Melhores práticas de segurança do AzureAzure security best practices

Essas são as principais práticas recomendadas de segurança do Azure que a Microsoft recomenda com base nas lições aprendidas entre clientes e nossos próprios ambientes.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

Você pode exibir uma apresentação em vídeo dessas práticas recomendadas na comunidade de tecnologia da Microsoft.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. pessoas: educar equipes sobre a jornada de segurança na nuvem1. People: Educate teams about the cloud security journey

A equipe precisa entender a jornada em que estão.The team needs to understand the journey they're on.

O que: Instrua sua segurança e as equipes de ti sobre a jornada de segurança da nuvem e as alterações que serão navegadas, incluindo:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Alterações em ameaças na nuvemChanges to threats in the cloud
  • Modelo de responsabilidade compartilhada e como ele afeta a segurançaShared responsibility model and how it impacts security
  • Alterações culturais e de função/responsabilidade que normalmente acompanham a adoção da nuvemCultural and role/responsibility changes that typically accompany cloud adoption

Por que: mudar para a nuvem é uma alteração significativa que exige uma mudança na mentalidade e na abordagem de segurança.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. Embora a segurança dos resultados fornecidos à organização não mude, a melhor maneira de fazer isso na nuvem muitas vezes muda, às vezes significativamente.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

De muitas maneiras, mudar para a nuvem é semelhante a mudar de uma casa autônoma para uma construção de apartamento de luxo de alta elevação.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. Você ainda tem infraestrutura básica (encanamento, eletricidade, etc.) e executa atividades semelhantes (sociais, culinária, TV e Internet, etc.), mas muitas vezes há uma diferença no que vem com a construção (Gym, restaurantes, etc.), que fornece e mantém essas e sua rotina diária.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Quem: todos na organização de segurança e ti com responsabilidades de segurança devem estar familiarizados com esse contexto e as alterações (de cio/ciso a profissionais técnicos).Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Como: fornecer às equipes o contexto necessário para implantar e operar com êxito durante a transição para o ambiente de nuvem.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

A Microsoft publicou lições aprendidas por nossos clientes e nossa própria organização de ti em suas jornadas para a nuvem:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

Consulte também o benchmark de segurança do Azure GS-3: alinhar funções de organização, responsabilidades e responsabilidades.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. pessoas: educar equipes sobre tecnologia de segurança de nuvem2. People: Educate teams on cloud security technology

As pessoas precisam entender onde estão indo.People need to understand where they're going.

O que: garanta que suas equipes tenham tempo reservado para educação técnica sobre como proteger os recursos de nuvem, incluindo:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Tecnologia de nuvem e tecnologia de segurança de nuvemCloud technology and cloud security technology
  • Configurações recomendadas e práticas recomendadasRecommended configurations and best practices
  • Onde obter mais detalhes técnicos, conforme necessárioWhere to learn more technical details as needed

Por que: as equipes técnicas precisam acessar informações técnicas para tomar decisões de segurança informadas.Why: Technical teams need access to technical information to make sound informed security decisions. As equipes técnicas são boas no aprendizado de novas tecnologias no trabalho, mas o volume de detalhes na nuvem muitas vezes sobrecarrega sua capacidade de se adequar à sua rotina diária.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

A estruturação do tempo dedicado para aprendizado técnico ajuda a garantir que as pessoas tenham tempo para criar confiança em sua capacidade de avaliar a segurança da nuvem e imaginar como adaptar suas habilidades e processos existentes.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. Até mesmo as equipes de operações especiais mais talentosas no militar precisam de treinamento e inteligência para serem executadas em suas melhores necessidades.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Quem: todas as funções que interagem diretamente com a tecnologia de nuvem (em departamentos de ti e segurança) devem dedicar tempo para aprendizado técnico em plataformas de nuvem e como protegê-las.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Além disso, os gerentes técnicos de segurança e de ti (e, muitas vezes, gerentes de projeto) devem desenvolver familiaridade com alguns detalhes técnicos para proteger os recursos de nuvem (pois isso os ajudará a liderar e coordenar iniciativas de nuvem de forma mais eficiente).Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Como: garantir que os profissionais técnicos em segurança tenham tempo reservado para treinamento individualizado sobre como proteger os ativos de nuvem.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. Embora nem sempre seja viável, o ideal é fornecer acesso ao treinamento formal com um instrutor experiente e laboratórios práticos.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Importante

Os protocolos de identidade são essenciais para o controle de acesso na nuvem, mas geralmente não são priorizados na segurança local, portanto, as equipes de segurança devem garantir o foco no desenvolvimento de familiaridade com esses protocolos e logs.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

A Microsoft fornece recursos abrangentes para ajudar os profissionais técnicos a garantir a proteção dos recursos do Azure e a conformidade de relatórios:Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

Consulte também o benchmark de segurança do Azure GS-3: alinhar funções da organização, responsabilidades e responsabilidadesAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. processo: atribuir responsabilidade por decisões de segurança na nuvem3. Process: Assign accountability for cloud security decisions

Se ninguém for um informativo para tomar decisões de segurança, eles não serão feitos.If nobody is accountable for making security decisions, they won't get made.

O que: designar quem é responsável por fazer cada tipo de decisão de segurança para o ambiente Enterprise do Azure.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Por que: limpar a propriedade das decisões de segurança acelera a adoção da nuvem e aumenta a segurança.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. A falta de normalmente cria um conflito porque ninguém se sente capacitado para tomar decisões, ninguém sabe quem pedir uma decisão, e ninguém está incentivados a pesquisar uma decisão bem informada.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. Esse resfriamento frequentemente impede objetivos de negócios, cronogramas do desenvolvedor, metas de ti e garantias de segurança, resultando em:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Projetos interrompidos que estão aguardando aprovação de segurançaStalled projects that are waiting for security approval
  • Implantações inseguras que não puderam esperar pela aprovação de segurançaInsecure deployments that couldn't wait for security approval

Quem: a liderança em segurança designa quais equipes ou indivíduos são responsáveis por tomar decisões de segurança sobre a nuvem.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Como: designar grupos (ou indivíduos) que serão responsáveis por tomar decisões de segurança importantes.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Documente esses proprietários, suas informações de contato e socialize isso amplamente dentro das equipes de segurança, ti e nuvem para garantir que seja fácil para todas as funções contatá-las.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Essas são as áreas típicas nas quais decisões de segurança são necessárias, descrições e quais equipes normalmente tomam as decisões.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

DecisãoDecision DescriçãoDescription Equipe típicaTypical Team
Segurança de redeNetwork Security Configuração e manutenção do firewall do Azure, soluções de virtualização de rede (e roteamento associado), WAFs, NSGs, ASGs, etc.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. Normalmente , a infraestrutura e a equipe de segurança de ponto de extremidade se concentram na segurançaTypically Infrastructure and endpoint security team focused on network security
Gerenciamento de RedeNetwork Management Alocação de sub-rede e rede virtual em toda a empresaEnterprise-wide virtual network and subnet allocation Normalmente equipe de operações de rede existente em operações de ti centraisTypically existing network operations team in Central IT Operations
Segurança de ponto de extremidade do servidorServer Endpoint Security Monitorar e corrigir a segurança do servidor (aplicação de patch, configuração, segurança do ponto de extremidade, etc.)Monitor and remediate server security (patching, configuration, endpoint security, etc.) Normalmente as equipes de operações de ti central e de infraestrutura e segurança de ponto de extremidade estão em conjuntoTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Monitoramento e resposta de incidentesIncident Monitoring and Response Investigar e corrigir incidentes de segurança no SIEM ou no console de origem (central de segurança do Azure, Azure AD Identity Protection, etc.)Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) Normalmente equipe de operações de segurançaTypically security operations team
Gerenciamento de políticaPolicy Management Definir a direção para uso do controle de acesso baseado em função do Azure (RBAC do Azure), central de segurança do Azure, estratégia de proteção do administrador e Azure Policy para controlar os recursos do AzureSet direction for use of Azure role-based access control (Azure RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources Normalmente , a política e as equipes de arquitetura de segurança de padrões em + conjuntoTypically Policy and Standards + Security Architecture Teams jointly
Segurança e padrões de identidadeIdentity Security and Standards Definir a direção para diretórios do Azure AD, uso do PIM/PAM, MFA, configuração de senha/sincronização, padrões de identidade do aplicativoSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards Normalmente, as equipes de arquitetura de segurança de identidade e de Gerenciamento + de chaves e de normas em + conjuntoTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Observação

  • Garanta que os tomadores de decisões tenham a educação apropriada em sua área da nuvem para acompanhar essa responsabilidade.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Verifique se as decisões estão documentadas em políticas e padrões para fornecer um registro e orientar a organização a longo prazo.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

Consulte também o benchmark de segurança do Azure GS-3: alinhar funções da organização, responsabilidades e responsabilidadesAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. processo: atualizar processos de resposta a incidentes para a nuvem4. Process: Update incident response processes for cloud

Você não tem tempo para planejar uma crise durante uma crise.You don't have time to plan for a crisis during a crisis.

O que: atualizar processos e preparar analistas para o para responder a incidentes de segurança em sua plataforma de nuvem do Azure (incluindo quaisquer ferramentas de detecção de ameaças nativas que você adotou).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Atualize os processos, prepare sua equipe e pratique com ataques simulados para que eles possam ser executados no melhor durante investigação de incidentes, correção e busca de ameaças.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Por que: os invasores ativos apresentam um risco imediato à organização que pode rapidamente se tornar difícil de controlar a situação, portanto, você deve responder rapidamente a ataques.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Esse processo de resposta a incidentes (IR) deve ser eficaz para todo o seu patrimônio, incluindo todas as plataformas de nuvem que hospedam dados, sistemas e contas empresariais.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Embora seja semelhante em muitos aspectos, as plataformas de nuvem têm uma diferença técnica importante dos sistemas locais que podem interromper os processos existentes, normalmente porque as informações estão disponíveis em um formulário diferente.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Os analistas de segurança também podem ter desafios para responder rapidamente a um ambiente desconhecido que possa retardar a ti (especialmente se eles forem treinados apenas em arquiteturas locais clássicas e abordagens forenses de rede/disco).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Quem: a modernização dos processos de ir é normalmente orientada por operações de segurança com suporte de outros grupos para conhecimento e experiência.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Patrocínio: Essa modernização de processo geralmente é patrocinada pelo diretor de operações de segurança ou equivalente.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • Execução: Adaptar os processos existentes (ou escrevê-los pela primeira vez) é um esforço colaborativo que envolve:Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • Equipe de gerenciamento de incidentes de operações de segurança ou liderança – leva as atualizações para processar e integrar os principais participantes externos, incluindo equipes jurídicas e de comunicações/relações públicasSecurity Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Analistas de segurança de operações de segurança – fornecem conhecimento sobre investigação e triagem de incidentes técnicosSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • Operações de ti central -fornece experiência na plataforma de nuvem (diretamente, por meio do Cloud Center of Excellence ou por meio de consultores externos)Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Como: atualizar processos e preparar sua equipe para que eles saibam o que fazer quando encontrarem um invasor ativo.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Processos e guias estratégicos: Adapte investigações, correções e processos de busca de ameaças existentes às diferenças de como as plataformas de nuvem funcionam (ferramentas novas/diferentes, fontes de dados, protocolos de identidade, etc.).Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Educação: Instrua analistas sobre a transformação geral da nuvem, detalhes técnicos de como a plataforma funciona e processos novos/atualizados para que eles saibam o que será diferente e onde ir para o que precisam.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

Principais áreas de foco: embora haja muitos detalhes descritos nos links de recursos, essas são áreas-chave para concentrar seus esforços de educação e planejamento:Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Modelo de responsabilidade compartilhada e arquiteturas de nuvem: Para um analista de segurança, o Azure é um datacenter definido por software que fornece muitos serviços, incluindo VMs (familiares) e outros que são muito diferentes do local, como o Azure SQL Azure functions, etc., em que os melhores dados estão nos logs de serviço ou nos serviços de detecção de ameaças especializados, e não em logs para o sistema operacional subjacente/VMs (que são operados pelaShared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Os analistas precisam compreender e integrar esse contexto em seus fluxos de trabalho diários para que saibam quais dados esperar, onde obtê-lo e em qual formato ele estará.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Fontes de dados do ponto de extremidade: Obter informações e dados para ataques e malware em servidores hospedados na nuvem é geralmente mais rápido, fácil e mais preciso com ferramentas nativas de detecção de nuvem, como a central de segurança do Azure e os sistemas EDR, em oposição às abordagens tradicionais de acesso direto ao disco.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Embora as perícias diretas de disco estejam disponíveis para cenários em que é possível e são necessárias para procedimentos legais (computaçãoforense no Azure), geralmente essa é a maneira mais ineficiente de detectar e investigar ataques.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Fontes de dados de rede e identidade: Muitas funções de plataformas de nuvem usam principalmente a identidade principalmente para controle de acesso, como acesso ao portal do Azure (embora os controles de acesso à rede também sejam usados extensivamente).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). Isso exige que os analistas desenvolvam uma compreensão dos protocolos de identidade de nuvem para obter uma imagem completa e rica da atividade do invasor (e atividade de usuário legítima) para dar suporte à investigação e à correção de incidentes.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Os diretórios de identidade e os protocolos também são diferentes do local, pois normalmente são baseados em diretórios SAML, OAuth e OIDC e na nuvem, em vez de LDAP, Kerberos, NTLM e Active Directory que normalmente são encontrados no local.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Exercícios práticos: Os ataques e a resposta simulados podem ajudar a criar a memória capacidade organizacional e a preparação técnica para analistas de segurança, ameaças caçadores, gerentes de incidentes e outros participantes da sua organização.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. Aprender sobre o trabalho e adaptar é uma parte natural da resposta a incidentes, mas você deve trabalhar para minimizar o quanto precisa aprender em uma crise.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Principais recursos:Key Resources:

Confira também o processo de referência de incidente de segurança do Azure ir-1: preparação – atualizar a resposta a incidentes para o Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. processo: estabelecer gerenciamento de postura de segurança5. Process: Establish security posture management

Primeiro, saiba thyself.First, know thyself.

O que: Verifique se você está gerenciando ativamente a postura de segurança do seu ambiente do Azure:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Atribuição de propriedade clara de responsabilidades paraAssigning clear ownership of responsibilities for
    • Monitoramento da postura de segurançaMonitoring security posture
    • Mitigação de riscos para ativosMitigating risks to assets
  • Automatizando e simplificando essas tarefasAutomating and simplifying these tasks

Por que: identificar e corrigir rapidamente os riscos de higiene de segurança comuns reduz significativamente o risco organizacional.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

A natureza definida pelo software dos datacenters na nuvem permite o monitoramento contínuo do risco de segurança (vulnerabilidades de software, configurações incorretas de segurança, etc.) com uma ampla Instrumentação de ativos.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. A velocidade na qual os desenvolvedores e a equipe de ti podem implantar VMs, bancos de dados e outros recursos também criam uma necessidade de garantir que os recursos sejam configurados de forma segura e ativa.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Esses novos recursos oferecem novas possibilidades, mas a obtenção de valor deles requer a atribuição de responsabilidade para usá-los.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. Executar consistentemente com operações de nuvem em rápida evolução também requer a manutenção de processos humanos o mais simples e automatizado possível.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. Consulte o princípio de segurança"simplicidade da unidade".See the "Drive Simplicity" security principle.

Observação

O objetivo da simplificação e da automação não é descartar os trabalhos, mas sobre a remoção da carga de tarefas repetitivas das pessoas, para que elas possam se concentrar em atividades humanas de valor mais alto, como envolver e conscientizar as equipes de ti e DevOps.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Quem: isso normalmente é dividido em dois conjuntos de responsabilidades:Who: This is typically divided into two sets of responsibilities:

  • Gerenciamento de postura de segurança – essa função mais recente geralmente é uma evolução das funções de governança ou gerenciamento de vulnerabilidades existentes.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. Isso inclui o monitoramento da postura de segurança geral usando a pontuação segura da central de segurança do Azure e outras fontes de dados, trabalhando ativamente com proprietários de recursos para mitigar riscos e relatar riscos à liderança em segurança.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Correção de segurança: Atribua responsabilidade para lidar com esses riscos com as equipes responsáveis por gerenciar esses recursos.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. Isso deve fazer com que as equipes do DevOps gerenciam seus próprios recursos de aplicativo ou as equipes específicas de tecnologia nas operações de ti centrais:This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Recursos de computação e aplicativos:Compute and Apps Resources:
      • Serviços de aplicativos-equipe de desenvolvimento/segurança de aplicativosApp Services - Application Development/Security Team(s)
      • Contêineres -operações de desenvolvimento de aplicativo e/ou infraestrutura/tiContainers - Application Development and/or Infrastructure/IT Operations
      • VMs/conjuntos de dimensionamento/ operações de computação/ti/infraestruturaVMs/Scale sets/compute - IT/Infrastructure Operations
    • Recursos de armazenamento de & de dados:Data & Storage Resources:
      • SQL/Redis/data Lake Analytics/data Lake Store -equipe de banco de dadosSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Contas de armazenamento – equipe de armazenamento/infraestruturaStorage Accounts - Storage/Infrastructure Team
    • Recursos de identidade e acesso:Identity and Access Resources:
      • Assinaturas -equipe (s) de identidadeSubscriptions - Identity Team(s)
      • Key Vault – equipe de segurança da identidade ou informações/dadosKey Vault – Identity or Information/Data Security Team
    • Recursos de rede -equipe de segurança de redeNetworking Resources - Network Security Team
    • Segurança de IOT -equipe de operações de IOTIoT Security - IoT Operations Team

Como: a segurança é o trabalho de todos, mas nem todos sabem como é importante, o que fazer e como fazê-lo.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • Mantenha os proprietários de recursos responsáveis pelo risco de segurança da mesma forma que são responsáveis por disponibilidade, desempenho, custo e outros fatores de sucesso.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Oferecer suporte a proprietários de recursos com uma compreensão clara de por que o risco de segurança é importante para seus ativos, o que eles devem fazer para mitigar riscos e como implementá-lo com perda mínima de produtividade.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Importante

As explicações para o porquê, o que e como proteger os recursos geralmente são semelhantes em diferentes tipos de recursos e aplicativos, mas é essencial relacioná-los ao que cada equipe já conhece e se preocupa.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. As equipes de segurança devem se envolver com suas contrapartes IT e DevOps como um consultor confiável e um parceiro focado em permitir que essas equipes sejam bem-sucedidas.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Ferramentas: Pontuação segura na central de segurança do Azure fornece uma avaliação das informações de segurança mais importantes no Azure para uma ampla variedade de ativos.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Esse deve ser seu ponto de partida no gerenciamento de postura e pode ser complementado com políticas personalizadas do Azure e outros mecanismos, conforme necessário.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frequência: Configure uma cadência regular (normalmente mensal) para examinar as iniciativas de classificação e plano de segurança do Azure com metas de melhoria específicas.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. A frequência pode ser aumentada conforme necessário.The frequency can be increased as needed.

Dica

Gamify a atividade, se possível, para aumentar o envolvimento, como a criação de competições e prêmios divertidos para as equipes de DevOps que melhoram sua pontuação.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

Consulte também a estratégia de benchmark de segurança do Azure GS-2: definir o gerenciamento de postura de segurança.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. tecnologia: exigir MFA (autenticação multifator ou com senha)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

Você está disposto a apostar a segurança de sua empresa que os invasores profissionais não podem adivinhar ou roubar a senha de seu administrador?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

O que: exigir que todos os administradores de impacto crítico usem a MFA (autenticação multifator ou com senha).What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Por que: assim como as chaves de esqueleto de estilo antigo não protegem uma casa contra o dia moderno, as senhas não podem proteger as contas contra ataques comuns que vemos hoje.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. Os detalhes técnicos são descritos em seu PA $ $Word não importa.Technical details are described in Your Pa$$word doesn't matter.

Embora a MFA tenha sido uma vez uma etapa extra, as abordagens sem senha hoje melhoram a experiência de logon usando abordagens biométricas, como reconhecimento facial no Windows Hello e dispositivos móveis (onde você não precisa se lembrar ou digitar uma senha).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). Além disso, nenhuma confiança se lembra de dispositivos confiáveis, o que reduz a solicitação de ações de MFA fora de banda (consulte a frequência de entrada do usuário).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Quem: a senha e a iniciativa multifator normalmente são ministradas por identidade e gerenciamento de chaves e/ou arquitetura de segurança.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Como implementar a autenticação por senha ou MFA, treinar os administradores sobre como usá-la (conforme necessário) e exigir que os administradores sigam usando a política escrita.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. Isso pode ser feito por uma ou mais dessas tecnologias:This can be accomplished by one or more of these technologies:

Observação

A MFA baseada em mensagem de texto agora é relativamente barata para que os invasores ignorem, portanto, concentre-se em & uma MFA mais forte sem senha.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

Consulte também a ID de benchmark de segurança do Azure -4: usar controles de autenticação forte para todo o acesso baseado em Azure Active Directory.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. tecnologia: integrar o firewall nativo e a segurança de rede7. Technology: Integrate native firewall and network security

Simplifique a proteção de sistemas e dados contra ataques à rede.Simplify protection of systems and data against network attacks.

O que: Simplifique sua estratégia de segurança de rede e manutenção integrando o Firewall do Azure, o WAF (firewall do aplicativo Web do Azure) e as atenuações de DDoS (negação de serviço distribuído) em sua abordagem de segurança de rede.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Por que: a simplicidade é fundamental para a segurança, pois reduz a probabilidade de risco de confusão, configurações incorretas e outros erros humanos.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. Consulte o princípio de segurança"simplicidade da unidade".See the "Drive Simplicity" security principle.

Os firewalls e o WAFs são controles de segurança básicos importantes para proteger aplicativos contra tráfego mal-intencionado, mas sua configuração e manutenção podem ser complexas e consumir uma quantidade significativa de tempo e atenção da equipe de segurança (semelhante à adição de partes aftermarket personalizadas a um carro).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). Os recursos nativos do Azure podem simplificar a implementação e a operação de firewalls, firewalls de aplicativos Web, atenuações de DDoS (negação de serviço distribuído) e muito mais.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Isso pode liberar o tempo e a atenção da sua equipe para tarefas de segurança de valor mais alto, como avaliar a segurança dos serviços do Azure, automatizar operações de segurança e integrar a segurança com aplicativos e soluções de ti.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Quem:Who:

  • Patrocínio: Essa atualização da estratégia de segurança de rede normalmente é patrocinada pela liderança de segurança e/ou pela liderança de tiSponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • Execução: Integrá-los à sua estratégia de segurança de rede na nuvem é um esforço colaborativo que envolve:Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • Arquitetura de segurança -estabelecer a arquitetura de segurança de rede de nuvem com clientes potenciais de rede de nuvem e rede de nuvem.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Clientes potenciais da rede em nuvem (operações de ti central) + leads de segurança de rede na nuvem (equipe de segurança de infraestrutura)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Estabelecer uma arquitetura de segurança de rede de nuvem com arquitetos de segurançaEstablish cloud network security architecture with security architects
      • Configurar funcionalidades de firewall, NSG e WAF e trabalhar com arquitetos de aplicativos em regras do WAFConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Arquitetos de aplicativos: Trabalhe com segurança de rede para criar e refinar conjuntos de regras WAF e configurações de DDoS para proteger o aplicativo sem interromper a disponibilidadeApplication architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Como: as organizações que procuram simplificar suas operações têm duas opções:How: Organizations looking to simplify their operations have two options:

  • Estenda as arquiteturas e os recursos existentes: Muitas organizações geralmente optam por estender o uso de recursos de firewall existentes para que eles possam aproveitar os investimentos existentes em habilidades e integração de processos, particularmente à medida que adotam a nuvem pela primeira vez.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Adote controles de segurança nativos: Cada vez mais organizações estão começando a preferir o uso de controles nativos para evitar a complexidade da integração de recursos de terceiros.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Normalmente, essas organizações buscam evitar o risco de uma configuração incorreta no balanceamento de carga, nas rotas definidas pelo usuário, no próprio firewall/WAF e nos atrasos em entregas entre diferentes equipes técnicas.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Essa opção é particularmente atraente para as organizações que adotam a infraestrutura como abordagens de código, pois podem automatizar e instrumentar os recursos internos com mais facilidade do que os recursos de terceiros.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

A documentação sobre os recursos de segurança de rede nativa do Azure pode ser encontrada em:Documentation on Azure native network security capabilities can be found at:

O Azure Marketplace inclui muitos provedores de firewall de terceiros.Azure Marketplace includes many third-party firewall providers.

Consulte também o benchmark de segurança do Azure NS-4: proteger aplicativos e serviços de ataques de rede externa.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. tecnologia: integrar a detecção de ameaças nativas8. Technology: Integrate native threat detection

Simplifique a detecção e a resposta de ataques contra dados e sistemas do Azure.Simplify detection and response of attacks against Azure systems and data.

O que: Simplifique sua estratégia de detecção e resposta de ameaças incorporando recursos de detecção de ameaças nativas em suas operações de segurança e Siem.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Por que: a finalidade das operações de segurança é reduzir o impacto dos invasores ativos que obtêm acesso ao ambiente, conforme medido pelo tempo médio para reconhecer (MTTA) e corrigir incidentes (MTTR).Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. Isso exige precisão e velocidade em todos os elementos da resposta a incidentes, portanto, a qualidade das ferramentas e a eficiência da execução do processo são imprescindíveis.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

É difícil obter detecções de alta ameaça usando ferramentas existentes e abordagens projetadas para detecção de ameaças locais devido a diferenças na tecnologia de nuvem e seu ritmo rápido de alteração.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. As detecções nativamente integradas fornecem soluções de escala industrial mantidas pelos provedores de nuvem que podem acompanhar as alterações atuais e as mudanças na plataforma de nuvem.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Essas soluções nativas também permitem que as equipes de operações de segurança se concentrem na investigação e na correção de incidentes, em vez de desperdiçar tempo tentando criar alertas de dados de log desconhecidos, ferramentas de integração e tarefas de manutenção.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Quem: isso geralmente é orientado pela equipe de operações de segurança .Who: This is typically driven by the Security Operations team.

  • Patrocínio: Isso geralmente é patrocinado pelo diretor de operações de segurança (ou equivalente).Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • Execução: A integração da detecção de ameaças nativas é um esforço colaborativo que envolve aqueles com:Execution: Integrating native threat detection is a collaborative effort involving those with:
    • Operações de segurança: integre alertas em processos Siem e investigação de incidentes, instrua analistas sobre alertas de nuvem e o que eles significam e como usar as ferramentas de nuvem nativas.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Preparação do incidente: Integre incidentes de nuvem em exercícios práticos e garanta que exercícios práticos sejam conduzidos para impulsionar a preparação da equipe.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Inteligência contra ameaças: Pesquise e integre informações sobre ataques de nuvem para informar as equipes com o contexto e a inteligência.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Arquitetura de segurança: Integre ferramentas nativas à documentação da arquitetura de segurança.Security Architecture: Integrate native tooling into security architecture documentation.
    • Política e padrões: Defina os padrões e a política para habilitar ferramentas nativas em toda a organização.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Monitorar a conformidade.Monitor for compliance.
    • Infraestrutura e ponto de extremidade / Operações de ti central: Configure e habilite detecções, integre-se à automação e à infraestrutura como soluções de código.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Como: habilitar a detecção de ameaças na central de segurança do Azure para todos os recursos que você está usando e fazer com que cada equipe os integre em seus processos, conforme descrito acima.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

Consulte também o benchmark de segurança do Azure lt-1: habilitar a detecção de ameaças para recursos do Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. arquitetura: padronizar em um único diretório e identidade9. Architecture: Standardize on a single directory and identity

Ninguém quer lidar com várias identidades e diretórios.Nobody wants to deal with multiple identities and directories.

O que: padronizar em um único diretório do Azure AD e uma única identidade para cada aplicativo e usuário no Azure (para todas as funções de identidade da empresa).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Observação

Essa prática recomendada se refere especificamente aos recursos da empresa.This best practice refers specifically to enterprise resources. Para contas de parceiros, use o B2B do Azure ad para que você não precise criar e manter contas em seu diretório.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. Para contas de cliente/cidadão, use Azure ad B2C para gerenciá-las.For customer/citizen accounts, use Azure AD B2C to manage them.

Por que: várias contas e diretórios de identidade criam um conflito e confusão desnecessários em fluxos de trabalho diários para usuários de produtividade, desenvolvedores, administradores de identidade e ti, analistas de segurança e outras funções.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

O gerenciamento de várias contas e diretórios também cria um incentivo para práticas de segurança inadequadas, como reutilizar a mesma senha em contas e aumenta a probabilidade de contas obsoletas/abandonadas que os invasores podem atingir.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

Embora às vezes pareça mais fácil criar rapidamente um diretório personalizado (baseado em LDAP, etc.) para um determinado aplicativo ou carga de trabalho, isso cria muito mais trabalhos de integração e manutenção para configurar e gerenciar.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. Isso é semelhante, de muitas formas, à decisão de configurar um locatário do Azure adicional ou uma floresta Active Directory local adicional versus usar a empresa existente.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. Consulte também o princípio de segurança"simplicidade da unidade".See also the "Drive Simplicity" security principle.

Quem: isso é muitas vezes um esforço de várias equipes orientado por arquitetura de segurança ou por equipes de gerenciamento de chaves e identidades .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Como adotar uma abordagem pragmática que começa com novos recursos de Greenfield (crescendo hoje) e, em seguida, limpa os desafios com o Brownfield dos aplicativos e serviços existentes como um exercício de acompanhamento:How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • Greenfield: Estabeleça e implemente uma política clara de que toda a identidade empresarial em diante deve usar um único diretório do Azure AD com uma única conta para cada usuário.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Brownfield: Muitas organizações geralmente têm vários diretórios herdados e sistemas de identidade.Brownfield: Many organizations often have multiple legacy directories and identity systems. Resolva-os quando o custo do conflito de gerenciamento contínuo exceder o investimento para limpá-lo.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Embora as soluções de sincronização e gerenciamento de identidade possam atenuar alguns desses problemas, elas não têm uma integração profunda dos recursos de segurança e produtividade que permitem uma experiência tranqüila para usuários, administradores e desenvolvedores.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

O momento ideal para consolidar o uso da identidade é durante os ciclos de desenvolvimento de aplicativos como você:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Modernizar aplicativos para a nuvemModernize applications for the cloud
  • Atualizar aplicativos de nuvem com processos do DevOpsUpdate cloud applications with DevOps processes

Embora haja motivos válidos para um diretório separado no caso de unidades de negócios extremamente independentes ou requisitos regulatórios, vários diretórios devem ser evitados em todas as outras circunstâncias.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

Consulte também a ID de benchmark de segurança do Azure -1: padronizar Azure Active Directory como o sistema de autenticação e identidade central.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Importante

A única exceção à regra de contas únicas é que usuários com privilégios (incluindo administradores de ti e analistas de segurança) devem ter contas separadas para tarefas de usuário padrão versus tarefas administrativas.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Para obter mais informações, consulte acesso privilegiadodo benchmark de segurança do Azure.For more information, see Azure Security Benchmark Privileged Access.

10. arquitetura: usar controle de acesso baseado em identidade (em vez de chaves)10. Architecture: Use identity based access control (instead of keys)

O que: Use as identidades do Azure AD em vez da autenticação baseada em chave sempre que possível (serviços do Azure, aplicativos, APIs, etc.).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Por que: a autenticação baseada em chave pode ser usada para autenticar em serviços de nuvem e APIs, mas requer o gerenciamento de chaves com segurança, o que é desafiador a funcionar bem (especialmente em escala).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). O gerenciamento de chaves seguro é difícil para profissionais que não são de segurança, como desenvolvedores e profissionais de infra-estrutura, e geralmente não conseguem fazê-lo com segurança, geralmente criando grandes riscos de segurança para a organização.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

A autenticação baseada em identidades supera muitos desses desafios com recursos maduros para a rotação secreta, o gerenciamento do ciclo de vida, a delegação administrativa e muito mais.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Quem: isso é muitas vezes um esforço de várias equipes orientado por arquitetura de segurança ou por equipes de gerenciamento de chaves e identidades .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Como configurar uma preferência organizacional e um hábito para usar a autenticação baseada em identidades requer o uso de um processo e a habilitação da tecnologia.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

O processo:The process:

  1. Estabeleça políticas e padrões que descrevam claramente a autenticação padrão baseada em identidade, bem como exceções aceitáveis.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Instrua os desenvolvedores a & equipes de infraestrutura sobre por que usar a nova abordagem, o que eles precisam fazer e como fazer isso.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Implemente alterações de forma pragmática – começando com novos recursos de Greenfield que estão sendo adotados agora e no futuro (novos serviços do Azure, novos aplicativos) e depois seguindo uma limpeza das configurações de Brownfield existentes.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. Monitore a conformidade e acompanhe as equipes de desenvolvedor e de infraestrutura para corrigir.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

As tecnologias: Para contas não humanas, como serviços ou automação, use identidades gerenciadas.The technologies: For non-human accounts such as services or automation, use managed identities. As identidades gerenciadas do Azure podem ser autenticadas nos serviços e recursos do Azure que dão suporte à autenticação do Azure AD.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais embutidas no código-fonte ou arquivos de configuração.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

Para serviços que não dão suporte a identidades gerenciadas, use o Azure AD para criar uma entidade de serviço com permissões restritas no nível de recurso.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. Recomendamos configurar entidades de serviço com credenciais de certificado e fazer fallback para os segredos do cliente.We recommended configuring service principals with certificate credentials and fall back to client secrets. Em ambos os casos, Azure Key Vault pode ser usado em conjunto com as identidades gerenciadas do Azure, para que o ambiente de tempo de execução (como uma função do Azure) possa recuperar a credencial do cofre de chaves.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

Consulte também a ID de benchmark de segurança do Azure -2: gerenciar identidades de aplicativo de forma segura e automática.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. arquitetura: estabelecer uma única estratégia de segurança unificada11. Architecture: Establish a single unified security strategy

Todos precisam de linha na mesma direção para que o barco avance.Everyone needs to row in the same direction for the boat to go forward.

O que: garanta que todas as equipes estejam alinhadas a uma única estratégia que habilita e protege os sistemas e dados corporativos.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Por que: quando as equipes trabalham isoladamente sem estarem alinhadas a uma estratégia comum, suas ações individuais podem prejudicar os esforços uns dos outros, criando um conflito desnecessário que reduz o progresso contra as metas de todos.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

Um exemplo disso que reproduziu consistentemente em muitas organizações é a segmentação de ativos:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • A equipe de segurança de rede desenvolve uma estratégia para segmentar uma rede simples para aumentar a segurança (geralmente com base em sites físicos, endereços/intervalos de endereços IP atribuídos ou semelhantes)The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Separadamente, a equipe de identidade desenvolveu uma estratégia para grupos e Active Directory UOs (unidades organizacionais) com base em sua compreensão e conhecimento da organização.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • As equipes de aplicativos geralmente acham difícil trabalhar com esses sistemas porque foram projetados com entrada limitada e compreensão das operações, dos objetivos e dos riscos de negócios.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

Nas organizações em que isso acontece, as equipes frequentemente experimentam conflitos por meio de exceções de firewall, que afetam negativamente a segurança (as exceções geralmente são aprovadas) e a produtividade (a implantação é retardada para a funcionalidade do aplicativo de que as necessidades comerciais).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

Embora a segurança possa criar um conflito íntegro forçando o pensamento crítico, esse conflito cria apenas um resfriamento não íntegro que impede as metas.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Para obter mais informações, consulte diretrizes de estratégia de segurança: o nível certo de conflito de segurança.For more information, see Security strategy guidance: the right level of security friction.

UsuáriosWho:

  • Patrocínio: A estratégia unificada normalmente é copatrocinada por CIO, CISO e CTO (geralmente com suporte de liderança de negócios para alguns elementos de alto nível) e defensora dos representantes de cada equipe.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Execução: A estratégia de segurança deve ser implementada por todos, portanto, ela deve integrar a entrada de várias equipes para aumentar a propriedade, comprar e probabilidade de sucesso.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Arquitetura de segurança: Lidera o esforço para criar uma estratégia de segurança e a arquitetura resultante, coletar ativamente os comentários das equipes e documentá-los em apresentações, documentos e diagramas para os diversos públicos.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Política e padrões: Captura os elementos apropriados em padrões e políticas e, em seguida, monitora a conformidade.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Todas as equipes de ti e segurança técnica: Forneça os requisitos de entrada e, em seguida, alinhe e implemente a estratégia Enterprise.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Proprietários e desenvolvedores de aplicativos: Leia e entenda a documentação da estratégia que se aplica a eles (idealmente, diretrizes adaptadas à sua função).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Como:How:

Crie e implemente uma estratégia de segurança para nuvem que inclua a participação ativa e de entrada de todas as equipes.Build and implement a security strategy for cloud that includes the input and active participation of all teams. Embora o formato de documentação do processo varie, isso sempre deve incluir:While the process documentation format will vary, this should always include:

  • Entrada ativa de equipes: As estratégias normalmente falham se as pessoas da organização não comprarem nelas.Active input from teams: Strategies typically fail if people in the organization don't buy into them. Idealmente, obtenha todas as equipes na mesma sala para criar a estratégia de forma colaborativa.Ideally, get all teams in the same room to collaboratively build the strategy. Nos workshops que realizamos com os clientes, muitas vezes achamos que as organizações estão operando em silos de fato e essas reuniões geralmente resultam em pessoas que atendem umas às outras pela primeira vez.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Também descobrimos que a inclusividade é um requisito.We also find that inclusiveness is a requirement. Se algumas equipes não forem convidadas, essa reunião normalmente precisará ser repetida até que todos os participantes a ingressem (ou o projeto não avance).If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • Documentado e comunicado de forma clara: Todas as equipes devem ter consciência da estratégia de segurança (idealmente um componente de segurança da estratégia de tecnologia geral), incluindo por que integrar a segurança, o que é importante em segurança e qual é a aparência do sucesso de segurança.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. Isso deve incluir diretrizes específicas para equipes de aplicativos e desenvolvimento para que eles possam obter uma orientação priorizada clara sem precisar ler as partes não relevantes da orientação.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Estável, mas flexível: As estratégias devem permanecer relativamente consistentes e estáveis, mas as arquiteturas e a documentação podem precisar de alterações para adicionar clareza e acomodar a natureza dinâmica da nuvem.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Por exemplo, a filtragem de tráfego externo mal-intencionado permaneceria consistente como imperativa estratégica, mesmo se você mudar do uso de um firewall de última geração de terceiros para o Firewall do Azure e ajustar diagramas/diretrizes sobre como fazer isso.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • Iniciar com segmentação: No decorrer da adoção da nuvem, suas equipes abordarão muitos tópicos de estratégia grandes e pequenos, mas você precisará começar em algum lugar.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. É recomendável iniciar a estratégia de segurança com a segmentação de ativos corporativos, pois ela é uma decisão fundamental que seria desafiadora para ser alterada posteriormente e requer tanto a entrada comercial quanto muitas equipes técnicas.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

A Microsoft publicou diretrizes de vídeo para aplicar uma estratégia de segmentação ao Azure , bem como documentos sobre segmentação corporativa e alinhar a segurança de rede a ele.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

A estrutura de adoção de nuvem inclui diretrizes para ajudar suas equipes com:The Cloud Adoption Framework includes guidance to help your teams with:

Consulte também a estratégia e governança de benchmark de segurança do Azure.Also see the Azure Security Benchmark governance and strategy.