Processos de conformidade de política de Linha de Base de SegurançaSecurity Baseline policy compliance processes

Este artigo discute uma abordagem para processos de conformidade de política que regem a disciplina de linha de base de segurança.This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. A governança efetiva da segurança na nuvem começa com processos manuais recorrentes projetados para detectar vulnerabilidades e impor políticas para corrigir esses riscos de segurança.Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. Isso exige o envolvimento regular da equipe de governança de nuvem e os participantes de ti interessados em revisar e atualizar a política e garantir a conformidade da política.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Além disso, muitos processos de imposição e monitoramento contínuo podem ser automatizados ou complementados com ferramentas para reduzir a sobrecarga de governança e permitir uma resposta mais rápida ao desvio de políticas.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Planejar, revisar e relatar processosPlanning, review, and reporting processes

As melhores ferramentas de linha de base de segurança na nuvem somente são tão boas quanto os processos e políticas que dão suporte a elas.The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. A seguir, é apresentado um conjunto de exemplos de processos normalmente envolvidos na disciplina de Linha de Base de Segurança.The following is a set of example processes commonly involved in the Security Baseline discipline. Use esses exemplos como ponto de partida ao planejar os processos que permitirão atualizar a política de segurança com base nas alterações dos negócios e no feedback das equipes de TI e segurança encarregadas de transformar as diretrizes de governança em ações.Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

Avaliação e planejamento inicial de riscos: Como parte da adoção inicial da disciplina de linha de base de segurança, identifique seus principais riscos e tolerâncias de negócios relacionados à segurança da nuvem.Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. Use essas informações para discutir sobre os riscos técnicos específicos com os membros das equipes de TI e segurança e desenvolva um conjunto de linhas de base de políticas de segurança para mitigar esses riscos, objetivando estabelecer a estratégia de governança inicial.Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Planejamento da implantação: Antes de implantar qualquer carga de trabalho ou ativo, execute uma revisão de segurança para identificar novos riscos e garantir que todos os requisitos de acesso e política de segurança de dados sejam atendidos.Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

Teste de implantação: Como parte do processo de implantação de qualquer carga de trabalho ou ativo, a equipe de governança de nuvem, em cooperação com suas equipes de segurança corporativa, será responsável por revisar a implantação para validar a conformidade da política de segurança.Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

Planejamento anual: Em uma base anual, execute uma revisão de alto nível da estratégia de linha de base de segurança.Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. Explore as prioridades corporativas futuras e estratégias de nuvem atualizadas para identificar aumento de risco potencial e outras necessidades de segurança emergentes.Explore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. Além disso, use esse tempo para examinar as práticas recomendadas de linha de base de segurança mais recentes e integrá-las às políticas e aos processos de revisão.Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

Análise e planejamento trimestral: Trimestralmente, execute uma revisão dos dados de auditoria de segurança e dos relatórios de incidentes para identificar as alterações necessárias na política de segurança.Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. Como parte desse processo, examine o panorama atual de segurança cibernética para prever proativamente as ameaças emergentes e atualizar a política conforme apropriado.As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. Depois que a análise for concluída, alinhe as diretrizes de design com a política atualizada.After the review is complete, align design guidance with updated policy.

Esse processo de planejamento também é um bom momento para avaliar a associação atual de sua equipe de governança de nuvem para as lacunas de conhecimento relacionadas à política nova ou alteração e aos riscos relacionados à segurança.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. Convide a equipe de TI relevante a participar das análises e planejamentos como consultores temporários ou membros permanentes da sua equipe. Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Educação e treinamento: Em uma base Bimonthly, ofereça sessões de treinamento para garantir que a equipe de ti e os desenvolvedores estejam atualizados sobre os requisitos de política de segurança mais recentes.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. Como parte desse processo, examine e atualize qualquer documentação, orientação ou outros ativos de treinamento para garantir que eles estejam em sincronia com as instruções de política corporativa mais recentes.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Revisões mensais de auditoria e relatórios: Mensalmente, execute uma auditoria em todas as implantações de nuvem para garantir seu alinhamento contínuo com a política de segurança.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. Revise as atividades relacionadas à segurança com a equipe de TI e identifique quaisquer problemas de conformidade que ainda não são tratados como parte do processo de monitoramento e imposição em andamento.Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. O resultado dessa revisão é um relatório para a equipe de estratégia de nuvem e para cada equipe de adoção da nuvem comunicar a conformidade geral com a política.The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. O relatório também é armazenado para fins de auditoria e legais.The report is also stored for auditing and legal purposes.

Processos para monitoramento contínuoProcesses for ongoing monitoring

Uma estratégia de linha de base de segurança bem-sucedida depende da visibilidade do estado atual e anterior da sua infraestrutura de nuvem.A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. Sem a capacidade de analisar as métricas relevantes e os dados da integridade e atividade dos recursos de nuvem, você não pode identificar as mudanças nos seus riscos ou detectar violações das suas tolerâncias a riscos.Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. Os processo de administração contínua discutidos acima exigem dados de qualidade para garantir que a política possa ser modificada para proteger melhor a sua infraestrutura contra ameaças e requisitos de segurança a alteração.The ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

Certifique-se de que as equipes de TI e segurança implementaram sistemas de monitoramento automatizados para a infraestrutura de nuvem que captura os dados de log relevantes que você precisa para avaliar os riscos.Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. Seja proativo no monitoramento desses sistemas para garantir a detecção e mitigação imediatas de possíveis violações da política e garanta que a sua estratégia de monitoramento esteja em linha com as suas necessidades de segurança.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

Gatilhos de violação e ações de imposiçãoViolation triggers and enforcement actions

Como a não conformidade de segurança pode levar a riscos críticos e de exposição de dados e interrupção de serviço, a equipe de governança de nuvem deve ter visibilidade de sérias violações de política.Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. Certifique-que de que a equipe de TI tenha caminhos claros para relatar esses problemas de segurança para os membros da equipe de governança mais adequados para identificar e verificar se os problemas de políticas são atenuados.Ensure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

Quando violações forem detectadas, será necessário realizar ações para realinhar a política o mais rápido possível.When violations are detected, you should take actions to realign with policy as soon as possible. A equipe de TI pode automatizar a maioria dos gatilhos de violação usando as ferramentas descritas na cadeia de ferramentas da Linha de Base de Segurança.Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

Os gatilhos e ações de imposição a seguir fornecem exemplos que você pode consultar ao planejar como usar os dados de monitoramento para resolver violações da política:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Aumento nos ataques detectados.Increase in attacks detected. Se qualquer recurso passa por um aumento de 25% na força bruta ou ataques de DDoS, discuta com a equipe de segurança de TI e com o proprietário da carga de trabalho para determinar soluções.If any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. Acompanhe o problema e diretrizes de atualização se a revisão de política for necessária para prevenir incidentes futuros.Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • Dados não classificados detectados.Unclassified data detected. Qualquer fonte de dados sem uma privacidade adequada, segurança ou impacto de negócios de classificação terão acesso externo negado até que a classificação seja aplicada, o proprietário dos dados e o nível apropriado de proteção de dados aplicado.Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • Problema de integridade de segurança detectado.Security health issue detected. Desabilite o acesso a máquinas virtuais (VMs) que tem acesso conhecido ou vulnerabilidades de malware identificados até que os patches apropriados ou software de segurança possam ser instalados.Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. Diretrizes de política de atualização para levar em consideração para qualquer ameaças detectadas recentemente.Update policy guidance to account for any newly detected threats.
  • Vulnerabilidade de rede detectada.Network vulnerability detected. O acesso a qualquer recurso não foi explicitamente permitido pelas políticas de acesso de rede deve disparar um alerta à equipe de segurança de TI e o proprietário da carga de trabalho relevante.Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. Acompanhe o problema e diretrizes de atualização se a revisão de política for necessária para atenuar incidentes futuros.Track issue and update guidance if policy revision is necessary to mitigate future incidents.

Próximas etapasNext steps

Use o modelo de disciplina de linha de base de segurança para documentar os processos e gatilhos que se alinham ao plano de adoção de nuvem atual.Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Para obter diretrizes sobre a execução de políticas de gerenciamento de nuvem em alinhamento com planos de adoção, consulte o artigo sobre melhoria de disciplina.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.