Introdução às melhores práticas
Este módulo aborda o tópico de estruturas de Confiança Zero e as melhores práticas para recursos de segurança cibernética da Microsoft.
Imagine que você é um arquiteto de segurança cibernética em uma grande organização. Você foi encarregado de modernizar a segurança cibernética da organização. Você sabe que as melhores práticas são essenciais para atingir essa meta, mas não tem certeza de qual estrutura usar. Você já ouviu falar sobre Confiança Zero e seus benefícios potenciais, mas não tem certeza de como começar. Este módulo ajuda você a entender as melhores práticas e como usá-las como arquiteto de segurança cibernética. Você também aprenderá sobre o conceito de Confiança Zero e como começar a usá-lo em um organização.
O módulo é dividido em cinco unidades:
- Introdução às melhores práticas
- Introdução à Confiança Zero
- Iniciativas de Confiança Zero
- Pilares da tecnologia de Confiança Zero – Parte 1
- Pilares da tecnologia de Confiança Zero – Parte 2
Ao final deste módulo, você poderá entender como usar as melhores práticas como um arquiteto de segurança cibernética, entender o conceito de Confiança Zero e como ele pode ser usado para modernizar a segurança cibernética de uma organização e entender quando usar diferentes estruturas de melhores práticas, como MCRA, CAF e WAF.
Objetivos do aprendizado
Após a conclusão deste módulo, o estudante poderá:
- Aprenda a adotar as melhores práticas como arquiteto de segurança cibernética.
- Entenda o conceito da Confiança Zero e como ela pode ser usada para modernizar a segurança cibernética de uma organização.
- Entenda quando usar diferentes estruturas de melhores práticas, como MCRA, CAF e WAF.
O conteúdo no módulo ajuda você a se preparar para o exame de certificação SC-100: Arquiteto de Segurança Cibernética da Microsoft.
Pré-requisitos
- Conhecimento conceitual sobre políticas de segurança, requisitos, arquitetura de confiança zero e gerenciamento de ambientes híbridos
- Experiência de trabalho com estratégias de confiança zero, aplicação de políticas de segurança e desenvolvimento de requisitos de segurança com base nas metas de negócios
Práticas recomendadas
As melhoras práticas são métodos recomendados para realizar tarefas considerados mais eficazes ou eficientes. Elas ajudam a evitar erros e garantem que seus recursos e esforços não sejam desperdiçados.
Há muitas formas de melhores práticas:
- Instruções exatas sobre o que fazer, por que fazê-lo, quem deve executar a tarefa e como ela deve ser realizada
- Princípios gerais para ajudar com diferentes tipos de decisões e ações
- Diretrizes pertencentes a uma arquitetura de referência que descreve os componentes a serem incluídos em uma solução e como realizar a integração deles
A Microsoft integrou as melhores práticas de segurança em diversas formas de diretrizes, incluindo as seguintes:
- Arquitetura de referência de Segurança Cibernética da Microsoft
- Referência de segurança de nuvem da Microsoft
- CAF (Cloud Adoption Framework)
- A WAF (Well-Architected Framework ) do Azure
- Melhores práticas de segurança da Microsoft
Antipadrões
Um antipadrão é um erro comum que gera resultados negativos. É o oposto de uma melhor prática. Muitas melhores práticas são projetadas para ajudar você a evitar antipadrões.
Um exemplo de melhor prática que ajuda a superar diversos antipadrões é a aplicação regular de patches de segurança. A Microsoft observou muitos antipadrões que atrapalham a aplicação regular dessa melhor prática de segurança básica e extremamente importante:
Patches não são aplicados (a menos que sejam críticos): este antipadrão evita a instalação de patches devido a uma suposição implícita de que eles não são importantes. Outra versão da mesma situação é a frase “não aconteceria conosco”, uma crença de que vulnerabilidades não corrigidas não serão exploradas porque isso nunca aconteceu antes (ou porque você nunca as detectou).
Aguardar o patch ideal em vez de desenvolver resiliência: este antipadrão evita a realização de patches por medo de que algo possa dar errado com eles. Também aumenta a probabilidade de tempo de inatividade devido a invasores.
Modelo de responsabilidade incorreto: este antipadrão responsabiliza a área de segurança pelos resultados negativos dos patches. Esse modelo de responsabilidade faz com que outras equipes despriorizem a manutenção da segurança
Seleção de patches excessivamente personalizada: este antipadrão usa critérios exclusivos de aplicação de patches em vez de aplicar todos os recomendados pelo fabricante. Essa personalização cria compilações personalizadas do Windows, do Linux e de aplicativos que nunca foram testadas nessa configuração exata.
Concentrar-se somente nos sistemas operacionais: este antipadrão corrige apenas servidores e estações de trabalho, e não aborda contêineres, aplicativos, firmwares e dispositivos IoT/OT
Como os arquitetos usam as melhores práticas
As melhores práticas de segurança devem ser integradas às habilidades e aos hábitos das pessoas, além de aos processos organizacionais e à arquitetura e implementação de tecnologias.
Os arquitetos de segurança cibernética ajudam a integrar as melhores práticas de segurança e torná-las acionáveis por meio do seguinte:
- Integração das melhores práticas na política e na arquitetura de segurança
- Aconselhamento dos líderes de segurança quanto à integração das melhores práticas nos processos de negócios, nos processos técnicos e na cultura.
- Aconselhamento das equipes técnicas quanto à implementação das melhores práticas e quanto aos recursos de tecnologia que facilitam esse processo.
- Aconselhamento de outros na organização, como arquitetos corporativos, arquitetos de TI, proprietários de aplicativos, desenvolvedores, entre outros, sobre a integração das melhores práticas de segurança em suas áreas de propriedade.
A menos que haja um motivo para evitá-las, você deve sempre seguir as melhores práticas. As organizações devem seguir melhores práticas bem definidas e fundamentadas, a menos que haja um motivo específico para evitá-las. Embora algumas organizações possam ignorar certas melhores práticas por motivos válidos, é preciso ter cautela ao ignorar práticas como as fornecidas pela Microsoft. As melhores práticas não são perfeitamente aplicáveis a todas as situações, mas funcionam comprovadamente em diversos cenários, por isso, não as ignore ou altere sem uma boa razão.
Adaptar-se, mas sem personalizar demais: as melhores práticas são diretrizes gerais que funcionam na maioria das organizações. No entanto, pode ser preciso adaptá-las às suas circunstâncias exclusivas. Tenha cuidado para não personalizá-las a ponto de perderem o valor original. Um exemplo disso é adotar a autenticação multifator e o logon sem senha, mas abrir exceções para as contas de negócios e de TI de maior impacto que os invasores mais desejam explorar.
A adoção de melhores práticas reduz erros comuns e melhora a eficácia e a eficiência gerais da segurança. O diagrama a seguir resume antipadrões importantes e as melhores práticas.
Qual estrutura eu devo escolher?
| Estrutura | Resumo | Quando usar | Público | Organizações | Materiais |
|---|---|---|---|---|---|
| Iniciativas RaMP de Confiança Zero | O guia de Confiança Zero baseado em iniciativas projetadas para fornecer ganhos rápidos em áreas de alto impacto. Planos organizados cronologicamente que identificam os principais stakeholders. | Quando você deseja começar a usar a Confiança Zero e fazer progressos rapidamente. | Arquitetos de nuvem, profissionais de TI e tomadores de decisão de negócios | Adotantes da nuvem e da Confiança Zero de estágio inicial | Planos de projeto com listas de verificação |
| Objetivos da implantação da Confiança Zero | Guia de Confiança Zero com etapas de configuração detalhadas para cada um dos pilares de tecnologia. Mais abrangente que as iniciativas RaMP. | Quando você quer um guia mais abrangente sobre a distribuição da Confiança Zero. | Arquitetos de nuvem, profissionais de TI | Organizações que fizeram algum progresso com a Confiança Zero e querem diretrizes detalhadas para aproveitar ao máximo a tecnologia. | Planos de implantação com objetivos primários e secundários. |
| MCRA | O MCRA é um conjunto de diagramas que inclui muitas melhores práticas relacionadas à iniciativa de modernização do controle de acesso no RaMP de Confiança Zero | Quando você deseja: um modelo inicial para uma arquitetura de segurança, uma referência de comparação para recursos de segurança, saber mais sobre os recursos da Microsoft, saber mais sobre os investimentos em integração da Microsoft | Arquitetos de nuvem, profissionais de TI | Adotantes da nuvem e da Confiança Zero de estágio inicial | Slides do PowerPoint com diagramas |
| MCSB | Uma estrutura para avaliar a postura de segurança do ambiente de nuvem de uma organização em relação aos padrões e às melhores práticas do setor. | Em busca de diretrizes para implementar controles de segurança e monitorá-los quanto à conformidade. | Arquitetos de nuvem, profissionais de TI | Tudo | Especificações detalhadas de controles e linhas de base de serviço |
| CAF | Uma estrutura de documentação e implementação para melhores práticas em todo o ciclo de vida de adoção da nuvem, fornecendo uma abordagem passo a passo para migração e gerenciamento de nuvem usando o Azure. | Quando você pretende criar e implementar estratégias de negócios e tecnologia para a nuvem. | Arquitetos de nuvem, profissionais de TI e tomadores de decisão de negócios | Organizações que precisam de diretrizes técnicas para o Microsoft Azure | Melhores práticas, documentação e ferramentas |
| WAF | Uma estrutura projetada para ajudar os clientes a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para aplicativos e cargas de trabalho no Azure, usando cinco pilares: otimização de custos, excelência operacional, eficiência de desempenho, confiabilidade e segurança. | Quando você busca aprimorar a qualidade de uma carga de trabalho de nuvem. | Arquitetos de nuvem, profissionais de TI | Tudo | Azure Well-Architected Review, Assistente do Azure, Documentação, Parceiros, Ofertas de Suporte e Serviços, Arquiteturas de referência, Princípios de design |