Requisitos e termos de

conformidade
 Ao selecionar um provedor de nuvem para hospedar suas
soluções, é bom entender como esse provedor pode ajudar você a
estar em conformidade com os regulamentos e os padrões.
Algumas perguntas a serem feitas sobre um provedor em
potencial incluem:
 Qual o nível de conformidade do provedor de nuvem quando o
assunto é a manipulação de dados confidenciais?
 Qual o nível de conformidade dos serviços oferecidos pelo
provedor de nuvem?
 Como implantar minhas próprias soluções baseadas em nuvem
em cenários que têm requisitos de conformidade ou de
credenciamento?
 Quais termos fazem parte da política de privacidade para o
provedor?
  A lista a seguir fornece alguns detalhes das ofertas de conformidade disponíveis.
 CJIS (Serviços de Informações da Justiça Criminal). Qualquer estado dos Estados
Unidos ou agência local que queira acessar o banco de dados de CJIS do FBI é
obrigado a aderir às Políticas de Segurança de CJIS. O Azure é único grande
provedor de nuvem que se compromete contratualmente com a conformidade
com a política de segurança de CJIS, que compromete a Microsoft a aderir aos
mesmos requisitos que os representantes da justiça e as entidades de segurança
pública devem seguir.
 Certificação STAR da CSA (Aliança de Segurança na Nuvem). O Azure, o Intune e
o Microsoft Power BI obtiveram a certificação STAR, que envolve uma avaliação
Ofertas de rigorosa de terceiros independentes da postura de segurança de um provedor de
nuvem. Essa certificação STAR se baseia em atingir a certificação ISO/IEC 27001 e
atender a critérios especificados na CCM (Matriz de Controles de Nuvem). Ela
conformidade demonstra que um provedor de serviço de nuvem está em conformidade com os
requerimentos aplicáveis do ISO/IEC 27001, endereçou problemas críticos à
segurança de nuvem conforme definido no CCM e foi avaliado quanto aos modelos
de maturidade de capacidade STAR para o gerenciamento das atividades nas áreas
de controle do CCM.
 RGPD (Regulamento Geral sobre a Proteção de Dados). A lei de privacidade
europeia — RGPD — está em vigor desde 25 de maio de 2018. O RGPD impõe
novas regras às empresas, órgãos governamentais, organizações sem fins
lucrativos e outras organizações que oferecem bens e serviços para pessoas da UE
(União Europeia) ou que coletam e analisam dados vinculados a residentes da UE.
O RGPD se aplica independentemente de onde você estiver localizado.
  A lista a seguir fornece alguns detalhes das ofertas de conformidade disponíveis.
 CJIS (Serviços de Informações da Justiça Criminal). Qualquer estado dos Estados
Unidos ou agência local que queira acessar o banco de dados de CJIS do FBI é
obrigado a aderir às Políticas de Segurança de CJIS. O Azure é único grande
provedor de nuvem que se compromete contratualmente com a conformidade
com a política de segurança de CJIS, que compromete a Microsoft a aderir aos
mesmos requisitos que os representantes da justiça e as entidades de segurança
pública devem seguir.
 Certificação STAR da CSA (Aliança de Segurança na Nuvem). O Azure, o Intune e
o Microsoft Power BI obtiveram a certificação STAR, que envolve uma avaliação
Ofertas de rigorosa de terceiros independentes da postura de segurança de um provedor de
nuvem. Essa certificação STAR se baseia em atingir a certificação ISO/IEC 27001 e
atender a critérios especificados na CCM (Matriz de Controles de Nuvem). Ela
conformidade demonstra que um provedor de serviço de nuvem está em conformidade com os
requerimentos aplicáveis do ISO/IEC 27001, endereçou problemas críticos à
segurança de nuvem conforme definido no CCM e foi avaliado quanto aos modelos
de maturidade de capacidade STAR para o gerenciamento das atividades nas áreas
de controle do CCM.
 RGPD (Regulamento Geral sobre a Proteção de Dados). A lei de privacidade
europeia — RGPD — está em vigor desde 25 de maio de 2018. O RGPD impõe
novas regras às empresas, órgãos governamentais, organizações sem fins
lucrativos e outras organizações que oferecem bens e serviços para pessoas da UE
(União Europeia) ou que coletam e analisam dados vinculados a residentes da UE.
O RGPD se aplica independentemente de onde você estiver localizado.
  ISO (Organização Internacional de Normalização) e IEC
(International Electrotechnical Commission) 27018. A Microsoft é o
primeiro provedor de nuvem a adotar o código de conduta ISO/IEC
27018, que abrange o processamento de informações pessoais por
provedores de serviço de nuvem.
 MTCS (segurança de nuvem de várias camadas) – Singapura. Após
rigorosas avaliações realizadas pelo órgão de certificação de MTCS, os
serviços em nuvem da Microsoft receberam a certificação MTCS
584:2013 em todas as três classificações de serviço – IaaS
Ofertas de (infraestrutura como serviço), PaaS (plataforma como serviço) e SaaS
(software como serviço). A Microsoft foi o primeiro CSP (provedor de
conformidade solução de nuvem) global a receber essa certificação em todas as três
classificações.
 SOC (controles de organização de serviço) 1, 2 e 3. Os serviços de
nuvem cobertos pela Microsoft são auditados pelo menos uma vez ao
ano em relação à estrutura de relatório SOC por auditores de terceiros
independentes. A auditoria dos serviços em nuvem da Microsoft
aborda os controles de segurança, disponibilidade, processamento,
integridade e confidencialidade dos dados, conforme aplicável aos
princípios de confiança em escopo de cada serviço.
  CSF (Cybersecurity Framework) do NIST (National Institute of
Standards and Technology). A CSF do NIST é uma estrutura
voluntária que consiste em padrões, diretrizes e melhores práticas
para gerenciar riscos de segurança cibernética. Os serviços em
nuvem da Microsoft passaram por auditorias independentes de
terceiros de Linhas de Base Alta e Moderada do FedRAMP
(Federal Risk and Authorization Management Program) e são
certificados de acordo com os padrões do FedRAMP. Além disso,
Ofertas de por meio de uma avaliação validada realizada pela HITRUST
(Health Information Trust Alliance), uma organização líder em
conformidade desenvolvimento e capacitação de padrões de privacidade e
segurança, o Office 365 foi certificado para os objetivos
especificados na CSF do NIST.
 UK Government G-Cloud. O UK Government G-Cloud é uma
certificação de computação em nuvem para serviços usados por
entidades governamentais no Reino Unido. O Azure recebeu
credenciamento oficial do UK Government Pan Government
Accreditor.
  Economias de escala são a capacidade de operar com mais
eficiência ou com menor custo por unidade em uma escala maior.
Essa vantagem de custo é um benefício importante na
computação em nuvem.
 Provedores de nuvem como Microsoft, Google e Amazon são
empresas de grande porte que se valem dos benefícios da
economia de escala e, em seguida, a repassam aos clientes.
Economias de
 Essa economia aparece para os usuários finais de várias maneiras.
escala Uma delas é a capacidade de adquirir hardware a um custo menor.
Os provedores de nuvem também podem firmar acordos com
governos locais e empresas prestadoras de serviços públicos para
obter subsídios fiscais, redução de preços de energia, resfriamento
e conectividade de rede de alta velocidade entre sites. Os
provedores de nuvem podem repassar esses benefícios aos
usuários finais na forma de preços mais baixos em relação ao que
se poderia obter por conta própria.
  Essas duas abordagens de investimento são conhecidas como:
CapEx  CapEx (despesas de capital): CapEx é o gasto de dinheiro
(despesas de antecipado na infraestrutura física e, em seguida, a dedução dessa
despesa na fatura de imposto ao longo do tempo. CapEx é um
capital) versus custo antecipado, com um valor que é reduzido ao longo do
tempo.
OpEx  OpEx (despesas operacionais): OpEx é gastar dinheiro em
(despesas serviços ou produtos agora e ser cobrado por eles agora. Você
pode deduzir essa despesa da fatura fiscal no mesmo ano. Não há
operacionais) nenhum custo inicial. Você paga por um serviço ou um produto
conforme você o usa.
  Com as despesas de capital, você planeja suas
despesas no início de um projeto ou um período de
Benefícios do orçamento. Os custos são fixos, o que significa que
CapEx você sabe exatamente quanto está sendo gasto. Isso é
interessante quando você precisa prever as despesas
antes do início de um projeto devido a um orçamento
limitado.
  O crescimento e a demanda podem ser
Benefícios do imprevisíveis e podem superar a expectativa, o
OpEx que é um desafio para o modelo de CapEx,
conforme mostrado no grafo a seguir.
Benefícios do
OpEx
  Com o modelo de OpEx, as empresas que desejam experimentar
um novo produto ou serviço não precisam investir em
equipamentos. Em vez disso, elas pagam mais ou menos pela
infraestrutura, conforme necessário.
 O OpEx é particularmente interessante se a demanda flutua ou é
Benefícios do desconhecida. Os serviços de nuvem são geralmente
considerados ágeis. A agilidade da nuvem é a capacidade de
OpEx alterar rapidamente uma infraestrutura de TI para adaptá-la às
mudanças nas necessidades dos negócios. Por exemplo, se há um
pico do serviço em um mês, você pode dimensioná-lo de acordo
com a demanda e pagar uma fatura maior nesse mês. Se no mês
seguinte a demanda diminui, você pode reduzir os recursos
usados e pagar menos. Essa agilidade permite que você gerencie
seus custos dinamicamente, otimizando os gastos de acordo com
as mudanças dos requisitos.
Modelos de  Há três modelos diferentes de implantação na nuvem.
Um modelo de implantação na nuvem define o local
implantação em que os dados são armazenados e como os clientes
em nuvem interagem com eles – como eles o acessam e em que
local os aplicativos são executados? Ele também
depende do quanto de sua própria infraestrutura você
deseja ou precisa gerenciar.
 Nuvem pública
 Vantagens
 Agilidade/alta escalabilidade – você não precisa comprar um novo
servidor para dimensionar
 Preço pago conforme o uso – você paga apenas pelo que usa, sem
Vantagens e custos de CapEx
 Você não é responsável pela manutenção nem pelas atualizações
Desvantagens de hardware
 Mínimo de conhecimento técnico para configurar e usar – você
pode aproveitar as habilidades e a competência do provedor de
nuvem para garantir que as cargas de trabalho estejam sempre
seguras, protegidas e altamente disponíveis
 Os negócios podem usar vários provedores de nuvem pública de
escala variável. O Microsoft Azure é um exemplo de provedor de
nuvem pública.
 Nuvem pública
 Desvantagens
 Nem todos os cenários são adequados para a nuvem pública. Aqui
estão algumas desvantagens a serem consideradas:
Vantagens e  Pode haver requisitos de segurança específicos que não podem ser
atendidos com o uso da nuvem pública
Desvantagens
 Pode haver políticas governamentais, padrões do setor ou
requisitos legais que as nuvens públicas não podem cumprir
 Você não é o proprietário do hardware nem dos serviços e não
pode gerenciá-los como deseja
 Requisitos de negócios exclusivos, como a necessidade de manter
um aplicativo herdado, podem ser difíceis de serem atendidos
 Nuvem privada
 Vantagens
 Essa abordagem apresenta várias vantagens:
Vantagens e
 Você tem controle total sobre os recursos e pode garantir que a
Desvantagens configuração dê suporte a qualquer cenário ou aplicativo herdado
 Você tem controle (e responsabilidade) total sobre a segurança
 As nuvens privadas podem atender a requisitos estritos de
segurança, conformidade ou legais de uma maneira que a nuvem
pública talvez não consiga
 Nuvem privada
 Desvantagens
 Algumas razões pelas quais as equipes deixam de usar a nuvem
privada são:
Vantagens e
 Há custos antecipados de CapEx e você precisa comprar o
Desvantagens hardware para a inicialização e a manutenção
 A propriedade do equipamento limita a agilidade. Para
dimensionar, você precisa comprar, instalar e configurar o novo
hardware
 As nuvens privadas exigem competências e habilidades de TI que
são difíceis de encontrar
 Nuvem híbrida
 Uma nuvem híbrida combina nuvens públicas e
privadas, permitindo que você execute seus aplicativos
Nuvem na localização mais apropriada. Por exemplo, você
híbrida poderia hospedar um site na nuvem pública e vinculá-lo
a um banco de dados altamente seguro hospedado na
nuvem privada (ou no datacenter local).
  Vantagens
 Algumas vantagens de uma nuvem híbrida são:
 Você pode manter qualquer sistema em execução e acessível que
use um hardware ou um sistema operacional desatualizado
Vantagens e  Você tem flexibilidade em relação ao que executa localmente ou
na nuvem
Desvantagens  Você poderá usufruir das economias de escala dos provedores de
nuvem pública para serviços e recursos quando eles forem mais
baratos e, em seguida, complementar com seu próprio
equipamento quando não forem
 Você pode usar seu próprio equipamento para atender a cenários
de segurança, conformidade ou herdados nos quais precisa
controlar totalmente o ambiente
 Desvantagens
Vantagens e  Algumas preocupações que você deverá ter em mente são:
Desvantagens  Ela pode ser mais cara do que selecionar um modelo de
implantação, pois envolve um certo custo de CapEx antecipado
 Ela pode ser mais complicada de configurar e gerenciar
Explorar as  IaaS (infraestrutura como serviço)
 A infraestrutura como serviço é a categoria mais flexível dos
três serviços de nuvem. Ela tem como objetivo oferecer controle total
categorias de sobre o hardware que executa o aplicativo [servidores de
infraestrutura de TI e VMs (máquinas virtuais), armazenamento,
computação redes e sistemas operacionais]. Com a IaaS, você aluga hardware
em vez de comprá-lo. Trata-se de uma infraestrutura de
em nuvem computação instantânea, provisionada e gerenciada pela Inte
Explorar as  IaaS (infraestrutura como serviço)
 A infraestrutura como serviço é a categoria mais flexível dos
três serviços de nuvem. Ela tem como objetivo oferecer controle total
categorias de sobre o hardware que executa o aplicativo [servidores de
infraestrutura de TI e VMs (máquinas virtuais), armazenamento,
computação redes e sistemas operacionais]. Com a IaaS, você aluga hardware
em vez de comprá-lo. Trata-se de uma infraestrutura de
em nuvem computação instantânea, provisionada e gerenciada pela Inte
A IaaS  Cargas de trabalho em migração
geralmente é  Teste e desenvolvimento
usada nos  Hospedagem de sites

seguintes  Armazenamento, backup e recuperação.

cenários:
  O PaaS fornece um ambiente para criação, teste e implantação de
PaaS aplicativos de software. A meta da PaaS é ajudar você a criar um
aplicativo rapidamente sem a necessidade de gerenciar a
(plataforma infraestrutura subjacente. Por exemplo, ao implantar um
aplicativo Web usando o PaaS, você não precisa instalar um
como serviço) sistema operacional, um servidor Web e nem mesmo as
atualizações do sistema.
O PaaS
geralmente é  Estrutura de desenvolvimento
usado nos  Análise ou business intelligence
seguintes
cenários:
  SaaS é um software que é hospedado e gerenciado centralmente
SaaS para o cliente final. Geralmente, ele se baseia em uma arquitetura
em que uma versão do aplicativo é usada para todos os clientes e
(software licenciada por meio de uma assinatura mensal ou anual. Office
como serviço) 365, Skype e Dynamics CRM Online são exemplos perfeitos de
software SaaS.
  A IaaS requer o máximo de gerenciamento do usuário entre todos
os serviços de nuvem. O usuário é responsável por gerenciar os
sistemas operacionais, os dados e os aplicativos.
Responsabilidades  O PaaS requer menos gerenciamento do usuário. O provedor de
nuvem gerencia os sistemas operacionais e o usuário é
de gerenciamento responsável pelos aplicativos e dados que executa e armazena.
 O SaaS requer o mínimo de gerenciamento. O provedor de nuvem
é responsável por gerenciar tudo, e o usuário final apenas usa o
software.