Melhores práticas de segurança do Azure

  • Artigo

Este artigo descreve as práticas recomendadas de segurança, que se baseiam nas lições aprendidas pelos clientes e na experiência em nossos próprios ambientes.

Para uma apresentação em vídeo, consulte as práticas recomendadas para a segurança do Azure.

1. Pessoas: instruir as equipes sobre o percurso de segurança na nuvem

A equipe precisa entender o percurso em que estão.

O quê?

Instrua suas equipes de segurança e TI sobre a jornada de segurança na nuvem e as alterações que elas irão navegar, incluindo:

  • Ameaças na nuvem
  • O modelo de responsabilidade compartilhada e como ele impacta a segurança
  • Mudanças na cultura e nas funções e responsabilidades que normalmente vêm com a adoção da nuvem

Por quê?

A segurança na nuvem requer uma mudança de mentalidade e abordagem. Embora os resultados que a segurança fornece à organização não mudem, a melhor maneira de realizar esses resultados na nuvem pode mudar significativamente.

A transição para a nuvem é semelhante à mudança de uma casa individual para um prédio alto de apartamentos. Você ainda tem a infraestrutura básica, como encanamento e eletricidade, e atividades semelhantes, como socialização, culinária, TV, Internet e assim por diante. No entanto, muitas vezes há uma diferença significativa no que o prédio inclui, quem fornece e mantém tudo, bem como na sua rotina diária.

Quem?

Todos na organização de segurança e TI com qualquer responsabilidade de segurança, desde o CIO ou CISO até profissionais técnicos, devem estar familiarizados com as mudanças.

Como posso fazer isso?

Forneça às equipes o contexto necessário para implantar e operar com êxito durante a transição para o ambiente de nuvem.

A Microsoft publicou as seguintes lições que os clientes e a organização de TI aprenderam sobre seus percursos para a nuvem.

Para obter mais informações, consulte as funções, responsabilidades e responsabilidades do Benchmark de Segurança do Azure.

2. Pessoas: instruir as equipes sobre a tecnologia de segurança na nuvem

As pessoas precisam entender aonde estão indo.

O quê?

Certifique-se de que suas equipes tenham tempo reservado para instrução técnica sobre a proteção de recursos de nuvem, incluindo:

  • Tecnologia de nuvem e tecnologia de segurança de nuvem
  • Configurações recomendadas e melhores práticas
  • Onde obter mais detalhes técnicos

Por quê?

As equipes técnicas precisam de acesso a informações técnicas para tomar decisões de segurança informadas. As equipes técnicas são boas no aprendizado de novas tecnologias no trabalho, mas o volume de detalhes na nuvem muitas vezes sobrecarrega sua capacidade de adequação à sua rotina diária.

Reserve um tempo dedicado ao aprendizado técnico. O aprendizado ajuda a garantir que as pessoas tenham tempo para criar confiança em sua capacidade de avaliar a segurança na nuvem. Ele as ajuda a considerar a forma como adaptar suas habilidades e processos existentes.

Quem?

Todas as funções de segurança e TI que interagem diretamente com a tecnologia de nuvem devem dedicar tempo para aprendizado técnico sobre plataformas de nuvem e como protegê-las.

Segurança, gerentes técnicos de TI e gerentes de projeto podem desenvolver familiaridade com alguns detalhes técnicos para proteger os recursos de nuvem. Essa familiaridade os ajuda a liderar e coordenar iniciativas de nuvem com mais eficiência.

Como posso fazer isso?

Garanta que os profissionais de segurança técnica tenham tempo reservado para treinamento individualizado sobre como proteger ativos de nuvem. Embora nem sempre seja viável, forneça acesso a treinamento formal com um instrutor experiente e laboratórios práticos.

Importante

Os protocolos de identidade são essenciais para o controle de acesso na nuvem, mas muitas vezes não são priorizados na segurança local. As equipes de segurança devem se concentrar no desenvolvimento de familiaridade com esses protocolos e logs.

A Microsoft fornece recursos abrangentes para ajudar os profissionais técnicos a aumentar seus recursos. Esses recursos incluem:

3. Processo: atribuir responsabilidade por decisões de segurança na nuvem

As decisões de segurança não serão tomadas se ninguém for responsável por fazê-las.

O quê?

Escolha quem é responsável por fazer cada tipo de decisão de segurança para o ambiente empresarial do Azure.

Por quê?

A propriedade clara das decisões de segurança acelera a adoção da nuvem e aumenta a segurança. A falta de propriedade normalmente cria atritos porque ninguém se sente capacitado para tomar decisões. Ninguém sabe a quem pedir uma decisão e ninguém é incentivado a pesquisar uma decisão bem informada. O conflito frequentemente impede:

  • Metas de negócios
  • Linhas do tempo do desenvolvedor
  • Metas de TI
  • Garantias de segurança

O conflito pode resultar em:

  • Projetos interrompidos que estão aguardando aprovação de segurança
  • Implantações inseguras que não puderam esperar pela aprovação de segurança

Quem?

A liderança de segurança escolhe quais equipes ou indivíduos são responsáveis por tomar decisões de segurança sobre a nuvem.

Como posso fazer isso?

Escolha grupos ou indivíduos para serem responsáveis por tomar as principais decisões de segurança.

Documente esses proprietários, suas informações de contato e socialize as informações em equipes de segurança, TI e nuvem. A socialização garante que é fácil para todas as funções contatá-las.

Normalmente, essas áreas são onde as decisões de segurança são necessárias. A tabela a seguir mostra a categoria de decisão, a descrição da categoria e quais equipes costumam tomar as decisões.

Decision Descrição Equipe típica
Segurança de rede Configure e mantenha o Firewall do Azure, dispositivos virtuais de rede e roteamento associado, WAFs (Firewalls de Aplicativos Web), NSGs, ASGs e assim por diante. Equipe de Infraestrutura e segurança de ponto de extremidade concentrada em segurança de rede
Gerenciamento de rede Gerencie a alocação de sub-rede e rede virtual em toda a empresa. Equipe de operações de rede existente em operações centrais de TI
Segurança de ponto de extremidade do servidor Monitorar e corrigir a segurança do servidor, incluindo aplicação de patch, configuração, segurança do ponto de extremidade e assim por diante. Operações centrais de TI e equipes de segurança de infraestrutura e endpoint em conjunto
Monitoramento e resposta a incidentes Investigue e corrija incidentes de segurança no SIEM ou no console de origem, incluindo o Microsoft Defender for Cloud, o Microsoft Entra ID Protection e assim por diante. Equipe de Operações de segurança
Gerenciamento de política Defina a direção para o uso do controle de acesso baseado em função do Azure (RBAC do Azure), do Defender for Cloud, da estratégia de proteção do administrador e da Política do Azure para controlar os recursos do Azure. Equipes de políticas e padrões e arquitetura de segurança em conjunto
Segurança e padrões de identidade Defina a direção para diretórios do Microsoft Entra, uso de PIM/pam, autenticação multifator, configuração de senha/sincronização, padrões de identidade de aplicativo. Gerenciamento de identidades e chaves, políticas e padrões e equipes de arquitetura de segurança em conjunto

Observação

  • Garanta que os tomadores de decisões tenham a formação apropriada em sua área da nuvem para acompanhar essa responsabilidade.
  • Verifique se as decisões estão documentadas em política e padrões para fornecer um registro e orientar a organização a longo prazo.

4. Processos; atualizar processos de resposta a incidentes para a nuvem

Planeje com antecedência. Você não tem tempo para planejar uma crise durante uma crise.

O quê?

Prepare-se para incidentes de segurança em sua plataforma de nuvem do Azure. Essa preparação inclui todas as ferramentas de detecção nativa de ameaças nativas que você adotou. Atualize os processos, prepare sua equipe e pratique com ataques simulados para que eles possam trabalhar da melhor forma possível durante a investigação de incidentes, correção e busca de ameaças.

Por quê?

Os invasores ativos apresentam um risco imediato para a organização. A situação pode rapidamente tornar-se difícil de controlar. Responda de maneira rápida e eficaz a ataques. Esse processo de resposta a incidentes (RI) deve ser eficaz para todo o seu patrimônio, incluindo todas as plataformas de nuvem que hospedam dados, sistemas e contas corporativas.

Embora sejam semelhantes em muitos aspectos, as plataformas de nuvem são tecnicamente diferentes dos sistemas locais. Os sistemas locais podem interromper os processos existentes, normalmente, porque as informações estão disponíveis em um formulário diferente. Os analistas de segurança podem ter desafios para responder rapidamente a um ambiente desconhecido que possa desacelerá-los. Essa afirmação é especialmente verdadeira se eles forem treinados apenas em arquiteturas locais clássicas e abordagens forenses de rede/disco.

Quem?

A modernização do processo de IR normalmente é conduzida por operações de segurança. O esforço geralmente vem com suporte de outros grupos para conhecimento e experiência.

  • Patrocínio: o diretor de operações de segurança ou equivalente normalmente é responsável pelo processo de modernização.

  • Execução: Adaptar processos existentes, ou escrevê-los pela primeira vez, é um esforço colaborativo que envolve:

    • Operações de segurança: a equipe de gerenciamento de incidentes ou a liderança conduz o processo e a integração de atualizações para os principais stakeholders externos. Essas equipes incluem equipes jurídicas e de comunicações ou de relações públicas.
    • Operações de segurança: os analistas de segurança fornecem conhecimento sobre investigação e triagem de incidentes técnicos.
    • Operações de TI central: essa equipe fornece conhecimento sobre a plataforma de nuvem diretamente, por meio do centro de excelência de nuvem ou por consultores externos.

Como posso fazer isso?

Atualize os processos e prepare sua equipe para que eles saibam o que fazer quando encontrarem um invasor ativo.

  • Processos e guias estratégicos: adaptação de investigações, correções e processos de busca de ameaças existentes às diferenças de como as plataformas de nuvem funcionam. As diferenças incluem ferramentas novas ou diferentes, fontes de dados, protocolos de identidade e assim por diante.
  • Formação: Instrua analistas sobre a transformação geral na nuvem, detalhes técnicos de como a plataforma funciona e processos novos ou atualizados. Essas informações permitem que eles saibam o que pode ser alterado e onde ir para o que precisam.
  • Principais áreas de foco: Embora haja muitos detalhes descritos nos links de recursos, essas áreas são onde concentrar seus esforços de educação e planejamento:
    • Modelo de responsabilidade compartilhada e arquiteturas de nuvem: para um analista de segurança, o Azure é um datacenter definido por software que fornece muitos serviços. Esses serviços incluem VMs e outros que são diferentes do local, como o Azure Database SQL Azure Functions. Os melhores dados estão nos logs de serviço ou nos serviços de detecção de ameaças especializados. Não estão em logs para o sistema operacional/VMs subjacentes, que são operados pela Microsoft e serviços de vários clientes. Os analistas precisam compreender e integrar esse contexto em seus fluxos de trabalho diários. Dessa forma, eles sabem quais dados devem ser esperados, onde obtê-lo e em que formato eles estão.
    • Fontes de dados de endpoint: obter insights e dados para ataques e malware em servidores hospedados na nuvem geralmente é mais rápido, fácil e preciso com ferramentas nativas de detecção de nuvem. Ferramentas como o Microsoft Defender para Nuvem e detecção e resposta de ponto de extremidade (EDR) fornecem dados mais precisos do que as abordagens tradicionais de acesso direto ao disco. As abordagens forenses diretas de disco está disponível para cenários em que é possível e necessário para procedimentos legais. Para obter mais informações, consulte Forense de computador no Azure. No entanto, geralmente, essa abordagem é a maneira mais ineficiente de detectar e investigar ataques.
    • Fontes de dados de rede e identidade: muitas funções de plataformas de nuvem usam principalmente a identidade para controle de acesso. Esse controle de acesso inclui acesso ao portal do Azure, embora os controles de acesso à rede também sejam usados extensivamente. Esse controle de acesso exige que os analistas desenvolvam uma compreensão dos protocolos de identidade de nuvem para obter uma visão completa e rica da atividade do invasor e da atividade legítima do usuário para dar suporte à investigação e à correção de incidentes. Os protocolos e diretórios de identidade são diferentes dos locais. Normalmente, eles são baseados em SAML, OAuth e OpenID Connect e em diretórios de nuvem, em vez de LDAP, Kerberos, NTLM e Active Directory Domain Services.
    • Exercícios práticos: ataque e resposta simulados podem ajudar a construir memória muscular organizacional e prontidão técnica. Eles fornecem preparação para seus analistas de segurança, caçadores de ameaças, gerentes de incidentes e outros stakeholders da sua organização. Aprender no trabalho e adaptar-se são partes naturais da resposta a incidentes, mas você pode trabalhar para minimizar o quanto precisa aprender em uma crise.

Principais recursos

Para obter mais informações, consulte o processo de resposta a incidentes do Benchmark de Segurança do Azure para o Azure.

5. Processo: estabelecer o gerenciamento de postura de segurança

Primeiro, conheça a si mesmo.

O quê?

Verifique se você está gerenciando ativamente a postura de segurança do seu ambiente do Azure:

  • Atribuição de responsabilidades claras a:
    • Monitorar a postura de segurança
    • Mitigar riscos aos ativos
  • Automatizar e simplificar essas tarefas

Por quê?

Identificar e corrigir rapidamente riscos de higiene de segurança comuns reduz significativamente o risco organizacional.

A natureza definida por software dos datacenters em nuvem permite o monitoramento contínuo de riscos de segurança, como vulnerabilidades de software ou configurações incorretas de segurança, com extensa instrumentação de ativos. A velocidade na qual os desenvolvedores e a equipe de TI podem implantar VMs, bancos de dados e outros recursos cria a necessidade de garantir que os recursos sejam configurados de modo seguro e monitorados ativamente.

Esses novos recursos oferecem novas possibilidades, mas a obtenção de valor deles requer a atribuição de responsabilidade para usá-los. Executar consistentemente com operações de nuvem em rápida evolução requer a manutenção de processos humanos o mais simples e automatizado possível. Consulte o princípio de segurança "incentive a simplicidade".

Observação

O objetivo da simplificação e da automação não é descartar os trabalhos, mas sobre a remoção da carga de tarefas repetitivas das pessoas para que elas possam se concentrar em atividades humanas de valor mais alto, como envolver e conscientizar as equipes de ti e DevOps.

Quem?

Essa prática normalmente é dividida em dois conjuntos de responsabilidades:

  • Gerenciamento de postura de segurança: geralmente, esta função é uma evolução das funções existentes de governança ou gerenciamento de vulnerabilidades. O resultado inclui o monitoramento da postura de segurança geral usando a pontuação de segurança do Microsoft Defender para Nuvem e outras fontes de dados. Isso inclui trabalhar ativamente com proprietários de recursos para mitigar riscos e relatar riscos à liderança de segurança.

  • Correção de segurança: atribua responsabilidade para lidar com esses riscos às equipes responsáveis por gerenciar esses recursos. Essa responsabilidade pertence às equipes de DevOps que gerenciam seus próprios recursos de aplicativos ou às equipes específicas de tecnologia nas operações centrais de TI:

    • Recursos de computação e aplicativo
      • Serviços de aplicativos: equipes de desenvolvimento e segurança de aplicativos
      • Contêineres: desenvolvimento de aplicativos e/ou operações de infraestrutura/TI
      • VMs, conjuntos de escala, computação: operações de TI/infraestrutura
    • Recursos de armazenamento e dados
      • SQL, Redis, Data Lake Analytics, armazenamento de data lake: equipe de banco de dados
      • Contas de armazenamento: equipe de armazenamento e infraestrutura
    • Recursos de identidade e acesso
      • Assinaturas: equipes de identidade
      • Cofre de chaves: Equipe de segurança de identidade ou informações/dados
    • Recursos de rede: equipe de segurança de rede
    • Segurança de IoT: equipe de operações de IoT

Como posso fazer isso?

A segurança é um trabalho de todos. No entanto, nem todos sabem como é importante, o que fazer e como fazê-lo.

  • Mantenha os proprietários de recursos responsáveis pelo risco de segurança da mesma forma que são responsáveis por disponibilidade, desempenho, custo e outros fatores de sucesso.
  • Ofereça suporte aos proprietários de recursos com uma compreensão clara do motivo pelo qual o risco de segurança é importante para seus ativos, o que eles podem fazer para mitigar riscos e como implementar com perda mínima de produtividade.

Importante

As explicações do porquê, o que e como proteger os recursos são geralmente semelhantes em diferentes tipos de recursos e aplicativos, mas é essencial relacioná-los ao que cada equipe já conhece e se preocupa. As equipes de segurança podem se envolver com suas contrapartes de TI e DevOps como um consultor confiável e um parceiro concentrado em permitir que essas equipes sejam bem-sucedidas.

Ferramentas: a pontuação segura no Microsoft Defender para Nuvem fornece uma avaliação das informações de segurança mais importantes no Azure para uma ampla variedade de ativos. Essa avaliação pode ser seu ponto de partida no gerenciamento de postura e pode ser complementada com políticas personalizadas do Azure e outros mecanismos, conforme necessário.

Frequência: Configure uma cadência regular, normalmente mensal, para analisar a pontuação de segurança e planejar iniciativas com metas de melhoria específicas. A frequência pode ser aumentada conforme necessário.

Dica

Gamifique a atividade, se possível, para aumentar a participação, como a criação de competições divertidas e prêmios para as equipes de DevOps que mais melhoram sua pontuação.

Para obter mais informações, consulte a estratégia de gerenciamento de postura de segurança do Benchmark de Segurança do Azure.

6. Tecnologia: exigir a autenticação multifator ou sem senha

Você está disposto a apostar a segurança de sua empresa que os invasores profissionais não conseguem adivinhar ou roubar a senha do administrador?

O quê?

Exija que todos os administradores de impacto crítico usem autenticação sem senha ou multifator.

Por quê?

Assim como chaves de esqueleto antigas não protegem uma casa contra um assaltante moderno, as senhas não podem proteger as contas contra ataques comuns. Para obter detalhes técnicos, consulte Seu pa$$word não importa.

A autenticação multifator já foi uma etapa extra complexa. Hoje, as abordagens sem senha melhoram como os usuários entram usando abordagens biométricas, como reconhecimento facial no Windows Hello e em dispositivos móveis. Além disso, abordagens de confiança zero lembram dispositivos confiáveis. Esse método reduz a solicitação de ações irritantes de autenticação multifator fora de banda. Para obter mais informações, consulte Frequência de entrada do usuário.

Quem?

A iniciativa multifator e de senha é normalmente conduzida por gerenciamento de chaves e identidade ou arquitetura de segurança.

Como posso fazer isso?

Exigir a autenticação multifator ou sem senha. Treine os administradores sobre como usá-lo conforme necessário e exija que os administradores sigam usando a política escrita. Use uma ou mais destas tecnologias:

Observação

A autenticação multifator baseada em mensagem de texto agora é relativamente barata para que os invasores ignorem, portanto, concentre-se em uma autenticação multifator mais forte e sem senha.

Para obter mais informações, consulte os controles de autenticação forte do Benchmark de Segurança do Azure para todos os acessos baseados em ID do Microsoft Entra.

7. Tecnologia: integrar o firewall nativo e a segurança de rede

Simplifique a proteção de sistemas e dados contra ataques à rede.

O quê?

Simplifique sua estratégia de segurança de rede e manutenção integrando o Firewall do Azure, o WAF (firewall do aplicativo Web) do Azure e as mitigações de DDoS (negação distribuída de serviço) em sua abordagem de segurança de rede.

Por quê?

A simplicidade é fundamental para a segurança, pois reduz a probabilidade de risco de confusão, configurações incorretas e outros erros humanos. Consulte o princípio de segurança "incentive a simplicidade".

Os firewalls e o WAFs são importantes controles de segurança básicos para proteger aplicativos contra tráfego mal-intencionado, mas sua configuração e manutenção podem ser complexas e consumir uma quantidade significativa de tempo e atenção da equipe de segurança (semelhante à adição de peças pós-venda a um carro). Os recursos nativos do Azure podem simplificar a implementação e a operação de firewalls, firewalls de aplicativos Web, mitigações de DDoS (negação distribuída de serviço) e muito mais.

Essa prática pode liberar o tempo e a atenção da sua equipe para tarefas de segurança de valor mais alto, como:

  • Avaliar a segurança dos serviços do Azure
  • Automatizar operações de segurança
  • Integrar a segurança a aplicativos e soluções de TI

Quem?

  • Patrocínio: a liderança de segurança ou liderança de TI normalmente patrocina a atualização da estratégia de segurança de rede.
  • Execução: Integrar estratégias em sua estratégia de segurança de rede em nuvem é um esforço colaborativo que envolve:
    • Arquitetura de segurança: estabelecer a arquitetura de segurança de rede de nuvem com rede de nuvem e clientes potenciais de segurança de rede de nuvem.
    • A rede em nuvem lidera as operações centrais de TI e a segurança da rede em nuvem lidera a equipe de segurança da infraestrutura
      • Estabeleça uma arquitetura de segurança de rede de nuvem com arquitetos de segurança.
      • Configure os recursos de firewall, NSG e WAF e trabalhe com arquitetos de aplicativos em regras de WAF.
    • Arquitetos de aplicativos: trabalhar com segurança de rede para criar e refinar conjuntos de regras de WAF e configurações de DDoS para proteger o aplicativo sem interromper a disponibilidade

Como posso fazer isso?

As organizações que desejam simplificar suas operações têm duas opções:

  • Estender as arquiteturas e recursos existentes: geralmente, muitas organizações optam por estender o uso de recursos de firewall existentes para que possam tirar proveito dos investimentos existentes em habilidades e integração de processos, particularmente à medida que adotam a nuvem pela primeira vez.
  • Adote controles nativos de segurança: mais organizações estão começando a preferir o uso de controles nativos para evitar a complexidade da integração de recursos de terceiros. Essas organizações normalmente procuram evitar o risco de uma configuração incorreta no balanceamento de carga, rotas definidas pelo usuário, o próprio firewall ou WAF e atrasos nas transferências entre diferentes equipes técnicas. Essa opção é atraente para as organizações que adotam a infraestrutura como abordagens de código, pois podem automatizar e instrumentar os recursos internos com mais facilidade do que os recursos de terceiros.

A documentação sobre os recursos nativos de segurança de rede do Azure pode ser encontrada em:

O Azure Marketplace inclui muitos provedores de firewall de terceiros.

Para obter mais informações, consulte a proteção DDOS do Benchmark de Segurança do Azure e a proteção por firewall de aplicativo Web.

8. Tecnologia: integrar a detecção nativa de ameaças

Simplifique a detecção e a resposta de ataques contra dados e sistemas do Azure.

O quê?

Simplifique sua estratégia de detecção e resposta a ameaças incorporando recursos de detecção nativa de ameaças em suas operações de segurança e SIEM.

Por quê?

A finalidade das operações de segurança é reduzir o impacto dos invasores ativos que obtêm acesso ao ambiente. O impacto é medido por tempo médio para reconhecer incidentes (MTTA) e corrigir (MTTR). Essa prática requer precisão e velocidade em todos os elementos da resposta a incidentes. O resultado ajuda a garantir a qualidade das ferramentas e a eficiência da execução do processo é fundamental.

É difícil obter detecções altas de ameaças usando as ferramentas e abordagens existentes. As ferramentas e abordagens foram projetadas para detecção local de ameaças por causa de diferenças na tecnologia de nuvem e seu rápido ritmo de alteração. As detecções nativamente integradas fornecem soluções de escala industrial mantidas por provedores de nuvem que podem acompanhar as ameaças atuais e as mudanças na plataforma de nuvem.

Essas soluções nativas permitem que as equipes de operações de segurança se concentrem na investigação e na correção de incidentes. Concentre-se nesses itens em vez de desperdiçar tempo criando alertas de dados de log desconhecidos, integrando ferramentas e tarefas de manutenção.

Quem?

Geralmente orientada pela equipe de operações de segurança.

  • Patrocínio: normalmente, esse trabalho é patrocinado pelo diretor de operações de segurança ou função equivalente.
  • Execução: A integração da detecção de ameaças nativas é um esforço colaborativo que envolve essas soluções com:
    • Operações de segurança: integre alertas em processos investigação de incidentes e SIEM. As operações de segurança podem instruir os analistas sobre alertas de nuvem, o que significam e como usar as ferramentas nativas de nuvem.
    • Preparação para incidentes: integre incidentes de nuvem em exercícios de prática e garanta que exercícios de prática sejam conduzidos para impulsionar a preparação da equipe.
    • Inteligência contra ameaças: pesquise e integre informações sobre ataques de nuvem para informar às equipes com o contexto e a inteligência.
    • Arquitetura de segurança: integre ferramentas nativas à documentação da arquitetura de segurança.
    • Política e padrões: defina os padrões e a política para habilitar ferramentas nativas em toda a organização. Monitorar a conformidade.
    • Infraestrutura e endpoint e operações centrais de TI: Configure e habilite detecções, integre-se à automação e à infraestrutura como soluções de código.

Como posso fazer isso?

Habilite a detecção de ameaças no Microsoft Defender para Nuvem para todos os recursos que você está usando e faça com que cada equipe integre esses recursos em seus processos, conforme descrito acima.

Para obter mais informações, consulte a detecção de ameaças do Benchmark de Segurança do Azure para recursos do Azure.

9. Arquitetura: fazer a padronização para usar um só diretório e identidade

Ninguém quer lidar com várias identidades e diretórios.

O quê?

Padronize em um único diretório do Microsoft Entra. Você pode padronizar uma única identidade para cada aplicativo e usuário no Azure.

Observação

Essa melhor prática se refere especificamente aos recursos da empresa. Para contas de parceiros, use o Microsoft Entra B2B para que você não precise criar e manter contas em seu diretório. Para contas de cliente ou cidadão, use o Azure AD B2C para gerenciá-las.

Por quê?

Várias contas e diretórios de identidade criam atritos desnecessários, o que cria confusão nos fluxos de trabalho diários para:

  • Usuários de produtividade
  • Desenvolvedores
  • Administradores de identidade e TI
  • Analistas de segurança
  • Outras funções

O gerenciamento de várias contas e diretórios cria um incentivo a práticas de segurança inadequadas. Essas práticas incluem coisas como reutilização de senha em contas. Ela aumenta a probabilidade de invasores atingirem contas obsoletas ou abandonadas.

Embora, às vezes, pareça mais fácil criar rapidamente um diretório LDAP personalizado para um determinado aplicativo ou carga de trabalho, essa ação cria muito mais trabalhos para integrar e gerenciar. Esse trabalho é semelhante a optar por configurar um locatário adicional do Azure ou uma floresta de Active Directory local em vez de usar o locatário corporativo existente. Para obter mais informações, consulte o princípio de segurança para incentivar a simplicidade.

Quem?

A padronização em um único diretório do Microsoft Entra geralmente é um esforço entre equipes. O esforço é orientado por equipes de arquitetura de segurança ou de gerenciamento de chaves e identidades.

  • Patrocínio: normalmente, o gerenciamento de chaves e identidades e a arquitetura de segurança patrocinam esse trabalho, embora algumas organizações possam exigir patrocínio por CISO ou CIO.
  • Execução: A execução é um esforço colaborativo que envolve:
    • Arquitetura de segurança: essa equipe incorpora o processo em documentos e diagramas de segurança e arquitetura de TI.
    • Política e padrões: essa equipe documenta a política e os monitores para fins de conformidade.
    • Gerenciamento de identidades e chaves ou operações centrais de TI: essas equipes implementam a política habilitando recursos e dando suporte aos desenvolvedores com contas, educação e assim por diante.
    • Desenvolvedores de aplicativos ou operações centrais de TI: essas equipes usam identidade em aplicativos e configurações de serviço do Azure. As responsabilidades variam com base no nível de adoção de DevOps.

Como posso fazer isso?

Adote uma abordagem pragmática que comece com novos recursos de Greenfield. Em seguida, limpe os desafios com o Brownfield dos aplicativos e serviços existentes como um exercício de acompanhamento:

  • Greenfield: Estabeleça e implemente uma política clara de que toda a identidade corporativa pode usar um único diretório do Microsoft Entra com uma única conta para cada usuário.

  • Brownfield: geralmente, muitas organizações têm vários diretórios herdados e sistemas de identidade. Resolva esses itens herdados quando o custo do conflito de gerenciamento contínuo exceder o investimento para limpá-lo. Embora as soluções de sincronização e gerenciamento de identidade possam atenuar alguns desses problemas, elas não têm uma integração profunda dos recursos de segurança e produtividade. Esses recursos permitem uma experiência direta para usuários, administradores e desenvolvedores.

O momento ideal para combinar o uso da identidade é durante os ciclos de desenvolvimento de aplicativos conforme você:

  • Moderniza aplicativos para a nuvem.
  • Atualiza os aplicativos de nuvem com processos de DevOps.

Embora haja motivos válidos para um diretório separado para unidades de negócios independentes ou requisitos regulatórios, evite vários diretórios em todas as outras circunstâncias.

Para obter mais informações, consulte o sistema central de identidade e autenticação do Microsoft Entra do Azure Security Benchmark.

Importante

A única exceção à regra de contas únicas é que usuários privilegiados, incluindo administradores de TI e analistas de segurança, podem ter contas separadas para tarefas de usuário padrão em comparação com tarefas administrativas.

Para obter mais informações, confira o parâmetro de comparação de segurança do Azure acesso privilegiado.

10. Arquitetura: Use o controle de acesso baseado em identidade em vez de chaves

O quê?

Use identidades do Microsoft Entra em vez de autenticação baseada em chave sempre que possível. Por exemplo, serviços do Azure, aplicativos, APIs.

Por quê?

A autenticação baseada em chave pode ser usada para autenticar serviços de nuvem e APIs. Mas isso requer o gerenciamento de chaves com segurança, o que é desafiador para fazer bem, especialmente em escala. O gerenciamento de chaves seguro é difícil para profissionais que não sejam de segurança, como desenvolvedores e profissionais de infraestrutura e, geralmente, eles não conseguem fazê-lo com segurança, criando, com frequência, grandes riscos de segurança para a organização.

A autenticação baseada em identidade supera muitos desses desafios com recursos maduros. Os recursos incluem rotação secreta, gerenciamento do ciclo de vida, delegação administrativa e muito mais.

Quem?

A implementação do controle de acesso baseado em identidade é, geralmente, um esforço entre equipes. O esforço é orientado por equipes de arquitetura de segurança ou de gerenciamento de chaves e identidades.

  • Patrocínio: esse esforço é, geralmente, patrocinado por arquitetura de segurança ou gerenciamento de chaves e identidades patrocinam esse trabalho, embora algumas organizações possam exigir patrocínio por CISO ou CIO.
  • Execução: Um esforço colaborativo envolvendo:
    • Arquitetura de segurança: Esta equipe incorpora as práticas recomendadas em diagramas e documentos de arquitetura de segurança e TI.
    • Política e padrões: essa equipe documenta a política e os monitores para fins de conformidade.
    • Gerenciamento de identidades e chaves ou operações centrais de TI: essas equipes implementam a política habilitando recursos e dando suporte aos desenvolvedores com contas, educação e assim por diante.
    • Desenvolvedores de aplicativos ou operações centrais de TI: use a identidade em aplicativos e configurações de serviço do Azure. As responsabilidades variam com base no nível de adoção de DevOps.

Como posso fazer isso?

A definição de uma preferência organizacional e o hábito de usar a autenticação baseada em identidades requer seguir um processo e a habilitar a tecnologia.

O processo

  1. Estabeleça a política e os padrões que descrevem claramente a autenticação baseada em identidade padrão e as exceções aceitáveis.
  2. Instrua desenvolvedores e equipes de infraestrutura sobre por que usar a nova abordagem, o que eles precisam fazer e como fazer isso.
  3. Implemente as alterações de forma pragmática começando com novos recursos greenfield sendo adotados agora e no futuro, como novos serviços do Azure e novos aplicativos, e seguindo com uma limpeza das configurações brownfield existentes.
  4. Monitore a conformidade e acompanhe com as equipes de desenvolvedor e de infraestrutura para corrigir.

As tecnologias

Para contas não humanas, como serviços ou automação, use identidades gerenciadas. As identidades gerenciadas do Azure podem se autenticar em serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais embutidas no código-fonte ou arquivos de configuração.

Para serviços que não oferecem suporte a identidades gerenciadas, use o Microsoft Entra ID para criar uma entidade de serviço com permissões restritas no nível do recurso. Você deve configurar entidades de serviço com credenciais de certificado e fallback para segredos do cliente. Em ambos os casos, o Cofre de Chaves do Azure pode ser usado com identidades gerenciadas do Azure, para que o ambiente de tempo de execução, como uma função do Azure, possa recuperar a credencial do cofre de chaves.

Para obter mais informações, consulte as identidades de aplicativo do Benchmark de Segurança do Azure.

11. Arquitetura: Estabeleça uma única estratégia de segurança unificada

Todos precisam remar na mesma direção para que o barco siga adiante.

O quê?

Certifique-se de que todas as equipes estejam alinhadas a uma única estratégia que permita e proteja sistemas e dados corporativos.

Por quê?

Quando as equipes trabalham isoladamente sem estarem alinhadas a uma estratégia comum, suas ações individuais podem enfraquecer inadvertidamente os esforços uns dos outros. O desalinhamento pode criar um conflito desnecessário que desacelera o progresso contra as metas de todos.

Um exemplo de equipes trabalhando em isolamento que reproduziu de forma consistente em muitas organizações é a segmentação de ativos:

  • Segurança de rede: desenvolve uma estratégia para segmentar uma rede simples. A estratégia aumenta a segurança, muitas vezes com base em sites físicos, endereços/intervalos de endereços IP atribuídos ou itens semelhantes.
  • Equipe de identidade: desenvolve uma estratégia para grupos e UOs (unidades organizacionais) do Active Directory com base em sua compreensão e conhecimento da organização.
  • Equipes de aplicativos: acha difícil trabalhar com esses sistemas. É difícil porque foram projetados com contribuição limitada e compreensão de operações, metas e riscos de negócios.

Em organizações em que essa limitação ocorre, as equipes frequentemente experimentam conflitos por meio de exceções de firewall. Os conflitos podem afetar negativamente a segurança porque as equipes aprovam exceções. A produtividade afeta negativamente a segurança porque as implantações são desaceleradas para a funcionalidade do aplicativo que a empresa precisa.

Embora a segurança possa criar um conflito de integridade forçando o pensamento crítico, esse conflito cria apenas um resfriamento não íntegro que impede as metas. Para obter mais informações, consulte Diretrizes de estratégia de segurança.

Quem?

  • Patrocínio: a estratégia unificada normalmente é copatrocinada pelo CIO, o CISO e o CTO. O patrocínio geralmente vem com suporte de liderança de negócios para alguns elementos de alto nível e é defendido pelos representantes de cada equipe.
  • Execução: a estratégia de segurança deve ser implementada por todos. Ela integra dados de várias equipes para aumentar a propriedade, a compra e a probabilidade de sucesso.
    • Arquitetura de segurança: essa equipe lidera o esforço para criar a estratégia de segurança e a arquitetura resultante. A arquitetura de segurança reúne ativamente os comentários das equipes e os documenta em apresentações, documentos e diagramas para os diversos públicos.
    • Política e padrões: essa equipe captura os elementos apropriados em padrões e políticas e, em seguida, monitora a conformidade.
    • Todas as equipes técnicas de TI e segurança: essas equipes fornecem requisitos de entrada e, em seguida, alinham e implementam a estratégia corporativa.
    • Proprietários e desenvolvedores de aplicativos: essas equipes leem e entendem a documentação da estratégia que se aplica a elas. O ideal é adaptar as diretrizes à sua função.

Como posso fazer isso?

Crie e implemente uma estratégia de segurança para nuvem que inclua a participação ativa e contribuição de todas as equipes. Embora o formato de documentação do processo possa variar, ele sempre inclui:

  • Contribuição ativa das equipes: as estratégias normalmente falham se as pessoas da organização não as aceitarem. O ideal é ter todas as equipes na mesma sala para criar a estratégia de forma colaborativa. Nos workshops que realizamos com os clientes, muitas vezes achamos que as organizações estão operando em silos de fato e essas reuniões geralmente resultam em pessoas que se encontram pela primeira vez. Descobrimos que a inclusividade é um requisito. Se algumas equipes não forem convidadas, essa reunião normalmente precisará ser repetida até que todos os participantes se juntem a ela. Se eles não se unirem, o projeto não avançará.
  • Documentada e comunicada de maneira clara: todas as equipes precisam ter ciência da estratégia de segurança. O ideal é que a estratégia de segurança seja um componente de segurança da estratégia de tecnologia geral. Essa estratégia inclui o porquê de integrar a segurança, o que é importante em segurança e qual é a aparência do sucesso de segurança. Essa estratégia inclui diretrizes específicas para equipes de aplicativos e desenvolvimento para que elas possam obter diretrizes claras e organizadas sem precisar ler informações não relevantes.
  • Estável, mas flexível: mantenha as estratégias relativamente consistentes e estáveis, mas as arquiteturas e a documentação podem precisar adicionar clareza e acomodar a natureza dinâmica da nuvem. Por exemplo, a filtragem de tráfego externo mal-intencionado permaneceria consistente como um princípio estratégico, mesmo que você troque o uso de um firewall de última geração de terceiros para o Firewall do Azure e ajuste os diagramas e orientações sobre como fazer isso.
  • Comece com a segmentação: há questões de estratégia grandes e pequenas para resolver, mas você precisa começar em algum lugar. Inicie a estratégia de segurança com a segmentação de ativos corporativos. Essa segmentação é uma decisão fundamental cuja alteração posterior seria desafiadora e exigiria a contribuição empresarial e muitas equipes técnicas.

A Microsoft publicou diretrizes de vídeo para aplicar uma estratégia de segmentação ao Azure. Há documentos publicados sobre segmentação corporativa e alinhamento da segurança de rede a ela.

A estrutura de adoção de nuvem inclui diretrizes para ajudar suas equipes com:

Para obter mais informações, consulte a estratégia de governança do Benchmark de Segurança do Azure.