Gerenciamento de nuvem: como gerenciar ambientes multicloud sem perder o controle

A maioria das organizações não planeja ter ambientes multicloud. Elas acabam por adotá-los porque diferentes equipes tomaram decisões diferentes em momentos distintos. O departamento de marketing adotou uma plataforma SaaS na AWS. A equipe de desenvolvimento fez a implantação no Azure. O fornecedor do ERP opera no Google Cloud. A infraestrutura de backup está na Datto Cloud. O resultado é um ambiente multicloud sem um modelo de governança unificado e sem uma equipe única responsável por ele.

De acordo com o Relatório Kaseya sobre o Estado dos MSP de 2026, os serviços em nuvem e de hospedagem representam 34% da receita dos MSP, refletindo o quão essencial a gestão da nuvem se tornou para o portfólio de serviços dos MSP. O Relatório sobre o Estado da Nuvem da Flexera constatou que mais de 87% das organizações agora possuem uma estratégia multicloud, com a maioria gerenciando cargas de trabalho em mais de um provedor. O desafio não é adotar múltiplas nuvens. É governá-las de forma coerente depois de implementadas. A plataforma da Kaseya oferece suporte a mais de 50.000 MSPs e equipes de TI que gerenciam exatamente esses ambientes em todo o mundo.

Por que a governança multicloud é mais complexa do que o gerenciamento de uma única nuvem

O gerenciamento multicloud é mais complexo do que o gerenciamento de uma única nuvem, não porque cada nuvem individual seja difícil de gerenciar, mas porque o problema de visibilidade e governança agregadas é significativo. Cada provedor possui seu próprio console, seu próprio formato de registro, sua própria estrutura de cobrança, seu próprio modelo de IAM e seus próprios controles de segurança. Gerenciá-los individualmente resulta em uma visibilidade fragmentada. Gerenciá-los de forma consistente requer uma camada de governança que abstraia essas diferenças específicas de cada provedor.

A distinção entre multi-cloud acidental e deliberado é importante do ponto de vista operacional. A Gartner define o multi-cloud acidental como o resultado de uma governança inadequada, fusões e aquisições ou decisões independentes de equipes, em vez de uma estratégia coordenada. Os ambientes multi-cloud acidentais tendem a não possuir um modelo de identidade unificado, apresentam padrões de segurança inconsistentes, exposição invisível aos custos e dependências de cargas de trabalho não documentadas. Os ambientes multi-cloud deliberados apresentam toda essa complexidade, mas com estruturas de governança projetadas para lidar com ela desde o início.

A maioria dos clientes de pequenas e médias empresas e do mercado intermediário gerenciados por MSPs está, de fato, em um ambiente multicloud sem ter planejado isso. O trabalho de governança é retroativo. Um MSP que assume um novo cliente deve esperar encontrar cargas de trabalho na nuvem distribuídas entre vários provedores, sem uma estratégia unificada de etiquetagem, várias contas de administrador com permissões excessivas, nenhuma política de backup entre provedores e faturamento que ninguém revisa há meses. Esse é o ponto de partida, não a exceção.

Monitoramento unificado entre provedores

Os alertas do AWS CloudWatch, do Azure Monitor e do Google Cloud Operations são formatados de maneira diferente, são transmitidos por canais distintos e não possuem uma camada de correlação nativa entre si. Um MSP que gerencia clientes em todos os três provedores não consegue, na prática, monitorar o console de cada provedor separadamente para cada cliente. A viabilidade operacional não é viável.

Uma camada de monitoramento unificada normaliza os dados de telemetria de vários provedores de nuvem, juntamente com a infraestrutura local e os terminais, em um único fluxo de alertas e console de gerenciamento. Kaseya Intelligence e correlaciona esses dados de telemetria, aplicando reconhecimento automatizado de padrões para identificar anomalias e desvios de configuração em ambientes híbridos, sem a necessidade de um técnico revisar manualmente os eventos de cada provedor.

Para os MSPs, a visibilidade multilocatária é um requisito operacional: um único console que mostre o status dos alertas, a integridade dos backups e a conformidade da configuração em todos os clientes e todos os ambientes de nuvem simultaneamente. Um MSP que precise acessar 30 consoles da AWS diferentes para verificar a integridade dos ambientes de nuvem de 30 clientes não está operando um serviço escalável.

Governança de identidade em ambientes multicloud

A identidade é a linha de defesa em ambientes de nuvem e, em um ambiente multicloud, a governança de identidade representa o desafio de segurança mais complexo. Cada provedor possui seu próprio modelo de IAM. A AWS utiliza funções e políticas. O Azure utiliza o Entra ID e o RBAC. O Google Cloud utiliza seu próprio sistema de IAM. Os usuários e as contas de serviço frequentemente precisam de acesso a mais de um desses ambientes, criando um cenário de identidade disperso com vários pontos em que as permissões podem ser configuradas incorretamente.

Os riscos práticos: usuários com permissões excessivas no ambiente de um provedor porque essas permissões foram copiadas de outro sem revisão. Contas de serviço com credenciais que não foram atualizadas. Contas de administrador criadas para um projeto e que nunca foram desativadas. Configurações de IAM que parecem corretas no console de cada provedor, mas que, em conjunto, concedem mais acesso do que qualquer revisão individual aprovaria.

A governança nesse cenário exige visibilidade sobre quem tem acesso a quê, em todos os provedores, e a aplicação automatizada de políticas de privilégios mínimos. Kaseya 365 oferece a camada de gerenciamento de identidade e acesso no Microsoft 365 e em ambientes de nuvem conectados, com a aplicação de autenticação multifatorial e o monitoramento de credenciais por meio Dark Web ID detectar credenciais expostas antes que sejam exploradas.

Devem ser programadas revisões regulares de acesso ao IAM para todos os ambientes de nuvem gerenciados: no mínimo trimestralmente, e mensalmente para ambientes que lidam com dados confidenciais. As revisões de acesso não são o tipo de tarefa que ocorre espontaneamente. Elas precisam estar agendadas e gerar um relatório documentado.

Visibilidade de custos e FinOps

O faturamento em múltiplas nuvens é o problema de governança mais visível à primeira vista. Vários provedores, vários modelos de faturamento, vários formatos de fatura e a ausência de uma camada de agregação nativa significam que a visibilidade dos custos exige um esforço deliberado. Sem isso, os gastos com nuvem se acumulam de maneiras que ninguém compreende totalmente até que chegue uma fatura significativamente mais alta do que o esperado.

FinOps é a prática de utilizar dados de faturamento da nuvem para orientar decisões sobre recursos em tempo real, em vez de analisar os custos de forma reativa no final do mês. As principais disciplinas do FinOps se aplicam diretamente ao desafio da gestão multicloud.

Etiquetagem e atribuição. Os recursos que não estão etiquetados não podem ser atribuídos a uma equipe, a um projeto ou a um cliente. Uma estratégia de etiquetagem consistente, aplicada no momento do provisionamento e cumprida por meio de políticas, é a base para a visibilidade dos custos entre os provedores. Sem etiquetas, os dados de custos são um número agregado, sem uma decomposição que permita a tomada de decisões.

Identificação de desperdício. Volumes de armazenamento não associados, instâncias de computação ociosas, balanceadores de carga órfãos e ambientes de teste esquecidos estão presentes em quase todos os ambientes multicloud que estão em operação há mais de seis meses. Uma análise mensal de desperdício em todos os provedores é uma prática padrão em ambientes bem gerenciados.

Capacidade reservada. O modelo de preços sob demanda é o mais caro para cargas de trabalho estáveis. As Instâncias Reservadas da AWS, as Instâncias de VM Reservadas do Azure e estruturas equivalentes em outros provedores oferecem descontos que exigem um compromisso de uso. Identificar quais cargas de trabalho são estáveis o suficiente para assumir esse compromisso e adquirir a capacidade reservada de acordo com isso é um serviço de consultoria recorrente que os MSPs podem oferecer como parte do gerenciamento de nuvem.

Alertas de anomalias. Picos inesperados de custos quase sempre podem ser detectados antes de aparecerem na fatura. Os alertas de orçamento e a detecção de anomalias no AWS Cost Explorer e no Azure Cost Management oferecem um aviso antecipado que evita que um erro de provisionamento ou um processo descontrolado se transforme em um evento de custo significativo.

Gerenciamento da postura de segurança

Os padrões de configuração de segurança variam de acordo com o provedor, e garantir uma postura de segurança consistente em um ambiente multicloud requer um gerenciamento de políticas que abranja toda a pilha. As falhas de segurança mais comuns em ambientes multicloud não são falhas específicas de um provedor. Trata-se de falhas de governança: controles que estão configurados corretamente em um ambiente, mas que não são aplicados em outro devido à ausência de um mecanismo unificado de aplicação de políticas.

As cinco diretrizes básicas de segurança que devem ser verificadas em todos os ambientes de nuvem de um portfólio gerenciado:

1. Registros de auditoria ativados em todas as regiões. O AWS CloudTrail e os Registros de Atividade do Azure Monitor são a fonte de referência para a investigação de incidentes. Sem eles, você está trabalhando às cegas.

2. Criptografia em repouso em todos os recursos de armazenamento. A criptografia padrão deve ser ativada no nível da conta ou da assinatura, de modo que os novos recursos sejam criptografados, a menos que essa configuração seja explicitamente substituída.

3. Nenhum bloqueio de acesso público está desativado. Os bloqueios de acesso público do S3 e as configurações equivalentes do Azure devem estar ativados no nível da conta para evitar a exposição pública acidental.

4. Autenticação de dois fatores (MFA) em todas as contas com privilégios. Todas as contas de administrador em todos os provedores devem ter a autenticação de dois fatores (MFA) obrigatória. Sem exceções.

5. Não há grupos de segurança ou regras de firewall excessivamente permissivos. O acesso de entrada irrestrito (0.0.0.0/0) nas portas de gerenciamento é constantemente identificado em avaliações de segurança na nuvem e está sempre presente quando os ambientes não foram formalmente revisados.

O Kaseya SIEM integra dados de telemetria das principais plataformas de nuvem, juntamente com dados de terminais e de e-mail, normalizando eventos de segurança de diversos provedores em uma única camada de detecção. Kaseya Intelligence respostas automatizadas às anomalias detectadas, fechando o ciclo entre a detecção e a correção sem esperar que um técnico analise e tome medidas.

Governança de backup em várias nuvens

O backup nativo de cada provedor de nuvem abrange suas próprias cargas de trabalho dentro de seu próprio ecossistema. A governança de backup entre provedores, que garante que tudo em todas as nuvens seja copiado, verificado e recuperável em um local independente, requer uma camada de gerenciamento de backup que abranja todos os provedores.

As ferramentas de backup nativas apresentam três lacunas específicas em ambientes multicloud. Em primeiro lugar, elas não oferecem visibilidade entre provedores: um MSP não consegue visualizar o status do backup de cargas de trabalho da AWS e do Azure a partir de um único console. Em segundo lugar, elas armazenam os backups dentro do ecossistema do provedor, o que significa que uma conta comprometida ou um incidente do lado do provedor afeta tanto os dados primários quanto o backup. Em terceiro lugar, elas não abrangem os dados de SaaS, que exigem proteção separada por meio de backup de nuvem para nuvem.

O portfólio de backup da Datto atende a todos os três cenários: o Datto SIRIS Endpoint Backup Datto Endpoint Backup Recuperação de Desastres para cargas de trabalho locais e de servidor replicadas para a Datto Cloud independente; Backup for Microsoft Azure Datto Backup for Microsoft Azure proteção de VMs do Azure e do Azure Files fora do ecossistema do Azure; e SaaS Protection Datto SaaS Protection dados do Microsoft 365 e do Google Workspace. Todos são visíveis na página unificada de status de backup do Datto Partner Portal, oferecendo aos MSPs uma visão única da integridade do backup em todos os tipos de cargas de trabalho e todos os clientes.

Para uma análise completa da arquitetura de backup nos três casos de uso da nuvem, consulte “Backup na nuvem: um guia prático para equipes de TI e MSPs”.

Gestão de documentação e configuração

Ambientes multicloud sem documentação são operacionalmente frágeis. O número de recursos, provedores, configurações e dependências envolvidos em um ambiente multicloud típico de pequenas e médias empresas é tão grande que confiar no conhecimento institucional em vez de registros documentados gera um risco significativo. Quando a pessoa que criou o ambiente sai da empresa, ou quando um incidente exige uma investigação rápida às 2 da manhã, a documentação é o que faz a diferença entre uma resposta estruturada e um exercício de adivinhação.

IT Glue a infraestrutura de documentação para ambientes multicloud: credenciais de acesso de provedores com isolamento por cliente, diagramas de arquitetura, documentação da estrutura de IAM, manuais de procedimentos para cenários comuns de recuperação e integração com Compliance Manager GRC a geração automatizada de evidências de conformidade. A mesma disciplina de documentação que se aplica à infraestrutura local se aplica igualmente aos ambientes de nuvem, e o ritmo das mudanças nesses ambientes torna a atualização da documentação mais difícil e mais importante.

O desvio de configuração, ou seja, o acúmulo de alterações não revisadas que se afastam do estado pretendido do ambiente, é a causa subjacente da maioria dos incidentes de segurança na nuvem. Um bucket de armazenamento que foi configurado corretamente na implantação e, inadvertidamente, tornou-se público três meses depois devido a uma alteração que ninguém documentou é um cenário real e comum. O monitoramento contínuo da configuração por meio Kaseya Intelligence esses desvios antes que se transformem em incidentes.

Como a Kaseya oferece suporte ao gerenciamento multicloud para MSPs

Kaseya 365 o Datto RMM ampliam o monitoramento baseado em agentes, o gerenciamento de patches e a automação para máquinas virtuais hospedadas na nuvem, além de terminais locais, a partir de um único console multilocatário.

O Kaseya SIEM integra os dados de telemetria de segurança da AWS, do Azure e do Google Cloud com os dados de terminais e de e-mail em uma camada de detecção unificada.

Kaseya Intelligence aplica reconhecimento de padrões e resposta automatizados em ambientes de nuvem gerenciados, detectando desvios de configuração e atividades anômalas sem a necessidade de revisão manual.

Kaseya 365 oferece gerenciamento de identidade e acesso no Microsoft 365 e em ambientes de nuvem conectados, incluindo a aplicação da autenticação de dois fatores (MFA) e o monitoramento Dark Web ID .

IT Glue armazena a documentação do ambiente de nuvem com isolamento por cliente, histórico de versões e integração direta com Compliance Manager GRC.

O portfólio de backup da Datto oferece backup independente e imutável para cargas de trabalho locais, infraestrutura do Azure e aplicativos SaaS, com visibilidade unificada do status do backup a partir de um único console do Portal de Parceiros da Datto.

Conheça as soluções da Kaseya para operações de TI e gerenciamento em nuvem