Começar: Implementar a segurança em todo o ambiente corporativo

A segurança ajuda a criar garantias de confidencialidade, integridade e disponibilidade para uma empresa. Os esforços de segurança têm um foco crítico na proteção contra o impacto potencial nas operações causadas por ações internas e externas mal-intencionadas e não intencionais.

Este guia de início descreve as principais etapas que reduzirão ou evitarão o risco comercial de ataques de segurança cibernética. Ele pode ajudá-lo a estabelecer rapidamente práticas de segurança essenciais na nuvem e integrar a segurança ao processo de adoção da nuvem.

As etapas neste guia destinam-se a todas as funções que suportam garantias de segurança para ambientes de nuvem e zonas de destino. As tarefas incluem prioridades imediatas de mitigação de risco, diretrizes sobre como criar uma estratégia de segurança moderna, operacionalizar a abordagem e executar essa estratégia.

Este guia inclui elementos de todo o Microsoft Cloud Adoption Framework para Azure:

Começar a trabalhar com a segurança corporativa

Seguir as etapas neste guia ajudará você a integrar a segurança em pontos críticos no processo. O objetivo é evitar obstáculos na adoção da nuvem e reduzir interrupções comerciais ou operacionais desnecessárias.

A Microsoft criou recursos e recursos para ajudar a acelerar sua implementação dessas diretrizes de segurança Microsoft Azure. Você verá esses recursos referenciados ao longo deste guia. Eles foram projetados para ajudá-lo a estabelecer, monitorar e impor a segurança e são frequentemente atualizados e revisados.

O diagrama a seguir mostra uma abordagem holística para usar diretrizes de segurança e ferramentas de plataforma para estabelecer visibilidade de segurança e controle sobre seus ativos de nuvem no Azure. Recomendamos essa abordagem.

Diagrama de segurança

Use estas etapas para planejar e executar sua estratégia para proteger seus ativos de nuvem e usar a nuvem para modernizar as operações de segurança.

Etapa 1: Estabelecer práticas de segurança essenciais

A segurança na nuvem começa com a aplicação das práticas de segurança mais importantes para as pessoas, o processo e os elementos de tecnologia do seu sistema. Além disso, algumas decisões de arquitetura são fundamentais e são muito difíceis de alterar posteriormente, portanto, devem ser aplicadas cuidadosamente.

Independentemente de você já estar operando na nuvem ou estiver planejando a adoção futura, recomendamos que você siga estas 11 práticas de segurança essenciais (além de atender a quaisquer requisitos explícitos de conformidade regulatória).

Pessoas:

  1. Instruir as equipes sobre o percurso de segurança na nuvem
  2. Instruir as equipes sobre a tecnologia de segurança de nuvem

Processo:

  1. Atribuir responsabilidade para decisões de segurança de nuvem
  2. Atualizar processos de resposta a incidentes para a nuvem
  3. Estabelecer o gerenciamento de postura de segurança

Tecnologia:

  1. Exigir autenticação sem senha ou multifator
  2. Integrar firewall nativo e segurança de rede
  3. Integrar detecção de ameaças nativas

Decisões fundamentais de arquitetura:

  1. Padronizar em um único diretório e identidade
  2. Usar o controle de acesso baseado em identidade (em vez de chaves)
  3. Estabelecer uma única estratégia de segurança unificada

Observação

Cada organização deve definir seus próprios padrões mínimos. A postura de risco e a tolerância subsequente a esse risco podem variar amplamente com base no setor, na cultura e em outros fatores. Por exemplo, um banco pode não tolerar danos potenciais à sua reputação de até mesmo um ataque secundário em um sistema de teste. Algumas organizações aceitariam esse mesmo risco se acelerasse sua transformação digital em três a seis meses.

Etapa 2: Modernizar a estratégia de segurança

A segurança efetiva na nuvem requer uma estratégia que reflita o ambiente de ameaças atual e a natureza da plataforma de nuvem que está hospedando os ativos corporativos. Uma estratégia clara melhora o esforço de todas as equipes para fornecer um ambiente de nuvem empresarial seguro e sustentável. A estratégia de segurança deve habilitar os resultados de negócios definidos, reduzir o risco para um nível aceitável e permitir que os funcionários sejam produtivos.

Uma estratégia de segurança de nuvem fornece diretrizes para todas as equipes que trabalham na tecnologia, nos processos e na preparação das pessoas para essa adoção. A estratégia deve informar a arquitetura de nuvem e os recursos técnicos, orientar a arquitetura e os recursos de segurança e influenciar o treinamento e a educação das equipes.

Produtos:

A etapa de estratégia deve resultar em um documento que pode ser facilmente comunicado a muitos stakeholders dentro da organização. Os stakeholders podem incluir executivos na equipe de liderança da organização.

Recomendamos capturar a estratégia em uma apresentação para facilitar a discussão e a atualização fáceis. Essa apresentação pode ter suporte com um documento, dependendo da cultura e das preferências.

  • Apresentação de estratégia: Você pode ter uma única apresentação de estratégia ou também pode optar por criar versões resumidas para públicos-alvo de liderança.

    • Apresentação completa: Isso deve incluir o conjunto completo de elementos para a estratégia de segurança na apresentação principal ou em slides de referência opcionais.
    • Resumos executivos: As versões a ser usadas com executivos sêniores e membros do quadro podem conter apenas elementos críticos relevantes para sua função, como o desejo de risco, as principais prioridades ou os riscos aceitos.
  • Você também pode registrar motivações, resultados e justificativas de negócios na estratégia e no modelo de plano.

Práticas recomendadas para a criação de estratégia de segurança:

Programas bem-sucedidos incorporam esses elementos em seu processo de estratégia de segurança:

  • Alinhe-se de perto à estratégia de negócios: A política de segurança é proteger o valor comercial. É essencial alinhar todos os esforços de segurança a essa finalidade e minimizar conflitos internos.

    • Crie uma compreensão compartilhada dos requisitos de negócios, DE E/S e segurança.
    • Integre a segurança no início à adoção da nuvem para evitar ataques de última hora contra riscos evitáveis.
    • Use uma abordagem ágil para estabelecer imediatamente os requisitos mínimos de segurança e melhorar continuamente as garantias de segurança ao longo do tempo.
    • Incentive a alteração da cultura de segurança por meio de ações proativas intencionais de liderança.

    Para obter mais informações, consulte Transformações, mentalidades e expectativas.

  • Modernizar a estratégia de segurança: A estratégia de segurança deve incluir considerações para todos os aspectos do ambiente de tecnologia moderno, o cenário de ameaças atual e os recursos da comunidade de segurança.

    • Adapte-se ao modelo de responsabilidade compartilhada da nuvem.
    • Inclua todos os tipos de nuvem e implantações de várias nuvens.
    • Prefira controles de nuvem nativos para evitar atrito desnecessário e prejudicial.
    • Integre a comunidade de segurança para acompanhar o ritmo da evolução do invasor.

Recursos relacionados para contexto adicional:


Equipe responsável Equipes responsáveis e de suporte
  • Equipe de liderança de segurança (CISO (diretor de segurança da informação) ou equivalente)
  • Equipe de estratégia de nuvem
  • Equipe de segurança de nuvem
  • Equipe de adoção da nuvem
  • Centro de excelência em nuvem ou equipe de IT central
  • Aprovação de estratégia:

    Executivos e líderes de negócios com responsabilidade por resultados ou riscos de linhas de negócios dentro da organização devem aprovar essa estratégia. Esse grupo pode incluir o quadro de diretores, dependendo da organização.

    Etapa 3: Desenvolver um plano de segurança

    O planejamento coloca a estratégia de segurança em ação definindo resultados, marcos, linhas do tempo e proprietários de tarefas. Esse plano também descreve as funções e as responsabilidades das equipes.

    O planejamento de segurança e o planejamento de adoção da nuvem não devem ser feitos isoladamente. É essencial convidar a equipe de segurança de nuvem para os ciclos de planejamento no início, para evitar a parada de trabalho ou aumentar o risco de problemas de segurança serem descobertos tarde demais. O planejamento de segurança funciona melhor com conhecimento aprofundado e reconhecimento da propriedade digital e do portfólio de IT existente que vem de ser totalmente integrado ao processo de planejamento de nuvem.

    Produtos:

    • Plano de segurança: Um plano de segurança deve fazer parte da documentação de planejamento principal para a nuvem. Pode ser um documento que usa a estratégia e o modelo de plano, um baralho de slides detalhado ou um arquivo de projeto. Ou pode ser uma combinação desses formatos, dependendo do tamanho, da cultura e das práticas padrão da organização.

      O plano de segurança deve incluir todos esses elementos:

      • As funções organizacionais planejam, para que as equipes saibam como as funções de segurança atuais e as responsabilidades mudarão com a mudança para a nuvem.

      • As habilidades de segurança planejam dar suporte aos membros da equipe à medida que navegam pelas alterações significativas na tecnologia, nas funções e nas responsabilidades.

      • Roteiro de arquitetura e funcionalidades de segurança técnica para orientar as equipes técnicas.

        A Microsoft fornece arquiteturas de referência e recursos de tecnologia para ajudá-lo à medida que você cria sua arquitetura e roteiro, incluindo:

      • Plano de educação e reconhecimento de segurança para que todas as equipes tenham conhecimento básico de segurança crítico.

      • Marcação de sensibilidade de ativos para designar ativos confidenciais usando uma taxonomia alinhada ao impacto nos negócios. A taxonomia é criada em conjunto por stakeholders de negócios, equipes de segurança e outras partes interessadas.

      • Alterações de segurança no plano de nuvem: Atualize outras seções do plano de adoção da nuvem para refletir as alterações disparadas pelo plano de segurança.

    Práticas recomendadas para planejamento de segurança:

    Seu plano de segurança provavelmente será mais bem-sucedido se seu planejamento tiver a abordagem de:

    • Suponha um ambiente híbrido: Isso inclui aplicativos SaaS (software como serviço) e ambientes locais. Ele também inclui vários provedores de IaaS (infraestrutura como serviço) e PaaS (plataforma como serviço), se aplicável.

    • Adote a segurança ágil: Estabeleça os requisitos mínimos de segurança primeiro e mova todos os itens nãocríticos para uma lista priorizada das próximas etapas. Esse não deve ser um plano tradicional detalhado de 3 a 5 anos. O ambiente de nuvem e ameaça é muito rápido para tornar esse tipo de plano útil. Seu plano deve se concentrar no desenvolvimento das etapas intais e do estado final:

      • As vitórias rápidas para o futuro imediato que fornecerão um alto impacto antes do início das iniciativas de longo prazo. O período pode ser de 3 a 12 meses, dependendo da cultura organizacional, das práticas padrão e de outros fatores.
      • Visão clara do estado final desejado para orientar o processo de planejamento de cada equipe (o que pode levar vários anos para ser alcançado).
    • Compartilhe o plano amplamente: Aumentar o reconhecimento, os comentários de e a compra pelos stakeholders.

    • Conheça os resultados estratégicos: Certifique-se de que seu plano se alinhe e realize os resultados estratégicos descritos na estratégia de segurança.

    • Definir a propriedade, a responsabilidade e os prazos: Verifique se os proprietários de cada tarefa são identificados e se estão comprometidos em concluir essa tarefa em um período específico.

    • Conexão com o lado humano da segurança: Envolva as pessoas durante esse período de transformação e novas expectativas:

      • Dando suporte ativamente à transformação de membro da equipe com comunicação clara e com o técnico em:

        • Quais habilidades eles precisam aprender.
        • Por que eles precisam aprender as habilidades (e os benefícios de fazer isso).
        • Como obter esse conhecimento (e fornecer recursos para ajudá-los a aprender).

        Você pode documentar o plano usando a estratégia e o modelo de plano. E você pode usar o treinamento online de segurança da Microsoft para ajudar na educação dos membros da equipe.

      • Tornar a conscientização de segurança envolvente para ajudar as pessoas a se conectarem genuinamente com sua parte de manter a organização segura.

    • Revise os aprendizados e as diretrizes da Microsoft: A Microsoft publicou insights e perspectivas para ajudar sua organização a planejar sua transformação para a nuvem e uma estratégia de segurança moderna. O material inclui treinamento gravado, documentação e práticas recomendadas de segurança e padrões recomendados.

      Para obter diretrizes técnicas para ajudar a criar seu plano e sua arquitetura, consulte a documentação de segurança da Microsoft.


    Equipe responsável Equipes responsáveis e de suporte
  • Equipe de segurança de nuvem
  • Equipe de estratégia de nuvem
  • Equipe de governança de nuvem
  • Quaisquer equipes de risco em sua organização
  • Centro de excelência em nuvem ou equipe de IT central
  • Aprovação do plano de segurança:

    A equipe de liderança de segurança (CISO ou equivalente) deve aprovar o plano.

    Etapa 4: Proteger novas cargas de trabalho

    É muito mais fácil começar em um estado seguro do que retroajustar a segurança posteriormente em seu ambiente. É fortemente recomendável começar com uma configuração segura para garantir que as cargas de trabalho sejam migradas e desenvolvidas e testadas em um ambiente seguro.

    Durante a implementação da zona de destino, muitas decisões podem afetar a segurança e os perfis de risco. A equipe de segurança de nuvem deve revisar a configuração da zona de destino para garantir que ela atenda aos padrões e requisitos de segurança nas linhas de base de segurança da sua organização.

    Produtos:

    • Verifique se as novas zonas de destino atendem aos requisitos de conformidade e segurança da organização.

    Diretrizes para dar suporte à conclusão de entrega:

    • Combinar requisitos existentes e recomendações de nuvem: Comece com as diretrizes recomendadas e adapte-a aos seus requisitos de segurança exclusivos. Vimos desafios ao tentar impor políticas e padrões locais existentes, pois eles geralmente se referem a abordagens de segurança ou tecnologia desatualizadas.

      A Microsoft publicou diretrizes para ajudá-lo a criar suas linhas de base de segurança:

    • Forneça guardrails: As proteções devem incluir a auditoria e a imposição de políticas automatizadas. Para esses novos ambientes, as equipes devem se esforçar para auditar e impor as linhas de base de segurança da organização. Esses esforços podem ajudar a minimizar as surpresas de segurança durante o desenvolvimento de cargas de trabalho, bem como a CI/CD (integração contínua e implantação contínua) de cargas de trabalho.

      A Microsoft fornece vários recursos nativos no Azure para habilitar isso:

      • Classificação de segurança:use uma avaliação pontuada da sua postura de segurança do Azure para acompanhar os esforços e projetos de segurança em sua organização.
      • Azure Blueprints:os arquitetos de nuvem e os grupos de IT centralizados podem definir um conjunto repetivel de recursos do Azure que implementa e adere aos padrões, padrões e requisitos de uma organização.
      • Azure Policy:essa é a base dos recursos de visibilidade e controle que os outros serviços usam. Azure Policy é integrado ao Azure Resource Manager, para que você possa auditar alterações e impor políticas em qualquer recurso no Azure antes, durante ou após sua criação.
      • Melhorar as operações de zona dedestino: use as práticas recomendadas para melhorar a segurança em uma zona de destino.

    Equipe responsável Equipes responsáveis e de suporte
  • Equipe de segurança de nuvem
  • Equipe de adoção da nuvem
  • Equipe de plataforma de nuvem
  • Equipe de estratégia de nuvem
  • Equipe de governança de nuvem
  • Centro de excelência em nuvem ou equipe de IT central
  • Etapa 5: Proteger cargas de trabalho de nuvem existentes

    Muitas organizações já implantaram ativos em ambientes de nuvem empresarial sem aplicar as práticas recomendadas de segurança, criando um risco comercial maior.

    Depois de garantir que novos aplicativos e zonas de destino sigam as práticas recomendadas de segurança, concentre-se em colocar os ambientes existentes nos mesmos padrões.

    Produtos:

    • Verifique se todos os ambientes de nuvem e zonas de destino existentes atendem aos requisitos de conformidade e segurança da organização.
    • Teste a preparação operacional das implantações de produção usando políticas para linhas de base de segurança.
    • Valide a adesão às diretrizes de design e aos requisitos de segurança para linhas de base de segurança.

    Diretrizes para dar suporte à conclusão de entrega:

    • Use as mesmas linhas de base de segurança criadas na Etapa 4 como seu estado ideal. Talvez seja preciso ajustar algumas configurações de política para auditá-las apenas em vez de enforcá-las.
    • Equilibre os riscos operacionais e de segurança. Como esses ambientes podem hospedar sistemas de produção que permitem processos de negócios críticos, talvez seja necessário implementar melhorias de segurança incrementalmente para evitar o risco de tempo de inatividade operacional.
    • Priorize a descoberta e a correção do risco de segurança por importância dos negócios. Comece com cargas de trabalho que têm um alto impacto nos negócios se comprometidas e cargas de trabalho que têm alta exposição a riscos.

    Para obter mais informações, consulte Identificar e classificar aplicativos comercialmente críticos.


    Equipe responsável Equipes responsáveis e de suporte
  • Equipe de adoção da nuvem
  • Equipe de adoção da nuvem
  • Equipe de estratégia de nuvem
  • Equipe de segurança de nuvem
  • Equipe de governança de nuvem
  • Centro de excelência em nuvem ou equipe de IT central
  • Etapa 6: Controlar para gerenciar e melhorar a postura de segurança

    Como todas as disciplinas modernas, a segurança é um processo iterativo que deve se concentrar no aprimoramento contínuo. A postura de segurança também poderá decair se as organizações não manterem o foco sobre ela ao longo do tempo.

    A aplicação consistente de requisitos de segurança vem de soluções automatizadas e disciplinas de governança sólidas. Depois que a equipe de segurança de nuvem definir as linhas de base de segurança, esses requisitos deverão ser auditados para garantir que eles sejam aplicados consistentemente a todos os ambientes de nuvem (e aplicados quando aplicável).

    Produtos:

    • Verifique se as linhas de base de segurança da organização são aplicadas a todos os sistemas relevantes. Audite anomalias usando uma pontuação segura ou um mecanismo semelhante.
    • Documente suas políticas, processos e diretrizes de design de Linha de Base de Segurança no modelo de disciplina de Linha de Base de Segurança.

    Diretrizes para dar suporte à conclusão de entrega:

    • Use as mesmas linhas de base de segurança e mecanismos de auditoria que você criou na Etapa 4 como componentes técnicos do monitoramento das linhas de base. Complemente essas linhas de base com pessoas e controles de processo para garantir a consistência.
    • Certifique-se de que todas as cargas de trabalho e recursos sigam as convenções de nomeação e marcação adequadas. Impor convenções de marcação usando Azure Policy, com uma ênfase específica em marcas para a sensibilidade de dados.
    • Se você for novo na governança de nuvem, estabeleça políticas de governança, processos e disciplinas usando a metodologia de governança.

    Equipe responsável Equipes responsáveis e de suporte
  • Equipe de governança de nuvem
  • Equipe de estratégia de nuvem
  • Equipe de segurança de nuvem
  • Centro de excelência em nuvem ou equipe de IT central
  • Próximas etapas

    As etapas neste guia o ajudaram a implementar a estratégia, os controles, os processos, as habilidades e a cultura necessárias para gerenciar consistentemente os riscos de segurança em toda a empresa.

    Conforme você continua no modo de operações de segurança de nuvem, considere estas próximas etapas: