Política de base de segurança nativa da nuvemCloud-native Security Baseline policy

A disciplina de Base de Segurança é uma das Cinco Disciplinas de Governação em Nuvem.The Security Baseline discipline is one of the Five Disciplines of Cloud Governance. Esta disciplina centra-se em tópicos gerais de segurança, incluindo a proteção da rede, ativos digitais e dados.This discipline focuses on general security topics including protection of the network, digital assets, and data. Este artigo discute uma política de amostras nativas da nuvem para a disciplina de Base de Segurança.This article discusses a cloud-native sample policy for the Security Baseline discipline.

Nota

A Microsoft não está em posição de ditar a política corporativa ou de TI.Microsoft is in no position to dictate corporate or IT policy. Este artigo irá ajudá-lo a preparar-se para uma revisão da política interna.This article will help you prepare for an internal policy review. Presume-se que esta política de amostra será alargada, validada e testada contra a sua política corporativa antes de tentar utilizá-la.It is assumed that this sample policy will be extended, validated, and tested against your corporate policy before attempting to use it. Qualquer utilização desta política de amostras é desencorajada.Any use of this sample policy as-is is discouraged.

Alinhamento de políticasPolicy alignment

Esta política de amostra sintetiza um cenário nativo da nuvem, o que significa que as ferramentas e plataformas fornecidas pela Azure são suficientes para gerir os riscos empresariais envolvidos numa implantação.This sample policy synthesizes a cloud-native scenario, meaning that the tools and platforms provided by Azure are sufficient to manage business risks involved in a deployment. Neste cenário, presume-se que uma configuração simples dos serviços Azure predefinidos fornece proteção de ativos suficiente.In this scenario, it is assumed that a simple configuration of the default Azure services provides sufficient asset protection.

Segurança na nuvem e conformidadeCloud security and compliance

A segurança está integrada em todos os aspetos do Azure, oferecendo vantagens de segurança únicas derivadas da inteligência de segurança global, sofisticados controlos virados para o cliente e uma infraestrutura segura e endurecida.Security is integrated into every aspect of Azure, offering unique security advantages derived from global security intelligence, sophisticated customer-facing controls, and a secure, hardened infrastructure. Esta poderosa combinação ajuda a proteger os seus dados e aplicações, confere suporte aos seus esforços de conformidade e garante segurança económica para organizações de todas as dimensões.This powerful combination helps protect your applications and data, support your compliance efforts, and provide cost-effective security for organizations of all sizes. Esta abordagem cria uma posição de partida forte para qualquer política de segurança, mas não anula a necessidade de práticas de segurança igualmente fortes relacionadas com a utilização dos serviços de segurança.This approach creates a strong starting position for any security policy, but does not negate the need for equally strong security practices related to the security services being used.

Controlos de segurança incorporadosBuilt-in security controls

É difícil manter uma infraestrutura de segurança forte quando os controlos de segurança não são intuitivos e precisam de ser configurados separadamente.It's hard to maintain a strong security infrastructure when security controls are not intuitive and need to be configured separately. O Azure inclui controlos de segurança incorporados em vários serviços que o ajudam a proteger rapidamente dados e cargas de trabalho e a gerir o risco em ambientes híbridos.Azure includes built-in security controls across a variety of services that help you protect data and workloads quickly and manage risk across hybrid environments. As soluções parceiras integradas também permitem a transição fácil das proteções existentes para a nuvem.Integrated partner solutions also let you easily transition existing protections to the cloud.

Políticas de identidade nativas em nuvemCloud-native identity policies

A identidade está a tornar-se o novo plano de controlo de fronteiras para a segurança, assumindo esse papel a partir da perspetiva tradicional centrada na rede.Identity is becoming the new boundary control plane for security, taking over that role from the traditional network-centric perspective. Os perímetros da rede tornaram-se cada vez mais porosos e a defesa do perímetro não pode ser tão eficaz como era antes do advento de trazer o seu próprio dispositivo (BYOD) e aplicações em nuvem.Network perimeters have become increasingly porous and that perimeter defense cannot be as effective as it was before the advent of bring your own device (BYOD) and cloud applications. A gestão de identidade e controlo de acessos Azure permitem um acesso seguro e sem emenda a todas as suas aplicações.Azure identity management and access control enable seamless secure access to all your applications.

Uma política nativa de nuvem de amostra para a identidade através de listas de nuvem e no local, poderia incluir requisitos como:A sample cloud-native policy for identity across cloud and on-premises directories, could include requirements like the following:

  • Acesso autorizado a recursos com controlo de acesso baseado em funções (RBAC), autenticação de vários fatores e único sign-on (SSO).Authorized access to resources with role-based access control (RBAC), multi-factor authentication, and single sign-on (SSO).
  • Rápida mitigação das identidades dos utilizadores suspeitas de compromisso.Quick mitigation of user identities suspected of compromise.
  • Just-in-time (JIT), acesso justo concedido numa base tarefa-a-tarefa para limitar a exposição de credenciais de administração sobreprivileva.Just-in-time (JIT), just-enough access granted on a task-by-task basis to limit exposure of overprivileged admin credentials.
  • Identidade alargada do utilizador e acesso a políticas em vários ambientes através do Azure Ative Directory.Extended user identity and access to policies across multiple environments through Azure Active Directory.

Embora seja importante compreender a disciplina de Base de Identidade no contexto da disciplina de Base de Segurança, as Cinco Disciplinas de Governança em Nuvem tratam-na como uma disciplina separada.While it is important to understand the Identity Baseline discipline in the context of the Security Baseline discipline, the Five Disciplines of Cloud Governance treats it as a separate discipline.

Políticas de acesso à redeNetwork access policies

O controlo de rede inclui a configuração, gestão e segurança de elementos de rede como networking virtual, equilíbrio de carga, DNS e gateways.Network control includes the configuration, management, and securing of network elements such as virtual networking, load balancing, DNS, and gateways. Os controlos fornecem um meio para os serviços comunicarem e interoperarem.The controls provide a means for services to communicate and interoperate. O Azure inclui uma infraestrutura de rede robusta e segura para suportar os requisitos de conectividade de aplicação e serviço.Azure includes a robust and secure networking infrastructure to support your application and service connectivity requirements. A conectividade da rede é possível entre os recursos localizados em Azure, entre os recursos alojados no local e a Azure, e de e para a internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

Uma política nativa em nuvem para controlos de rede pode incluir requisitos como:A cloud-native policy for network controls may include requirements like the following:

  • As ligações híbridas com os recursos no local podem não ser permitidas numa política nativa em nuvem.Hybrid connections to on-premises resources, might not be allowed in a cloud-native policy. Se uma ligação híbrida se revelar necessária, uma amostra de política de segurança empresarial mais robusta seria uma referência mais relevante.Should a hybrid connection prove necessary, a more robust enterprise security policy sample would be a more relevant reference.
  • Os utilizadores podem estabelecer ligações seguras de e dentro do Azure utilizando redes virtuais e grupos de segurança de rede.Users can establish secure connections to and within Azure using virtual networks and network security groups.
  • O Windows Azure Firewall nativo protege os anfitriões do tráfego de rede malicioso limitando o acesso à porta.The native Windows Azure Firewall protects hosts from malicious network traffic by limiting port access. Um bom exemplo desta política é a obrigação de bloquear ou não permitir o tráfego diretamente a um VM sobre SSH/RDP.A good example of this policy is a requirement to block or not enable traffic directly to a VM over SSH/RDP.
  • Serviços como o Azure Web Application Firewall (WAF) em aplicações de proteção Azure Application Gateway e Azure DDoS e garantir a disponibilidade para máquinas virtuais em funcionamento em Azure.Services like the Azure Web Application Firewall (WAF) on Azure Application Gateway and Azure DDoS protection safeguard applications and ensure availability for virtual machines running in Azure. Estas funcionalidades não devem ser desativadas.These features should not be disabled.

Proteção de dadosData protection

Uma das chaves para a proteção de dados na nuvem é a contabilização dos possíveis estados em que os seus dados podem ocorrer e quais os controlos disponíveis para cada estado.One of the keys to data protection in the cloud is accounting for the possible states in which your data may occur, and what controls are available for each state. Para efeitos de segurança de dados da Azure e das melhores práticas de encriptação, as recomendações focam-se nos seguintes estados de dados:For the purpose of Azure data security and encryption best practices, recommendations focus on the following data states:

  • Os controlos de encriptação de dados são incorporados em serviços desde máquinas virtuais até armazenamento e Base de Dados SQL.Data encryption controls are built into services from virtual machines to storage and SQL Database.
  • À medida que os dados se movem entre nuvens e clientes, pode ser protegido usando protocolos de encriptação padrão da indústria.As data moves between clouds and customers, it can be protected using industry-standard encryption protocols.
  • O Azure Key Vault permite aos utilizadores salvaguardar e controlar chaves criptográficas, palavras-passe, cadeias de conexão e certificados utilizados por aplicações e serviços em nuvem.Azure Key Vault enables users to safeguard and control cryptographic keys, passwords, connection strings and certificates used by cloud applications and services.
  • A Azure Information Protection ajudará a classificar, rotular e proteger os seus dados sensíveis dentro das aplicações.Azure Information Protection will help classify, label, and protect your sensitive data within applications.

Embora estas funcionalidades sejam incorporadas no Azure, cada uma das características acima requer configuração e pode aumentar os custos.While these features are built into Azure, each of the above requires configuration and could increase costs. O alinhamento de cada característica nativa em nuvem com uma estratégia de classificação de dados é altamente sugerido.Alignment of each cloud-native feature with a data classification strategy is highly suggested.

Monitorização de segurançaSecurity monitoring

A monitorização de segurança é uma estratégia proativa que audita os seus recursos para identificar sistemas que não cumprem padrões organizacionais ou boas práticas.Security monitoring is a proactive strategy that audits your resources to identify systems that do not meet organizational standards or best practices. O Azure Security Center fornece uma linha de base de segurança unificada e proteção avançada de ameaças azure através de cargas de cloud híbridas.Azure Security Center provides unified security baseline and Azure Advanced Threat Protection across hybrid cloud workloads. Com o Security Center, pode aplicar políticas de segurança em todas as suas cargas de trabalho, limitar a sua exposição a ameaças e detetar e responder a ataques, incluindo:With Security Center, you can apply security policies across your workloads, limit your exposure to threats, and detect and respond to attacks, including:

  • Vista unificada da segurança em todos os locais e cargas de trabalho em nuvem com o Centro de Segurança Azure.Unified view of security across all on-premises and cloud workloads with Azure Security Center.
  • Monitorização contínua e avaliações de segurança para garantir a conformidade e remediar quaisquer vulnerabilidades.Continuous monitoring and security assessments to ensure compliance and remediate any vulnerabilities.
  • Ferramentas interativas e inteligência de ameaça contextual para investigação simplificada.Interactive tools and contextual threat intelligence for streamlined investigation.
  • Exploração madeireira extensiva e integração com informações de segurança existentes.Extensive logging and integration with existing security information.
  • Reduz a necessidade de soluções de segurança dispendiosas, não pontuais.Reduces the need for expensive, nonintegrated, one off security solutions.

Alargar as políticas nativas da nuvemExtend cloud-native policies

A utilização da nuvem pode reduzir parte dos encargos de segurança.Using the cloud can reduce some of the security burden. A Microsoft fornece segurança física para os datacenters do Azure e ajuda a proteger a plataforma da nuvem contra ameaças de infraestrutura, como um ataque DDoS.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Dado que a Microsoft tem milhares de especialistas em cibersegurança a trabalhar em segurança todos os dias, os recursos para detetar, prevenir ou mitigar ciberataques são consideráveis.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. Na verdade, embora as organizações se preocupassem com a segurança da nuvem, a maioria agora entende que o nível de investimento em pessoas e infraestruturas especializadas feitas por fornecedores como a Microsoft torna a nuvem mais segura do que a maioria dos datacenters no local.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

A utilização da nuvem pode reduzir parte dos encargos de segurança.Using the cloud can reduce some of the security burden. A Microsoft fornece segurança física para os datacenters do Azure e ajuda a proteger a plataforma da nuvem contra ameaças de infraestrutura, como um ataque DDoS.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Dado que a Microsoft tem milhares de especialistas em cibersegurança a trabalhar em segurança todos os dias, os recursos para detetar, prevenir ou mitigar ciberataques são consideráveis.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. Na verdade, embora as organizações se preocupassem com a segurança da nuvem, a maioria agora entende que o nível de investimento em pessoas e infraestruturas especializadas feitas por fornecedores como a Microsoft torna a nuvem mais segura do que a maioria dos datacenters no local.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

Mesmo com este investimento numa linha de base de segurança nativa em nuvem, sugere-se que qualquer política de Base de Segurança alargue as políticas nativas em nuvem padrão.Even with this investment in a cloud-native security baseline, it is suggested that any Security Baseline policy extend the default cloud-native policies. Seguem-se exemplos de políticas alargadas que devem ser consideradas, mesmo num ambiente nativo-nuvem:The following are examples of extended policies that should be considered, even in a cloud-native environment:

  • VMs seguros.Secure VMs. A segurança deve ser a prioridade de todas as organizações, e fazê-lo efetivamente requer várias coisas.Security should be every organization's top priority, and doing it effectively requires several things. Deve avaliar o seu estado de segurança, proteger-se contra ameaças de segurança e, em seguida, detetar e responder rapidamente às ameaças que ocorrem.You must assess your security state, protect against security threats, and then detect and respond rapidly to threats that occur.
  • Proteja o conteúdo de VM.Protect VM contents. A configuração de cópias de segurança automáticas regulares é essencial para proteger contra erros do utilizador.Setting up regular automated backups is essential to protect against user errors. Isto não é suficiente, no entanto; também deve certificar-se de que as suas cópias de segurança estão a salvo de ciberataques e que estão disponíveis quando precisar.This isn't enough, though; you must also make sure that your backups are safe from cyberattacks and are available when you need them.
  • Monitorize aplicações.Monitor applications. Este padrão abrange várias tarefas, incluindo obter informações sobre a saúde dos seus VMs, compreender interações entre elas e estabelecer formas de monitorizar as aplicações que estes VMs executam.This pattern encompasses several tasks, including getting insight into the health of your VMs, understanding interactions among them, and establishing ways to monitor the applications these VMs run. Todas estas tarefas são essenciais para manter as suas aplicações a funcionar 24 horas por dia.All of these tasks are essential in keeping your applications running around the clock.
  • Acesso de dados seguros e de auditoria.Secure and audit data access. As organizações devem auditar todos os acessos de dados e usar capacidades avançadas de aprendizagem automática para chamar a atenção para desvios em função dos padrões de acesso regulares.Organizations should audit all data access and use advanced machine learning capabilities to call out deviations from regular access patterns.
  • Treino de failover.Failover practice. As operações em nuvem com baixas tolerâncias ao fracasso devem ser capazes de falhar ou recuperar de um incidente de cibersegurança ou plataforma.Cloud operations that have low tolerances for failure must be capable of failing over or recovering from a cybersecurity or platform incident. Estes procedimentos não devem ser apenas documentados, mas devem ser praticados trimestralmente.These procedures must not simply be documented, but should be practiced quarterly.

Passos seguintesNext steps

Agora que reviu a política de base de segurança da amostra para soluções nativas em nuvem, volte ao guia de revisão de políticas para começar a construir esta amostra para criar as suas próprias políticas para a adoção em nuvem.Now that you've reviewed the sample Security Baseline policy for cloud-native solutions, return to the policy review guide to start building on this sample to create your own policies for cloud adoption.