Guia de governança para empresas complexas: melhorar a disciplina de linha de base de segurançaGovernance guide for complex enterprises: Improve the Security Baseline discipline

Este artigo avança na narração adicionando controles de segurança que dão suporte à movimentação de dados protegidos para a nuvem.This article advances the narrative by adding security controls that support moving protected data to the cloud.

Aprimorando a narraçãoAdvancing the narrative

O CIO passou meses colaborando com colegas e com a equipe legal da empresa.The CIO has spent months collaborating with colleagues and the company's legal staff. Um consultor de gerenciamento com experiência no segurança cibernética foi envolvido para ajudar a segurança de ti existente e as equipes de governança de ti a rascunhar uma nova política em relação aos dados protegidos.A management consultant with expertise in cybersecurity was engaged to help the existing IT security and IT governance teams draft a new policy regarding protected data. O grupo foi capaz de estimular o suporte a placas para substituir a política existente, permitindo que dados confidenciais pessoais e financeiros sejam hospedados por provedores de nuvem aprovados.The group was able to foster board support to replace the existing policy, allowing sensitive personal and financial data to be hosted by approved cloud providers. Isso exigia a adoção de um conjunto de requisitos de segurança e um processo de governança para verificar e documentar o cumprimento dessas políticas.This required adopting a set of security requirements and a governance process to verify and document adherence to those policies.

Nos últimos 12 meses, as equipes de adoção de nuvem limparam a maioria dos 5.000 ativos dos dois datacenters que serão desativados.For the past 12 months, the cloud adoption teams have cleared most of the 5,000 assets from the two datacenters to be retired. 350 ativos incompatíveis foram movidos para um datacenter alternativo.The 350 incompatible assets were moved to an alternate datacenter. Somente 1.250 máquinas virtuais contêm dados protegidos.Only the 1,250 virtual machines that contain protected data remain.

Alterações na equipe de governança de nuvemChanges in the cloud governance team

A equipe de governança de nuvem continua a mudar junto com a narração.The cloud governance team continues to change along with the narrative. Os dois membros fundadores da equipe agora estão entre os arquitetos de nuvem mais respeitados na empresa.The two founding members of the team are now among the most respected cloud architects in the company. A coleção de scripts de configuração cresceu à medida que novas equipes foram lidando com implantações inovadoras.The collection of configuration scripts has grown as new teams tackle innovative new deployments. A equipe de governança de nuvem também cresceu.The cloud governance team has also grown. Mais recentemente, os membros da equipe de operações de ti uniram as atividades da equipe de governança de nuvem para se preparar para operações de nuvem.Most recently, members of the IT operations team have joined cloud governance team activities to prepare for cloud operations. Os arquitetos de nuvem que ajudam a criar essa comunidade são vistos como guardiões de nuvem e aceleradores de nuvem.The cloud architects who helped foster this community are seen both as cloud guardians and cloud accelerators.

Embora a diferença seja sutil, trata-se de uma distinção importante ao criar uma cultura de ti focada em governança.While the difference is subtle, it's an important distinction when building a governance-focused IT culture. O trabalho de um guardião da nuvem é "arrumar a bagunça" feita pelos arquitetos de nuvem inovadores, além do atrito natural existente entre essas duas funções que, na prática, têm objetivos opostos.A cloud custodian cleans up the messes made by innovative cloud architects, and the two roles have natural friction and opposing objectives. Por outro lado, um guardião ajuda a proteger a nuvem para que outros arquitetos possam trabalhar com mais rapidez e menos complicações.A cloud guardian helps keep the cloud safe, so other cloud architects can move more quickly with fewer messes. Um acelerador de nuvem executa ambas as funções, mas também está envolvida na criação de modelos para acelerar a implantação e a adoção, tornando-se um acelerador de inovação, bem como um defender das cinco disciplinas de governança de nuvem.A cloud accelerator performs both functions but is also involved in the creation of templates to accelerate deployment and adoption, becoming an innovation accelerator as well as a defender of the Five Disciplines of Cloud Governance.

Alterações no estado atualChanges in the current state

Na fase anterior desta narrativa, a empresa deu início ao processo de desativação de dois datacenters.In the previous phase of this narrative, the company had begun the process of retiring two datacenters. Esse esforço contínuo inclui a migração de alguns aplicativos com requisitos de autenticação herdados, que exigiam melhorias incrementais na disciplina de linha de base de identidade, descritas no artigo anterior.This ongoing effort includes migrating some applications with legacy authentication requirements, which required incremental improvements to the Identity Baseline discipline, described in the previous article.

Desde então, ocorreram algumas mudanças que afetarão a governança:Since then, some things have changed that will affect governance:

  • Milhares de ativos de negócios e de TI foram implantados na nuvem.Thousands of IT and business assets have been deployed to the cloud.
  • A equipe de desenvolvimento de aplicativos implementou um pipeline de CI/CD (integração contínua e implantação contínua) para implantar um aplicativo nativo de nuvem com uma experiência de usuário aprimorada.The application development team has implemented a continuous integration and continuous deployment (CI/CD) pipeline to deploy a cloud-native application with an improved user experience. Esse aplicativo ainda não interage com dados protegidos, portanto, não está pronto para produção.That application doesn't interact with protected data yet, so it isn't production ready.
  • A equipe de business intelligence dentro dela organizada ativamente os dados na nuvem de logística, inventário e dados de terceiros.The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party data. Esses dados estão sendo usados para gerar novas previsões, o que poderia moldar os processos de negócios.This data is being used to drive new predictions, which could shape business processes. Essas previsões e ideias não são acionáveis até que os dados de clientes e financeiros possam ser integrados à plataforma de dados.Those predictions and insights are not actionable until customer and financial data can be integrated into the data platform.
  • A equipe de ti está progredindo com o CIO e os planos do CFO para desativar dois data centers.The IT team is making progress on the CIO and CFO plans to retire two datacenters. Quase 3.500 dos ativos nos dois datacenters foram desativados ou migrados.Almost 3,500 of the assets in the two datacenters have been retired or migrated.
  • As políticas relativas a dados confidenciais pessoais e financeiros foram modernizadas.The policies regarding sensitive personal and financial data have been modernized. As novas políticas corporativas são contingentes na implementação de políticas relacionadas de segurança e governança.The new corporate policies are contingent on the implementation of related security and governance policies. As equipes ainda estão trabalhando nisso.Teams are still stalled.

Melhorar incrementalmente o estado futuroIncrementally improve the future state

  • Experimentos iniciais das equipes de BI e desenvolvimento de aplicativo mostraram melhorias potenciais nas experiências do cliente e decisões orientadas por dados.Early experiments from the application development and BI teams have shown potential improvements in customer experiences and data-driven decisions. As duas equipes querem expandir a adoção da nuvem nos próximos 18 meses ao implantar essas soluções na produção.Both teams would like to expand adoption of the cloud over the next 18 months by deploying those solutions to production.
  • A TI desenvolveu uma justificativa comercial para migrar mais cinco datacenters para Azure, o que diminuirá ainda mais os custos de TI e proporcionará maior agilidade nos negócios.IT has developed a business justification to migrate five more datacenters to Azure, which will further decrease IT costs and provide greater business agility. Embora menor em escala, espera-se que a desativação desses datacenters duplique a economia total de custos.While smaller in scale, the retirement of those datacenters is expected to double the total cost savings.
  • Despesas de capital e orçamentos de despesas operacionais foram aprovados para implementar as políticas, as ferramentas e os processos necessários de segurança e governança.Capital expense and operating expense budgets have approved to implement the required security and governance policies, tools, and processes. As economias de custo esperadas da desativação do datacenter são mais do que suficiente para pagar por essa nova iniciativa.The expected cost savings from the datacenter retirement are more than enough to pay for this new initiative. TI e liderança de negócios estão confiantes que esse investimento acelerará a realização de retornos em outras áreas.IT and business leadership are confident this investment will accelerate the realization of returns in other areas. A equipe de governança de nuvem todas tornou-se uma equipe reconhecida com liderança e pessoal dedicados.The grassroots cloud governance team became a recognized team with dedicated leadership and staffing.
  • Coletivamente, as equipes de adoção de nuvem, a equipe de governança de nuvem, a equipe de segurança de ti e a equipe de governança de ti implementarão os requisitos de segurança e governança para permitir que as equipes de adoção da nuvem migrem dados protegidos para a nuvem.Collectively, the cloud adoption teams, the cloud governance team, the IT security team, and the IT governance team will implement security and governance requirements to allow cloud adoption teams to migrate protected data into the cloud.

Alterações em riscos tangíveisChanges in tangible risks

Violação de dados: Há um aumento inerente em passivos relacionados a violações de dados ao adotar qualquer nova plataforma de dados.Data breach: There is an inherent increase in liabilities related to data breaches when adopting any new data platform. Os técnicos que adotam as tecnologias de nuvem têm maiores responsabilidades de implementar soluções que possam diminuir esse risco.Technicians adopting cloud technologies have increased responsibilities to implement solutions that can decrease this risk. Uma estratégia de governança e segurança robusta deve ser implementada para garantir que os técnicos cumpram essas responsabilidades.A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

Esse risco de negócios pode ser dividido em alguns riscos técnicos:This business risk can be expanded into several technical risks:

  1. Aplicativos de missão crítica ou dados protegidos podem ser implantados involuntariamente.Mission-critical applications or protected data might be deployed unintentionally.
  2. Dados protegidos podem ser expostos durante o armazenamento devido a decisões de criptografia ineficientes.Protected data might be exposed during storage due to poor encryption decisions.
  3. Usuários não autorizados podem acessar dados protegidos.Unauthorized users might access protected data.
  4. Uma invasão externa pode resultar no acesso aos dados protegidos.External intrusion could result in access to protected data.
  5. Uma invasão externa ou ataques de negação de serviço pode causar uma interrupção dos negócios.External intrusion or denial of service attacks could cause a business interruption.
  6. Alterações de emprego ou da organização podem resultar em acesso não autorizado aos dados protegidos.Organization or employment changes could allow for unauthorized access to protected data.
  7. Novas explorações podem criar oportunidades de invasão ou acesso não autorizado.New exploits might create opportunities for intrusion or unauthorized access.
  8. Os processos de implantação podem resultar em falhas de segurança, o que pode levar a perdas de dados ou interrupções.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  9. Desvio de configuração ou patches ausentes pode resultar em falhas de segurança não intencionais, o que pode levar a vazamentos de dados ou interrupções.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  10. Dispositivos de borda diferentes podem aumentar os custos das operações de rede.Disparate edge devices might increase network operations costs.
  11. Configurações de dispositivo diferentes podem levar a descuidos na configuração e comprometimentos de segurança.Disparate device configurations might lead to oversights in configuration and compromises in security.
  12. A equipe segurança cibernética insiste que há um risco de que o bloqueio do fornecedor gere chaves de criptografia em uma plataforma de único provedor de nuvem.The cybersecurity team insists there is a risk of vendor lock-in from generating encryption keys on a single cloud provider's platform. Embora essa afirmação não esteja fundamentada, ela é aceita pela equipe até o momento.While this claim is unsubstantiated, it was accepted by the team for the time being.

Melhoria incremental das instruções de políticaIncremental improvement of the policy statements

As alterações a seguir na política ajudarão a corrigir os novos riscos e a implementação do guia.The following changes to policy will help remediate the new risks and guide implementation. A lista parece longa, mas a adoção dessas políticas pode ser mais fácil do que parece.The list looks long, but the adoption of these policies may be easier than it would appear.

  1. Todos os ativos implantados devem ser categorizados por nível de importância e classificação de dados.All deployed assets must be categorized by criticality and data classification. As classificações devem ser revisadas pela equipe de governança de nuvem e pelo aplicativo antes da implantação na nuvem.Classifications are to be reviewed by the cloud governance team and the application before deployment to the cloud.
  2. Os aplicativos que armazenam ou acessam dados protegidos devem ser gerenciados de forma diferente daqueles que não o fazem.Applications that store or access protected data are to be managed differently than those that don't. No mínimo, eles devem ser segmentados para evitar acesso não intencional de dados protegidos.At a minimum, they should be segmented to avoid unintended access of protected data.
  3. Todos os dados protegidos devem ser criptografados quando estão em repouso.All protected data must be encrypted when at rest.
  4. As permissões elevadas em qualquer segmento que contenha dados protegidos devem ser uma exceção.Elevated permissions in any segment containing protected data should be an exception. Essas exceções serão registradas com a equipe de governança de nuvem e auditadas regularmente.Any such exceptions will be recorded with the cloud governance team and audited regularly.
  5. As sub-redes de rede que contêm dados protegidos devem ser isoladas de todas as outras sub-redes.Network subnets containing protected data must be isolated from any other subnets. O tráfego de rede entre as sub-redes de dados protegidos será auditado regularmente.Network traffic between protected data subnets will be audited regularly.
  6. Nenhuma sub-rede que contém os dados protegidos pode ser acessada diretamente pela Internet pública ou em datacenters.No subnet containing protected data can be directly accessed over the public internet or across datacenters. O acesso a essas sub-redes deve ser roteado por meio de sub-redes intermediárias.Access to these subnets must be routed through intermediate subnets. Todo o acesso a essas sub-redes deve vir por meio de uma solução de firewall que pode executar a verificação de pacotes e as funções de bloqueio.All access into these subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  7. As ferramentas de governança devem realizar a auditoria e impor requisitos de configuração de rede definidos pela equipe de gerenciamento de segurança.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  8. As ferramentas de governança devem limitar a implantação da VM (máquina virtual) apenas às imagens aprovadas.Governance tooling must limit VM deployment to approved images only.
  9. Sempre que possível, o gerenciamento de configuração de nó deverá aplicar os requisitos da política à configuração de qualquer sistema operacional convidado.Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system. O gerenciamento de configuração de nó deve respeitar o investimento existente em GPOs (objetos de diretiva de grupo) para a configuração de recursos.Node configuration management should respect the existing investment in group policy objects (GPO) for resource configuration.
  10. As ferramentas de governança devem impor que as atualizações automáticas sejam habilitadas em todos os ativos implantados.Governance tooling will audit that automatic updates are enabled on all deployed assets. Quando possível, as atualizações automáticas serão impostas.When possible, automatic updates will be enforced. Quando não forem impostas por ferramentas, as violações de nível de nó deverão ser analisadas com as equipes de gerenciamento operacional e corrigidas de acordo com as políticas de operações.When not enforced by tooling, node-level violations must be reviewed with operational management teams and remediated in accordance with operations policies. Os ativos que não são automaticamente atualizados devem ser incluídos em processos que pertencem às operações de TI.Assets that are not automatically updated must be included in processes owned by IT operations.
  11. A criação de novas assinaturas ou grupos de gerenciamento para qualquer aplicativo de missão crítica ou dados protegidos requer uma análise da equipe de governança de nuvem para garantir uma atribuição de diagrama adequada.Creation of new subscriptions or management groups for any mission-critical applications or protected data requires a review from the cloud governance team to ensure proper blueprint assignment.
  12. Um modelo de acesso de privilégios mínimos será aplicado a qualquer assinatura que contenha aplicativos críticos ou dados protegidos.A least-privilege access model will be applied to any subscription that contains mission-critical applications or protected data.
  13. O fornecedor de nuvem deve ser capaz de integrar chaves de criptografia gerenciadas pela solução local atual.The cloud vendor must be capable of integrating encryption keys managed by the existing on-premises solution.
  14. O fornecedor de nuvem deve ser capaz de oferecer suporte para a solução de dispositivo de borda atual e todas as configurações necessárias para proteger qualquer limite de rede exposto publicamente.The cloud vendor must be capable of supporting the existing edge device solution and any required configurations to protect any publicly exposed network boundary.
  15. O fornecedor de nuvem deve ser capaz de oferecer suporte a uma conexão compartilhada à WAN global, com a transmissão de dados roteados por meio da solução de dispositivo de borda atual.The cloud vendor must be capable of supporting a shared connection to the global WAN, with data transmission routed through the existing edge device solution.
  16. As tendências e explorações que podem afetar as implantações na nuvem devem ser examinadas regularmente pela equipe de segurança para fornecer atualizações às ferramentas de linha de base de segurança usadas na nuvem.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.
  17. As ferramentas de implantação devem ser aprovadas pela equipe de governança de nuvem para garantir a governança contínua de ativos implantados.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets. 18.18. Os scripts de implantação devem ser mantidos em um repositório central acessível pela equipe de governança de nuvem para revisão e auditoria periódicas.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  18. Os processos de governança devem incluir auditorias no momento da implantação e em ciclos regulares para garantir a consistência em todos os ativos.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  19. A implantação de qualquer aplicativo que exija a autenticação do cliente deve usar um provedor de identidade aprovado que seja compatível com o provedor de identidade principal para usuários internos.Deployment of any applications that require customer authentication must use an approved identity provider that is compatible with the primary identity provider for internal users. 1.1. Os processos de governança de nuvem devem incluir revisões trimestrais com equipes de linha de base de identidade para identificar atores mal-intencionados ou padrões de uso que devem ser impedidos pela configuração de ativos de nuvem.Cloud governance processes must include quarterly reviews with identity baseline teams to identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Melhoria incremental de práticas recomendadasIncremental improvement of best practices

Esta seção modifica o design do MVP de governança para incluir novas políticas do Azure e uma implementação do gerenciamento de custos do Azure + cobrança.This section modifies the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. Em conjunto, essas duas alterações de design atenderão às novas declarações da política corporativa.Together, these two design changes will fulfill the new corporate policy statements.

As novas práticas recomendadas se enquadram em duas categorias: ti corporativa (Hub) e adoção de nuvem (spoke).The new best practices fall into two categories: corporate IT (hub) and cloud adoption (spoke).

Estabelecendo um hub de ti corporativo e uma assinatura do spoke para centralizar a linha de base de segurança: Nesta prática recomendada, a capacidade de governança existente é encapsulada por uma topologia de Hub e spoke com serviços compartilhados, com algumas adições importantes da equipe de governança de nuvem.Establishing a corporate IT hub and spoke subscription to centralize the security baseline: In this best practice, the existing governance capacity is wrapped by a hub and spoke topology with shared services, with a few key additions from the cloud governance team.

  1. Repositório de Azure DevOps.Azure DevOps repository. Crie um repositório no Azure DevOps para armazenar e controlar a versão de todos os modelos do Azure Resource Manager relevantes e configurações com script.Create a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  2. Modelo de Hub e spoke:Hub and spoke template:
    1. As diretrizes na topologia hub e spoke com arquitetura de referência de serviços compartilhados podem ser usadas para gerar modelos do Resource Manager para os ativos necessários em um hub de ti corporativo.The guidance in the hub and spoke topology with shared services reference architecture can be used to generate Resource Manager templates for the assets required in a corporate IT hub.
    2. Ao usar esses modelos, essa estrutura pode ser feita repetidamente, como parte de uma estratégia de governança central.Using those templates, this structure can be made repeatable, as part of a central governance strategy.
    3. Além da arquitetura de referência atual, um modelo de grupo de segurança de rede deve ser criado para capturar os requisitos de bloqueio de porta ou de listagem de permissão para a rede virtual para hospedar o firewall.In addition to the current reference architecture, a network security group template should be created to capture any port blocking or allow-listing requirements for the virtual network to host the firewall. Esse grupo de segurança de rede é diferente dos grupos anteriores, pois será o primeiro grupo de segurança de rede a permitir o tráfego público em uma rede virtual.This network security group differs from prior groups, because it will be the first network security group to allow public traffic into a virtual network.
  3. Crie políticas do Azure.Create Azure policies. Crie uma política chamada hub NSG enforcement para impor a configuração do grupo de segurança de rede atribuído a qualquer rede virtual criada nesta assinatura.Create a policy named hub NSG enforcement to enforce the configuration of the network security group assigned to any virtual network created in this subscription. Aplique as políticas internas para a configuração de convidado da seguinte maneira:Apply the built-in policies for guest configuration as follows:
    1. Realize uma auditoria para verificar se os servidores Web do Windows estão usando protocolos de comunicação segura.Audit that Windows web servers are using secure communication protocols.
    2. Realize uma auditoria para verificar se as configurações de segurança de senha estão definidas corretamente em computadores Linux e Windows.Audit that password security settings are set correctly inside Linux and Windows machines.
  4. Crie o plano gráfico de ti corporativo.Create the corporate IT blueprint.
    1. Crie um novo blueprint do Azure nomeado corporate-it-subscription.Create an Azure blueprint named corporate-it-subscription.
    2. Adicione os modelos Hub e spoke e a hub NSG enforcement política.Add the hub and spoke templates and hub NSG enforcement policy.
  5. Expandindo na hierarquia do grupo de gerenciamento inicial.Expanding on initial management group hierarchy.
    1. Para cada grupo de gerenciamento que solicitou suporte para dados protegidos, o corporate-it-subscription-blueprint blueprint fornece uma solução acelerada de hub.For each management group that has requested support for protected data, the corporate-it-subscription-blueprint blueprint provides an accelerated hub solution.
    2. Como os grupos de gerenciamento neste exemplo fictício incluem uma hierarquia regional, além de uma hierarquia de unidade de negócios, este projeto será implantado em cada região.Because management groups in this fictional example include a regional hierarchy in addition to a business unit hierarchy, this blueprint will be deployed in each region.
    3. Para cada região na hierarquia de grupo de gerenciamento, crie uma assinatura nomeada corporate IT subscription.For each region in the management group hierarchy, create a subscription named corporate IT subscription.
    4. Aplique o corporate-it-subscription-blueprint blueprint para cada instância regional.Apply the corporate-it-subscription-blueprint blueprint to each regional instance.
    5. Isso estabelecerá um hub para cada unidade de negócios em cada região.This will establish a hub for each business unit in each region. Observação: podem ser obtidas mais economias de custo compartilhando hubs entre unidades de negócios em cada região.Note: further cost savings could be achieved by sharing hubs across business units in each region.
  6. Integre GPO (objetos de política de grupo) por meio de DSC (Desired State Configuration):Integrate group policy objects (GPO) through Desired State Configuration (DSC):
    1. Converta o GPO em DSC.Convert GPO to DSC. O projeto de gerenciamento de linha de base da Microsoft no GitHub pode acelerar esse esforço.The Microsoft baseline management project in GitHub can accelerate this effort. Certifique-se de armazenar o DSC no repositório em paralelo com modelos do Resource Manager.Be sure to store DSC in the repository in parallel with Resource Manager templates.
    2. Implante a configuração de estado da automação do Azure em qualquer instância da assinatura de ti corporativa.Deploy Azure Automation State Configuration to any instances of the corporate IT subscription. A Automação do Azure pode ser usada para aplicar a DSC para VMs (máquinas virtuais) implantadas em assinaturas com suporte no grupo de gerenciamento.Azure Automation can be used to apply DSC to VMs deployed in supported subscriptions within the management group.
    3. O roteiro atual visa habilitar políticas de configuração de convidado personalizadas.The current roadmap aims to enable custom guest configuration policies. Quando esse recurso for liberado, o uso da Automação do Azure nessa prática recomendada não será mais necessário.When that feature is released, the use of Azure Automation in this best practice will no longer be required.

Aplicando governança adicional a uma assinatura de adoção de nuvem (spoke): Com base no corporate IT subscription , pequenas mudanças no MVP de governança aplicadas a cada assinatura dedicada ao suporte de arquétipos de aplicativo podem produzir uma melhoria rápida.Applying additional governance to a cloud adoption subscription (spoke): Building on the corporate IT subscription, minor changes to the governance MVP applied to each subscription dedicated to the support of application archetypes can produce rapid improvement.

Em alterações iterativas anteriores à prática recomendada, definimos grupos de segurança de rede para bloquear o tráfego público e permitir o tráfego interno.In prior iterative changes to the best practice, we defined network security groups to block public traffic and allow internal traffic. Além disso, o blueprint do Azure criou temporariamente os recursos da DMZ e do Active Directory.Additionally, the Azure blueprint temporarily created DMZ and Active Directory capabilities. Nessa iteração, iremos ajustar esses ativos um pouco, criando uma nova versão da especificação técnica do Azure.In this iteration, we will tweak those assets a bit, creating a new version of the Azure blueprint.

  1. Modelo de emparelhamento de rede.Network peering template. Este modelo emparelhará a rede virtual em cada assinatura com a rede virtual do Hub na assinatura de ti corporativa.This template will peer the virtual network in each subscription with the hub virtual network in the corporate IT subscription.
    1. A arquitetura de referência da seção anterior, do Hub e da topologia do spoke com serviços compartilhados, gerou um modelo do Resource Manager para habilitar o emparelhamento de rede virtual.The reference architecture from the prior section, hub and spoke topology with shared services, generated a Resource Manager template for enabling virtual network peering.
    2. Esse modelo pode ser usado como um guia para modificar o modelo DMZ da iteração de governança anterior.That template can be used as a guide to modify the DMZ template from the prior governance iteration.
    3. Agora estamos adicionando o emparelhamento de rede virtual à rede virtual DMZ que foi conectada anteriormente ao dispositivo de borda local pela VPN.We are now adding virtual network peering to the DMZ virtual network that was previously connected to the local edge device over VPN.
    4. A VPN também deve ser removida desse modelo para garantir que nenhum tráfego seja roteado diretamente para o datacenter local, sem passar pela solução de firewall e assinatura de ti corporativa.The VPN should also be removed from this template as well to ensure no traffic is routed directly to the on-premises datacenter, without passing through the corporate IT subscription and firewall solution. Você também pode definir essa VPN como um circuito de failover no caso de uma interrupção do circuito do ExpressRoute.You could also set this VPN as a failover circuit in the event of an ExpressRoute circuit outage.
    5. A configuração de rede adicional é exigida pela automação do Azure para aplicar a DSC às VMs hospedadas.Additional network configuration is required by Azure Automation to apply DSC to hosted VMs.
  2. Modifique o grupo de segurança de rede.Modify the network security group. Bloquear todo o tráfego local público e direto no grupo de segurança de rede.Block all public and direct on-premises traffic in the network security group. O único tráfego de entrada deve ser proveniente do ponto de rede virtual na assinatura de ti corporativa.The only inbound traffic should be coming through the virtual network peer in the corporate IT subscription.
    1. Na iteração anterior, um grupo de segurança de rede foi criado bloqueando todo o tráfego público e permitindo todo o tráfego interno.In the prior iteration, a network security group was created blocking all public traffic and allowing all internal traffic. Agora, queremos mudar um pouco esse grupo de segurança de rede.Now we want to shift this network security group a bit.
    2. A nova configuração de grupo de segurança de rede deve bloquear todo o tráfego público, juntamente com todo o tráfego do datacenter local.The new network security group configuration should block all public traffic, along with all traffic from the local datacenter.
    3. O tráfego que entra nessa rede virtual só deve vir da rede virtual no outro lado do par de rede virtual.Traffic entering this virtual network should only come from the virtual network on the other side of the virtual network peer.
  3. Implementação da Central de Segurança do Azure:Azure Security Center implementation:
    1. Configure a Central de Segurança do Azure para qualquer grupo de gerenciamento que contenha classificações de dados protegidos.Configure Azure Security Center for any management group that contains protected data classifications.
    2. Defina o provisionamento automático como ativado por padrão para garantir a conformidade da aplicação de patch.Set automatic provisioning to on by default to ensure patching compliance.
    3. Estabeleça configurações de segurança do sistema operacionalEstablish OS security configurations. Segurança de ti para definir a configuração.IT security to define the configuration.
    4. Dê suporte à segurança de ti no uso inicial da central de segurança do Azure.Support IT security in the initial use of Azure Security Center. Fazer a transição do uso da central de segurança para a segurança de ti, mas manter o acesso para fins de aperfeiçoamento contínuo de governança.Transition use of Security Center to IT security, but maintain access for governance continuous improvement purposes.
    5. Crie um modelo do Resource Manager que reflita as alterações necessárias para a configuração da Central de Segurança do Azure em uma assinatura.Create a Resource Manager template reflecting the changes required for Azure Security Center configuration within a subscription.
  4. Atualizar o Azure Policy para todas as assinaturas.Update Azure Policy for all subscriptions.
    1. Realize uma auditoria e imponha a criticidade e a classificação de dados em todos os grupos e assinaturas de gerenciamento para identificar quaisquer assinaturas com classificações de dados protegidas.Audit and enforce criticality and data classification across all management groups and subscriptions to identify any subscriptions with protected data classifications.
    2. Realize uma auditoria e imponha o uso apenas de imagens aprovadas do sistema operacional.Audit and enforce use of approved OS images only.
    3. Realize uma auditoria e imponha as configurações de convidado com base nos requisitos de segurança para cada nó.Audit and enforce guest configurations based on security requirements for each node.
  5. Atualize o Azure Policy para todas as assinaturas que contenham classificações de dados protegidos.Update Azure Policy for all subscriptions that contains protected data classifications.
    1. Realize uma auditoria e imponha o uso das funções apenas.Audit and enforce use of standard roles only.
    2. Realize uma auditoria e imponha o aplicativo de criptografia para todas as contas de armazenamento e arquivos em repouso nos nós individuais.Audit and enforce application of encryption for all storage accounts and files at rest on individual nodes.
    3. Auditar e impor o aplicativo da nova versão do grupo de segurança de rede DMZ.Audit and enforce the application of the new version of the DMZ network security group.
    4. Auditar e impor o uso de sub-rede de rede aprovada e rede virtual por interface de rede.Audit and enforce use of approved network subnet and virtual network per network interface.
    5. Realize uma auditoria e imponha a limitação das tabelas de roteamento definidas pelo usuário.Audit and enforce the limitation of user-defined routing tables.
  6. Blueprint do Azure:Azure blueprint:
    1. Crie um novo blueprint do Azure nomeado protected-data.Create an Azure blueprint named protected-data.
    2. Adicione os modelos de par de rede virtual, grupo de segurança de rede e central de segurança do Azure ao plano gráfico.Add the virtual network peer, network security group, and Azure Security Center templates to the blueprint.
    3. Verifique se o modelo para Active Directory da iteração anterior não está incluído no plano gráfico.Ensure the template for Active Directory from the previous iteration is not included in the blueprint. Todas as dependências do Active Directory serão fornecidas pela assinatura de TI corporativa.Any dependencies on Active Directory will be provided by the corporate IT subscription.
    4. Encerre todas as VMs Active Directory existentes implantadas na iteração anterior.Terminate any existing Active Directory VMs deployed in the previous iteration.
    5. Adicione as novas políticas para assinaturas de dados protegidos.Add the new policies for protected data subscriptions.
    6. Publique o Blueprint em qualquer grupo de gerenciamento que hospedará dados protegidos.Publish the blueprint to any management group that will host protected data.
    7. Aplique o novo blueprint a cada assinatura afetada junto com blueprints atuais.Apply the new blueprint to each affected subscription along with existing blueprints.

ConclusãoConclusion

Adicionar esses processos e alterações ao MVP de governança ajuda a corrigir muitos dos riscos associados à governança de segurança.Adding these processes and changes to the governance MVP helps remediate many of the risks associated with security governance. Em conjunto, eles adicionam ferramentas de monitoramento de segurança, identidade e rede necessárias para proteger os dados.Together, they add the network, identity, and security monitoring tools needed to protect data.

Próximas etapasNext steps

À medida que a adoção de nuvem continua e entrega o valor comercial adicional, os riscos e as necessidades de governança de nuvem também mudam.As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. Para a empresa fictícia neste guia, a próxima etapa é oferecer suporte a cargas de trabalho de missão crítica.For the fictional company in this guide, the next step is to support mission-critical workloads. Esse é o ponto quando os controles de consistência de recursos são necessários.This is the point when resource consistency controls are needed. Uma parte crítica da narração da governança de segurança será examinar as práticas recomendadas que a Microsoft criou para a segurança.A critical part of the security governance narrative will be to review best practices that Microsoft has built for security. O ASB (benchmark de segurança do Azure) fornece recomendações e práticas recomendadas prescritivas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.The Azure Security Benchmark (ASB) provides prescriptive best practices and recommendations to help improve the security of workloads, data, and services on Azure. Leia aqui.Read here.