Processos de conformidade da política de base de segurançaSecurity Baseline policy compliance processes

Este artigo discute uma abordagem aos processos de adesão política que regem a disciplina de Base de Segurança.This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. A efetiva governação da segurança na nuvem começa com processos manuais recorrentes concebidos para detetar vulnerabilidades e impor políticas para remediar esses riscos de segurança.Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. Isto requer um envolvimento regular da equipa de governação da nuvem e das partes interessadas e das partes interessadas em TI para rever e atualizar a política e garantir o cumprimento da política.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Além disso, muitos processos de monitorização e execução em curso podem ser automatizados ou complementados com ferramentas para reduzir as despesas gerais de governação e permitir uma resposta mais rápida ao desvio de políticas.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Processos de planeamento, revisão e reportePlanning, review, and reporting processes

As melhores ferramentas de Base de Segurança na nuvem são tão boas quanto os processos e políticas que suportam.The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. Segue-se um conjunto de exemplos de processos comumente envolvidos na disciplina de Base de Segurança.The following is a set of example processes commonly involved in the Security Baseline discipline. Use estes exemplos como ponto de partida para planear os processos que lhe permitirão continuar a atualizar a política de segurança com base na mudança de negócios e feedback das equipas de segurança e TI encarregadas de transformar a orientação de governação em ação.Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

Avaliação e planeamento inicial dos riscos: Como parte da sua adoção inicial da disciplina de Base de Segurança, identifique os seus principais riscos e tolerâncias relacionadas com a segurança na nuvem.Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. Utilize estas informações para discutir riscos técnicos específicos com membros das suas equipas de TI e segurança e desenvolva um conjunto de políticas de segurança básicas para mitigar estes riscos para estabelecer a sua estratégia inicial de governação.Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Planeamento de implantação: Antes de implementar qualquer carga de trabalho ou ativo, efetue uma revisão de segurança para identificar quaisquer novos riscos e garantir que todos os requisitos de política de acesso e segurança de dados são cumpridos.Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

Testes de implantação: Como parte do processo de implementação de qualquer carga de trabalho ou ativo, a equipa de governação da nuvem, em cooperação com as suas equipas de segurança corporativa, será responsável pela revisão da implementação para validar o cumprimento da política de segurança.Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

Planeamento anual: Numa base anual, efetue uma revisão de alto nível da estratégia de base de segurança.Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. Explore futuras prioridades corporativas e estratégias atualizadas de adoção em nuvem para identificar o potencial aumento de risco e outras necessidades de segurança emergentes.Explore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. Use também este tempo para rever as mais recentes boas práticas de base de segurança e integrá-las nas suas políticas e processos de revisão.Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

Revisão trimestral e planeamento: Numa base trimestral, efetue uma revisão dos dados de auditoria de segurança e relatórios de incidentes para identificar quaisquer alterações necessárias na política de segurança.Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. Como parte deste processo, reveja o atual panorama de cibersegurança para antecipar proativamente ameaças emergentes e atualizar a política conforme apropriado.As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. Após a revisão estar concluída, alinhe a orientação do design com a política atualizada.After the review is complete, align design guidance with updated policy.

Este processo de planeamento é também um bom momento para avaliar a atual adesão da sua equipa de governação em nuvem para lacunas de conhecimento relacionadas com políticas novas ou em mudança e riscos relacionados com a segurança.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. Convide o pessoal de TI relevante a participar em avaliações e planeamento como conselheiros técnicos temporários ou membros permanentes da sua equipa.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Educação e formação: Numa base bimestiária, oferecem sessões de formação para garantir que o pessoal e os desenvolvedores de TI estão atualizados sobre os requisitos mais recentes da política de segurança.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. Como parte deste processo, reveja e atualize qualquer documentação, orientação ou outros ativos de formação para garantir que estão em sintonia com as mais recentes declarações de política corporativa.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Avaliações mensais de auditoria e reporte: Mensalmente, realize uma auditoria em todas as implementações em nuvem para garantir o seu alinhamento contínuo com a política de segurança.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. Reveja as atividades relacionadas com a segurança com o pessoal de TI e identifique quaisquer questões de conformidade que ainda não foram tratadas como parte do processo de monitorização e execução em curso.Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. O resultado desta revisão é um relatório para a equipa de estratégia em nuvem e cada equipa de adoção em nuvem para comunicar a adesão global à política.The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. O relatório é também armazenado para fins de auditoria e jurídico.The report is also stored for auditing and legal purposes.

Processos de monitorização em cursoProcesses for ongoing monitoring

Uma estratégia bem sucedida de Base de Segurança é bem sucedida depende da visibilidade para o estado atual e passado da sua infraestrutura em nuvem.A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. Sem a capacidade de analisar as métricas e dados relevantes da sua segurança de recursos em nuvem, não pode identificar alterações nos seus riscos ou detetar violações das suas tolerâncias de risco.Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. Os processos de governação em curso discutidos acima exigem dados de qualidade para garantir que a política pode ser modificada para proteger melhor a sua infraestrutura contra ameaças e requisitos de segurança em mudança.The ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

Certifique-se de que as suas equipas de segurança e TI implementaram sistemas de monitorização automatizados para a sua infraestrutura em nuvem que captam os dados de registos relevantes de que necessita para avaliar o risco.Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. Seja proativo na monitorização destes sistemas para garantir a deteção rápida e mitigação de potenciais violações de políticas, e certifique-se de que a sua estratégia de monitorização está em conformidade com as necessidades de segurança.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

Desencadeamentos de violação e ações de execuçãoViolation triggers and enforcement actions

Uma vez que o incumprimento da segurança pode conduzir a riscos críticos de exposição de dados e de perturbação do serviço, a equipa de governação da nuvem deve ter visibilidade em graves violações de políticas.Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. Certifique-se de que o pessoal das TI tem caminhos claros de escalada para reportar questões de segurança aos membros da equipa de governação mais adequados para identificar e verificar se as questões de política são atenuadas.Ensure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

Quando forem detetadas violações, deve tomar medidas para realinhar a política o mais rapidamente possível.When violations are detected, you should take actions to realign with policy as soon as possible. A sua equipa de TI pode automatizar a maioria dos gatilhos de violação utilizando as ferramentas descritas na ferramenta De segurança Base para Azure.Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

Os seguintes gatilhos e ações de execução fornecem exemplos que pode referir quando planeia como usar dados de monitorização para resolver violações de políticas:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Aumento dos ataques detetados.Increase in attacks detected. Se algum recurso experimentar um aumento de 25% na força bruta ou ataques DDoS, discuta com o pessoal de segurança de TI e o proprietário da carga de trabalho para determinar os recursos.If any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. Acompanhe a questão e atualização da orientação se for necessária uma revisão da política para evitar futuros incidentes.Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • Dados não classificados detetados.Unclassified data detected. Qualquer fonte de dados sem uma classificação adequada de privacidade, segurança ou impacto empresarial terá acesso externo negado até que a classificação seja aplicada pelo titular dos dados e o nível adequado de proteção de dados aplicado.Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • Problema de segurança detetado.Security health issue detected. Desative o acesso a quaisquer máquinas virtuais (VMs) que tenham conhecido as vulnerabilidades de acesso ou malware identificadas até que possam ser instalados patches ou software de segurança apropriados.Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. Atualizar a orientação da política para responder a quaisquer ameaças recentemente detetadas.Update policy guidance to account for any newly detected threats.
  • Vulnerabilidade de rede detetada.Network vulnerability detected. O acesso a qualquer recurso não explicitamente permitido pelas políticas de acesso à rede deve desencadear um alerta para o pessoal de segurança de TI e para o proprietário da carga de trabalho relevante.Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. Acompanhe a questão e atualização da orientação se for necessária uma revisão da política para mitigar futuros incidentes.Track issue and update guidance if policy revision is necessary to mitigate future incidents.

Passos seguintesNext steps

Utilize o modelo de disciplina de Base de Segurança para documentar os processos e gatilhos que se alinham com o plano de adoção de nuvem atual.Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Para obter orientações sobre a execução de políticas de gestão de nuvens em alinhamento com os planos de adoção, consulte o artigo sobre melhoria da disciplina.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.