Guia de governança empresarial padrão: melhorar a disciplina de linha de base de segurançaStandard enterprise governance guide: Improve the Security Baseline discipline

Este artigo avança a narração da estratégia de governança adicionando controles de segurança que dão suporte à movimentação de dados protegidos para a nuvem.This article advances the governance strategy narrative by adding security controls that support moving protected data to the cloud.

Aprimorando a narraçãoAdvancing the narrative

A liderança de ti e de negócios está satisfeita com os resultados da experimentação antecipada pelas equipes de ti, desenvolvimento de aplicativos e BI.IT and business leadership are happy with results from early experimentation by the IT, application development, and BI teams. Para obter valores comerciais tangíveis dessas experiências, essas equipes devem ter permissão para integrar dados protegidos a soluções.To realize tangible business values from these experiments, those teams must be allowed to integrate protected data into solutions. Essa integração dispara alterações na política corporativa.This integration triggers changes to corporate policy. Ele também requer melhoria incremental das implementações de governança de nuvem antes que os dados protegidos possam chegar à nuvem.It also requires incremental improvement of the cloud governance implementations before protected data can land in the cloud.

Alterações na equipe de governança de nuvemChanges to the cloud governance team

Devido ao efeito da mudança de narração e suporte fornecidos até agora, a equipe de governança de nuvem agora é exibida de maneira diferente.Given the effect of the changing narrative and support provided so far, the cloud governance team is now viewed differently. Os dois administradores de sistema que iniciaram a equipe agora são vistos como arquitetos de nuvem experientes.The two system administrators who started the team are now viewed as experienced cloud architects. À medida que essa narração desenvolve, a percepção delas mudará do que os responsáveis pela nuvem para mais de uma função de guardião de nuvem.As this narrative develops, the perception of them will shift from that of cloud custodians to more of a cloud guardian role.

A diferença é sutil, mas é uma distinção importante quando você está criando uma cultura de ti focada no governança.The difference is subtle, but it's an important distinction when you're creating a governance-focused IT culture. Um dos responsáveis pela nuvem limpa as bagunças feitas pelos arquitetos de nuvem inovadores.A cloud custodian cleans up the messes made by innovative cloud architects. As duas funções têm um frictivo natural e metas opostas.The two roles have natural friction and opposing goals. Por outro lado, um guardião de nuvem ajuda a manter a nuvem segura para que outros arquitetos de nuvem possam se mover mais rapidamente, com menos confusão.On the other hand, a cloud guardian helps keep the cloud safe so other cloud architects can move more quickly, with fewer messes. E um guardião de nuvem está envolvido na criação de modelos que aceleram a implantação e a adoção.And a cloud guardian is involved in creating templates that accelerate deployment and adoption. Eles são aceleradores de inovação, além de serem defensores das cinco disciplinas de governança de nuvem.So they're innovation accelerators in addition to being defenders of the Five Disciplines of Cloud Governance.

Alterações no estado atualChanges in the current state

No início dessa narrativa, as equipes de Desenvolvimento de Aplicativos ainda estavam trabalhando em uma funcionalidade de desenvolvimento/teste, e a equipe de BI ainda estava na fase experimental.At the start of this narrative, the application development teams were still working in a dev/test capacity, and the BI team was still in the experimental phase. Ele operava dois ambientes de infraestrutura hospedados, conhecidos como Prod e DR .IT operated two hosted infrastructure environments, referred to as Prod and DR.

Desde então, ocorreram algumas mudanças que afetarão a governança:Since then, some things have changed that will affect governance:

  • A equipe de desenvolvimento de aplicativos implementou um pipeline de CI/CD para implantar um aplicativo nativo de nuvem com uma experiência de usuário aprimorada.The application development team has implemented a CI/CD pipeline to deploy a cloud-native application with an improved user experience. Esse aplicativo ainda não interage com os dados protegidos e, portanto, não está pronto para produção.That application doesn't yet interact with protected data, so it isn't production ready.
  • A equipe de business intelligence dentro dela organizada ativamente os dados na nuvem de logística, inventário e fontes de terceiros.The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party sources. Esses dados são usados para gerar novas previsões, que podem moldar os processos de negócios.This data is used to drive new predictions, which could shape business processes. Essas previsões e informações não são acionáveis até que os dados de clientes e financeiros possam ser integrados à plataforma de dados.Those predictions and insights aren't actionable until customer and financial data can be integrated into the data platform.
  • A equipe de ti está progredindo com os planos CIO e CFO para desativar o datacenter de recuperação de desastres.The IT team is progressing on the CIO and CFO plans to retire the DR datacenter. Mais de 1.000 dos 2.000 ativos no datacenter de recuperação de desastre foram desativados ou migrados.More than 1,000 of the 2,000 assets in the DR datacenter have been retired or migrated.
  • As políticas menos definidas para dados pessoais e dados financeiros foram modernizadas.The loosely defined policies for personal data and financial data have been modernized. As novas políticas corporativas são contingentes na implementação de políticas relacionadas de segurança e governança.The new corporate policies are contingent on the implementation of related security and governance policies. As equipes ainda estão trabalhando nisso.Teams are still stalled.

Melhorar incrementalmente o estado futuroIncrementally improve the future state

Os experimentos iniciais do desenvolvimento de aplicativos e das equipes de BI mostram possíveis aprimoramentos nas experiências do cliente e decisões controladas por dados.Early experiments by the application development and BI teams show potential improvements in customer experiences and data-driven decisions. As duas equipes querem expandir a adoção da nuvem nos próximos 18 meses implantando essas soluções na produção.Both teams want to expand adoption of the cloud over the next 18 months by deploying those solutions to production.

Durante os seis meses restantes, a equipe de governança de nuvem implementará os requisitos de segurança e governança para permitir que as equipes de adoção da nuvem migrem os dados protegidos nesses data centers.During the remaining six months, the cloud governance team will implement security and governance requirements to allow the cloud adoption teams to migrate the protected data in those datacenters.

As alterações no estado atual e futuro expõem novos riscos que exigem novas declarações de política.The changes to current and future state expose new risks that require new policy statements.

Alterações em riscos tangíveisChanges in tangible risks

Violação de dados: Quando você adota qualquer nova plataforma de dados, há um aumento inerente em passivos relacionados a possíveis violações de dados.Data breach: When you adopt any new data platform, there's an inherent increase in liabilities related to potential data breaches. Os técnicos que adotam tecnologias de nuvem têm maior responsabilidade para implementar soluções que podem reduzir esse risco.Technicians adopting cloud technologies have increased responsibility to implement solutions that can reduce this risk. Uma estratégia de governança e segurança robusta deve ser implementada para garantir que os técnicos cumpram essas responsabilidades.A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

Esse risco de negócios pode ser dividido em alguns riscos técnicos:This business risk can be expanded into a few technical risks:

  • Aplicativos de missão crítica ou dados protegidos podem ser implantados involuntariamente.Mission-critical applications or protected data might be deployed unintentionally.
  • Os dados protegidos podem ser expostos durante o armazenamento devido a más decisões de criptografia.Protected data might be exposed during storage because of poor encryption decisions.
  • Usuários não autorizados podem acessar dados protegidos.Unauthorized users might access protected data.
  • Uma invasão externa pode resultar no acesso aos dados protegidos.External intrusion might result in access to protected data.
  • Ataques externos de invasão ou de negação de serviço podem causar interrupções nos negócios.External intrusion or denial-of-service attacks might cause a business interruption.
  • Alterações de organização ou de trabalho podem permitir acesso não autorizado a dados protegidos.Organization or employment changes might allow unauthorized access to protected data.
  • Novas explorações poderiam criar novas oportunidades de invasão ou acesso.New exploits could create new intrusion or access opportunities.
  • Os processos de implantação inconsistentes podem resultar em falhas de segurança, o que pode levar a perdas de dados ou interrupções.Inconsistent deployment processes might result in security gaps, which could lead to data leaks or interruptions.
  • A inconsistência na configuração ou patches ausentes podem resultar em falhas de segurança não intencionais, o que pode levar a vazamentos de dados ou interrupções.Configuration drift or missed patches might result in unintended security gaps, which could lead to data leaks or interruptions.

Perda de dados: Também há um risco inerente de perda de dados na nova plataforma.Data loss: There's also an inherent risk of data loss in the new platform. A estratégia de segurança e governança deve considerar os seguintes cenários em que a perda de dados pode ocorrer:The security and governance strategy should consider the following scenarios in which data loss can happen:

  • Um recurso de missão crítica é perdido ou excluído.A mission-critical resource is lost or deleted.
  • Um recurso de missão crítica está presente, mas os dados são perdidos devido à exclusão acidental.A mission-critical resource is present, but the data is lost because of accidental deletion.
  • Um recurso de missão crítica está presente, mas os dados são perdidos devido à administração mal-intencionada.A mission-critical resource is present, but the data is lost because of malicious administration.

Melhoria incremental de instruções de políticaIncremental improvement of policy statements

As alterações a seguir na política ajudarão a corrigir os novos riscos e a implementação do guia.The following changes to policy will help remediate the new risks and guide implementation. A lista parece muito longa, mas a adoção dessas políticas pode ser mais fácil do que você imagina.The list looks long, but adopting these policies might be easier than you think.

  • Todos os ativos implantados devem ser categorizados por nível de importância e classificação de dados.All deployed assets must be categorized by criticality and data classification. A equipe de governança de nuvem e o proprietário do aplicativo devem revisar essas classificações antes da implantação na nuvem.The cloud governance team and the application owner must review these classifications before deployment to the cloud.
  • Os aplicativos que armazenam ou acessam dados protegidos devem ser gerenciados de maneira diferente dos aplicativos que não o possuem.Applications that store or access protected data must be managed differently than applications that don't. No mínimo, eles devem ser segmentados para evitar acesso não intencional de dados protegidos.At a minimum, they should be segmented to avoid unintended access of protected data.
  • Todos os dados protegidos devem ser criptografados quando estão em repouso.All protected data must be encrypted when at rest. Essa criptografia é o padrão para todas as contas de armazenamento do Azure.This encryption is the default for all Azure Storage accounts. Mas talvez você precise de estratégias de criptografia adicionais, incluindo a criptografia dos dados na conta de armazenamento, criptografia de VMs e criptografia no nível do banco de dados ao usar o SQL em uma VM (TDE e criptografia de coluna).But you might need additional encryption strategies, including encryption of the data within the storage account, encryption of VMs, and database-level encryption when you use SQL in a VM (TDE and column encryption).
  • Os dados de missão crítica podem ser excluídos acidentalmente.Mission-critical data can be deleted accidentally. Você precisa desenvolver uma estratégia de backup de dados para lidar com esse risco e restaurar os dados de antes do ponto de exclusão.You need to develop a data backup strategy to handle this risk and restore the data from before the deletion point. Um administrador mal-intencionado pode excluir os dados de missão crítica e seus backups também.A malicious admin can delete the mission-critical data and its backups as well. Para lidar com esse cenário, as exclusões de dados de backup devem ser exclusões reversível que podem ser revertidas.To handle this scenario, deletions of backup data should be soft deletions that can be reversed. O backup do Azure pode ajudar com esses dois cenários.Azure Backup can help with both of these scenarios.
  • Permissões elevadas em qualquer segmento que contém dados protegidos devem ser uma exceção.Elevated permissions in any segment that contains protected data should be an exception. Essas exceções serão registradas com a equipe de governança de nuvem e auditadas regularmente.Any such exceptions will be recorded with the cloud governance team and audited regularly.
  • Sub-redes de rede que contêm dados protegidos devem ser isoladas de outras sub-redes.Network subnets that contain protected data must be isolated from other subnets. O tráfego de rede entre as sub-redes de dados protegidos será auditado regularmente.Network traffic between protected data subnets will be audited regularly.
  • Nenhuma sub-rede que contenha dados protegidos deve ser diretamente acessível pela Internet pública ou por data centers.No subnet that contains protected data should be directly accessible over the public internet or across datacenters. O acesso a essas sub-redes deve ser roteado por meio de sub-redes intermediárias.Access to those subnets must be routed through intermediate subnets. Todo o acesso a essas sub-redes deve vir por meio de uma solução de firewall que pode executar a verificação de pacotes e funções de bloqueio.All access into those subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  • As ferramentas de governança devem realizar a auditoria e impor requisitos de configuração de rede definidos pela equipe de gerenciamento de segurança.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  • As ferramentas de governança devem limitar a implantação da VM somente a imagens aprovadas.Governance tooling must limit VM deployment to only approved images.
  • O processo de governança deve validar o backup, recuperação e o cumprimento de SLA são implementados corretamente para aplicativos de missão crítica e dados protegidos.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  • Sempre que possível, o gerenciamento de configuração de nó deverá aplicar os requisitos da política à configuração de qualquer sistema operacional convidado.Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system.
  • As ferramentas de governança devem impor que as atualizações automáticas sejam habilitadas em todos os ativos implantados.Governance tooling must enforce that automatic updates are enabled on all deployed assets. As violações devem ser examinadas com as equipes de gerenciamento operacional e corrigidas de acordo com as políticas de operações.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Os ativos que não são atualizados automaticamente devem ser incluídos em processos de propriedade de operações de ti.Assets that aren't automatically updated must be included in processes owned by IT operations.
  • A criação de novas assinaturas ou grupos de gerenciamento para qualquer aplicativo de missão crítica ou dados protegidos exigirá uma análise da equipe de governança de nuvem para garantir que o plano gráfico adequado seja atribuído.Creation of new subscriptions or management groups for any mission-critical applications or protected data will require a review from the cloud governance team to ensure that the proper blueprint is assigned.
  • Um modelo de acesso com privilégios mínimos será aplicado a qualquer grupo de gerenciamento ou assinatura que contenha aplicativos de missão crítica ou dados protegidos.A least-privilege access model will be applied to any management group or subscription that contains mission-critical applications or protected data.
  • Tendências e explorações que possam afetar as implantações de nuvem devem ser examinadas regularmente pela equipe de segurança para que sejam fornecidas atualizações às ferramentas de gerenciamento de segurança usadas na nuvem.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  • As ferramentas de implantação devem ser aprovadas pela equipe de governança de nuvem para garantir a governança contínua de ativos implantados.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  • Os scripts de implantação devem ser mantidos em um repositório central acessível pela equipe de governança de nuvem para revisão e auditoria periódicas.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  • Os processos de governança devem incluir auditorias no momento da implantação e em ciclos regulares para garantir a consistência em todos os ativos.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  • A implantação de qualquer aplicativo que exija autenticação do cliente deve usar um provedor de identidade aprovado que seja compatível com o provedor de identidade principal para usuários internos.Deployment of any applications that require customer authentication must use an approved identity provider that's compatible with the primary identity provider for internal users.
  • Os processos de governança de nuvem devem incluir revisões trimestrais com equipes de gerenciamento de identidades.Cloud governance processes must include quarterly reviews with identity management teams. Essas revisões podem ajudar a identificar padrões de uso ou atores mal-intencionados que devem ser impedidos pela configuração de ativos de nuvem.These reviews can help identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Melhoria incremental de práticas de governançaIncremental improvement of governance practices

O design do MVP de governança será alterado para incluir novas políticas do Azure e uma implementação do gerenciamento de custos do Azure + cobrança.The governance MVP design will change to include new Azure policies and an implementation of Azure Cost Management + Billing. Em conjunto, essas duas alterações de design atenderão às novas declarações da política corporativa.Together, these two design changes will fulfill the new corporate policy statements.

  • As equipes de segurança de ti e de rede definirão os requisitos de rede.The networking and IT security teams will define network requirements. A equipe de governança de nuvem dará suporte à conversa.The cloud governance team will support the conversation.
  • A identidade e as equipes de segurança de ti definirão requisitos de identidade e farão as alterações necessárias na implementação de Active Directory local.The identity and IT security teams will define identity requirements and make any necessary changes to local Active Directory implementation. A equipe de governança de nuvem examinará as alterações.The cloud governance team will review changes.
  • Crie um repositório no Azure DevOps para armazenar e controlar a versão de todos os modelos do Azure Resource Manager relevantes e configurações com script.Create a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  • Implementação do cofre dos serviços de recuperação do Azure:Azure Recovery Services vault implementation:
    • Defina e implante um cofre dos serviços de recuperação do Azure para processos de backup e recuperação.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    • Criar um modelo do Gerenciador de Recursos para criação de um cofre em cada assinatura.Create a Resource Manager template for creation of a vault in each subscription.
  • Implementação da Central de Segurança do Azure:Azure Security Center implementation:
    • Configure a Central de Segurança do Azure para qualquer grupo de gerenciamento que contenha classificações de dados protegidos.Configure Azure Security Center for any management group that contains protected data classifications.
    • Defina o provisionamento automático como ativado por padrão para garantir a conformidade da aplicação de patch.Set automatic provisioning to on by default to ensure patching compliance.
    • Estabeleça configurações de segurança do sistema operacionalEstablish OS security configurations. A equipe de segurança de ti definirá a configuração.The IT security team will define the configuration.
    • Dê suporte à equipe de segurança de ti no uso inicial da central de segurança.Support the IT security team in the initial use of Security Center. Migre o uso da central de segurança para a equipe de segurança de ti, mas mantenha o acesso com a finalidade de melhorar continuamente a governança.Transition the use of Security Center to the IT security team, but maintain access for the purpose of continually improving governance.
    • Crie um modelo do Resource Manager que reflita as alterações necessárias para a configuração da Central de Segurança em uma assinatura.Create a Resource Manager template that reflects the changes required for Security Center configuration within a subscription.
  • Atualize as políticas do Azure para todas as assinaturas:Update Azure policies for all subscriptions:
    • Audite e aplique a criticalidade de dados e classificação de dados em todos os grupos de gerenciamento e assinaturas para identificar quaisquer assinaturas com classificações de dados protegidas.Audit and enforce the criticality of data and data classification across all management groups and subscriptions to identify any subscriptions with protected data classifications.
    • Realize uma auditoria e imponha o uso exclusivo de imagens aprovadas.Audit and enforce the use of approved images only.
  • Atualize as políticas do Azure para todas as assinaturas que contêm classificações de dados protegidas:Update Azure policies for all subscriptions that contain protected data classifications:
    • Auditar e impor o uso somente de funções padrão do Azure.Audit and enforce the use of standard Azure roles only.
    • Realize uma auditoria e imponha a criptografia para todas as contas de armazenamento e arquivos em repouso em nós individuais.Audit and enforce encryption for all storage accounts and files at rest on individual nodes.
    • Realize uma auditoria e imponha a aplicação de um NSG para todas as NICs e sub-redes.Audit and enforce the application of an NSG to all NICs and subnets. As equipes de segurança de ti e de rede definirão o NSG.The networking and IT security teams will define the NSG.
    • Auditar e impor o uso da sub-rede de rede aprovada e da rede virtual por interface de rede.Audit and enforce the use of approved network subnet and virtual network per network interface.
    • Realize uma auditoria e imponha a limitação das tabelas de roteamento definidas pelo usuário.Audit and enforce the limitation of user-defined routing tables.
    • Aplique as políticas internas para a configuração de convidado da seguinte maneira:Apply the built-in policies for guest configuration as follows:
      • Realize uma auditoria para verificar se os servidores Web do Windows estão usando protocolos de comunicação segura.Audit that Windows web servers are using secure communication protocols.
      • Realize uma auditoria para verificar se as configurações de segurança de senha estão definidas corretamente em computadores Linux e Windows.Audit that password security settings are set correctly inside Linux and Windows machines.
    • Auditar e impor que os cofres dos serviços de recuperação do Azure existam na assinatura.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  • Configuração do firewall:Firewall configuration:
    • Identifique uma configuração do Firewall do Azure que atenda aos requisitos de segurança necessários.Identify a configuration of Azure Firewall that meets necessary security requirements. Como alternativa, identifique um dispositivo de terceiros compatível compatível com o Azure.Alternatively, identify a compatible third-party appliance that's compatible with Azure. O benchmark de segurança do Azure fornece informações adicionais sobre as configurações de firewall e estratégia de segurança de rede para dar suporte à sua estratégia de segurança.The Azure Security Benchmark provides additional information on network security strategy and firewall configurations to support your security strategy.
    • Crie um modelo do Resource Manager para implantar o firewall com as configurações necessárias.Create a Resource Manager template to deploy the firewall with required configurations.
  • Plantas do Azure:Azure Blueprints:
    • Crie um novo blueprint chamado protected-data.Create a new blueprint named protected-data.
    • Adicione os modelos de firewall do Azure, os modelos da central de segurança do Azure e os modelos de cofre dos serviços de recuperação do Azure ao plano gráfico.Add the Azure Firewall templates, Azure Security Center templates, and Azure Recovery Services vault templates to the blueprint.
    • Adicione as novas políticas para assinaturas de dados protegidos.Add the new policies for protected data subscriptions.
    • Publique o Blueprint em qualquer grupo de gerenciamento que atualmente planeja hospedar dados protegidos.Publish the blueprint to any management group that currently plans on hosting protected data.
    • Aplique o novo Blueprint a cada assinatura afetada e a plantas existentes.Apply the new blueprint to each affected subscription and to existing blueprints.

ConclusãoConclusion

Adicionar os processos acima e as alterações ao MVP de governança ajudará a corrigir muitos dos riscos associados ao controle de segurança.Adding the above processes and changes to the governance MVP will help to remediate many of the risks associated with security governance. Em conjunto, eles adicionam ferramentas de monitoramento de segurança, identidade e rede necessárias para proteger os dados.Together, they add the network, identity, and security monitoring tools needed to protect data.

Próximas etapasNext steps

À medida que a adoção de nuvem continua e entrega o valor comercial adicional, os riscos e as necessidades de governança de nuvem também mudam.As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. Para a empresa fictícia neste guia, a próxima etapa é oferecer suporte a cargas de trabalho de missão crítica.For the fictional company in this guide, the next step is to support mission-critical workloads. Neste ponto, são necessários controles de consistência de recursos.At this point, resource consistency controls are needed.