrutura local, em várias nuvens de fornecedores
ou distribuídos na borda da rede, por meio da interface de gerenciamento
e modelo operacional do Azure.
• Azure Connected Machine Agent: um pacote de software que permite gerenciar
máquinas Linux e Windows, independentemente de estarem hospedadas fora
do Azure, em ambientes de várias nuvens ou na infraestrutura local.
• Armazenamento em Disco do Azure: armazenamento em bloco de alta
performance e altamente durável projetado para ser usado com máquinas
virtuais do Azure.
• Azure DevOps: o Azure tem tudo a ver com automação e dimensionamento. Você
pode aproveitar o Azure DevOps para implantar seu código e sua infraestrutura
no Azure a fim de manter um processo de implantação estável e consistente.
• Governança do Azure: a governança do Azure é um conjunto de proteções que
ajudam as organizações com políticas de conformidade e segurança do Azure.
A governança do Azure ajuda a garantir que todas as partes tenham seus objetivos
alinhados e compreendam suas responsabilidades em sua jornada para o Azure.
208 | Conclusão

• Infraestrutura como Serviço (IaaS) do Azure: conjunto de recursos


de computação, armazenamento e aplicação, oferecidos como um serviço pela
Microsoft para oferecer suporte aos seus workloads na nuvem. A IaaS do Azure
oferece segurança e a capacidade de escalar instantaneamente sua infraestrutura
a fim de gerenciar e operar seus workloads de qualquer lugar, reduzindo os custos.
• Calculadora de preços do Azure: a ferramenta utilizada para estimar seus custos
de infraestrutura antes de criar.
• Link Privado do Azure: serviço do Azure que fornece conectividade privada
de uma rede virtual para a plataforma como serviço (PaaS) do Azure, serviços
de propriedade do cliente ou parceiros da Microsoft.
• Gerenciador de Recursos do Azure (ARM): os recursos são configurados
no Azure por meio de um portal, mas também podem ser feitos de forma
programática. Os modelos ARM, quando integrados aos pipelines do Azure,
podem ajudar você a obter a integração e a implantação contínuas (CI/CD).
• Central de Segurança do Azure: ferramenta para melhorar sua postura
de segurança. Ela pode proteger seus workloads, estejam eles ativos no Azure,
na infraestrutura local ou em outras nuvens.
• Azure Sentinel: um serviço SIEM nativo de nuvem com IA incorporada para
análise que remove o custo e a complexidade de obter uma visão centralizada
e quase em tempo real de ameaças ativas no ambiente.
• Azure Stack HCI: serviço do Azure que garante um ambiente consistente
para seus workloads Linux e Windows por meio de infraestrutura definida por
software. Essa infraestrutura hiperconvergente é ideal para ambientes híbridos
na infraestrutura local.
• Análise de custos: a análise de custos é uma ferramenta útil para manter seu
gasto com infraestrutura sob controle. Você pode aproveitar o monitoramento
e os alertas para ajudar você a ser mais proativo e econômico.
• Segurança cibernética: um termo comumente usado para se referir às medidas
tomadas com antecedência para se opor a um ataque à infraestrutura
de datacenter.
• Computação de borda: nem sempre se relaciona a manter-se conectado
à Internet. A computação de borda permite que você crie soluções sem
a necessidade de conectividade em tempo integral.
• Criptografia: um método de codificação de informações. As principais
preocupações sobre criptografia são tratadas pelo Azure, incluindo a criptografia
em repouso e em trânsito, bem como o gerenciamento de chaves.
• ExpressRoute: serviço disponível no Azure para criar uma conexão privada
entre os datacenters do Azure e a infraestrutura, geralmente em um ambiente
de colocalização.
Conclusão | 209

• Performance mínima fixa: no Azure, para dimensionar corretamente sua


infraestrutura, é recomendável garantir que você tenha uma performance
mínima definida em mente. Isso leva a uma compreensão do número mínimo
de recursos necessários para executar sua aplicação, o que ajudará a definir
sua escala.
• Alta disponibilidade: a característica de um sistema ou rede que garante
a continuidade operacional durante um determinado período, evitando o tempo
de inatividade.
• Nuvem híbrida: nem tudo é adequado para a nuvem. As soluções híbridas são
uma maneira de criar aplicações sem mover totalmente seus workloads para
a nuvem.
• Licença híbrida: o licenciamento híbrido é quando você aproveita uma licença
na infraestrutura local ou pré-comprada no Azure para ajudar a gerenciar
os custos. Isso é útil para organizações que têm preços especiais para recursos
na infraestrutura local.
• Infraestrutura como Código (IaC): o IAC é o que um modelo ARM gera para
a consistência da implantação da infraestrutura.
• Várias nuvens: não existe um tamanho único com provedores de nuvem. Uma
abordagem de várias nuvens permite que as organizações implantem seus ativos,
aplicações e recursos de nuvem em diferentes provedores de nuvem. Os modelos
de várias nuvens são usados para manter altos níveis de tempo de atividade para
aplicações de missão crítica.
• Estratégia de várias nuvens: seja para conformidade com o governo ou com
o conselho corporativo, as estratégias de várias nuvens permitem que uma
organização resolva uma série de problemas. Elas podem ir desde evitar
o bloqueio de preços de um fornecedor de nuvem até criar um plano de Disaster
Recovery resiliente e gerenciar habilmente os regulamentos governamentais
de armazenamento de dados. Seja qual for a necessidade ou o desejo, essas
estratégias permitem que as organizações usem vários provedores de nuvem.
• PaaS (Plataforma como Serviço): engloba os benefícios da Infraestrutura como
Serviço (IaaS) e também pode incluir middleware, gerenciamento de banco
de dados, orquestradores de contêineres e serviços de Business Intelligence
(BI). As soluções PaaS geralmente incluem componentes de aplicações
pré-codificados, como recursos de segurança, serviços de diretório e recursos
de fluxo de trabalho.
• Sem senha: qualquer método usado para verificar a identidade de um usuário
sem exigir que ele forneça uma senha, como o uso de gestos biométricos, como
impressões digitais ou PINs específicos do dispositivo.
• Nuvem privada: recursos de computação na nuvem que são utilizados por
uma única organização e não estão disponíveis publicamente. A organização que
hospeda a nuvem privada é responsável por gerenciar e manter a infraestrutura
no qual o modelo de recursos de nuvem está em execução.
• Resiliência: a capacidade de uma rede ou um sistema de se recuperar de falhas,
mantendo níveis adequados de operabilidade frente a falhas, ameaças e desafios.
210 | Conclusão

• Sem servidor: modelo de execução de computação na nuvem em que


os recursos de computação são alocados sob demanda pelo provedor de nuvem
de seus clientes. Ambientes de aplicações sem servidor, funções sem servidor
e Kubernetes sem servidor são exemplos de recursos de computação sem
servidor disponíveis no Azure.
• Contrato de Nível de Serviço (SLA): define o nível de serviço esperado
de um fornecedor. Nesse caso, os SLAs descrevem os compromissos da Microsoft
com o tempo de atividade e a conectividade.
• Responsabilidade compartilhada: ao migrar para a nuvem, você precisa assumir
uma nova responsabilidade compartilhada para sua infraestrutura em código.
É útil entender e saber até onde vão suas responsabilidades e começam
as responsabilidades do provedor de nuvem.
• Serviço de Mobilidade do Site Recovery: o agente do serviço de Mobilidade
captura dados, grava na máquina e, em seguida, encaminha-os para o servidor
de processo de recuperação de Site Recovery.
• Máquinas virtuais spot do Azure (VMs spot): VMs spot é um serviço do Azure
que permite que você compre capacidade de computação do Azure (VMs)
não utilizada para seus workloads ininterruptos com grandes descontos
em comparação com o modelo pré-pago. É importante observar que o Azure
pode remover VMs spot quando a capacidade subjacente é necessária.
• Locatário: um termo geralmente usado para representar uma organização
no Azure AD.
• Transparent Data Encryption (TDE): TDE é como os repositórios de dados são
criptografados em repouso por padrão no Azure.
• Área de Trabalho Virtual do Azure: sistema para virtualização de aplicativos
e áreas de trabalho executado no Azure.
• Princípios de Confiança zero: compreende o modelo de segurança que permite
que os usuários trabalhem com mais segurança. Isso inclui autenticação
e autorização, controles para limitar o acesso a recursos e previsão de violação.
Simplificando, nunca confie, sempre verifique.
>
Índice

Sobre

Todas as principais palavras-chave usadas neste livro são capturadas em ordem alfabética nesta
seção. Cada uma é acompanhada pelo número da página onde aparece.
A Altair: 92 inicialização
Amazon: 44-45, 170 automática: 203
acesso: 2-3, 5, 9, 11, 19,
AMD: 75 disponibilidade: 30, 34,
22-23, 25, 27, 31, 36,
38-39, 58, 60, 69, análise: 186 38-41, 49, 55, 63, 73-74,
77, 81-82, 94, 96, 98, Android: 136 80, 85-86, 95-97, 147,
102-103, 105-106, antimalware: 165 154, 158, 207, 209
108-109, 111, 130, 132-136, antivírus: 25 avd: 121
140, 142-143, 146, 148-151, API: 14, 34, 43, 51, 53, AWS: 41, 44-46, 71,
153-154, 161, 163-166, 109, 168, 179, 184 170, 174, 194
168, 170, 173-174, 177, APM: 21 azdata: 41, 43
183, 188, 194, 201, 210 serviço de aplicativo: Azure: 1-14, 16-77, 79-118,
acessível: 62, 97, 134 88, 103 120-124, 129-138,
ativar: 134 Arc: 6, 29-41, 43-46, 62, 140-164, 167-179,
Ativo: 41, 51, 81, 105-106, 70-71, 174, 177, 179, 207 181-194, 196-210
110, 112-113, 116, 118, arquiteto: 33, 102 azure-defender: 174
124, 129-130, 134, arquivos: 81 azure-devops: 12
141-142, 151, 163, 208 ARM: 10-19, 25-28, azure-docs: 53
Adaptador: 63 33, 45-46, 87, 116, Gerenciado pelo Azure: 47
endereço: 57, 59, 74-75, 120, 129-130, 152, AzureMonitor: 160
105, 123, 130, 139, 164, 179, 187 208-209
Nativo do Azure: 45-46
166, 168-170, 209 ARO: 45
azure-stack: 47, 52,
artefatos: 11, 122, 178
Administrador: 22, 61-62, 54-61, 64-65, 67, 70
ASB: 172-173
65-68, 116, 127, 151
ASDK: 54, 57-58
Anúncios: 21
avançado: 31-32, 38, 63,
ASF-Treinamento: 51 B
ASR: 100-103
81-82, 88, 109, 162, back-end: 53
165, 174-175, 179 ativo: 24, 173, 207
lista de pendências: 11
ATP: 184
vantagem: 1, 9, 20, 38-40, Backup: 38-41, 61, 63, 73,
atributos: 168
75, 91, 109, 203-204 97-100, 102-103, 173
auditoria: 21, 23, 25, 36,
Assistente: 21, 74, 192, 48, 100, 149, 176, 189 Balanceador: 96,
195, 201, 204 123, 147-148
autenticar: 111, 135
acessível: 62 largura de banda: 2, 90,
autorização: 22, 210
AFR: 207 92, 139, 141, 155-156
Gerenciamento
agente: 36-37, 42, 87, automatizado: 84 linha de base: 84, 161,
89, 171, 179, 207, 210 164, 172-173, 200
automatizado: 16,
sem agente: 88-89 33-35, 39, 82, 133, Bastion: 148-149, 183
ágil: 8-9, 12 165-166, 177, 186-187 Benchmark: 172-173, 177, 192
IA: 7, 9, 32, 47, 49, 208 BGP: 137
autônomo: 47
Orientado por IA: 63 BI: 82, 194, 209
dimensionamento
AKCM: 35 automatizado: 88, bi-direcional: 53
AKS: 35, 45-46, 61, 94-95, 199, 205 binário: 168
64, 71, 81, 87-88 biometria: 209
Blob: 41, 53, 79, 81-82, nuvem: 1-7, 9-10, 12, 19-23, configuração: 12, 14, 16,
96, 98, 119, 160 26-27, 29-33, 35, 39, 33-36, 54-55, 84, 102,
blog: 28, 50 41, 44-45, 102-104, 109, 114, 116, 119-120, 125,
Blueprints: 23-25, 27, 173 106-108, 47-53, 57-58, 130, 140, 148, 155, 157, 161,
filial: 47, 61-62, 137, 141 61-63, 69-70, 72-77, 165, 169-172, 181, 187, 201
detalhamento: 49, 195 80-81, 83-85, 90-92, conectar: 5, 21-22, 31,
interno: 22-23, 61, 80, 94-95, 97-98, 116, 129, 36-37, 39-40, 43-44,
84-85, 88, 137, 147, 151, 133, 147, 161, 172, 174, 188 56-57, 65, 68-69, 77,
171, 183, 185, 189, 208 135-136, 140-141, 143-145, 116, 129-131, 135, 137,
crítica para os 198, 163-166, 168-170,, 139, 141, 148-149, 151,
negócios: 5, 80 178-179, 181-184,, 154, 159, 170, 184, 187
190-194, 200-201, conectividade: 30, 40-43,
C 203-204, 206-210
centrado na nuvem: 172
48, 60, 62, 102, 105,
130, 136-137, 139-141,
CaC: 34 CloudExchange: 141 143, 146, 148-149, 151,
Cache: 92, 94, 96-97, 101 nativo de nuvem: 31-33, 161, 182, 208, 210
cadências: 38 47, 70, 77, 81-82, 169, consumo: 4, 90
CapEx: 9, 72, 97 174, 182-183, 190, 208 contêiner: 38, 41-43,
capital: 5, 72, 192 cluster: 35, 39, 45-46, 45, 87-88, 157-158,
Cassandra: 81 53, 60-69, 87-88, 94 176, 178, 184, 209
categorias: 2, 71, cms: 168 conteúdo: 56, 177
165-166, 180 CNFC-conformant: 34 contínuo: 9, 11, 35, 39,
CD: 11-12, 14, 50, 88, 208 confirmação: 202 41, 50, 88, 181, 208
CDSA: 143 complexidade: 30, controle: 3, 5-6, 11, 19,
Centro: 21, 28, 36, 61-62, 47, 74, 87, 208 21-23, 25, 27, 30-36, 57,
66-68, 74, 84, 99-100, conformidade: 5, 23-25, 81-82, 86-87, 96, 98,
103, 149, 162, 164, 27, 33-36, 40, 42, 106, 134, 136, 146, 151,
166-181, 184, 190, 208 47-48, 70, 100, 143, 161, 170, 172-173, 177,
CentOS: 75 159, 168, 170-171, 173, 180, 189, 199, 204, 208
checklist: 203 188-189, 192, 207, 209 coordenada: 91
CI: 11-12, 14, 50, 88, 208 Computacional: 91-92 CorrelationId: 160
circuito: 142 computação: 2-7, 29-31, CosmosDB: 199
CIS: 172, 177 47, 75, 81-82, 91, custo: 1, 5, 9, 23, 26-27,
Citrix: 160 94, 157, 208-210 61-62, 72-74, 79-80,
Citus: 40 simultâneo: 149 84, 98, 190-202,
CLI: 8, 34, 38, 41, 43, 87 Condicional: 22, 204, 207-208
cliente: 21, 71, 96, 135, 109, 134-136 Otimizar custos: 204
140, 150, 152-153 confidencial: 182 COVID-: 163
Clonagem: 68 CPU: 2, 66-67, 90, 157
Cray: 75, 92-93
credenciais: 106, defender: 166 97, 99, 102-103, 131-134,
118, 132-133 definir: 22, 24, 119-120, 132, 143, 152, 155, 159, 194,
CredSSP: 66 136, 149, 171, 188, 209 196, 198, 200-203, 207
CRM: 4, 194 definições: 23-25, 188-189 domínio: 37, 68, 110, 114, 118,
entre conexões: 141 delegar: 57, 187 123, 130-131, 146, 189
entre plataformas: 81 excluir: 98, 127, 178 driver: 58-59, 64
entre produtos: 166 fornecer: 1, 4, 11, 52, 152, 192 dinâmico: 108, 141
entre locatários: 187 Desmilitarizada: 130
CSPM: 168, 174
CSV: 181
dependências: 8, 14, 16, 36
implantação: 7, 9-10, 12-18,
E
cliente: 18, 21, 35, 49, 25, 30-31, 33-36, 38-40, computação de borda: 31
52-53, 84, 90, 147, 43-46, 48, 50, 52, 54-58, EKS: 45-46
166, 187, 189, 191 64-65, 87-88, 90, 107, elástico: 38-40, 45-46, 71
CWP: 174 109, 114, 116, 119-122, funcionário: 49, 168
Cyber: 164, 166 129, 140, 152, 155, 161, EMS: 133
crimes cibernéticos: 171, 190, 207-209 habilitar: 22, 32, 34, 37,
162-163, 191 detectar: 21, 106, 109, 145, 52, 57, 63, 70, 84, 89,
segurança cibernética: 164-165, 167, 169, 200 97, 100-102, 104-106,
164, 166, 208 desenvolvedor: 6, 11, 193 116, 134, 136-137, 141,
CycleCloud: 93-94 dispositivo: 30, 36-37, 148-150, 160-161, 163,
53, 132, 135-136, 166, 168-169, 171-172,
D 139-140, 152-153, 207
DevOps: 8-12, 14, 17, 27,
174, 182-185, 209
codificação: 208
daemons: 36 32-35, 48, 50-51, 70, 207 Engloba: 209
painel: 21, 39, 66-67, 84, DevTest: 203-204 ponto de extremidade:
159, 168, 171, 173, 175-176, Diagnóstico: 68, 151, 153 135, 137, 173, 177, 181
181, 185, 188, 197 digital: 31, 38, 48, 105, 181 EndTime: 160
banco de dados: 14, 33-34, Diretório: 41, 51, 81, aplicar: 24, 70, 98, 146, 161,
38-40, 49, 71, 85-87, 105-107, 110, 112-113, 170, 173, 183, 188, 200
90, 103, 177, 209 116, 118, 124, 129-130, empresa: 1, 35, 50, 71,
datacenter: 4-5, 9, 29-30, 134, 142, 151, 163, 209 83, 85, 93, 97, 150,
41, 46, 48, 51, 61, 69, 90, Disco: 56, 64, 67-68, 79-81, 154, 166, 173
94, 100, 106, 139, 141, 95, 97, 101, 183, 207 Erros: 159, 165
163, 165, 191-192, 208 divergência: 35 escalonamento: 58
DC: 117, 130 DLLs: 8 Ethernet: 141
DDoS: 165 DMZ: 130, 134 Evento: 50, 52-53, 55,
Debian: 75 DNS: 130 62, 67, 160, 183-184
declarativo: 12 Docker: 45, 88, 177-178 hubs de eventos: 53
dissociado: 14, 16 documentos: 9, 12, 16-18, EventType: 160
padrão: 17-18, 54, 92, 25, 27-28, 32, 36-37, 43, expressar: 58-59, 131, 151
97, 171, 173, 210 46, 51-61, 63-67, 70-71, ExpressRoute: 5, 136-138,
defeitos: 11, 49 74, 81-84, 88-90, 94, 141-142, 208
extensão: 19, 25, 31, 33, 36, Git: 11, 35 H-Series: 92
40, 48, 100-101, 178-179 github: 35, 43, 46, 51, 53, HTCondor: 93
88, 130, 152, 160, 173 HTML: 153
F GitOps: 35, 45 HTTP: 144, 182
GKE: 45-46, 71 Hubs: 50, 52-53, 55, 137
failback: 100
governança: 3, 10-11, 22-25, híbrido: 1, 4-7, 9-10, 29-33,
failover: 65, 100-103
27, 31, 33-34, 49, 98, 100, 35-36, 46-51, 53, 61, 63,
clustering de failover: 65
106, 161, 173, 187-188, 69-71, 76-77, 81, 86, 105,
isolamento de falhas: 207
190, 196, 200, 207 108, 110, 116, 131, 139, 151,
Federação: 51, 116
Habilitado pela GPU: 35 161-163, 168-169, 174, 188,
campo: 30, 42, 58, 62, 141
Grafana: 43 194, 201-205, 208-209
campos: 120
Gráfico: 23, 26-27, hiperconvergente:
impressão digital: 132, 207
36, 51, 109, 187 31, 47, 50, 208
Firewall: 137, 143, 146,
Grade: 93 Hiperescala: 33-34,
149, 168, 182
grupos: 20, 22-25, 27, 37, 40-41, 46, 71
firmware: 58-59, 64
35-36, 51, 53, 57, 108, Hyper-V: 31, 47, 65,
flexibilidade: 5, 30,
117, 121-122, 133, 151-152, 68-69, 76
105, 116, 200
164, 193-194, 203
pegada: 61, 181, 191-192
previsão: 191-192
GRS: 98
I
forefront: 9, 20
forense: 166 H IaaS: 2-3, 7, 50, 53-54,
74-75, 86, 90, 168,
fps: 156
HANA: 75, 81, 83, 90, 97 183, 208-209
FQDN: 37
codificar: 19 IaC: 11, 14, 16, 209
FQDNs: 146
hardware: 4, 51, 56, IAM: 22
Estrutura: 2, 9, 73-74,
58-62, 64-65, 82, identificar: 90, 133, 153,
84, 137, 164, 172, 176,
181, 200, 206-207 90-91, 132, 137, 183 159, 164, 169-170, 183
HCI: 31-32, 34-35, 37, identidade: 3, 11, 19, 21-22,
front-end: 147-148
47, 49, 60-70, 208 27, 31, 51, 61, 105-106,
FS: 51, 56, 116
HDD: 80 108-109, 111, 116, 118, 122,
FSLogix: 117, 157-158
Helm: 35 131-135, 142, 165-166,
fundamentos: 11, 19,
hierarquias: 25 173, 181, 184, 207, 209
54, 105, 136
alta disponibilidade: impacto: 1, 8, 39, 48, 50,
G 80, 148, 192
HIPAA: 143
73-74, 102, 150, 155,
164, 168, 173, 180, 193
gateway: 47, 66, 138-140, em casa: 174 implementar: 15, 33,
142, 144, 151, 153, 182-183 homogêneo: 31 71, 84, 103, 149, 163,
Gbps: 137, 141 host: 2, 4, 8, 58-59, 62, 173, 181, 190, 203
GCP: 44, 46, 170, 174 68, 86, 90-91, 117, importar: 54, 80, 178
filtragem geográfica: 144 122, 124-125, 128-129, entrada: 147-149, 177
redundância geográfica: 151-152, 154, 159 incidente: 166, 173,
98, 148 hpc-cache: 94 179-180, 185-187
indexar: 63 J ciclo de vida: 58, 82, 84, 165
indexação: 36 link: 14, 16, 28, 59-60, 65,
Java: 82
indicadores: 185 67, 80, 120, 130, 208
JSON: 12-14, 18, 23-24, 160
InfiniBand: 92-93 Linux: 33, 35-36, 44, 61, 70,
Just-in-Time: 148, 165
infraestrutura: 1-12, 14, 16, 75-76, 81, 83-84, 86, 88,
19, 21, 25, 27, 31-32, 34,
37-40, 50, 56, 60-61, 63,
K 92, 94, 96-97, 111, 171,
176-177, 201 207-208
69-70, 72-76, 102-103 kernel: 176 carga balanceada: 96
79, 83, 90-91, 94-95, chave: 16, 33-34, 53-54, registro: 22, 117, 173
97-98, 100, 105, 116, 119, 56, 72, 75, 79-80, 82, Lógica: 179, 187
129, 132, 146, 162, 167, 84, 86-87, 105-106, Baixa latência: 47, 77
169, 183, 192, 141-144, 132-133, 144-145, 155,
160, 167-168, 183, 208
196, 149-150, 198, 201,
164-165,, 207-210 chaves: 53, 80, 183
M
instância: 6, 30, 34, 37, Kibana: 43 máquina: 7, 9, 12, 17, 32,
39-40, 45-46, 51, 53, 71, KQL: 160 35-37, 45, 49, 75, 81,
86-87, 96, 109, 111, 136, Kubeadm: 46 89, 95-96, 109, 119-120,
149, 151, 160, 172, 201 kubectl: 41 124-125, 127, 129-130,
integrar: 21, 45, 53, Kubernetes: 29-30, 32-35, 134, 148-149, 152,
100, 137, 151 37-40, 43, 45-46, 157, 165, 170, 179, 182,
Intel: 75, 90 55, 70-71, 87, 210 199, 201, 207, 210
interconexão: 92 Kusto: 26, 160, 186 mau funcionamento: 50
interface: 8, 84, 161, 207 malicioso: 109, 145, 170, 185
internet: 2, 4, 7-8, 41-42,
48-50, 57, 60, 62,
L malware: 165, 178
gerenciar: 2-3, 7-9, 12,
64, 138, 147, 163, 172, latência: 7, 30, 48-49, 22, 24, 26, 30, 32-33,
177, 182-183, 208 62, 64, 66-67, 35-36, 39, 49, 51-53,
invasão: 164 80-81, 90, 95, 97 55, 57, 61-63, 65-68,
Intune: 109 mais recente: 9, 38, 40, 54, 70, 73, 84, 87-88,
inventários: 67 85-86, 164, 173, 206 96-97, 99-100, 142-143,
investimento: 23, 97, 192 herdado: 7, 22, 34, 148-149, 151, 153-154,
faturas: 26 49-50, 61, 163, 169 164, 168, 178, 187, 190,
IOPS: 66-67, 80, 90, 97 jurídico: 204 192-194, 204, 207-209
iOS: 136 utilização: 2, 27, 40, 48-49, Gerente: 10, 16, 18-19,
IoT: 7, 9, 32, 45, 47, 49, 52, 63, 76, 87, 109, 111, 21, 33, 39, 41-43, 55,
53, 55, 82, 168 116, 129, 141-142, 152, 66, 87, 93, 108, 129,
IPs: 53, 87, 147-149 154, 161 207-209 137, 168, 179, 208
IPsec: 139 licença: 12, 65, 86, 134, Marketplace: 52, 55,
IPVPN: 141 160-161, 201, 209 137, 160, 182, 187
ITOps: 32-33 licenciamento: 5, 65, maximizar: 5, 23, 50,
107, 109, 150, 192, 73, 95, 103, 192
201, 204, 209
mecanismo: 25, 55, monitorar: 2, 21-22, não é do azure: 35-36,
100, 134, 136, 183 35-36, 38-39, 42-43, 171, 174, 179
associação: 136, 166 45, 49, 51-52, 62-63, fora da nuvem: 30,
memória: 2, 43, 67, 69, 89, 96, 98-99, 32-33, 70
66-68, 90, 92 159-160, 167-168, 171, NoSQL: 81
métricas: 68, 144, 155, 173 173, 176, 178, 183, 186, Série N: 92-93
MFA: 132-136, 207 190, 192, 196, 204 NSG: 130, 177
microsserviços: 18, monolítico: 14-15 NuGet: 11
34, 48-49 montagem: 94 NVA: 101, 137
microsoft: 1-4, 6-7, 9-10, 12, MSDN: 58 NVIDIA: 75
16-19, 21, 25, 27-28, 32, multinuvem: 6-7, 29-33,
36-38, 40, 42-44, 46-47,
50-61, 63-68, 70-71,
46, 69-71, 162, 168-170,
174, 182-183, 207, 209
O
73-76, 81-91, 93-97, 99, Multifatorial: 22, objetos: 18
102-103, 105-109, 111, 132, 165, 207 offline: 7, 21, 30
130-134, 141-143, 150-169, multilocatário: 50, 52, 187 transferir: 20
172, 174, 177, 182, 184, MySQL: 52-53, 55 fora do pico: 88
189, 191, 194, 196-198, fora da infraestrutura
200-204, 206-208, 210
middleware: 209
N local: 29, 31-32, 70, 92
fora do local: 63
migrar: 1, 8-9, 26, 35, 40, namespace: 96 integração: 44-45, 106
72-73, 76, 80, 82-85, nativo: 8, 10, 35-36, online: 62, 65, 95, 103, 165
88-90, 97, 102-103, 44-45, 48, 63, 70, na infraestrutura local:
163, 169, 198, 200 86, 98-99, 159, 174 2, 4-6, 8-9, 20-22,
configurações incorretas: nativo de nuvem: 48 29-34, 37-38, 42, 45-50,
35, 170, 174, 188 navegar: 167, 175 53, 61-63, 69-70, 73,
missão crítica: aninhado: 14-17, 62 76, 81-82, 84-86, 88,
48-49, 75, 209 NetApp: 75, 79, 83, 90-91, 98, 100, 102,
mitigar: 39, 49, 166, 182 97, 157-159 104, 106-108, 116, 131,
Mobilidade: 89, 100-101, 210 NetWeaver: 90 134-145, 151, 161, 163, 166,
modelo: 3, 5, 7, 9, 51, 72, redes: 2, 12, 31, 47, 54, 57, 168-169, 172, 174, 177, 179,
107, 141, 146-147, 150, 62, 64-65, 75, 77, 83, 88, 182-183, 185, 190, 192,
163, 181-182, 192, 195, 94, 102, 105, 136-138, 155, 198, 201, 204, 207-209
199-202, 207, 209-210 161, 165, 182-184, 207 no local: 4
modernização: 8, NFS: 81, 96 OpenShift: 45
47-48, 61, 207 NIST: 172, 188 operar: 1, 36-37, 50-51, 59,
módulo: 151 nós: 35, 45, 64-65, 64-65, 73, 84, 87, 101, 150,
MongoDB: 81 69, 87-88, 94 154, 166, 177, 179, 201, 207
operação: 22, 50, 74, 190
OpEx: 9, 72, 191 PCI-DSS: 143, 188 postura: 9, 21, 98, 103,
Optane: 90 pdf: 55 162, 164, 166-170,
otimizar: 17, 21, 23, 26, performance: 21, 32, 36, 39, 172-174, 177, 185, 208
31, 49-50, 72, 82, 96, 49-50, 62, 66-68, 73-74, power-bi: 194
190-192, 201, 203-204 79-81, 86, 93, 95-97, 103, PowerShell: 8, 12-13,
Oracle: 75, 81, 97 160, 199, 201, 204, 209 34, 52, 55-57, 61, 66,
orquestração: 39, 87, 96 perímetro: 146, 164-165, 181 68, 151, 159, 179
orquestrador: 61 perímetros: 77, 182 predefinido: 86
organizações: 2-4, 6-7, período: 98, 203, 209 pré-codificado: 209
9, 19-20, 26, 32, 35, 41, periódico: 56 prever: 197, 199
72-74, 76-77, 79, 85, 87, períodos: 7 bloqueio de preços: 209
91, 97-98, 100, 105-106, permanente: 48-49 primário: 100, 108, 201
133, 137, 147-148, 150, 161, permissão: 26 entidade: 111, 117-118,
163, 166, 168-169, 174, petabytes: 82 143, 181
181-183, 187-188, 191-192,
phishing: 132 princípio: 165, 181
194, 196, 198-201,
pipeline: 9, 16 priorizar: 180
203-204, 207, 209
mudar: 103 privado: 4-7, 33, 43, 47, 50,
Sistema operacional:
planejar: 2, 7, 11, 63-64, 57, 80, 85, 141, 147-148,
8, 86, 92, 122
71, 76-77, 90, 95, 163, 178 208-209
interrupção: 37, 100
100-101, 103, 107, privilégios: 134, 165
saída: 64, 102, 146
157, 198-200, 209 proativo: 36, 208
estabelecimento: 49
plataforma: 1-2, 4, 9, 16, processador: 91
outlook: 111
20, 31, 33, 40-41, 44, propriedade: 19
comprar excessivamente:
48, 50, 52-53, 65, 82, Protocolo: 68, 130
201
85, 93-94, 103, 136, 144, provisionamento: 2,
OWASP: 144
161, 168-170, 208-209 38-39, 41, 94, 127, 138
P políticas: 22-25, 35-36,
42, 82, 97, 99-100, 109,
Proxy: 134-135, 163
público: 4-7, 33-34, 37, 39,
PaaS: 2-3, 7-8, 50, 133, 136-137, 146, 149, 41, 53, 85, 87, 97, 123,
52-53, 55, 70, 85-86, 154, 168, 170-171, 174, 130, 139, 147-149, 204
144, 168, 183, 199, 188, 190, 200, 203, 207 Python: 82
203-204, 208-209 pools: 2, 117, 124, 151-152, 177
pacote: 59-60, 207
paralelo: 35, 94
portal: 8, 10, 12, 19, 21,
33-35, 37-39, 41-42, 52,
Q
parâmetro: 13, 17-18, 54-55, 57-58, 62-63, 65, Qualys: 177-179
120, 144 87, 96, 109, 112, 115-117, Quantum: 92
senha: 19, 21-22, 107-108, 148, 151-152, 159, 164, 167, consultas: 26, 38, 160,
116, 127, 132-133, 209 175, 184, 187, 203, 208 185-186, 199
patches: 38, 40 portfólio: 29, 70 Fila: 42, 53
caminho: 32, 65, 74, 152 Postgres: 41 Início rápido: 52, 130, 161
padrões: 18, 25, 33, PostgreSQL: 33-34,
71, 177, 199 37, 40, 46, 71, 98
R Reservar: 203, 205 SecOps: 162, 188
resiliente: 100, 103, 209 seção: 3, 13-14, 19, 30, 32,
RA-GRS: 98
recurso: 2, 6, 10, 13, 15-16, 34, 45-46, 58, 74-75,
intervalo: 2, 6, 13, 20, 33,
18-21, 25-27, 33, 35-37, 79, 83, 86, 90-91,
39, 51, 75, 80, 97, 141, 39, 41-44, 50-53, 55-57, 94-95, 97, 102, 142,
157, 184, 193, 198, 209 60, 63, 68, 87, 90, 167, 174, 181, 188, 195
ransomware: 63, 98 118, 121-123, 129, 133, setores: 49, 70
RBAC: 25-26, 35-36, 38, 136, 152, 174, 178-180, proteger: 5, 10, 18, 21, 27,
41, 56, 81-82, 151 187-188, 190, 193, 195,
32-33, 35, 49, 53, 81,
RDMA: 64, 92-93 197, 199-201, 208-209
85, 97-98, 103-104, 111,
somente leitura: 41 restaurar: 38-40,
132, 136-137, 142, 145,
em tempo real: 32, 38, 98, 100-101
148-149, 161, 163-164, 166,
49, 74, 197, 208 reutilização: 16
168-169, 172-174, 182-183
recovery: 6, 61, 63, baseado em risco: 109
segurança: 1, 7-9, 19-25, 28,
68, 73, 97, 100-102, robusto: 35, 48
31-34, 36, 38, 41, 53, 59,
166, 173, 209-210 reversões: 35
61-63, 72-74, 77, 80-82,
reimplantar: 8, 54, 58 distribuições: 62
84, 98, 102-106, 109, 111,
redundante: 37, 98, 207 baseado em rotas: 139
117, 127, 130, 133-134,
Refatoração: 7-8, 207 roteador: 137
137, 142-143, 146, 149,
região: 37, 41-42, 75, RWxD: 168
154, 161-185, 187-190,
101-102, 137, 148,
155, 203, 207 S 192, 201, 207-210
Benchmarks de
Registro: 36, 38,
SaaS: 2-3, 7, 107, 168, segurança: 173
42-43, 88, 178
183, 194, 204 central de segurança:
regulatório: 5-6, 30, 42,
SAN: 47, 61 28, 32, 84
47-49, 69, 159, 168,
SAP: 75, 81, 83, 90-91, 97-98 segmentação: 181-182
171-173, 188-189
escalabilidade: 4-5, 8, 30, auto-hospedado: 39
redefinição de
34, 37-38, 61, 80, 82, sensores: 7, 30
hospedagem: 76 92-94, 104, 192, 200-201 Sentinel: 162, 171, 181,
confiabilidade: 4, 73-74, 98
escalável: 33, 47, 50, 72, 183-187, 190, 208
corrigir: 106, 170, 181
81-82, 90, 103, 147, 166 sequência: 94
remoto: 1, 5, 30, 46-48,
escalar: 23, 33-34, 38, série: 50, 93, 116
50, 57, 61-62, 68, 93, 97,
41, 82, 88, 92, 95, Servidor: 5, 13, 33-34,
103-106, 116, 130, 134, 141, 144, 207, 209 36, 39-40, 43-44, 53,
136-138, 140, 142, 144,
verificar: 132, 178-179, 182 59, 63-66, 68-69, 71,
146, 148-150, 152-153,
agendar: 16, 96-97 75-76, 81, 83-90, 97-98,
155, 157, 160-164, 168,
esquema: 13, 23, 139 103, 134, 150-151, 154,
174, 178, 181-183, 188-189
escopo: 16, 25, 110, 195 160, 177, 201, 210
replicar: 89, 100
SDL: 165 sem servidor: 2, 7, 48, 81,
replicado: 101
SDN: 64-65 195, 199, 204, 210
replicação: 64, 89, 100-102
forma integrada: 31, sessão: 144, 154,
repositórios: 20, 35, 210
80, 100, 152 160, 170, 182
configuração: 25, 38, 118 armazenamento: 2, 22, teste: 11, 16, 54-55,
sharding: 38 31-32, 35, 41, 43, 47, 50, 75, 86, 89, 102, 120,
SharePoint: 52 52-54, 56, 61-62, 65-67, 130, 203-204
Shell: 57 69, 75, 79-83, 90-91, terceiros: 4, 8, 84-85,
mudança: 39, 76, 94-98, 101-102, 105, 117, 107, 153, 182, 184
83-84, 86, 97 119, 151, 157-159, 168, 174, ameaças: 20-21, 31, 81-82,
176, 178, 183, 207-209 146, 162, 166, 169,
encerramento: 69, 203
estratégico: 23 173-174, 177, 181-182, 185
SIEM: 181, 183, 190, 208
simplificar: 2, 168
sinais: 37, 136, 183 limite: 196
estrutura: 13-15, 17,
único host: 58 aceleração: 199
24-25, 28, 151, 199
Local: 41-42, 50, 59, 63, camada: 14, 107-109, 173
sub-rede: 130
68, 100-101, 174, 210 tempo: 7, 9, 18-19, 22, 40,
assinatura: 22-23, 25, 38,
Site a site: 5, 137-139 42, 48-49, 54, 59, 64, 67,
61, 63-65, 84, 102, 111-112,
SKUs: 90 73, 85, 87, 95, 97, 100,
116-118, 133, 151, 167-171,
SLA: 203, 210 133, 137, 142, 144, 155-156,
174, 179, 184, 190, 197
SMB: 81, 157 166, 170, 173, 185-186,
subconjunto: 54 189, 198, 200-203, 209
software: 2, 4, 11, 29, 36,
subsidiárias: 6
51-53, 58-61, 65, 70, Tempo gerado: 160
76, 86-87, 165-166, pacote: 12
timestamp: 160, 187
179, 192, 201, 207 SUSE: 75-76, 201
ferramenta: 11-12, 67,
mudanças: 67, 69
solução: 6-7, 21, 30, 32-33, 84, 88-89, 93, 154,
Synapse: 82, 177 169, 196-198, 208
47, 50-53, 60-61,
82, 88, 96, 148-150, sincronizar: 21, 63, 81, 151
Toolkit: 27
166, 168, 177, 206 Syslog: 184
topologia: 131, 154
fonte: 11-12, 21, 33-35, 53,
56, 99, 101-102, 200
T nível superior: 81, 97
rastreamento: 7, 36, 50, 172
abrangendo: 33 visar: 6, 16, 96, 101-102 compensação: 200
Spark: 92 Fiscal: 5 tráfego: 69, 95, 105, 130,
gasto: 7, 208 TCO: 72, 197-198 137-138, 142-143, 146-149,
rotação: 45 TDE: 210 170, 177, 182-183
Local: 96, 203-204, 210 técnicas: 34, 95, 163 transcodificação: 94
SQL: 13-14, 33-34, 37, tecnologias: 2, 5, 7, 9, trânsito: 98, 137, 165,
39-40, 43-44, 46, 32, 69, 76, 92, 206 182-183, 208
52-53, 55, 76, 81, 83, modelo: 12-19, 27-28, 37, transmissões: 64
85-87, 97-98, 103, 168, 45-46, 120, 129-130, 209 gatilho: 125, 178, 187
172, 174, 176-178, 201 locatário: 21-22, 35, 51, 109, solução de problemas: 57, 68
SSD: 80, 97, 157 111-116, 172, 187, 210 ajuste: 170
SSH: 148-149 locatários: 4, 51-53, túnel: 5, 139
SSL: 42-43, 144 98, 185, 187 Twitter: 111
padrão: 18, 35, 63, 80, tendência: 105 tipo: 4, 7, 17, 20, 41-42,
105, 148, 151, 161, 199 terabytes: 90 59-60, 75, 90, 113,
estático: 148 Terraform: 44-45, 87 138-140, 142, 199, 207
U máquinas virtuais: 9, X
81, 93, 97, 203
Ubuntu: 75 XDR: 168
visualização: 82, 93
IU: 4, 14, 100, 151
VM: 8, 34-35, 43-45, 50,
unificado: 31-32, 34-35,
37-38, 50, 61, 70, 137,
52-53, 60, 68-71, 75, 84, Z
86, 90-91, 93, 96-97,
162, 167, 169, 188, 193 percentual zero: 80
100-101, 198, 201, 203
atualizar: 18, 34, 36, 54, sem toque: 34
VMware: 44-45, 76, 83,
58-60, 62-64, 96 Zona: 96, 130, 207
88-89, 160-161
atualização: 34, 59 redundância de zona: 98
VPN: 5, 57, 63, 136-140,
UPN: 118 ZRS: 98
142, 148, 183
URL: 14, 43, 57, 120,
vSphere: 44, 76
135, 167-168
vulnerabilidades: 74, 144,
usuários: 17, 22, 29, 31, 41,
164, 166, 169, 178-179, 181
43, 51-52, 54-57, 62,
70, 95, 106-108, 111, 116,
119, 130-137, 140, 144, W
146, 149-153, 156-157,
WAF: 143-145, 182
160, 183, 194, 207, 210
WAN: 94, 136-137, 141
baseado em utilitário: 199
web: 4, 44, 50, 52-53, 57,
71, 74, 83-84, 87-88,
V 97, 143, 145, 147, 151,
153, 170, 174, 182
Vagrant: 44
Windows: 33, 35-36, 44,
variáveis: 13, 17-18, 28, 179
59, 61-63, 65-68, 70,
Vault: 53-54, 102, 183
75-76, 80-81, 83-84,
vCPU: 157
86, 88, 94, 96-97, 134,
VDI: 150
150-152, 154, 160-161,
fornecedor: 58-59,
171, 177, 201, 207-208
207, 209-210
workbook: 160, 184
VHD: 64, 119
fluxo de trabalho: 94,
Virtual: 5, 7, 12-13, 17, 25, 30,
116, 135, 209
33, 53, 57, 62, 64-65, 67,
equipe de trabalho: 73, 164
75, 80, 84, 86-87, 92-93,
workload: 2, 73-75, 83,
95-96, 98, 101, 104-105,
88, 90, 93, 95, 97,
116-130, 136-143, 145-146,
103, 155-156, 168,
148-161, 163-164, 174-175,
174, 192, 201, 203
177, 179, 182-183, 199,
espaço de trabalho: 36, 105,
203-204, 207-208, 210
122, 152, 154, 159, 184
WVDConnections: 160

Você também pode gostar