Declarações de política de amostra de base de segurançaSecurity Baseline sample policy statements

As declarações individuais da política em nuvem são orientações para abordar riscos específicos identificados durante o seu processo de avaliação de risco.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Estas declarações devem fornecer um resumo conciso dos riscos e planos para os fazer.These statements should provide a concise summary of risks and plans to deal with them. Cada definição de declaração deve incluir estas informações:Each statement definition should include these pieces of information:

  • Risco técnico: Um resumo do risco que esta política irá abordar.Technical risk: A summary of the risk this policy will address.
  • Declaração política: Uma explicação sumária clara dos requisitos políticos.Policy statement: A clear summary explanation of the policy requirements.
  • Opções técnicas: Recomendações, especificações ou outras orientações que as equipas de TI e os desenvolvedores podem utilizar na implementação da política.Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

As seguintes declarações de política de amostras abordam os riscos comerciais comuns relacionados com a segurança.The following sample policy statements address common security-related business risks. Estas declarações são exemplos que pode referir ao elaborar declarações políticas para responder às necessidades da sua organização.These statements are examples you can reference when drafting policy statements to address your organization's needs. Estes exemplos não se destinam a ser proscritos, e existem potencialmente várias opções políticas para lidar com cada risco identificado.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Trabalhe em estreita colaboração com equipas de negócios, segurança e TI para identificar as melhores políticas para o seu conjunto único de riscos.Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

Classificação de ativosAsset classification

Risco técnico: Os ativos que não estejam corretamente identificados como críticos da missão ou que envolvam dados sensíveis podem não receber proteções suficientes, levando a potenciais fugas de dados ou perturbações de negócios.Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

Declaração política: Todos os ativos implantados devem ser categorizados pela criticidade e classificação de dados.Policy statement: All deployed assets must be categorized by criticality and data classification. As classificações devem ser revistas pela equipa de governação da nuvem e pelo proprietário da aplicação antes de serem implantadas na nuvem.Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

Opção de design potencial: Estabeleça normas de marcação de recursos e certifique-se de que o pessoal de TI os aplica de forma consistente a quaisquer recursos implantados utilizando etiquetas de recursos Azure.Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

Encriptação de dadosData encryption

Risco técnico: Existe o risco de os dados protegidos serem expostos durante o armazenamento.Technical risk: There is a risk of protected data being exposed during storage.

Declaração política: Todos os dados protegidos devem ser encriptados quando em repouso.Policy statement: All protected data must be encrypted when at rest.

Opção de design potencial: Consulte o artigo geral de encriptação do Azure para uma discussão sobre como os dados em repouso encriptam a plataforma Azure.Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. Devem também ser considerados controlos adicionais, como a encriptação de dados de conta e o controlo sobre a forma como as definições da conta de armazenamento podem ser alteradas.Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

Isolamento da redeNetwork isolation

Risco técnico: A conectividade entre redes e sub-redes dentro das redes introduz potenciais vulnerabilidades que podem resultar em fugas de dados ou perturbação de serviços críticos da missão.Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

Declaração política: As sub-redes de rede que contenham dados protegidos devem ser isoladas de quaisquer outras sub-redes.Policy statement: Network subnets containing protected data must be isolated from any other subnets. O tráfego de rede entre sub-redes de dados protegidos deve ser auditado regularmente.Network traffic between protected data subnets is to be audited regularly.

Opção de design potencial: Em Azure, o isolamento da rede e da sub-rede é gerido através da Rede Virtual Azure.Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

Acesso externo seguroSecure external access

Risco técnico: Permitir o acesso a cargas de trabalho a partir da internet pública introduz um risco de intrusão que resulta em exposição não autorizada de dados ou perturbação do negócio.Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

Declaração política: Nenhuma sub-rede que contenha dados protegidos pode ser acedida diretamente através da internet pública ou através de centros de dados.Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. O acesso a essas sub-redes deve ser encaminhado através de sub-redes intermédias.Access to those subnets must be routed through intermediate subnets. Todo o acesso a essas sub-redes deve passar por uma solução de firewall capaz de executar funções de digitalização e bloqueio de pacotes.All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

Opção de design potencial: Em Azure, proteja os pontos finais públicos através da implantação de uma rede de perímetro entre a internet pública e a sua rede baseada em nuvem.Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Considere a implementação, configuração e automatização do Azure Firewall.Consider deployment, configuration, and automation of Azure Firewall.

Proteção contra DDoSDDoS protection

Risco técnico: Os ataques de negação de serviço distribuídos (DDoS) podem resultar numa interrupção do negócio.Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

Declaração política: Implementar mecanismos automatizados de mitigação do DDoS em todos os pontos finais de rede acessíveis ao público.Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. Nenhum web site virado para o público apoiado pelo IaaS deve ser exposto à internet sem DDoS.No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

Opção de design potencial: Utilize o Azure DDoS Protection Standard para minimizar as perturbações causadas por ataques DDoS.Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

Conectividade segura no localSecure on-premises connectivity

Risco técnico: O tráfego desencriptado entre a sua rede de nuvem e as instalações através da internet pública é vulnerável à interceção, introduzindo o risco de exposição de dados.Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

Declaração política: Todas as ligações entre as redes no local e as redes de nuvem devem ser efetuadas através de uma ligação VPN encriptada segura ou de uma ligação WAN privada dedicada.Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

Opção de design potencial: Em Azure, utilize o ExpressRoute ou a Azure VPN para estabelecer ligações privadas entre as suas redes no local e as redes em nuvem.Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

Monitorização e execução da redeNetwork monitoring and enforcement

Risco técnico: Alterações na configuração da rede podem levar a novas vulnerabilidades e riscos de exposição de dados.Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

Declaração política: A ferramenta de governação deve auditar e impor os requisitos de configuração da rede definidos pela equipa de base de segurança.Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

Opção de design potencial: No Azure, a atividade da rede pode ser monitorizada usando o Azure Network Watcher, e o Azure Security Center pode ajudar a identificar vulnerabilidades de segurança.Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. A Azure Policy permite-lhe restringir os recursos de rede e a política de configuração de recursos de acordo com os limites definidos pela equipa de segurança.Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

Revisão de segurançaSecurity review

Risco técnico: Com o tempo, surgem novas ameaças à segurança e tipos de ataques, aumentando o risco de exposição ou perturbação dos seus recursos na nuvem.Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

Declaração política: As tendências e potenciais explorações que possam afetar as implementações na nuvem devem ser revistas regularmente pela equipa de segurança para fornecer atualizações às ferramentas de Base de Segurança utilizadas na nuvem.Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

Opção de design potencial: Estabeleça uma reunião regular de revisão de segurança que inclua membros relevantes da equipa de TI e governação.Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. Reveja os dados e métricas de segurança existentes para estabelecer lacunas nos instrumentos de base de segurança e de segurança atuais e atualize a política para remediar quaisquer novos riscos.Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. Use o Azure Advisor e o Azure Security Center para obter informações acccáveis sobre ameaças emergentes específicas das suas implementações.Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

Passos seguintesNext steps

Utilize as amostras mencionadas neste artigo como ponto de partida para desenvolver políticas que abordem riscos de segurança específicos que se alinham com os seus planos de adoção na nuvem.Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

Para começar a desenvolver as suas próprias declarações de política de Base de Segurança personalizadas, descarregue o modelo de disciplina de Base de Segurança.To begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

Para acelerar a adoção desta disciplina, escolha o guia de governação ação que mais se alinha com o seu ambiente.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Em seguida, modifique o design para incorporar as suas decisões específicas de política corporativa.Then modify the design to incorporate your specific corporate policy decisions.

Baseando-se nos riscos e na tolerância, estabeleça um processo de governação e comunicação da adesão à política de base de segurança.Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.