Controlar antipadrões

Os clientes geralmente experimentam antipadrões durante a fase Controlar da adoção da nuvem. Dedicar tempo para entender as responsabilidades compartilhadas ajuda a evitar esses antipadrões, assim como a criação de sua estratégia de segurança em estruturas existentes, em vez de criar as suas próprias.

Antipadrão: não entender responsabilidades compartilhadas

Quando você adota a nuvem, nem sempre fica claro onde sua responsabilidade termina e onde a responsabilidade do provedor de nuvem começa em relação aos diferentes modelos de serviço. Conhecimentos e habilidades de nuvem são necessários para criar processos e práticas em torno de itens de trabalho que usam modelos de serviço.

Exemplo: considerar que o provedor de nuvem gerencia atualizações

Os membros do departamento de RH (recursos humanos) de uma empresa configuram muitos servidores Windows na nuvem usando uma IaaS (infraestrutura como serviço). Eles consideram que o provedor de nuvem gerencia as atualizações, porque o TI local geralmente lida com a instalação da atualização. O departamento de RH não configura as atualizações porque não estão cientes de que o Azure não implanta e instala atualizações do sistema operacional por padrão. Como resultado, os servidores são incompatíveis e representam um risco à segurança.

Resultado preferencial: criar um plano de preparação

Entenda a responsabilidade compartilhada na nuvem. Compilar e criar um plano de preparação. Um plano de preparação pode criar um impulso contínuo para aprender e desenvolver conhecimentos.

Antipadrão: considerar que soluções prontas para uso fornecem segurança

As empresas geralmente percebem a segurança como algo certo na nuvem. Embora essa consideração normalmente esteja correta, a maioria dos ambientes também precisa aderir aos requisitos da estrutura de conformidade, o que pode ser diferente dos requisitos de segurança. O Azure fornece segurança básica e o portal do Azure pode fornecer segurança mais avançada por meio do Microsoft Defender para Nuvem. Mas impor um padrão de conformidade e segurança não é uma experiência pronta para uso quando você cria uma assinatura.

Exemplo: negligenciar segurança de nuvem

Uma empresa desenvolve um novo aplicativo na nuvem. Ela escolhe uma arquitetura baseada em muitos serviços de PaaS (plataforma como serviço), além de alguns componentes de IaaS para fins de depuração. Depois de liberar o aplicativo para produção, a empresa percebe que um de seus servidores de salto foi comprometido e estava extraindo dados para um endereço IP desconhecido. A empresa descobre que o problema é o endereço IP público do servidor de salto e uma senha fácil de adivinhar. A empresa poderia ter evitado essa situação se ela tivesse se concentrado mais na segurança de nuvem.

Resultado preferencial: definir uma estratégia de segurança de nuvem

Defina uma estratégia de segurança de nuvemadequada. Consulte o guia de preparação para a nuvem do CISO para obter mais informações e consulte seu CISO (diretor de segurança de informações) para este guia. Ele aborda tópicos como recursos da plataforma de segurança, privacidade e controles, conformidade e transparência.

Leia sobre proteger cargas de trabalho de nuvem no Azure Security Benchmark. Crie com base nos controles do CIS v7.1 do Centro para Segurança da Internet, junto ao NIST SP800-53 do National Institute of Standards and Technology, que abordam a maioria dos riscos e medidas de segurança.

Use o Microsoft Defender para Nuvem para identificar riscos, adaptar melhores práticas e melhorar a postura de segurança de sua empresa.

Implemente ou ofereça suporte a requisitos de segurança e de conformidade automatizados, específicos da empresa usando o Azure Policy e o Azure Blueprints.

Antipadrão: usar uma estrutura de conformidade ou governança personalizada

A introdução de uma estrutura de conformidade e governança personalizada que não é baseada em padrões do setor pode aumentar substancialmente o tempo de adoção da nuvem, pois pode ser difícil mover a estrutura personalizada para as configurações de nuvem. Esse cenário pode aumentar o esforço necessário para mover medidas e requisitos personalizados em controles de segurança implementados. A maioria das empresas precisa estar em conformidade com conjuntos semelhantes de requisitos de segurança e conformidade. Como resultado, a maioria das estruturas de conformidade e segurança personalizadas diferem somente um pouco das estruturas de conformidade atuais. Empresas com requisitos de segurança adicionais podem considerar a criação de novas estruturas.

Exemplo: usar uma estrutura de segurança personalizada

O CISO de uma empresa atribui aos funcionários de segurança de TI a tarefa de inventar uma estrutura e uma estratégia de segurança de nuvem. Em vez de se basear nos padrões do setor, o departamento de segurança de TI cria uma nova estrutura criada a partir da política de segurança local atual. Depois de concluir a política de segurança de nuvem, as equipes AppOps e DevOps têm dificuldade para implementar a política de segurança de nuvem.

O Azure oferece uma estrutura de segurança e conformidade mais abrangente que difere da estrutura da própria empresa. A equipe do CISO considera os controles do Azure incompatíveis com suas próprias regras de conformidade e segurança. Se tivesse baseado sua estrutura em controles padronizados, ela não teria chegado a essa conclusão.

Resultado preferencial: depender de estruturas existentes

Use ou crie estruturas existentes, como controles CIS v7.1 ou NIST SP800-53, antes de estabelecer ou introduzir uma estrutura de conformidade da empresa personalizada. As estruturas existentes tornam a transição para as configurações de segurança da nuvem mais fácil e mais mensurável. Localize mais implementações de estrutura na página de exemplos do Azure Blueprints. Blueprints para estruturas de conformidade comuns também estão disponíveis para o Azure.

Próximas etapas

• Modificar as funções, habilidades e processos existentes para a nuvem
• Definir uma estratégia de segurança