Guia de governação para empresas complexas: Melhorar a disciplina de Base de SegurançaGovernance guide for complex enterprises: Improve the Security Baseline discipline

Este artigo avança a narrativa adicionando controlos de segurança que suportam a deslocação de dados protegidos para a nuvem.This article advances the narrative by adding security controls that support moving protected data to the cloud.

Avançando a narrativaAdvancing the narrative

O CIO tem passado meses a colaborar com colegas e com o pessoal jurídico da empresa.The CIO has spent months collaborating with colleagues and the company's legal staff. Um consultor de gestão especializado em cibersegurança foi contratado para ajudar as equipas de segurança de TI e de ti existentes a elaborar uma nova política em matéria de dados protegidos.A management consultant with expertise in cybersecurity was engaged to help the existing IT security and IT governance teams draft a new policy regarding protected data. O grupo conseguiu fomentar o apoio do conselho de administração para substituir a política existente, permitindo que dados pessoais e financeiros sensíveis fossem acolhidos por fornecedores de nuvem aprovados.The group was able to foster board support to replace the existing policy, allowing sensitive personal and financial data to be hosted by approved cloud providers. Isto exigia a adoção de um conjunto de requisitos de segurança e de um processo de governação para verificar e documentar a adesão a essas políticas.This required adopting a set of security requirements and a governance process to verify and document adherence to those policies.

Nos últimos 12 meses, as equipas de adoção na nuvem limparam a maioria dos 5.000 ativos dos dois centros de dados para serem reformados.For the past 12 months, the cloud adoption teams have cleared most of the 5,000 assets from the two datacenters to be retired. Os 350 ativos incompatíveis foram transferidos para um centro de dados alternativo.The 350 incompatible assets were moved to an alternate datacenter. Apenas restam as 1.250 máquinas virtuais que contêm dados protegidos.Only the 1,250 virtual machines that contain protected data remain.

Mudanças na equipa de governação da nuvemChanges in the cloud governance team

A equipa de governação da nuvem continua a mudar juntamente com a narrativa.The cloud governance team continues to change along with the narrative. Os dois membros fundadores da equipa estão agora entre os mais respeitados arquitetos de nuvem da empresa.The two founding members of the team are now among the most respected cloud architects in the company. A coleção de scripts de configuração tem crescido à medida que novas equipas enfrentam novas implementações inovadoras.The collection of configuration scripts has grown as new teams tackle innovative new deployments. A equipa de governação das nuvens também cresceu.The cloud governance team has also grown. Mais recentemente, membros da equipa de operações de TI juntaram-se às atividades da equipa de governação da nuvem para se prepararem para as operações na nuvem.Most recently, members of the IT operations team have joined cloud governance team activities to prepare for cloud operations. Os arquitetos da nuvem que ajudaram a promover esta comunidade são vistos tanto como guardiões das nuvens e aceleradores de nuvens.The cloud architects who helped foster this community are seen both as cloud guardians and cloud accelerators.

Embora a diferença seja subtil, é uma distinção importante na construção de uma cultura de TI centrada na governação.While the difference is subtle, it is an important distinction when building a governance-focused IT culture. Um guardião da nuvem limpa as confusões feitas por inovadores arquitetos de nuvem, e os dois papéis têm atrito natural e objetivos opostos.A cloud custodian cleans up the messes made by innovative cloud architects, and the two roles have natural friction and opposing objectives. Um guardião da nuvem ajuda a manter a nuvem segura, para que outros arquitetos da nuvem possam mover-se mais rapidamente com menos confusões.A cloud guardian helps keep the cloud safe, so other cloud architects can move more quickly with fewer messes. Um acelerador de nuvem desempenha ambas as funções, mas também está envolvido na criação de modelos para acelerar a implementação e adoção, tornando-se um acelerador de inovação, bem como um defensor das Cinco Disciplinas de Governança em Nuvem.A cloud accelerator performs both functions but is also involved in the creation of templates to accelerate deployment and adoption, becoming an innovation accelerator as well as a defender of the Five Disciplines of Cloud Governance.

Alterações no estado atualChanges in the current state

Na fase anterior desta narrativa, a empresa tinha iniciado o processo de retirada de dois centros de dados.In the previous phase of this narrative, the company had begun the process of retiring two datacenters. Este esforço em curso inclui a migração de algumas aplicações com requisitos de autenticação legado, que requeriam melhorias incrementais à disciplina de Base de Identidade, descrita no artigo anterior.This ongoing effort includes migrating some applications with legacy authentication requirements, which required incremental improvements to the Identity Baseline discipline, described in the previous article.

Desde então, algumas coisas mudaram que afetarão a governação:Since then, some things have changed that will affect governance:

  • Milhares de TI e ativos empresariais foram implantados na nuvem.Thousands of IT and business assets have been deployed to the cloud.
  • A equipa de desenvolvimento de aplicações implementou um oleoduto de integração contínua e implementação contínua (CI/CD) para implementar uma aplicação nativa em nuvem com uma experiência de utilizador melhorada.The application development team has implemented a continuous integration and continuous deployment (CI/CD) pipeline to deploy a cloud-native application with an improved user experience. Esta aplicação ainda não interage com dados protegidos, por isso não está pronta para a produção.That application doesn't interact with protected data yet, so it isn't production ready.
  • A equipa de inteligência empresarial dentro de TI acossa ativamente dados na nuvem a partir de dados logísticos, inventários e dados de terceiros.The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party data. Estes dados estão a ser usados para impulsionar novas previsões, que podem moldar processos de negócio.This data is being used to drive new predictions, which could shape business processes. Estas previsões e insights não são acionáveis até que os dados do cliente e financeiro possam ser integrados na plataforma de dados.Those predictions and insights are not actionable until customer and financial data can be integrated into the data platform.
  • A equipa de TI está a fazer progressos no que diz o CIO e o CFO planeiam retirar dois centros de dados.The IT team is making progress on the CIO and CFO plans to retire two datacenters. Quase 3.500 dos ativos dos dois centros de dados foram reformados ou migrados.Almost 3,500 of the assets in the two datacenters have been retired or migrated.
  • As políticas relativas aos dados pessoais e financeiros sensíveis foram modernizadas.The policies regarding sensitive personal and financial data have been modernized. As novas políticas corporativas dependem da implementação de políticas relacionadas de segurança e governação.The new corporate policies are contingent on the implementation of related security and governance policies. As equipas ainda estão paradas.Teams are still stalled.

Melhorar gradualmente o estado futuroIncrementally improve the future state

  • As primeiras experiências do desenvolvimento de aplicações e equipas de BI mostraram potenciais melhorias nas experiências dos clientes e nas decisões baseadas em dados.Early experiments from the application development and BI teams have shown potential improvements in customer experiences and data-driven decisions. Ambas as equipas gostariam de expandir a adoção da nuvem ao longo dos próximos 18 meses, implantando essas soluções para a produção.Both teams would like to expand adoption of the cloud over the next 18 months by deploying those solutions to production.
  • A TI desenvolveu uma justificação de negócio para migrar mais cinco datacenters para a Azure, o que irá diminuir ainda mais os custos de TI e proporcionar maior agilidade empresarial.IT has developed a business justification to migrate five more datacenters to Azure, which will further decrease IT costs and provide greater business agility. Embora menor em escala, espera-se que a reforma desses centros de dados duplique a poupança total de custos.While smaller in scale, the retirement of those datacenters is expected to double the total cost savings.
  • Os orçamentos de despesas de capital e de despesas operacionais aprovaram a implementação das políticas, ferramentas e processos de segurança e governação necessários.Capital expense and operating expense budgets have approved to implement the required security and governance policies, tools, and processes. As poupanças de custos esperadas da reforma do datacenter são mais do que suficientes para pagar esta nova iniciativa.The expected cost savings from the datacenter retirement are more than enough to pay for this new initiative. As TI e a liderança empresarial estão confiantes de que este investimento acelerará a realização de retornos noutras áreas.IT and business leadership are confident this investment will accelerate the realization of returns in other areas. A equipa de governação das nuvens tornou-se uma equipa reconhecida com liderança e pessoal dedicados.The grassroots cloud governance team became a recognized team with dedicated leadership and staffing.
  • Coletivamente, as equipas de adoção em nuvem, a equipa de governação das nuvens, a equipa de segurança de TI e a equipa de governação de TI implementarão requisitos de segurança e governação para permitir que as equipas de adoção em nuvem migram dados protegidos para a nuvem.Collectively, the cloud adoption teams, the cloud governance team, the IT security team, and the IT governance team will implement security and governance requirements to allow cloud adoption teams to migrate protected data into the cloud.

Alterações nos riscos tangíveisChanges in tangible risks

Violação de dados: Há um aumento inerente no passivo relacionado com violações de dados ao adotar qualquer nova plataforma de dados.Data breach: There is an inherent increase in liabilities related to data breaches when adopting any new data platform. Os técnicos que adotam tecnologias em nuvem têm responsabilidades acrescidas na implementação de soluções que podem diminuir este risco.Technicians adopting cloud technologies have increased responsibilities to implement solutions that can decrease this risk. Deve ser implementada uma estratégia robusta de segurança e governação para garantir que esses técnicos cumpram essas responsabilidades.A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

Este risco de negócio pode ser expandido para vários riscos técnicos:This business risk can be expanded into several technical risks:

  1. Aplicações críticas à missão ou dados protegidos podem ser implantados involuntariamente.Mission-critical applications or protected data might be deployed unintentionally.
  2. Os dados protegidos podem ser expostos durante o armazenamento devido a más decisões de encriptação.Protected data might be exposed during storage due to poor encryption decisions.
  3. Os utilizadores não autorizados poderão aceder a dados protegidos.Unauthorized users might access protected data.
  4. A intrusão externa pode resultar no acesso a dados protegidos.External intrusion could result in access to protected data.
  5. Intrusão externa ou negação de ataques de serviço podem causar uma interrupção do negócio.External intrusion or denial of service attacks could cause a business interruption.
  6. As alterações de organização ou de emprego podem permitir o acesso não autorizado a dados protegidos.Organization or employment changes could allow for unauthorized access to protected data.
  7. Novas explorações podem criar oportunidades para intrusão ou acesso não autorizado.New exploits might create opportunities for intrusion or unauthorized access.
  8. Processos de implementação inconsistentes podem resultar em falhas de segurança que podem levar a fugas de dados ou interrupções.Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  9. A deriva de configuração ou as correções perdidas podem resultar em falhas de segurança não intencionais que podem levar a fugas de dados ou interrupções.Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  10. Dispositivos de borda diferentes podem aumentar os custos de operações de rede.Disparate edge devices might increase network operations costs.
  11. Configurações de dispositivos díspares podem levar a descuidos na configuração e compromissos na segurança.Disparate device configurations might lead to oversights in configuration and compromises in security.
  12. A equipa de cibersegurança insiste que existe o risco de o fornecedor bloquear a criação de chaves de encriptação na plataforma de um único fornecedor de nuvem.The cybersecurity team insists there is a risk of vendor lock-in from generating encryption keys on a single cloud provider's platform. Embora esta afirmação não tenha fundamento, foi aceite pela equipa por enquanto.While this claim is unsubstantiated, it was accepted by the team for the time being.

Melhoria incremental das declarações políticasIncremental improvement of the policy statements

As seguintes alterações à política ajudarão a remediar os novos riscos e a orientar a implementação.The following changes to policy will help remediate the new risks and guide implementation. A lista parece longa, mas a adoção destas políticas pode ser mais fácil do que parece.The list looks long, but the adoption of these policies may be easier than it would appear.

  1. Todos os ativos implantados devem ser categorizados pela criticidade e classificação de dados.All deployed assets must be categorized by criticality and data classification. As classificações devem ser revistas pela equipa de governação da nuvem e pela aplicação antes da implantação na nuvem.Classifications are to be reviewed by the cloud governance team and the application before deployment to the cloud.
  2. As aplicações que armazenam ou acedem a dados protegidos devem ser geridas de forma diferente daquelas que não armazenam.Applications that store or access protected data are to be managed differently than those that don't. No mínimo, devem ser segmentados para evitar o acesso não intencional de dados protegidos.At a minimum, they should be segmented to avoid unintended access of protected data.
  3. Todos os dados protegidos devem ser encriptados quando em repouso.All protected data must be encrypted when at rest.
  4. As permissões elevadas em qualquer segmento que contenha dados protegidos devem ser uma exceção.Elevated permissions in any segment containing protected data should be an exception. Quaisquer exceções serão registadas com a equipa de governação da nuvem e auditadas regularmente.Any such exceptions will be recorded with the cloud governance team and audited regularly.
  5. As sub-redes de rede que contenham dados protegidos devem ser isoladas de quaisquer outras sub-redes.Network subnets containing protected data must be isolated from any other subnets. O tráfego de rede entre sub-redes de dados protegidos será auditado regularmente.Network traffic between protected data subnets will be audited regularly.
  6. Nenhuma sub-rede que contenha dados protegidos pode ser acedida diretamente através da internet pública ou através de centros de dados.No subnet containing protected data can be directly accessed over the public internet or across datacenters. O acesso a estas sub-redes deve ser encaminhado através de sub-redes intermédias.Access to these subnets must be routed through intermediate subnets. Todo o acesso a estas sub-redes deve ser submetido a uma solução de firewall que possa executar funções de digitalização e bloqueio de pacotes.All access into these subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  7. A ferramenta de governação deve auditar e impor os requisitos de configuração da rede definidos pela equipa de gestão de segurança.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  8. A ferramenta de governação deve limitar a implantação de VM apenas a imagens aprovadas.Governance tooling must limit VM deployment to approved images only.
  9. Sempre que possível, a gestão da configuração do nó deve aplicar os requisitos de política à configuração de qualquer sistema operativo de hóspedes.Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system. A gestão da configuração do nó deve respeitar o investimento existente em objetos de política de grupo (GPO) para a configuração de recursos.Node configuration management should respect the existing investment in group policy objects (GPO) for resource configuration.
  10. A ferramenta de governação irá auditar que as atualizações automáticas são ativadas em todos os ativos implantados.Governance tooling will audit that automatic updates are enabled on all deployed assets. Quando possível, serão aplicadas atualizações automáticas.When possible, automatic updates will be enforced. Quando não forem aplicadas por ferramentas, as violações ao nível do nó devem ser revistas com equipas de gestão operacional e remediadas de acordo com as políticas de operações.When not enforced by tooling, node-level violations must be reviewed with operational management teams and remediated in accordance with operations policies. Os ativos que não são atualizados automaticamente devem ser incluídos em processos detidos por operações de TI.Assets that are not automatically updated must be included in processes owned by IT operations.
  11. A criação de novas subscrições ou grupos de gestão para quaisquer aplicações críticas da missão ou dados protegidos requer uma revisão da equipa de governação da nuvem para garantir a atribuição adequada do projeto.Creation of new subscriptions or management groups for any mission-critical applications or protected data requires a review from the cloud governance team to ensure proper blueprint assignment.
  12. Um modelo de acesso de menor privilégio será aplicado a qualquer subscrição que contenha aplicações críticas da missão ou dados protegidos.A least-privilege access model will be applied to any subscription that contains mission-critical applications or protected data.
  13. O fornecedor de nuvem deve ser capaz de integrar chaves de encriptação geridas pela solução existente no local.The cloud vendor must be capable of integrating encryption keys managed by the existing on-premises solution.
  14. O fornecedor de nuvem deve ser capaz de suportar a solução do dispositivo de borda existente e quaisquer configurações necessárias para proteger qualquer limite de rede exposto publicamente.The cloud vendor must be capable of supporting the existing edge device solution and any required configurations to protect any publicly exposed network boundary.
  15. O fornecedor de nuvem deve ser capaz de suportar uma ligação partilhada com o WAN global, com transmissão de dados encaminhada através da solução de dispositivo de borda existente.The cloud vendor must be capable of supporting a shared connection to the global WAN, with data transmission routed through the existing edge device solution.
  16. As tendências e explorações que podem afetar as implementações na nuvem devem ser revistas regularmente pela equipa de segurança para fornecer atualizações às ferramentas de Base de Segurança utilizadas na nuvem.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.
  17. A ferramenta de implantação deve ser aprovada pela equipa de governação da nuvem para garantir a governação contínua dos ativos implantados.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets. 18.18. Os scripts de implantação devem ser mantidos num repositório central acessível pela equipa de governação da nuvem para revisão e auditoria periódicas.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  18. Os processos de governação devem incluir auditorias no ponto de implantação e em ciclos regulares para garantir a coerência em todos os ativos.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  19. A implementação de quaisquer aplicações que exijam a autenticação do cliente deve utilizar um fornecedor de identidade aprovado que seja compatível com o fornecedor de identidade primária para utilizadores internos.Deployment of any applications that require customer authentication must use an approved identity provider that is compatible with the primary identity provider for internal users. 1.1. Os processos de governação em nuvem devem incluir revisões trimestrais com equipas de base de identidade para identificar atores maliciosos ou padrões de utilização que devem ser evitados pela configuração de ativos em nuvem.Cloud governance processes must include quarterly reviews with identity baseline teams to identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Melhoria incremental das melhores práticasIncremental improvement of best practices

Esta secção modifica o design de MVP de governação para incluir novas políticas Azure e uma implementação da Azure Cost Management + Billing.This section modifies the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. Em conjunto, estas duas mudanças de design irão cumprir as novas declarações de política corporativa.Together, these two design changes will fulfill the new corporate policy statements.

As novas boas práticas enquadram-se em duas categorias: TI corporativa (hub) e adoção em nuvem (falada).The new best practices fall into two categories: corporate IT (hub) and cloud adoption (spoke).

Criação de um hub de TI corporativo e subscrição de porta-voz para centralizar a linha de base de segurança: Nestas boas práticas, a capacidade de governação existente é embrulhada por um hub e fala topologia com serviços partilhados,com algumas adições fundamentais da equipa de governação da nuvem.Establishing a corporate IT hub and spoke subscription to centralize the security baseline: In this best practice, the existing governance capacity is wrapped by a hub and spoke topology with shared services, with a few key additions from the cloud governance team.

  1. Azure DevOps repositório.Azure DevOps repository. Crie um repositório em Azure DevOps para armazenar e ver todos os modelos relevantes do Gestor de Recursos Azure e configurações escritas.Create a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  2. Modelo de hub e spoke:Hub and spoke template:
    1. A orientação no centro e a topologia falada com a arquitetura de referência de serviços partilhados podem ser usadas para gerar modelos de Gestor de Recursos para os ativos necessários num hub de TI corporativo.The guidance in the hub and spoke topology with shared services reference architecture can be used to generate Resource Manager templates for the assets required in a corporate IT hub.
    2. Utilizando esses modelos, esta estrutura pode tornar-se repetível, como parte de uma estratégia de governação central.Using those templates, this structure can be made repeatable, as part of a central governance strategy.
    3. Além da arquitetura de referência atual, deve ser criado um modelo de grupo de segurança de rede para capturar quaisquer requisitos de bloqueio de porta ou de listagem de permitem a listagem para a rede virtual para hospedar a firewall.In addition to the current reference architecture, a network security group template should be created to capture any port blocking or allow-listing requirements for the virtual network to host the firewall. Este grupo de segurança de rede difere de grupos anteriores, porque será o primeiro grupo de segurança da rede a permitir o tráfego público numa rede virtual.This network security group differs from prior groups, because it will be the first network security group to allow public traffic into a virtual network.
  3. Criar políticas de Azure.Create Azure policies. Crie uma política nomeada hub NSG enforcement para impor a configuração do grupo de segurança de rede atribuído a qualquer rede virtual criada nesta subscrição.Create a policy named hub NSG enforcement to enforce the configuration of the network security group assigned to any virtual network created in this subscription. Aplicar as políticas incorporadas para a configuração do hóspede da seguinte forma:Apply the built-in policies for guest configuration as follows:
    1. Auditoria que os servidores web do Windows estão a usar protocolos de comunicação seguros.Audit that Windows web servers are using secure communication protocols.
    2. Audite que as definições de segurança da palavra-passe são definidas corretamente dentro das máquinas Linux e Windows.Audit that password security settings are set correctly inside Linux and Windows machines.
  4. Crie o projeto de TI corporativo.Create the corporate IT blueprint.
    1. Crie uma planta Azure chamada corporate-it-subscription .Create an Azure blueprint named corporate-it-subscription.
    2. Adicione o hub e os modelos e hub NSG enforcement a política de fala.Add the hub and spoke templates and hub NSG enforcement policy.
  5. Expandindo-se na hierarquia inicial do grupo de gestão.Expanding on initial management group hierarchy.
    1. Para cada grupo de gestão que tenha solicitado apoio a corporate-it-subscription-blueprint dados protegidos, o projeto fornece uma solução de hub acelerada.For each management group that has requested support for protected data, the corporate-it-subscription-blueprint blueprint provides an accelerated hub solution.
    2. Uma vez que os grupos de gestão neste exemplo fictício incluem uma hierarquia regional para além de uma hierarquia de unidade de negócio, este projeto será implementado em cada região.Because management groups in this fictional example include a regional hierarchy in addition to a business unit hierarchy, this blueprint will be deployed in each region.
    3. Para cada região da hierarquia do grupo de gestão, crie uma assinatura denominada corporate IT subscription .For each region in the management group hierarchy, create a subscription named corporate IT subscription.
    4. Aplique a corporate-it-subscription-blueprint planta em cada instância regional.Apply the corporate-it-subscription-blueprint blueprint to each regional instance.
    5. Isto estabelecerá um centro para cada unidade de negócio em cada região.This will establish a hub for each business unit in each region. Nota: uma maior poupança de custos poderia ser conseguida através da partilha de centros através de unidades de negócio em cada região.Note: further cost savings could be achieved by sharing hubs across business units in each region.
  6. Integrar objetos de política de grupo (GPO) através da configuração do estado desejado (DSC):Integrate group policy objects (GPO) through Desired State Configuration (DSC):
    1. Converter GPO em DSC.Convert GPO to DSC. O projeto de gestão de base da Microsoft no GitHub pode acelerar este esforço.The Microsoft baseline management project in GitHub can accelerate this effort. Certifique-se de que armazena o DSC no repositório em paralelo com os modelos do Gestor de Recursos.Be sure to store DSC in the repository in parallel with Resource Manager templates.
    2. Implementar a Configuração do Estado da Automação Azure em quaisquer casos da subscrição de TI corporativa.Deploy Azure Automation State Configuration to any instances of the corporate IT subscription. A Azure Automation pode ser usada para aplicar DSC a VMs implantados em subscrições suportadas dentro do grupo de gestão.Azure Automation can be used to apply DSC to VMs deployed in supported subscriptions within the management group.
    3. O roteiro atual visa permitir políticas de configuração personalizadas de hóspedes.The current roadmap aims to enable custom guest configuration policies. Quando esta funcionalidade for lançada, a utilização da Azure Automation nestas melhores práticas deixará de ser necessária.When that feature is released, the use of Azure Automation in this best practice will no longer be required.

Aplicação de governação adicional a uma subscrição de adoção em nuvem (spoke): Com base nas corporate IT subscription pequenas alterações ao MVP de governação aplicadas a cada subscrição dedicada ao suporte de arquétipos de aplicação, podem produzir melhorias rápidas.Applying additional governance to a cloud adoption subscription (spoke): Building on the corporate IT subscription, minor changes to the governance MVP applied to each subscription dedicated to the support of application archetypes can produce rapid improvement.

Em alterações iterativas anteriores às melhores práticas, definimos grupos de segurança de rede para bloquear o tráfego público e permitir o tráfego interno.In prior iterative changes to the best practice, we defined network security groups to block public traffic and allow internal traffic. Além disso, a planta Azure criou temporariamente capacidades de DMZ e Ative Directory.Additionally, the Azure blueprint temporarily created DMZ and Active Directory capabilities. Nesta iteração, vamos ajustar um pouco esses ativos, criando uma nova versão do projeto Azure.In this iteration, we will tweak those assets a bit, creating a new version of the Azure blueprint.

  1. Modelo de espreitar de rede.Network peering template. Este modelo irá espreitar a rede virtual em cada subscrição com a rede virtual do hub na subscrição de TI corporativa.This template will peer the virtual network in each subscription with the hub virtual network in the corporate IT subscription.
    1. A arquitetura de referência da secção anterior, hub e topologia de fala com serviços partilhados,gerou um modelo de Gestor de Recursos para permitir o persimento da rede virtual.The reference architecture from the prior section, hub and spoke topology with shared services, generated a Resource Manager template for enabling virtual network peering.
    2. Este modelo pode ser usado como um guia para modificar o modelo DMZ da iteração de governação prévia.That template can be used as a guide to modify the DMZ template from the prior governance iteration.
    3. Estamos agora a adicionar redes virtuais a espreitar a rede virtual DMZ que estava anteriormente ligada ao dispositivo de borda local sobre a VPN.We are now adding virtual network peering to the DMZ virtual network that was previously connected to the local edge device over VPN.
    4. A VPN também deve ser removida deste modelo para garantir que nenhum tráfego é encaminhado diretamente para o datacenter no local, sem passar pela solução de subscrição de TI corporativa e firewall.The VPN should also be removed from this template as well to ensure no traffic is routed directly to the on-premises datacenter, without passing through the corporate IT subscription and firewall solution. Também pode definir esta VPN como um circuito de falha em caso de paragem do circuito ExpressRoute.You could also set this VPN as a failover circuit in the event of an ExpressRoute circuit outage.
    5. A Azure Automation exige uma configuração adicional de rede para aplicar DSC em VMs hospedados.Additional network configuration is required by Azure Automation to apply DSC to hosted VMs.
  2. Modifique o grupo de segurança da rede.Modify the network security group. Bloqueie todo o tráfego público e direto no local do grupo de segurança da rede.Block all public and direct on-premises traffic in the network security group. O único tráfego de entrada deve ser vindo através do par de rede virtual na subscrição de TI corporativa.The only inbound traffic should be coming through the virtual network peer in the corporate IT subscription.
    1. Na iteração anterior, foi criado um grupo de segurança de rede que bloqueia todo o tráfego público e permite todo o tráfego interno.In the prior iteration, a network security group was created blocking all public traffic and allowing all internal traffic. Agora queremos mudar um pouco este grupo de segurança da rede.Now we want to shift this network security group a bit.
    2. A nova configuração do grupo de segurança da rede deve bloquear todo o tráfego público, juntamente com todo o tráfego do datacenter local.The new network security group configuration should block all public traffic, along with all traffic from the local datacenter.
    3. O tráfego que entra nesta rede virtual deve vir apenas da rede virtual do outro lado da rede virtual.Traffic entering this virtual network should only come from the virtual network on the other side of the virtual network peer.
  3. Implementação do Centro de Segurança Azure:Azure Security Center implementation:
    1. Configure Centro de Segurança Azure para qualquer grupo de gestão que contenha classificações de dados protegidas.Configure Azure Security Center for any management group that contains protected data classifications.
    2. Desagure o provisionamento automático por defeito para garantir a conformidade com a correção.Set automatic provisioning to on by default to ensure patching compliance.
    3. Estabeleça configurações de segurança de SO.Establish OS security configurations. Segurança de TI para definir a configuração.IT security to define the configuration.
    4. Apoie a segurança de TI na utilização inicial do Azure Security Center.Support IT security in the initial use of Azure Security Center. Utilização de transição do Centro de Segurança para a segurança de TI, mas manter o acesso para fins de melhoria contínua de governação.Transition use of Security Center to IT security, but maintain access for governance continuous improvement purposes.
    5. Crie um modelo de Gestor de Recursos que reflita as alterações necessárias para a configuração do Azure Security Center dentro de uma subscrição.Create a Resource Manager template reflecting the changes required for Azure Security Center configuration within a subscription.
  4. Atualizar A política de Azure para todas as subscrições.Update Azure Policy for all subscriptions.
    1. Auditar e impor a criticidade e classificação de dados em todos os grupos de gestão e subscrições para identificar quaisquer subscrições com classificações de dados protegidas.Audit and enforce criticality and data classification across all management groups and subscriptions to identify any subscriptions with protected data classifications.
    2. Auditar e impor o uso de imagens de SO aprovadas apenas.Audit and enforce use of approved OS images only.
    3. Auditar e impor configurações de hóspedes com base nos requisitos de segurança para cada nó.Audit and enforce guest configurations based on security requirements for each node.
  5. Atualizar A Política de Azure para todas as subscrições que contenham classificações de dados protegidas.Update Azure Policy for all subscriptions that contains protected data classifications.
    1. Auditoria e aplicação do uso apenas de funções padrão.Audit and enforce use of standard roles only.
    2. Auditar e impor a aplicação de encriptação para todas as contas de armazenamento e ficheiros em repouso em nós individuais.Audit and enforce application of encryption for all storage accounts and files at rest on individual nodes.
    3. Auditar e impor a aplicação da nova versão do grupo de segurança da rede DMZ.Audit and enforce the application of the new version of the DMZ network security group.
    4. Auditar e impor a utilização da sub-rede de rede aprovada e da rede virtual por interface de rede.Audit and enforce use of approved network subnet and virtual network per network interface.
    5. Auditar e impor a limitação das tabelas de encaminhamento definidas pelo utilizador.Audit and enforce the limitation of user-defined routing tables.
  6. Planta azul:Azure blueprint:
    1. Crie uma planta Azure chamada protected-data .Create an Azure blueprint named protected-data.
    2. Adicione os modelos de rede virtual, grupo de segurança de rede e azure Security Center à planta.Add the virtual network peer, network security group, and Azure Security Center templates to the blueprint.
    3. Certifique-se de que o modelo de Diretório Ativo da iteração anterior não está incluído na planta.Ensure the template for Active Directory from the previous iteration is not included in the blueprint. Quaisquer dependências do Ative Directory serão fornecidas pela subscrição de TI corporativa.Any dependencies on Active Directory will be provided by the corporate IT subscription.
    4. Terminar quaisquer VMs de Diretório Ativo existentes implantados na iteração anterior.Terminate any existing Active Directory VMs deployed in the previous iteration.
    5. Adicione as novas políticas para subscrições de dados protegidas.Add the new policies for protected data subscriptions.
    6. Publique o projeto em qualquer grupo de gestão que hospede dados protegidos.Publish the blueprint to any management group that will host protected data.
    7. Aplique a nova planta em cada subscrição afetada juntamente com as plantas existentes.Apply the new blueprint to each affected subscription along with existing blueprints.

ConclusãoConclusion

A adição destes processos e alterações ao MVP de governação ajuda a remediar muitos dos riscos associados à governação da segurança.Adding these processes and changes to the governance MVP helps remediate many of the risks associated with security governance. Juntos, adicionam a rede, identidade e ferramentas de monitorização de segurança necessárias para proteger os dados.Together, they add the network, identity, and security monitoring tools needed to protect data.

Passos seguintesNext steps

À medida que a adoção de nuvem continua e oferece valor adicional ao negócio, os riscos e as necessidades de governação em nuvem também mudam.As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. Para a empresa fictícia neste guia, o próximo passo é apoiar cargas de trabalho críticas da missão.For the fictional company in this guide, the next step is to support mission-critical workloads. Este é o ponto em que são necessários controlos de consistência dos recursos.This is the point when resource consistency controls are needed.