Tutorial: Gerenciar segurança da plataforma de nuvem

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog do Microsoft Ignite Security.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

O trabalho remoto geralmente leva ao uso extensivo de aplicativos de nuvem e plataformas de nuvem para tarefas de negócios comuns e revela a necessidade de proteger os ambientes de nuvem e a adoção de produtos de segurança de nuvem. De acordo com o modelo de responsabilidade compartilhada, uma organização é responsável por gerenciar e proteger a própria plataforma de nuvem: IAM (Gerenciamento de Identidades e Acesso), VM (Máquinas Virtuais) e os recursos de computação delas, dados e armazenamento, recursos de rede e muito mais.

Securing your multi-cloud environment.

Como o gerenciamento da postura de segurança ajuda?

É crítico ter as ferramentas de segurança apropriadas em vigor para proteger os recursos que talvez não tenham sido adequadamente protegidos. As organizações precisam obter visibilidade sobre a postura dos recursos de nuvem delas, ter funcionalidades de descoberta para conhecer o uso real de cada plataforma, poder monitorar atividades suspeitas, avaliar e examinar configurações e status de conformidade e estarem habilitadas para implantar mecanismos de proteção em tempo real.

O GPSN (Gerenciamento da Postura de Segurança na Nuvem) também se estende para além da postura de segurança de IaaS e PaaS a fim de abranger as configurações de SaaS também. Por exemplo, o repositório GitHub com um nível de acesso público ou aplicativos OAuth que têm acesso aos meus aplicativos SaaS como Office 365, Google Workspace ou Sales Force. O CSPM saaS é um domínio novo e crescente do CSPM, que é uma expansão nativa do produto Defender para Nuvem Apps.

Proteger várias nuvens em um único portal de gerenciamento

Muitas organizações usam várias plataformas de nuvem para diferentes finalidades e diferentes escalas e status de implantação. A moderna complexidade delas requer a capacidade de acompanhar o ambiente multinuvem regularmente. O status de implantação de alguns serviços pode ser alterado ao longo do tempo e não necessariamente com notificação total das alterações feitas nas equipes de segurança. Reunindo esses sinais em um portal, a experiência de administração é simplificada para um gerenciamento de tempo e recursos ainda mais eficiente, tanto para as pessoas que realizam o monitoramento quanto as que usam recursos de nuvem.

A postura de segurança organizacional abrange todas as plataformas de nuvem em uma organização e essa nova funcionalidade foi criada para ser usada por arquitetos de segurança, administradores de segurança central ou analistas de conformidade. Com base nesse recurso, os administradores podem examinar as assinaturas com recursos que não estão em conformidade e promover a correção de cada uma delas pelo proprietário do recurso.

Neste tutorial, você aprenderá a usar Defender para Nuvem Aplicativos para proteger suas plataformas de nuvem do Azure, AWS e GCP:

Como proteger seu ambiente multinuvem

Para evitar configurações incorretas críticas da plataforma de nuvem, é importante que as organizações tenham visibilidade no nível dos locatários multinuvem sobre os respectivos status de configuração de nuvem e possam aprimorar a postura de segurança delas com base nas recomendações de conformidade e em parâmetros de comparação de segurança. Use o processo a seguir para proteger o ambiente multinuvem da sua organização.

Fase 1: Descobrir recursos, o uso e a TI sombra multinuvem

Identificar a postura de segurança: comece identificando a postura de segurança na nuvem da sua organização executando o Cloud Discovery para ver o que está acontecendo em sua rede e avaliar o uso real dos recursos em suas plataformas de nuvem. Você pode fazer isso configurando o Cloud Discovery para monitorar e analisar o tráfego de rede no Defender para Nuvem Apps. A análise de logs de tráfego da Web com a descoberta de TI sombra de aplicativos Defender para Nuvem fornece uma visibilidade aprimorada sobre o uso de TI sombra de recursos de nuvem, identificando atividades anômalas usando o mecanismo de detecção de anomalias Machine Learning ou usando políticas personalizadas que você define:

  • Descobrir: descubra o uso nas plataformas de nuvem de hospedagem de recursos de sua organização. Por exemplo, avalie o volume real de dados que foram baixados de seus recursos de armazenamento e identifique o uso de recursos suspeitos que possa indicar tentativas de exfiltração dos dados. Da mesma forma, identifique atividades de upload suspeitas que possam indicar uma tentativa de comprometer seu ambiente injetando código mal-intencionado em um destino.

  • Investigue: use a página Recursos descobertos para exibir o acesso a dados entre recursos, incluindo contas de armazenamento, infraestrutura e aplicativos personalizados hospedados no Azure, na AWS e na GCP. Faça perguntas, como: havia um número suspeito de transações para acessar um recurso específico?

    View discovered resources.

    Para investigar ainda mais, você pode fazer drill down em cada recurso para ver os tipos de transações que ocorreram, quem o acessou e, em seguida, fazer drill down para investigar ainda mais os usuários.

    Investigate discovered resources.

Fase 2: Monitorar atividades e alertas para detectar comportamentos suspeitos entre cargas de trabalho

Acompanhe atividades suspeitas que podem indicar uma violação, como uma alteração de função do IAM (Identity & Access Management) ou a alteração da configuração do CloudTrail. Por exemplo, use nosso modelo de política de buckets do AWS S3 predefinido publicamente acessível para acompanhar as alterações de configuração do bucket S3.

O monitoramento de logs de auditoria para alterações suspeitas é um ótimo lugar para aplicar ferramentas de detecção de anomalias, gerando alertas sobre possíveis violações por meio da identificação de várias tentativas de logon com falha ou várias atividades de VM excluídas em combinação com um cenário de viagem impossível.

View alerts.

Use o que você aprender com os alertas para ajustar as detecções de atividade do usuário a fim de identificar comprometimentos verdadeiros e reduzir o excesso de alertas resultantes do manuseio de grandes volumes de detecções de falsos positivos. Considere ajustar os seguintes parâmetros de política:

Fase 3: Avaliar e corrigir configurações incorretas e o status de conformidade da plataforma de nuvem

Avalie o status de sua conformidade de segurança por locatário, em todas as plataformas de nuvem pública, incluindo assinaturas do Azure, contas da AWS e projetos GCP. As avaliações permitem que você comunique lacunas de configuração e detalhes de recomendação para proprietários de recursos e promova a correção.

Cada plataforma de nuvem fornece uma lista de recursos configurados incorretamente com base nas melhores práticas de conformidade regulatória.

Os arquitetos de nuvem ou analistas de conformidade podem avaliar as lacunas de configuração de cada ambiente de nuvem e promover a correção por proprietários de recursos. Por exemplo, as recomendações podem ser avaliadas por:

  • Assinatura para diferenciar entre ambientes de produção e não produção
  • Gravidade para identificar recomendações de alta severidade que geralmente têm diferentes SLA e processos relativos a recomendações de baixa severidade

Para recomendações de configuração de segurança do Azure, apresentamos recomendações de todo o locatário do Azure e todas as suas assinaturas com base em Microsoft Defender para Nuvem melhores práticas. Selecionar uma recomendação redireciona você para a página de recomendação no Microsoft Defender para Nuvem, em que você pode ver detalhes adicionais sobre a recomendação e usá-la para conduzir a correção pelo proprietário da assinatura. Algumas recomendações têm opções de Correção Rápida para corrigir o problema. Para obter mais informações sobre as recomendações de segurança do Azure, confira Configuração de segurança para o Azure.

View Azure recommendations.

Para recomendações de configuração de segurança da AWS, você pode selecionar uma recomendação para fazer drill down dos recursos afetados. Por exemplo, a recomendação 2.9 da AWS CIS "Verifique se o log de fluxo VPC está habilitado em todos os VPC" revela recursos que não têm o log de VPC habilitado. Os detalhes incluem os nomes do VPC, a conta na qual o recurso está hospedado e a região. Você pode selecionar o link da AWS para exibir a localização relevante e alterar as configurações relacionadas na AWS para cumprir a recomendação. Para obter mais informações sobre a Configuração de Segurança para a AWS, confira Configuração de segurança para a AWS.

View AWS recommendations.

Para recomendações de configuração de segurança da GCP, a seleção em uma recomendação revela informações detalhadas da recomendação e as etapas de correção para ajudar você a entender melhor e a avaliar o impacto e o esforço da correção do problema. Em seguida, você pode selecionar o link do Centro de Comando de Segurança da GCP para corrigir a localização na plataforma. Para obter mais informações sobre as recomendações da GCP, confira Configuração de segurança para a GCP.

View GCP recommendations.

Fase 4: Automatizar a proteção e a imposição de políticas para recursos de nuvem em tempo real

Proteja os recursos da sua organização contra vazamentos e roubo de dados em tempo real aplicando políticas de controle de acesso e de sessão. Para obter mais informações, confira Proteger aplicativos em tempo real.

  • Impeça a exfiltração dos dados bloqueando downloads para dispositivos não gerenciados ou arriscados. Proteja o download em uma sessão arriscada.
  • Impeça o upload de arquivos mal-intencionados para suas plataformas de nuvem e bloqueie o acesso a usuários específicos com base em muitos fatores de risco.

Specify policy remediation action.

Confira também

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.