Instruções de política de exemplo de Linha de base de segurançaSecurity Baseline sample policy statements

As instruções individuais da política de nuvem são diretrizes para abordar os riscos específicos identificados durante o processo de avaliação de riscos.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Essas instruções oferecem um resumo conciso dos riscos e planos com os quais lidar.These statements should provide a concise summary of risks and plans to deal with them. Cada definição de instrução deve incluir essas informações:Each statement definition should include these pieces of information:

  • Risco técnico: Um resumo do risco que essa política abordará.Technical risk: A summary of the risk this policy will address.
  • Declaração de política: Uma explicação resumida clara dos requisitos de política.Policy statement: A clear summary explanation of the policy requirements.
  • Opções técnicas: Recomendações, especificações ou outras diretrizes acionáveis que as equipes de ti e os desenvolvedores podem usar ao implementar a política.Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

As instruções de política de exemplo a seguir abordam os riscos de negócios relacionados à segurança comuns.The following sample policy statements address common security-related business risks. Essas instruções são exemplos que você pode referenciar ao rascunhar instruções de política para atender às necessidades da sua organização.These statements are examples you can reference when drafting policy statements to address your organization's needs. Esses exemplos não devem ser proexistentes e há potencialmente várias opções de política para lidar com cada risco identificado.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Trabalhe junto com as equipes de negócios, de segurança e de ti para identificar as melhores políticas para seu conjunto exclusivo de riscos.Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

Classificação de ativoAsset classification

Risco técnico: Ativos que não são corretamente identificados como de missão crítica ou que envolvem dados confidenciais podem não receber proteções suficientes, levando a possíveis vazamentos de dados ou interrupções de negócios.Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

Declaração de política: Todos os ativos implantados devem ser categorizados por criticalidade e classificação de dados.Policy statement: All deployed assets must be categorized by criticality and data classification. As classificações deverão ser examinadas pela equipe de governança de nuvem e pelo proprietário do aplicativo antes da implantação na nuvem.Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

Possível opção de design: Estabeleça padrões de marcação de recursos e garanta que a equipe de ti as aplique de forma consistente a qualquer recurso implantado usando as marcas de recurso do Azure.Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

Criptografia de dadosData encryption

Risco técnico: Há um risco de os dados protegidos serem expostos durante o armazenamento.Technical risk: There is a risk of protected data being exposed during storage.

Declaração de política: Todos os dados protegidos devem ser criptografados quando em repouso.Policy statement: All protected data must be encrypted when at rest.

Possível opção de design: Consulte o artigo visão geral da criptografia do Azure para obter uma discussão sobre como os dados em repouso são executados na plataforma do Azure.Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. Controles adicionais, como a criptografia de dados de conta e o controle sobre como as configurações de conta de armazenamento podem ser alteradas, também devem ser considerados.Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

Isolamento da redeNetwork isolation

Risco técnico: A conectividade entre redes e sub-redes em redes introduz possíveis vulnerabilidades que podem resultar em vazamentos de dados ou interrupção de serviços de missão crítica.Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

Declaração de política: As sub-redes de rede que contêm dados protegidos devem ser isoladas de quaisquer outras sub-redes.Policy statement: Network subnets containing protected data must be isolated from any other subnets. O tráfego de rede entre as sub-redes de dados protegidos será auditado regularmente.Network traffic between protected data subnets is to be audited regularly.

Possível opção de design: No Azure, o isolamento de rede e sub-rede é gerenciado por meio da rede virtual do Azure.Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

Acesso externo seguroSecure external access

Risco técnico: Permitir o acesso a cargas de trabalho da Internet pública apresenta um risco de intrusão, resultando em exposição não autorizada de dados ou interrupção dos negócios.Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

Declaração de política: Nenhuma sub-rede contendo dados protegidos pode ser acessada diretamente pela Internet pública ou por data centers.Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. O acesso a essas sub-redes deve ser roteado por meio de sub-redes intermediárias.Access to those subnets must be routed through intermediate subnets. Todo o acesso a essas sub-redes deve vir por meio de uma solução de firewall que pode executar a verificação de pacotes e funções de bloqueio.All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

Possível opção de design: No Azure, proteja os pontos de extremidade públicos implantando uma rede de perímetro entre a Internet pública e sua rede baseada em nuvem.Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Considere a implantação, a configuração e a automação do Firewall do Azure.Consider deployment, configuration, and automation of Azure Firewall.

Proteção contra DDoSDDoS protection

Risco técnico: Ataques de DDoS (negação de serviço distribuído) podem resultar em uma interrupção de negócios.Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

Declaração de política: Implante mecanismos de mitigação de DDoS automatizados para todos os pontos de extremidade de rede acessíveis publicamente.Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. Nenhum site voltado para o público apoiado por IaaS deve ser exposto à Internet sem DDoS.No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

Possível opção de design: Use a proteção contra DDoS do Azure padrão para minimizar as interrupções causadas por ataques de DDoS.Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

Conectividade local seguraSecure on-premises connectivity

Risco técnico: O tráfego não criptografado entre a rede de nuvem e o local pela Internet pública é vulnerável à interceptação, apresentando o risco de exposição de dados.Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

Declaração de política: Todas as conexões entre as redes locais e na nuvem devem ocorrer por meio de uma conexão VPN criptografada segura ou um link WAN privado dedicado.Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

Possível opção de design: No Azure, use o ExpressRoute ou a VPN do Azure para estabelecer conexões privadas entre suas redes locais e na nuvem.Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

Monitoramento de rede e imposiçãoNetwork monitoring and enforcement

Risco técnico: As alterações na configuração de rede podem levar a novas vulnerabilidades e riscos de exposição de dados.Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

Declaração de política: As ferramentas de governança devem auditar e aplicar os requisitos de configuração de rede definidos pela equipe de linha de base de segurança.Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

Possível opção de design: No Azure, a atividade de rede pode ser monitorada usando o observador de rede do Azuree a central de segurança do Azure pode ajudar a identificar vulnerabilidades de segurança.Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. O Azure Policy permite restringir os recursos de rede e a política de configuração de recursos de acordo com limites definidos pela equipe de segurança.Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

Revisão de segurançaSecurity review

Risco técnico: Ao longo do tempo, novas ameaças à segurança e tipos de ataque surgem, aumentando o risco de exposição ou interrupção de seus recursos de nuvem.Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

Declaração de política: As tendências e possíveis explorações que podem afetar as implantações de nuvem devem ser examinadas regularmente pela equipe de segurança para fornecer atualizações às ferramentas de linha de base de segurança usadas na nuvem.Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

Possível opção de design: Estabeleça uma reunião de revisão de segurança regular que inclua Membros relevantes da equipe de ti e governança.Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. Examine as métricas e os dados de segurança existentes para estabelecer lacunas na política atual e nas ferramentas de linha de base de segurança e atualize a política para corrigir quaisquer riscos novos.Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. Use o Azure Advisor e a central de segurança do Azure para obter informações acionáveis sobre ameaças emergentes específicas às suas implantações.Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

Próximas etapasNext steps

Use as amostras mencionadas neste artigo como ponto de partida para desenvolver políticas que abordem os riscos comerciais específicos que alinham-se aos seus planos de adoção de nuvem.Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

Para começar a desenvolver suas próprias instruções de política de linha de base de segurança personalizadas, baixe o modelo de disciplina de linha de base de segurançaTo begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

Para acelerar a adoção dessa disciplina, escolha o Guia de governança acionável que esteja mais alinhado ao seu ambiente.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Em seguida, modifique o design para incorporar suas decisões específicas de política corporativa.Then modify the design to incorporate your specific corporate policy decisions.

Usar riscos e tolerância como base e estabelecer um processo para administrar e comunicar a adesão com a política de Linha de base de segurança.Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.