Princípios de conceção da segurança
Uma carga de trabalho Well-Architected tem de ser criada com uma abordagem de confiança zero. Uma carga de trabalho segura é resiliente a ataques e incorpora os princípios de segurança interligados de confidencialidade, integridade e disponibilidade (também conhecida como tríade CIA) para além de cumprir os objetivos comerciais. Qualquer incidente de segurança tem o potencial de se tornar uma falha grave que prejudica a marca e a reputação da carga de trabalho ou organização. Para medir a eficácia de segurança da sua estratégia geral para uma carga de trabalho, comece com estas perguntas:
Os seus investimentos defensivos fornecem custos e atritos significativos para impedir que os atacantes comprometam a sua carga de trabalho?
As suas medidas de segurança serão eficazes na restrição do raio de explosão de um incidente?
Compreende como controlar a carga de trabalho pode ser útil para um atacante? Compreende o impacto na sua empresa se a carga de trabalho e os respetivos dados forem roubados, indisponíveis ou adulterados?
A carga de trabalho e as operações podem detetar, responder e recuperar rapidamente de interrupções?
À medida que cria o seu sistema, utilize o modelo microsoft Confiança Zero como bússola para mitigar os riscos de segurança:
Verifique explicitamente para que apenas as identidades fidedignas executem as ações pretendidas e permitidas com origem em localizações esperadas. Esta salvaguarda torna mais difícil para os atacantes representarem contas e utilizadores legítimos.
Utilize o acesso com menos privilégios para as identidades certas, com o conjunto certo de permissões, para a duração certa e para os recursos certos. A limitação de permissões ajuda a impedir os atacantes de abusar de permissões de que os utilizadores legítimos nem sequer precisam.
Assuma a violação dos controlos de segurança e os controlos de compensação de design que limitam o risco e os danos se uma camada primária de defesa falhar. Fazê-lo ajuda-o a defender melhor a carga de trabalho ao pensar como um atacante interessado no sucesso (independentemente da forma como a obtém).
A segurança não é um esforço único. Tem de implementar esta documentação de orientação de forma periódica. Melhore continuamente as suas defesas e conhecimentos de segurança para ajudar a manter a sua carga de trabalho a salvo de atacantes que estão constantemente a obter acesso a vetores de ataque inovadores à medida que são desenvolvidos e adicionados a kits de ataque automatizados.
Os princípios de conceção destinam-se a estabelecer uma mentalidade de segurança contínua para o ajudar a melhorar continuamente a postura de segurança da sua carga de trabalho à medida que as tentativas de atacantes evoluem continuamente. Estes princípios devem orientar a segurança da sua arquitetura, escolhas de design e processos operacionais. Comece com as abordagens recomendadas e justifique as vantagens de um conjunto de requisitos de segurança. Depois de definir a sua estratégia, impulsione as ações através da Lista de verificação de segurança como passo seguinte.
Se estes princípios não forem aplicados corretamente, poderá ser esperado um impacto negativo nas operações empresariais e nas receitas. Algumas consequências podem ser óbvias, como penalizações para cargas de trabalho regulamentares. Outros podem não ser tão óbvios e podem levar a problemas de segurança contínuos antes de serem detetados.
Em muitas cargas de trabalho fundamentais para a missão, a segurança é a principal preocupação, juntamente com a fiabilidade, dado que alguns vetores de ataque, como a transferência de dados não afetam a fiabilidade. A segurança e a fiabilidade podem solicitar uma carga de trabalho em direções opostas, uma vez que o design focado na segurança pode introduzir pontos de falha e aumentar a complexidade operacional. O efeito da segurança na fiabilidade é muitas vezes indireto, introduzido através de restrições operacionais. Considere cuidadosamente as desvantagens entre segurança e fiabilidade.
Ao seguir estes princípios, pode melhorar a eficácia de segurança, proteger os recursos de carga de trabalho e criar confiança com os seus utilizadores.
Planear a preparação para a segurança
 Esforce-se por adotar e implementar práticas de segurança em operações e decisões de design de arquitetura com um mínimo de atrito. |
|---|
Enquanto proprietário da carga de trabalho, tem uma responsabilidade partilhada com a organização para proteger os recursos. Crie um plano de preparação de segurança alinhado com as prioridades empresariais. Conduzirá a processos bem definidos, a investimentos adequados e a responsabilidades adequadas. O plano deve fornecer os requisitos de carga de trabalho à organização, que também partilha a responsabilidade pela proteção de recursos. Os planos de segurança devem ter em conta a sua estratégia de fiabilidade, modelação de estado de funcionamento e auto-preservação.
Para além dos recursos organizacionais, a carga de trabalho em si tem de ser protegida contra ataques de intrusão e de exfiltração. Todas as facetas de Confiança Zero e a tríade da CIA devem ser tidas em conta no plano.
Os requisitos funcionais e não funcionais, as restrições orçamentais e outras considerações não devem restringir investimentos de segurança nem diluir garantias. Ao mesmo tempo, tem de criar e planear investimentos de segurança com essas restrições e restrições em mente.
| Abordagem | Vantagem |
|---|---|
| Utilize a segmentação como estratégia para planear limites de segurança no ambiente de carga de trabalho, nos processos e na estrutura da equipa para isolar o acesso e a função. A sua estratégia de segmentação deve ser orientada por requisitos empresariais. Pode basear-se na importância dos componentes, divisão do trabalho, preocupações de privacidade e outros fatores. |
Poderá minimizar o atrito operacional ao definir funções e estabelecer linhas claras de responsabilidade. Este exercício também ajuda a identificar o nível de acesso para cada função, especialmente para contas de impacto crítico. O isolamento permite-lhe limitar a exposição de fluxos confidenciais apenas a funções e recursos que precisam de acesso. A exposição excessiva pode, inadvertidamente, levar à divulgação do fluxo de informações. Para resumir, poderá dimensionar os esforços de segurança com base nas necessidades de cada segmento. |
| Crie continuamente competências através da formação de segurança baseada em funções que cumpre os requisitos da organização e os casos de utilização da carga de trabalho. | Uma equipa altamente qualificada pode conceber, implementar e monitorizar controlos de segurança que permanecem eficazes contra atacantes, que procuram constantemente novas formas de explorar o sistema. Normalmente, a formação em toda a organização centra-se no desenvolvimento de um conjunto de competências mais amplo para proteger os elementos comuns. No entanto, com a formação baseada em funções, foca-se no desenvolvimento de conhecimentos aprofundados nas ofertas de plataforma e funcionalidades de segurança que abordam as preocupações da carga de trabalho. Tem de implementar ambas as abordagens para se defender contra adversários através de uma boa conceção e operações eficazes. |
| Certifique-se de que existe um plano de resposta a incidentes para a carga de trabalho. Utilize estruturas do setor que definem o procedimento operacional padrão para preparação, deteção, contenção, mitigação e atividade pós-incidente. |
No momento da crise, deve evitar-se confusão. Se tiver um plano bem documentado, as funções responsáveis podem focar-se na execução sem perder tempo em ações incertas. Além disso, um plano abrangente pode ajudá-lo a garantir que todos os requisitos de remediação são cumpridos. |
| Reforce a sua postura de segurança ao compreender os requisitos de conformidade de segurança que são impostos por influências fora da equipa de cargas de trabalho, como políticas organizacionais, conformidade regulamentar e normas do setor. | Clarity sobre os requisitos de conformidade irão ajudá-lo a conceber as garantias de segurança corretas e a evitar problemas de não conformidade, o que pode levar a sanções. As normas do setor podem fornecer uma linha de base e influenciar a sua escolha de ferramentas, políticas, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos e formação. Se souber que a carga de trabalho cumpre a conformidade, poderá incutir confiança na sua base de utilizadores. |
| Defina e imponha normas de segurança ao nível da equipa em todo o ciclo de vida e operações da carga de trabalho. Esforce-se por práticas consistentes em operações como codificação, aprovações bloqueadas, gestão de versões e proteção e retenção de dados. |
Definir boas práticas de segurança pode minimizar a negligência e a área de superfície para potenciais erros. A equipa irá otimizar os esforços e o resultado será previsível porque as abordagens são mais consistentes. Observar normas de segurança ao longo do tempo irá permitir-lhe identificar oportunidades de melhoria, possivelmente incluindo a automatização, o que irá simplificar ainda mais os esforços e aumentar a consistência. |
| Alinhe a resposta ao incidente com a função centralizada do Centro de Operações de Segurança (SOC) na sua organização. | Centralizar as funções de resposta a incidentes permite-lhe tirar partido de profissionais de TI especializados que podem detetar incidentes em tempo real para lidar com potenciais ameaças o mais rapidamente possível. |
Conceção para proteger a confidencialidade
| Impedir a exposição a informações de privacidade, regulamentação, aplicação e propriedade através de restrições de acesso e técnicas de ocultação. |
|---|
Os dados da carga de trabalho podem ser classificados por utilizador, utilização, configuração, conformidade, propriedade intelectual e muito mais. Esses dados não podem ser partilhados ou acedidos para além dos limites de fidedignidade estabelecidos. Os esforços para proteger a confidencialidade devem centrar-se nos controlos de acesso, na opacidade e na manutenção de um registo de auditoria das atividades relativas aos dados e ao sistema.
| Abordagem | Vantagem |
|---|---|
| Implemente controlos de acesso fortes que concedem acesso apenas numa base de necessidade de saber. | Privilégio mínimo. A carga de trabalho será protegida contra acesso não autorizado e atividades proibidas. Mesmo quando o acesso é de identidades fidedignas, as permissões de acesso e o tempo de exposição serão minimizados porque o caminho de comunicação está aberto por um período limitado. |
| Classificar dados com base no seu tipo, sensibilidade e risco potencial. Atribua um nível de confidencialidade para cada um. Inclua componentes do sistema que estão no âmbito do nível identificado. |
Verifique explicitamente. Esta avaliação ajuda-o a ajustar as medidas de segurança. Também poderá identificar dados e componentes que tenham um impacto potencial elevado e/ou exposição ao risco. Este exercício acrescenta clareza à sua estratégia de proteção de informações e ajuda a garantir um acordo. |
| Proteja os seus dados inativos, em trânsito e durante o processamento através da encriptação. Baseie a sua estratégia no nível de confidencialidade atribuído. | Suponhamos que foi violada. Mesmo que um atacante obtenha acesso, não conseguirá ler corretamente dados confidenciais encriptados. Os dados confidenciais incluem informações de configuração utilizadas para obter mais acesso dentro do sistema. A encriptação de dados pode ajudá-lo a conter riscos. |
| Guarde-se contra exploits que possam causar exposição injustificada de informações. | Verifique explicitamente. É fundamental minimizar as vulnerabilidades em implementações de autenticação e autorização, código, configurações, operações e as que decorrem dos hábitos sociais dos utilizadores do sistema. As medidas de segurança atualizadas permitem-lhe bloquear a entrada de vulnerabilidades de segurança conhecidas no sistema. Também pode mitigar novas vulnerabilidades que podem aparecer ao longo do tempo ao implementar operações de rotina ao longo do ciclo de desenvolvimento, melhorando continuamente as garantias de segurança. |
| Guarde-se contra a exfiltração de dados que resulta do acesso malicioso ou inadvertido aos dados. | Suponhamos que falha. Poderá conter raios de explosão ao bloquear a transferência de dados não autorizada. Além disso, os controlos aplicados à rede, identidade e encriptação irão proteger os dados em várias camadas. |
| Mantenha o nível de confidencialidade à medida que os dados fluem através de vários componentes do sistema. | Suponhamos que falha. A imposição de níveis de confidencialidade em todo o sistema permite-lhe fornecer um nível consistente de proteção. Fazê-lo pode impedir vulnerabilidades que possam resultar na movimentação de dados para uma camada de segurança inferior. |
| Manter um registo de auditoria de todos os tipos de atividades de acesso. | Suponhamos que falha. Os registos de auditoria suportam uma deteção e recuperação mais rápidas em caso de incidentes e ajudam na monitorização de segurança contínua. |
Estrutura para proteger a integridade
| Evite danos na conceção, implementação, operações e dados para evitar interrupções que possam impedir o sistema de fornecer a sua utilidade pretendida ou fazer com que funcione fora dos limites prescritos. O sistema deve fornecer garantias de informações ao longo do ciclo de vida da carga de trabalho. |
|---|
A chave é implementar controlos que impeçam a adulteração da lógica de negócio, fluxos, processos de implementação, dados e até mesmo os componentes de pilha inferior, como o sistema operativo e a sequência de arranque. A falta de integridade pode introduzir vulnerabilidades que podem levar a falhas de confidencialidade e disponibilidade.
| Abordagem | Vantagem |
|---|---|
| Implemente controlos de acesso fortes que autenticam e autorizam o acesso ao sistema. Minimizar o acesso com base no privilégio, no âmbito e na hora. |
Privilégio mínimo. Dependendo da força dos controlos, poderá evitar ou reduzir os riscos de modificações não aprovadas. Isto ajuda a garantir que os dados são consistentes e fidedignos. Minimizar o acesso limita a extensão de potenciais danos. |
| Proteja continuamente contra vulnerabilidades e detete-as na sua cadeia de fornecimento para impedir que os atacantes injetem falhas de software na sua infraestrutura, criem sistema, ferramentas, bibliotecas e outras dependências. A cadeia de fornecimento deve procurar vulnerabilidades durante o tempo de compilação e o runtime. |
Suponhamos que falha. Conhecer a origem do software e verificar a sua autenticidade ao longo do ciclo de vida proporcionará previsibilidade. Saberá de vulnerabilidades com bastante antecedência para que possa remediar proativamente as mesmas e manter o sistema seguro em produção. |
| Estabeleça confiança e verifique utilizando técnicas de criptografia , como atestado, assinatura de código, certificados e encriptação. Proteja esses mecanismos ao permitir a desencriptação respeitável. |
Verifique explicitamente, menos privilégios. Saberá que as alterações aos dados ou ao acesso ao sistema são verificadas por uma origem fidedigna. Mesmo que os dados encriptados sejam intercetados em trânsito por um ator malicioso, o ator não conseguirá desbloquear ou decifrar o conteúdo. Pode utilizar assinaturas digitais para garantir que os dados não foram adulterados durante a transmissão. |
| Certifique-se de que os dados de cópia de segurança são imutáveis e encriptados quando os dados são replicados ou transferidos. | Verifique explicitamente. Poderá recuperar dados com a confiança de que os dados de cópia de segurança não foram alterados inativos, inadvertidamente ou maliciosamente. |
| Evite ou mitigue implementações do sistema que permitam que a carga de trabalho funcione fora dos limites e objetivos pretendidos. | Verifique explicitamente. Quando o seu sistema tem fortes salvaguardas que verificam se a utilização está alinhada com os limites e objetivos pretendidos, o âmbito para potenciais abusos ou adulterações da computação, da rede e dos arquivos de dados é reduzido. |
Estrutura para proteger a disponibilidade
| Evite ou minimize o período de indisponibilidade e degradação do sistema e da carga de trabalho em caso de incidente de segurança através de controlos de segurança fortes. Tem de manter a integridade dos dados durante o incidente e após a recuperação do sistema. |
|---|
Tem de equilibrar as opções de arquitetura de disponibilidade com as opções de arquitetura de segurança. O sistema deve ter garantias de disponibilidade para garantir que os utilizadores têm acesso aos dados e que os dados estão acessíveis. Do ponto de vista de segurança, os utilizadores devem operar dentro do âmbito de acesso permitido e os dados têm de ser fidedignos. Os controlos de segurança devem bloquear os atores incorretos, mas não devem impedir que os utilizadores legítimos acedam ao sistema e aos dados.
| Abordagem | Vantagem |
|---|---|
| Impedir que as identidades comprometidas processem indevidamente o acesso para obter o controlo do sistema. Verifique se existem limites de tempo e âmbito excessivamente abrangentes para minimizar a exposição ao risco. |
Privilégio mínimo. Esta estratégia mitiga os riscos de permissões de acesso excessivas, desnecessárias ou indevidamente utilizadas em recursos cruciais. Os riscos incluem modificações não autorizadas e até mesmo a eliminação de recursos. Tire partido dos modos de segurança just-in-time (JIT), just-enough-access (JEA) fornecidos pela plataforma e modos de segurança baseados no tempo para substituir as permissões em pé sempre que possível. |
| Utilize controlos de segurança e padrões de estrutura para impedir que ataques e falhas de código causem o esgotamento dos recursos e bloqueiem o acesso. | Verifique explicitamente. O sistema não sofrerá um período de inatividade causado por ações maliciosas, como ataques denial of service distribuídos (DDoS). |
| Implemente medidas preventivas para vetores de ataque que exploram vulnerabilidades no código da aplicação, protocolos de rede, sistemas de identidade, proteção contra software maligno e outras áreas. | Suponhamos que falha. Implemente scanners de código, aplique os patches de segurança mais recentes, atualize software e proteja o seu sistema com antimalware eficaz de forma contínua. Poderá reduzir a superfície de ataque para garantir a continuidade do negócio. |
| Priorize os controlos de segurança nos componentes e fluxos críticos no sistema suscetíveis a riscos. | Assuma a violação, verifique explicitamente. Os exercícios regulares de deteção e priorização podem ajudá-lo a aplicar conhecimentos de segurança aos aspetos críticos do sistema. Poderá concentrar-se nas ameaças mais prováveis e prejudiciais e iniciar a mitigação de riscos em áreas que mais precisam de atenção. |
| Aplique, pelo menos, o mesmo nível de rigor de segurança nos seus recursos e processos de recuperação do que no ambiente primário, incluindo controlos de segurança e frequência de cópia de segurança. | Suponhamos que falha. Deve ter um estado de sistema seguro preservado disponível na recuperação após desastre. Se o fizer, pode efetuar a ativação pós-falha para um sistema ou localização secundária segura e restaurar cópias de segurança que não introduzam uma ameaça. Um processo bem concebido pode impedir que um incidente de segurança impeça o processo de recuperação. Dados de cópia de segurança danificados ou dados encriptados que não podem ser decifrados podem atrasar a recuperação. |
Manter e evoluir a sua postura de segurança
| Incorpore melhorias contínuas e aplique vigilância para se manter à frente dos atacantes que estão continuamente a evoluir as suas estratégias de ataque. |
|---|
A sua postura de segurança não pode degradar-se ao longo do tempo. Tem de melhorar continuamente as operações de segurança para que as novas interrupções sejam processadas de forma mais eficiente. Esforce-se por alinhar melhoramentos com as fases definidas pelas normas da indústria. Fazê-lo leva a uma melhor preparação, a um tempo reduzido à deteção de incidentes e a uma contenção e mitigação eficazes. A melhoria contínua deve basear-se em lições aprendidas com incidentes anteriores.
É importante medir a sua postura de segurança, impor políticas para manter essa postura e validar regularmente as mitigações de segurança e os controlos de compensação para melhorar continuamente a sua postura de segurança face às ameaças em evolução.
| Abordagem | Vantagem |
|---|---|
| Crie e mantenha um inventário de ativos abrangente que inclua informações classificadas sobre recursos, localizações, dependências, proprietários e outros metadados relevantes para a segurança. Tanto quanto possível, automatize o inventário para obter dados do sistema. |
Um inventário bem organizado fornece uma vista holística do ambiente, o que o coloca numa posição vantajosa contra os atacantes, especialmente durante as atividades pós-incidente. Também cria um ritmo de negócio para impulsionar a comunicação, a manutenção de componentes críticos e a desativação de recursos órfãos. |
| Efetue a modelação de ameaças para identificar e mitigar potenciais ameaças. | Terá um relatório de vetores de ataque priorizados pelo nível de gravidade. Poderá identificar ameaças e vulnerabilidades rapidamente e configurar contramedidas. |
| Capture regularmente dados para quantificar o estado atual em relação à linha de base de segurança estabelecida e definir prioridades para remediações. Tire partido das funcionalidades fornecidas pela plataforma para a gestão da postura de segurança e a imposição da conformidade imposta por organizações externas e internas. |
Precisa de relatórios precisos que tragam clareza e consenso para focar áreas. Poderá executar imediatamente remediações técnicas, começando pelos itens de prioridade mais alta. Também irá identificar lacunas, que proporcionam oportunidades para melhorar. A implementação da imposição ajuda a evitar violações e regressãos, o que preserva a sua postura de segurança. |
| Execute testes de segurança periódicos que são realizados por especialistas externos à equipa de carga de trabalho que tentam invadir eticamente o sistema. Efetue a análise de vulnerabilidades de rotina e integrada para detetar exploits na infraestrutura, dependências e código da aplicação. |
Estes testes permitem-lhe validar defesas de segurança simulando ataques do mundo real através de técnicas como testes de penetração. As ameaças podem ser introduzidas como parte da gestão de alterações. A integração de scanners nos pipelines de implementação permite-lhe detetar automaticamente vulnerabilidades e até mesmo a utilização de quarentena até que as vulnerabilidades sejam removidas. |
| Detetar, responder e recuperar com operações de segurança rápidas e eficazes. | O principal benefício desta abordagem é que lhe permite preservar ou restaurar as garantias de segurança da tríade cia durante e após um ataque. Tem de ser alertado assim que for detetada uma ameaça para que possa iniciar as suas investigações e tomar as medidas adequadas. |
| Realize atividades pós-incidente , como análises de causa raiz, autópsias e relatórios de incidentes. | Estas atividades fornecem informações sobre o impacto da violação e em medidas de resolução, o que impulsiona melhorias nas defesas e operações. |
| Atualize e mantenha-se atualizado. Mantenha-se atualizado sobre atualizações, patches e correções de segurança. Avalie continuamente o sistema e melhore-o com base em relatórios de auditoria, benchmarking e lições de atividades de teste. Considere a automatização, conforme adequado. Utilize informações sobre ameaças com tecnologia de análise de segurança para deteção dinâmica de ameaças. Em intervalos regulares, reveja a conformidade da carga de trabalho com as melhores práticas do Ciclo de Vida do Desenvolvimento de Segurança (SDL). |
Poderá garantir que a sua postura de segurança não se degrada ao longo do tempo. Ao integrar resultados de ataques e atividades de teste do mundo real, poderá combater os atacantes que melhoram e exploram continuamente novas categorias de vulnerabilidades. A automatização de tarefas repetitivas diminui a probabilidade de erro humano que pode criar riscos. As revisões de SDL trazem clareza em torno das funcionalidades de segurança. O SDL pode ajudá-lo a manter um inventário dos recursos de carga de trabalho e dos respetivos relatórios de segurança, que abrangem a origem, a utilização, as fraquezas operacionais e outros fatores. |
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários