O uso das boas práticas é algo muito importante dentro do mundo da infraestrutura de TI, e em Computação em Nuvem é fundamental, porque tem alto impacto em Custos e Segurança. Claro, que é bem difícil pensar nisso desde o início, quando estamos preocupados em como conseguiremos resolver um determinado problema de negócio ou como vamos conseguir implantar aquela feature que o Product Owner (PO) acredita que terá um alto impacto na conversão e na experiência do usuário. Boas práticas, e... conformidade.

Particularmente não gosto como soa a palavra conformidade, porque parece que temos que seguir algo que faz sentido para as pessoas de processo e que para nós é algo a mais para fazer, mas que não vai ajudar muito. Mas se olharmos bem, assim como vemos no mundo científico e de engenharia, todas as normas tem um motivo. E observá-las garantirá um resultado mais consistente, constante e com mais previsibilidade ao longo do tempo. Não deveria ser: "precisamos fazer, porque vamos ser auditados". E quando estamos diante de problemas, alguém em algum momento vai falar se estamos com as configurações recomendadas... e se não, porque não as seguimos?

As boas práticas ou normas/regulações são coisas que sempre nos ajudam porque foram criadas usando experiências passadas. São baseadas em casos reais, em fatos. E auxiliam para que problemas do passado não ocorram novamente - e se ocorrerem, que ao menos teremos o mínimo de informação para poder entender o problema e planejar a resolução mais rapidamente.

Concordam que:

• Ter logs para auditoria e para analisar o que está acontecendo no nosso ambiente é importante?
• Que é importante sempre que possível criptografar os dados para garantir a confiabilidade e que mesmo que exista algum erro de escopo de permissões, que ainda assim teríamos os dados protegidos pela criptografia?
• Que um ambiente vulnerável através de regras de controle de acesso de rede, está menos vulnerável que um ambiente vulnerável aberto para a Internet?
• Que um erro de configuração dentro da sua rede tem um alto impacto, mas um erro de configuração numa Nuvem Pública pode ter um impacto muito maior? Afinal, numa Nuvem Pública estamos sempre a poucos passos da Internet.
   

Dá para acompanhar os eventos conforme eles acontecem? Sim, e tem várias maneiras de fazer isso. Ferramentas permitem a visualização de todos os eventos de criação/modificação de infraestrutura, se eles estão afetando ou não a conformidade, etc. Mas dá ainda para ter visões ainda mais legais para ajudar a entender que tipo serviços estão com mais problemas. Imagine acompanhar o impacto na LGPD (Lei Geral de Proteção de Dados Pessoais) de perto assim.

Ou seja, temos tecnologia e várias opções para poder nos ajudar acompanhar isso em tempo real, podendo ser muito mais pró-ativo. Isso porque uma coisa é termos uma noção de que tem itens a corrigir/verificar, outra é poder ver isso ocorrendo em produção. Sabemos que comer fast food faz mal. Mas quando vemos o resultado do hemograma, temos que fazer algo a respeito. Os fatos estão visíveis.

Dá para acompanhar os itens de compliance como LGPD/GDPR em tempo real? Dá para comunicar os itens com problemas em tempo real para os times de forma pró-ativa e usando os mesmos mecanismos que eles usam para se comunicarem e acompanhar suas aplicações? Dá para analisar o Infrastructure as Code em busca de potenciais problemas? A resposta é sim, sim e sim para todas essas questões.

Nos Provedores de Soluções em Nuvem (CSP) temos vários serviços para nos ajudar a acompanhar as configurações. Exemplo: AWS Trusted Advisor, AWS Config, Azure Security Center, Azure Advisor, etc. Mas também há plataformas específicas para ajudar a trazer visibilidade para várias áreas e multi-cloud. A ideia aqui é, portanto, poder mostrar facilmente os pontos de melhoria/problemas tão logo eles ocorram e já dar subsídios mínimos para os times que podem verificar as ocorrências a entenderem, atuarem e/ou priorizarem em seu backlog.

Manter o ambiente de nuvem bem configurado durante a expansão em alta velocidade é possível e integrável ao dia-a-dia dos times de produto. E os benefícios podem ser vistos por todos, trazendo os benefícios do uso das boas prática para todo mundo.

*Ari Neto trabalha em TI há 19 anos, e há 7 com projetos de cloud. Com atuação em diversas áreas, ele possui experiência com infraestrutura, data centers, ciclo de vida de aplicações e arquitetura de cloud. Na Trend Micro, ele atua como Sales Engineer focado em cloud e DevOps em todo o país.