Começar: Implementar segurança em todo o ambiente da empresaGet started: Implement security across the enterprise environment

A segurança ajuda a criar garantias de confidencialidade, integridade e disponibilidade para um negócio.Security helps create assurances of confidentiality, integrity, and availability for a business. Os esforços de segurança têm um foco crítico na proteção contra o impacto potencial nas operações causadas por atos maliciosos e não intencionais internos e externos.Security efforts have a critical focus on protecting against the potential impact to operations caused by both internal and external malicious and unintentional acts.

Este guia de arranque descreve os passos-chave que irão mitigar ou evitar o risco de negócio de ataques de cibersegurança.This getting started guide outlines the key steps that will mitigate or avoid the business risk from cybersecurity attacks. Pode ajudá-lo a estabelecer rapidamente práticas de segurança essenciais na nuvem e integrar a segurança no seu processo de adoção em nuvem.It can help you rapidly establish essential security practices in the cloud and integrate security into your cloud adoption process.

Os passos neste guia destinam-se a todas as funções que suportem garantias de segurança para ambientes em nuvem e zonas de aterragem.The steps in this guide are intended for all roles that support security assurances for cloud environments and landing zones. As tarefas incluem prioridades imediatas de mitigação de riscos, orientações para a construção de uma estratégia de segurança moderna, operacionalização da abordagem e execução dessa estratégia.Tasks include immediate risk mitigation priorities, guidance on building a modern security strategy, operationalizing the approach, and executing on that strategy.

Este guia inclui elementos de todo o Quadro de Adoção da Microsoft Cloud para o Azure:This guide includes elements from across the Microsoft Cloud Adoption Framework for Azure:

Começar com a segurança da empresa

Aderir aos passos deste guia irá ajudá-lo a integrar a segurança em pontos críticos do processo.Adhering to the steps in this guide will help you integrate security at critical points in the process. O objetivo é evitar obstáculos na adoção de nuvens e reduzir perturbações desnecessárias de negócios ou operacionais.The goal is to avoid obstacles in cloud adoption and reduce unnecessary business or operational disruption.

A Microsoft criou capacidades e recursos para ajudar a acelerar a implementação desta orientação de segurança no Microsoft Azure.Microsoft has built capabilities and resources to help accelerate your implementation of this security guidance on Microsoft Azure. Verá estes recursos referenciados ao longo deste guia.You'll see these resources referenced throughout this guide. São projetados para ajudá-lo a estabelecer, monitorizar e impor a segurança, e são frequentemente atualizados e revistos.They're designed to help you establish, monitor, and enforce security, and they're frequently updated and reviewed.

O diagrama que se segue mostra uma abordagem holística para usar orientação de segurança e ferramentas de plataforma para estabelecer visibilidade de segurança e controlo sobre os seus ativos em nuvem em Azure.The following diagram shows a holistic approach for using security guidance and platform tooling to establish security visibility and control over your cloud assets in Azure. Recomendamos esta abordagem.We recommend this approach.

Diagrama de segurança

Use estes passos para planear e executar a sua estratégia para proteger os seus ativos na nuvem e usar a nuvem para modernizar as operações de segurança.Use these steps to plan and execute your strategy for securing your cloud assets and using the cloud to modernize security operations.

Passo 1: Estabelecer práticas essenciais de segurançaStep 1: Establish essential security practices

A segurança na nuvem começa por aplicar as práticas de segurança mais importantes às pessoas, processos e elementos tecnológicos do seu sistema.Security in the cloud starts with applying the most important security practices to the people, process, and technology elements of your system. Além disso, algumas decisões arquitetónicas são fundamentais e são muito difíceis de alterar mais tarde, pelo que devem ser cuidadosamente aplicadas.Additionally, some architectural decisions are foundational and are very difficult to change later so should be carefully applied.

Quer já esteja a operar na nuvem ou a planear futura adoção, recomendamos que siga estas 11 práticas essenciais de segurança (além de cumprir quaisquer requisitos explícitos de conformidade regulamentar).Whether you're already operating in the cloud or you're planning for future adoption, we recommend that you follow these 11 essential security practices (in addition to meeting any explicit regulatory compliance requirements).

Pessoas:People:

  1. Educar as equipas sobre a jornada de segurança na nuvemEducate teams about the cloud security journey
  2. Educar equipas sobre tecnologia de segurança na nuvemEducate teams on cloud security technology

Processo:Process:

  1. Atribuir responsabilidade para decisões de segurança na nuvemAssign accountability for cloud security decisions
  2. Atualizar processos de resposta a incidentes para nuvemUpdate incident response processes for cloud
  3. Estabelecer gestão da postura de segurançaEstablish security posture management

Tecnologia:Technology:

  1. Requerem autenticação sem palavras-passe ou multi-factoresRequire passwordless or multi-factor authentication
  2. Integrar firewall nativa e segurança de redeIntegrate native firewall and network security
  3. Integrar a deteção de ameaças nativasIntegrate native threat detection

Decisões de arquitetura fundacional:Foundational architecture decisions:

  1. Normalizar num único diretório e identidadeStandardize on a single directory and identity
  2. Utilize o controlo de acesso baseado na identidade (em vez de chaves)Use identity-based access control (instead of keys)
  3. Estabelecer uma única estratégia de segurança unificadaEstablish a single unified security strategy

Nota

Cada organização deve definir os seus próprios padrões mínimos.Each organization should define its own minimum standards. A postura de risco e a tolerância subsequente a esse risco podem variar muito com base na indústria, cultura e outros fatores.Risk posture and subsequent tolerance to that risk can vary widely based on industry, culture, and other factors. Por exemplo, um banco pode não tolerar qualquer potencial dano à sua reputação, mesmo de um pequeno ataque a um sistema de teste.For example, a bank might not tolerate any potential damage to its reputation from even a minor attack on a test system. Algumas organizações aceitariam de bom grado esse mesmo risco se acelerassem a sua transformação digital em três a seis meses.Some organizations would gladly accept that same risk if it accelerated their digital transformation by three to six months.

Passo 2: Modernizar a estratégia de segurançaStep 2: Modernize the security strategy

A segurança efetiva na nuvem requer uma estratégia que reflita o ambiente de ameaça atual e a natureza da plataforma cloud que está a hospedar os ativos da empresa.Effective security in the cloud requires a strategy that reflects the current threat environment and the nature of the cloud platform that's hosting the enterprise assets. Uma estratégia clara melhora o esforço de todas as equipas para proporcionar um ambiente seguro e sustentável de nuvem empresarial.A clear strategy improves the effort of all teams to provide a secure and sustainable enterprise cloud environment. A estratégia de segurança deve permitir resultados de negócio definidos, reduzir o risco para um nível aceitável e permitir que os colaboradores sejam produtivos.The security strategy must enable defined business outcomes, reduce risk to an acceptable level, and enable employees to be productive.

Uma estratégia de segurança na nuvem fornece orientação a todas as equipas que trabalham na tecnologia, processos e prontidão para esta adoção.A cloud security strategy provides guidance to all teams working on the technology, processes, and people readiness for this adoption. A estratégia deve informar a arquitetura em nuvem e as capacidades técnicas, orientar a arquitetura e as capacidades de segurança e influenciar a formação e educação das equipas.The strategy should inform the cloud architecture and technical capabilities, guide the security architecture and capabilities, and influence the training and education of teams.

Entregas:Deliverables:

O passo de estratégia deve resultar num documento que pode ser facilmente comunicado a muitas partes interessadas dentro da organização.The strategy step should result in a document that can easily be communicated to many stakeholders within the organization. As partes interessadas podem potencialmente incluir executivos na equipa de liderança da organização.The stakeholders can potentially include executives on the organization's leadership team.

Recomendamos a captura da estratégia numa apresentação para facilitar a discussão e a atualização fáceis.We recommended capturing the strategy in a presentation to facilitate easy discussion and updating. Esta apresentação pode ser apoiada com um documento, dependendo da cultura e preferências.This presentation can be supported with a document, depending on the culture and preferences.

  • Apresentação de estratégia: Você pode ter uma apresentação de estratégia única, ou você pode escolher também criar versões sumárias para audiências de liderança.Strategy presentation: You might have a single strategy presentation, or you might choose to also create summary versions for leadership audiences.

    • Apresentação completa: Isto deve incluir o conjunto completo de elementos para a estratégia de segurança na apresentação principal ou em slides de referência opcionais.Full presentation: This should include the full set of elements for the security strategy in the main presentation or in optional reference slides.
    • Resumos executivos: Versões a utilizar com executivos seniores e membros do conselho de administração podem conter apenas elementos críticos relevantes para o seu papel, tais como apetite de risco, prioridades de topo ou riscos aceites.Executive summaries: Versions to use with senior executives and board members might contain only critical elements relevant to their role, such as risk appetite, top priorities, or accepted risks.
  • Também pode registar motivações, resultados e justificações de negócios no modelo de estratégia e plano.You can also record motivations, outcomes, and business justifications in the strategy and plan template.

Melhores práticas para a estratégia de segurança de construção:Best practices for building security strategy:

Programas bem sucedidos incorporam estes elementos no seu processo de estratégia de segurança:Successful programs incorporate these elements into their security strategy process:

  • Alinhe-se de perto com a estratégia de negócio: A carta da segurança é para proteger o valor do negócio.Align closely to business strategy: Security's charter is to protect business value. É fundamental alinhar todos os esforços de segurança para esse fim e minimizar o conflito interno.It's critical to align all security efforts to that purpose and minimize internal conflict.

    • Construa uma compreensão partilhada dos requisitos de negócio, TI e segurança.Build a shared understanding of business, IT, and security requirements.
    • Integrar a segurança precocemente na adoção de nuvens para evitar crises de última hora de riscos evitáveis.Integrate security early into cloud adoption to avoid last-minute crises from avoidable risks.
    • Utilize uma abordagem ágil para estabelecer imediatamente os requisitos mínimos de segurança e melhorar continuamente as garantias de segurança ao longo do tempo.Use an agile approach to immediately establish minimum security requirements and continuously improve security assurances over time.
    • Encorajar a mudança da cultura de segurança através de ações de liderança proativas intencionais.Encourage security culture change through intentional proactive leadership actions.

    Para mais informações, consulte Transformações, mentalidades e expectativas.For more information, see Transformations, mindsets, and expectations.

  • Modernizar a estratégia de segurança: A estratégia de segurança deve incluir considerações para todos os aspetos do ambiente tecnológico moderno, do atual cenário de ameaças e dos recursos comunitários de segurança.Modernize security strategy: The security strategy should include considerations for all aspects of modern technology environment, current threat landscape, and security community resources.

    • Adapte-se ao modelo de responsabilidade partilhada da nuvem.Adapt to the shared responsibility model of the cloud.
    • Inclua todos os tipos de nuvem e implementações multicloud.Include all cloud types and multicloud deployments.
    • Prefere controlos nativos de nuvens para evitar atritos desnecessários e nocivos.Prefer native cloud controls to avoid unnecessary and harmful friction.
    • Integre a comunidade de segurança para acompanhar o ritmo da evolução do atacante.Integrate the security community to keep up with the pace of attacker evolution.

Recursos relacionados para contexto adicional:Related resources for additional context:


Equipa responsávelAccountable team Equipas responsáveis e de apoioResponsible and supporting teams
  • Equipa de liderança de segurança (chief information security security officer (CISO) ou equivalente)Security leadership team (chief information security officer (CISO) or equivalent)
  • Equipe de estratégia de nuvemCloud strategy team
  • Equipa de segurança na nuvemCloud security team
  • Equipa de adoção de nuvemCloud adoption team
  • Centro de nuvem de excelência ou equipa central de TICloud center of excellence or central IT team
  • Aprovação da estratégia:Strategy approval:

    Executivos e líderes empresariais com responsabilidade pelos resultados ou riscos das linhas de negócio dentro da organização devem aprovar esta estratégia.Executives and business leaders with accountability for outcomes or risks of business lines within the organization should approve this strategy. Este grupo pode incluir o conselho de administração, dependendo da organização.This group might include the board of directors, depending on the organization.

    Passo 3: Desenvolver um plano de segurançaStep 3: Develop a security plan

    O planeamento coloca a estratégia de segurança em ação definindo resultados, marcos, prazos e proprietários de tarefas.Planning puts the security strategy into action by defining outcomes, milestones, timelines, and task owners. Este plano traça também as funções e responsabilidades das equipas.This plan also outlines the roles and responsibilities of the teams.

    O planeamento da segurança e o planeamento da adoção em nuvem não devem ser feitos isoladamente.Security planning and cloud adoption planning should not be done in isolation. É fundamental convidar a equipa de segurança da nuvem para os ciclos de planeamento mais cedo, para evitar a paragem de trabalho ou o risco acrescido de problemas de segurança serem descobertos demasiado tarde.It's critical to invite the cloud security team into the planning cycles early, to avoid work stoppage or increased risk from security issues being discovered too late. O planeamento de segurança funciona melhor com conhecimento aprofundado e consciência do espólio digital e do portfólio de TI existente que vem de ser totalmente integrado no processo de planeamento em nuvem.Security planning works best with in-depth knowledge and awareness of the digital estate and existing IT portfolio that comes from being fully integrated into the cloud planning process.

    Entregas:Deliverables:

    • Plano de segurança: Um plano de segurança deve fazer parte da documentação principal de planeamento para a nuvem.Security plan: A security plan should be part of the main planning documentation for the cloud. Pode ser um documento que usa a estratégia e o modelo de plano,um deck de diapositivos detalhado, ou um arquivo de projeto.It might be a document that uses the strategy and plan template, a detailed slide deck, or a project file. Ou pode ser uma combinação destes formatos, dependendo do tamanho, cultura e práticas padrão da organização.Or it might be a combination of these formats, depending on the organization's size, culture, and standard practices.

      O plano de segurança deve incluir todos estes elementos:The security plan should include all of these elements:

      • As funções organizacionais planeiam, para que as equipas saibam como as atuais funções e responsabilidades de segurança mudarão com a mudança para a nuvem.Organizational functions plan, so teams know how current security roles and responsibilities will change with the move to the cloud.

      • As competências de segurança planeiam apoiar os membros da equipa à medida que navegam nas mudanças significativas na tecnologia, nos papéis e nas responsabilidades.Security skills plan to support team members as they navigate the significant changes in technology, roles, and responsibilities.

      • Roteiro de arquitetura técnica de segurança e capacidades para orientar equipas técnicas.Technical security architecture and capabilities roadmap to guide technical teams.

        A Microsoft fornece arquiteturas de referência e capacidades tecnológicas para o ajudar a construir a sua arquitetura e roteiro, incluindo:Microsoft provides reference architectures and technology capabilities to help you as you build your architecture and roadmap, including:

      • Plano de sensibilização e educação para a segurança, para que todas as equipas tenham conhecimentos básicos críticos de segurança.Security awareness and education plan, so all teams have basic critical security knowledge.

      • Marcação de sensibilidade do ativo para designar ativos sensíveis utilizando uma taxonomia alinhada com o impacto do negócio.Asset sensitivity marking to designate sensitive assets by using a taxonomy aligned to business impact. A taxonomia é construída conjuntamente por partes interessadas, equipas de segurança e outras partes interessadas.The taxonomy is built jointly by business stakeholders, security teams, and other interested parties.

      • Alterações de segurança no plano de nuvem: Atualize outras secções do plano de adoção na nuvem para refletir as alterações desencadeadas pelo plano de segurança.Security changes to the cloud plan: Update other sections of the cloud adoption plan to reflect changes triggered by the security plan.

    Melhores práticas para o planeamento de segurança:Best practices for security planning:

    O seu plano de segurança deverá ser mais bem sucedido se o seu planeamento tiver a abordagem de:Your security plan is likely to be more successful if your planning takes the approach of:

    • Assuma um ambiente híbrido: Isto inclui software como aplicações de serviço (SaaS) e ambientes no local.Assume a hybrid environment: That includes software as a service (SaaS) applications and on-premises environments. Também inclui múltiplas infraestruturas em nuvem como um serviço (IaaS) e plataforma como um serviço (PaaS) prestadores, se aplicável.It also includes multiple cloud infrastructure as a service (IaaS) and platform as a service (PaaS) providers, if applicable.

    • Adotar segurança ágil: Estabeleça primeiro os requisitos mínimos de segurança e mova todos os itens não críticos para uma lista prioritária dos próximos passos.Adopt agile security: Establish minimum security requirements first and move all noncritical items to a prioritized list of next steps. Este não deve ser um plano tradicional e detalhado de 3-5 anos.This should not be a traditional, detailed plan of 3-5 years. O ambiente de nuvem e ameaça muda muito rápido para tornar este tipo de plano útil.The cloud and threat environment change too fast to make that type of plan useful. O seu plano deve focar-se em desenvolver os primeiros passos e o estado final:Your plan should focus on developing the beginning steps and end state:

      • Vitórias rápidas para o futuro imediato que irão trazer um impacto elevado antes de iniciativas a longo prazo começarem.Quick wins for the immediate future that will deliver a high impact before longer-term initiatives begin. O prazo pode ser de 3 a 12 meses, dependendo da cultura organizacional, práticas padrão e outros fatores.The time frame can be 3-12 months, depending on organizational culture, standard practices, and other factors.
      • Visão clara do estado final desejado para orientar o processo de planeamento de cada equipa (que pode levar vários anos a ser alcançado).Clear vision of the desired end state to guide each team's planning process (which might take multiple years to achieve).
    • Partilhe o plano em geral: Aumentar a consciencialização, feedback e buy-in por parte das partes interessadas.Share the plan broadly: Increase awareness of, feedback from, and buy-in by stakeholders.

    • Conheça os resultados estratégicos: Certifique-se de que o seu plano se alinha e realiza os resultados estratégicos descritos na estratégia de segurança.Meet the strategic outcomes: Ensure that your plan aligns to and accomplishes the strategic outcomes described in the security strategy.

    • Definir propriedade, prestação de contas e prazos: Certifique-se de que os proprietários para cada tarefa são identificados e estão empenhados em completar essa tarefa num prazo específico.Set ownership, accountability, and deadlines: Ensure that the owners for each task are identified and are committed to completing that task in a specific time frame.

    • Conecte-se com o lado humano da segurança: Envolver as pessoas durante este período de transformação e novas expectativas por:Connect with the human side of security: Engage people during this period of transformation and new expectations by:

      • Apoiar ativamente a transformação de membros da equipa com comunicação clara e coaching em:Actively supporting team member transformation with clear communication and coaching on:

        • Que habilidades precisam de aprender.What skills they need to learn.
        • Por que precisam aprender as habilidades (e os benefícios de fazê-lo).Why they need to learn the skills (and the benefits of doing so).
        • Como obter este conhecimento (e fornecer recursos para ajudá-los a aprender).How to get this knowledge (and provide resources to help them learn).

        Pode documentar o plano utilizando a estratégia e o modelo de plano.You can document the plan by using the strategy and plan template. E podes usar o treino de segurança online da Microsoft para ajudar na educação dos membros da tua equipa.And you can use online Microsoft security training to help with education of your team members.

      • Tornar a consciência de segurança engagurar-se para ajudar as pessoas a conectarem-se genuinamente com a sua parte de manter a organização segura.Making security awareness engaging to help people genuinely connect with their part of keeping the organization safe.

    • Reveja as aprendizagens e orientações da Microsoft: A Microsoft publicou insights e perspetivas para ajudar a sua organização a planear a sua transformação para a nuvem e uma estratégia de segurança moderna.Review Microsoft learnings and guidance: Microsoft has published insights and perspectives to help your organization plan its transformation to the cloud and a modern security strategy. O material inclui formação gravada, documentação e boas práticas de segurança e padrões recomendados.The material includes recorded training, documentation, and security best practices and recommended standards.

      Para obter orientações técnicas para ajudar a construir o seu plano e arquitetura, consulte a documentação de segurançada Microsoft.For technical guidance to help build your plan and architecture, see the Microsoft security documentation.


    Equipa responsávelAccountable team Equipas responsáveis e de apoioResponsible and supporting teams
  • Equipa de segurança na nuvemCloud security team
  • Equipe de estratégia de nuvemCloud strategy team
  • Equipa de governação da nuvemCloud governance team
  • Quaisquer equipas de risco na sua organizaçãoAny risk teams in your organization
  • Centro de nuvem de excelência ou equipa central de TICloud center of excellence or central IT team
  • Aprovação do plano de segurança:Security plan approval:

    A equipa de liderança de segurança (CISO ou equivalente) deve aprovar o plano.The security leadership team (CISO or equivalent) should approve the plan.

    Passo 4: Assegurar novas cargas de trabalhoStep 4: Secure new workloads

    É muito mais fácil começar num estado seguro do que reajustar a segurança mais tarde para o seu ambiente.It's a lot easier to start in a secure state than to retrofit security later into your environment. Recomendamos vivamente começar com uma configuração segura para garantir que as cargas de trabalho são migradas para, e desenvolvidas e testadas em um ambiente seguro.We strongly recommend starting with a secure configuration to ensure that workloads are migrated to, and developed and tested in, a secure environment.

    Durante a implementação da zona de aterragem, muitas decisões podem afetar perfis de segurança e risco.During landing zone implementation, many decisions can affect security and risk profiles. A equipa de segurança na nuvem deve rever a configuração da zona de aterragem para garantir que cumpre os padrões e requisitos de segurança nas linhas de segurança da sua organização.The cloud security team should review the landing zone configuration to ensure that it meets the security standards and requirements in your organization's security baselines.

    Entregas:Deliverables:

    • Certifique-se de que as novas zonas de aterragem cumprem os requisitos de conformidade e segurança da organização.Ensure that new landing zones meet the organization's compliance and security requirements.

    Orientações para apoiar a conclusão exequível:Guidance to support deliverable completion:

    • Misture os requisitos existentes e as recomendações em nuvem: Comece com a orientação recomendada e, em seguida, adapte-a aos seus requisitos de segurança únicos.Blend existing requirements and cloud recommendations: Start with recommended guidance and then adapt this to your unique security requirements. Temos visto desafios na tentativa de impor as políticas e normas existentes no local, porque muitas vezes se referem a tecnologias desatualizadas ou a abordagens de segurança.We have seen challenges with trying to enforce existing on-premises policies and standards, because these often refer to outdated technology or security approaches.

      A Microsoft publicou orientações para o ajudar a construir as suas linhas de base de segurança:Microsoft has published guidance to help you build your security baselines:

    • Fornecer guarda-costas: As salvaguardas devem incluir auditoria e execução de políticas automatizadas.Provide guardrails: Safeguards should include automated policy auditing and enforcement. Para estes novos ambientes, as equipas devem esforçar-se para auditar e impor as linhas de segurança da organização.For these new environments, teams should strive to both audit and enforce the organization's security baselines. Estes esforços podem ajudar a minimizar as surpresas de segurança durante o desenvolvimento de cargas de trabalho, bem como a integração contínua e a implementação contínua (CI/CD) das cargas de trabalho.These efforts can help minimize security surprises during the development of workloads, as well as continuous integration and continuous deployment (CI/CD) of workloads.

      A Microsoft fornece várias capacidades nativas em Azure para permitir isto:Microsoft provides several native capabilities in Azure to enable this:

      • Pontuação segura: Utilize uma avaliação pontuada da sua postura de segurança Azure para acompanhar os esforços de segurança e projetos na sua organização.Secure score: Use a scored assessment of your Azure security posture to track security efforts and projects in your organization.
      • Azure Blueprints: Os arquitetos em nuvem e os grupos de TI centralizados podem definir um conjunto repetível de recursos Azure que implementa e adere aos padrões, padrões e requisitos de uma organização.Azure Blueprints: Cloud architects and centralized IT groups can define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements.
      • Política Azure: Esta é a base das capacidades de visibilidade e controlo que os outros serviços utilizam.Azure Policy: This is the foundation of the visibility and control capabilities that the other services use. A Azure Policy está integrada no Azure Resource Manager,para que possa auditar alterações e impor políticas em qualquer recurso em Azure antes, durante ou depois da sua criação.Azure Policy is integrated into Azure Resource Manager, so you can audit changes and enforce policies across any resource in Azure before, during, or after its creation.
      • Melhorar as operações da zona de aterragem: Utilize as melhores práticas para melhorar a segurança dentro de uma zona de aterragem.Improve landing zone operations: Use best practices for improving security within a landing zone.

    Equipa responsávelAccountable team Equipas responsáveis e de apoioResponsible and supporting teams
  • Equipa de segurança na nuvemCloud security team
  • Equipa de adoção de nuvemCloud adoption team
  • Equipa de plataforma cloudCloud platform team
  • Equipe de estratégia de nuvemCloud strategy team
  • Equipa de governação da nuvemCloud governance team
  • Centro de nuvem de excelência ou equipa central de TICloud center of excellence or central IT team
  • Passo 5: Proteger as cargas de trabalho em nuvem existentesStep 5: Secure existing cloud workloads

    Muitas organizações já implantaram ativos em ambientes de nuvem empresarial sem aplicar as melhores práticas de segurança, criando um maior risco de negócio.Many organizations have already deployed assets to enterprise cloud environments without applying the security best practices, creating increased business risk.

    Depois de garantir que novas aplicações e zonas de aterragem seguem as melhores práticas de segurança, deve concentrar-se em elevar os ambientes existentes para os mesmos padrões.After you ensure that new applications and landing zones follow security best practices, you should focus on bringing existing environments up to the same standards.

    Entregas:Deliverables:

    • Certifique-se de que todos os ambientes de nuvem e zonas de aterragem existentes cumprem os requisitos de conformidade e segurança da organização.Ensure that all existing cloud environments and landing zones meet the organization's compliance and security requirements.
    • Testar a prontidão operacional das implantações de produção utilizando políticas para bases de segurança.Test operational readiness of production deployments by using policies for security baselines.
    • Validar a adesão aos requisitos de orientação e segurança de conceção para linhas de base de segurança.Validate adherence to design guidance and security requirements for security baselines.

    Orientações para apoiar a conclusão exequível:Guidance to support deliverable completion:

    • Use as mesmas linhas de segurança que construiu no Passo 4 como o seu estado ideal.Use the same security baselines that you built in Step 4 as your ideal state. Talvez tenha de ajustar algumas definições de política apenas para auditar em vez de as impor.You might have to adjust some policy settings to only audit instead of enforcing them.
    • Equilibrar risco operacional e de segurança.Balance operational and security risk. Como estes ambientes podem acolher sistemas de produção que permitem processos de negócio críticos, você pode precisar implementar melhorias de segurança incrementalmente para evitar o risco de tempo de inatividade operacional.Because these environments might host production systems that enable critical business processes, you might need to implement security improvements incrementally to avoid risking operational downtime.
    • Priorize a descoberta e a remediação do risco de segurança pela crítica empresarial.Prioritize the discovery and remediation of security risk by business criticality. Comece com cargas de trabalho que tenham um impacto de negócio elevado se comprometidas e cargas de trabalho que tenham uma elevada exposição ao risco.Start with workloads that have a high business impact if compromised and workloads that have a high exposure to risk.

    Para obter mais informações, consulte Identificar e classificar aplicações críticas ao negócio.For more information, see Identify and classify business-critical applications.


    Equipa responsávelAccountable team Equipas responsáveis e de apoioResponsible and supporting teams
  • Equipa de adoção de nuvemCloud adoption team
  • Equipa de adoção de nuvemCloud adoption team
  • Equipe de estratégia de nuvemCloud strategy team
  • Equipa de segurança na nuvemCloud security team
  • Equipa de governação da nuvemCloud governance team
  • Centro de nuvem de excelência ou equipa central de TICloud center of excellence or central IT team
  • Passo 6: Governar para gerir e melhorar a postura de segurançaStep 6: Govern to manage and improve security posture

    Como todas as disciplinas modernas, a segurança é um processo iterativo que deve focar-se na melhoria contínua.Like all modern disciplines, security is an iterative process that should focus on continuous improvement. A postura de segurança também pode deteriorar-se se as organizações não sustentarem o foco nela ao longo do tempo.Security posture can also decay if organizations don't sustain focus on it over time.

    A aplicação consistente dos requisitos de segurança provém de disciplinas de governação sãs e soluções automatizadas.Consistent application of security requirements comes from sound governance disciplines and automated solutions. Depois de a equipa de segurança na nuvem definir as linhas de base de segurança, esses requisitos devem ser auditados para garantir que são aplicados de forma consistente a todos os ambientes em nuvem (e aplicados quando aplicável).After the cloud security team defines the security baselines, those requirements should be audited to ensure they're applied consistently to all cloud environments (and enforced where applicable).

    Entregas:Deliverables:

    • Certifique-se de que as linhas de base de segurança da organização são aplicadas a todos os sistemas relevantes.Ensure that the organization's security baselines are applied to all relevant systems. Anomalias de auditoria utilizando uma pontuação segura ou um mecanismo semelhante.Audit anomalies by using a secure score or a similar mechanism.
    • Documente as suas políticas, processos e orientação de design de segurança no modelo de disciplina de Base de Segurança.Document your Security Baseline policies, processes, and design guidance in the Security Baseline discipline template.

    Orientações para apoiar a conclusão exequível:Guidance to support deliverable completion:


    Equipa responsávelAccountable team Equipas responsáveis e de apoioResponsible and supporting teams
  • Equipa de governação da nuvemCloud governance team
  • Equipe de estratégia de nuvemCloud strategy team
  • Equipa de segurança na nuvemCloud security team
  • Centro de nuvem de excelência ou equipa central de TICloud center of excellence or central IT team
  • Passos seguintesNext steps

    Os passos neste guia ajudaram-no a implementar a estratégia, controlos, processos, competências e cultura necessárias para gerir consistentemente os riscos de segurança em toda a empresa.The steps in this guide have helped you implement the strategy, controls, processes, skills, and culture needed to consistently manage security risks across the enterprise.

    À medida que continua no modo de operações de segurança na nuvem, considere estes próximos passos:As you continue into the operations mode of cloud security, consider these next steps: