Melhores práticas de segurança do AzureAzure security best practices

Estas são as melhores práticas de segurança da Azure que a Microsoft recomenda com base em lições aprendidas entre os clientes e os nossos próprios ambientes.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

Pode ver uma apresentação em vídeo destas boas práticas na Microsoft Tech Community.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. Pessoas: Educar as equipas sobre a jornada de segurança na nuvem1. People: Educate teams about the cloud security journey

A equipa precisa de compreender a jornada em que estão.The team needs to understand the journey they're on.

O que: Educar as suas equipas de segurança e TI na jornada de segurança na nuvem e as alterações que irão navegar, incluindo:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Alterações às ameaças na nuvemChanges to threats in the cloud
  • Modelo de responsabilidade partilhada e como impacta a segurançaShared responsibility model and how it impacts security
  • Mudanças culturais e de responsabilidade que normalmente acompanham a adoção em nuvemCultural and role/responsibility changes that typically accompany cloud adoption

Porquê: Mover-se para a nuvem é uma mudança significativa que requer uma mudança de mentalidade e abordagem para a segurança.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. Embora os resultados que a segurança forneça à organização não mudem, a melhor maneira de o conseguir na nuvem muitas vezes muda, por vezes significativamente.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

Em muitos aspetos, mover-se para a nuvem é semelhante a mover-se de uma casa autónoma para um edifício de luxo de luxo.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. Você ainda tem infraestruturas básicas (canalização, eletricidade, etc.) e realiza atividades semelhantes (socialização, cozinha, TV e Internet, etc.), mas muitas vezes há uma grande diferença no que vem com o edifício (ginásio, restaurantes, etc.), que fornece e mantém, e sua rotina diária.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Who: Todos os agentes da segurança e da organização de TI com quaisquer responsabilidades de segurança devem estar familiarizados com este contexto e com as alterações (do CIO/CISO aos profissionais técnicos).Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Como: Fornecer às equipas o contexto necessário para implementar e operar com sucesso durante a transição para o ambiente em nuvem.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

A Microsoft publicou lições aprendidas pelos nossos clientes e pela nossa própria organização de TI nas suas viagens à nuvem:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

Consulte também o Azure Security Benchmark GS-3: Alinhar papéis de organização, responsabilidades e responsabilidades.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. Pessoas: Educar equipas sobre tecnologia de segurança na nuvem2. People: Educate teams on cloud security technology

As pessoas têm de perceber para onde vão.People need to understand where they're going.

O que: Certifique-se de que as suas equipas têm tempo reservado para a educação técnica na garantia de recursos em nuvem, incluindo:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Tecnologia em nuvem e tecnologia de segurança na nuvemCloud technology and cloud security technology
  • Configurações recomendadas e boas práticasRecommended configurations and best practices
  • Onde aprender mais detalhes técnicos conforme necessárioWhere to learn more technical details as needed

Porquê: As equipas técnicas precisam de acesso à informação técnica para tomar decisões de segurança bem informadas.Why: Technical teams need access to technical information to make sound informed security decisions. As equipas técnicas são boas a aprender novas tecnologias no trabalho, mas o volume de detalhes na nuvem muitas vezes sobrecarrega a sua capacidade de encaixar a aprendizagem na sua rotina diária.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

Estruturar um tempo dedicado para a aprendizagem técnica ajuda a garantir que as pessoas têm tempo para criar confiança na sua capacidade de avaliar a segurança na nuvem e pensar através de como adaptar as suas habilidades e processos existentes.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. Até as equipas de operações especiais mais talentosas do exército precisam de treino e inteligência para se apresentarem no seu melhor.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Quem: Todas as funções que interagem diretamente com a tecnologia da nuvem (em departamentos de segurança e TI) devem dedicar tempo para a aprendizagem técnica nas plataformas da nuvem e como as proteger.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Além disso, os gestores técnicos de segurança e de TI (e muitas vezes gestores de projetos) devem desenvolver a familiaridade com alguns detalhes técnicos para garantir recursos em nuvem (uma vez que isso irá ajudá-los mais eficazmente a liderar e coordenar iniciativas em nuvem).Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Como: Certifique-se de que os profissionais técnicos em segurança têm tempo reservado para uma formação auto-acelerada sobre como garantir ativos em nuvem.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. Embora nem sempre seja viável, idealmente fornecer acesso a formação formal com um instrutor experiente e laboratórios práticos.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Importante

Os protocolos de identidade são fundamentais para aceder ao controlo na nuvem, mas muitas vezes não são priorizados na segurança no local, pelo que as equipas de segurança devem garantir que se concentrem no desenvolvimento da familiaridade com estes protocolos e registos.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

A Microsoft fornece recursos extensivos para ajudar os profissionais técnicos a acelerar em garantir recursos Azure e reportar a conformidade:Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

Consulte também o Azure Security Benchmark GS-3: Alinhar papéis de organização, responsabilidades e responsabilidadesAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. Processo: Atribuir responsabilidade para decisões de segurança na nuvem3. Process: Assign accountability for cloud security decisions

Se ninguém for responsável por tomar decisões de segurança, não serão tomadas.If nobody is accountable for making security decisions, they won't get made.

O que: Designar quem é responsável por tomar cada tipo de decisão de segurança para o ambiente Azure da empresa.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Porquê: A clara propriedade das decisões de segurança acelera a adoção em nuvem e aumenta a segurança.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. A falta de normalmente cria atrito porque ninguém se sente habilitado a tomar decisões, ninguém sabe a quem pedir uma decisão, e ninguém é incentivado a pesquisar uma decisão bem informada.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. Este atrito impede frequentemente os objetivos de negócio, os prazos dos desenvolvedores, os objetivos de TI e as garantias de segurança, resultando em:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Projetos parados que aguardam aprovação de segurançaStalled projects that are waiting for security approval
  • Implementações inseguras que não podiam esperar pela aprovação da segurançaInsecure deployments that couldn't wait for security approval

Quem: A liderança de segurança designa quais as equipas ou indivíduos responsáveis por tomar decisões de segurança sobre a nuvem.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Como: Designar grupos (ou indivíduos) que serão responsáveis por tomar decisões de segurança fundamentais.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Documente estes proprietários, as suas informações de contacto, e socialize-o amplamente dentro das equipas de segurança, TI e cloud para garantir que é fácil para todas as funções contactá-los.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Estas são as áreas típicas onde são necessárias decisões de segurança, descrições e quais as equipas que normalmente tomam as decisões.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

DecisãoDecision DescriçãoDescription Equipa TípicaTypical Team
Segurança de RedeNetwork Security Configuração e manutenção de Firewall Azure, Aparelhos Virtuais de Rede (e encaminhamento associado), WAFs, NSGs, ASGs, etc.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. Normalmente, a equipa de segurança de infraestruturas e ponto final focada na segurança da redeTypically Infrastructure and endpoint security team focused on network security
Gestão de RedeNetwork Management Rede virtual à escala empresarial e alocação de sub-redesEnterprise-wide virtual network and subnet allocation Equipa de operações de rede tipicamente existente em Operações De TI CentraisTypically existing network operations team in Central IT Operations
Segurança do ponto de final do servidorServer Endpoint Security Monitorizar e remediar a segurança do servidor (patching, configuração, segurança no ponto final, etc.)Monitor and remediate server security (patching, configuration, endpoint security, etc.) Normalmente, as operações e infraestruturas de TI centrais e as equipas de segurança de ponto final em conjuntoTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Monitorização e Resposta a IncidentesIncident Monitoring and Response Investigar e remediar incidentes de segurança na SIEM ou na consola de origem (Azure Security Center, Azure AD Identity Protection, etc.)Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) Equipa de operações de segurança tipicamenteTypically security operations team
Gestão de PolíticasPolicy Management Definir direção para a utilização de Fun roles Based Access Control (RBAC), Azure Security Center, Estratégia de Proteção de Administradores e Política Azure para governar recursos AzureSet direction for use of Roles Based Access Control (RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources Tipicamente, equipas de arquitetura de segurança de política e padrõesem + Security Architecture conjuntoTypically Policy and Standards + Security Architecture Teams jointly
Segurança de Identidade e PadrõesIdentity Security and Standards Definir direção para diretórios AD Azure, utilização PIM/PAM, MFA, configuração de palavra-passe/sincronização, Padrões de Identidade de AplicaçãoSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards Tipicamente, a Política de Identidade e a Política de Gestão chavee as equipas + dearquitetura de + segurança conjuntamenteTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Nota

  • Garantir que os decisores tenham a educação adequada na sua área da nuvem para acompanhar esta responsabilidade.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Certifique-se de que as decisões são documentadas em políticas e padrões para fornecer um registo e orientar a organização a longo prazo.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

Consulte também o Azure Security Benchmark GS-3: Alinhar papéis de organização, responsabilidades e responsabilidadesAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. Processo: Atualizar os processos de resposta a incidentes para a nuvem4. Process: Update incident response processes for cloud

Não tens tempo para planear uma crise durante uma crise.You don't have time to plan for a crisis during a crisis.

O que: Atualizar os processos e preparar os analistas para responder a incidentes de segurança na sua plataforma cloud Azure (incluindo quaisquer ferramentas nativas de deteção de ameaças que tenha adotado).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Atualize os processos, prepare a sua equipa e pratique com ataques simulados para que possam realizar o seu melhor durante a investigação de incidentes, remediação e caça de ameaças.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Porquê: Os atacantes ativos representam um risco imediato para a organização que pode rapidamente tornar-se uma situação difícil de controlar, pelo que deve responder rapidamente eficazmente aos ataques.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Este processo de resposta a incidentes (IR) deve ser eficaz para todo o seu espólio, incluindo todas as plataformas de nuvem que hospedam dados, sistemas e contas da empresa.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Embora similares em muitos aspetos, as plataformas em nuvem têm uma diferença técnica importante em sistemas no local que podem quebrar os processos existentes, tipicamente porque a informação está disponível de uma forma diferente.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Os analistas de segurança também podem ter desafios que respondem rapidamente a um ambiente desconhecido que pode atrasá-los (especialmente se forem treinados apenas em arquiteturas clássicas no local e abordagens forenses de rede/disco).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Quem: Modernizar os processos de IR é normalmente liderado por Operações de Segurança com o apoio de outros grupos para conhecimento e especialização.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Patrocínio: Este processo de modernização é tipicamente patrocinado pelo diretor de Operações de Segurança ou equivalente.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • Execução: Adaptar os processos existentes (ou escrevê-los pela primeira vez) é um esforço colaborativo que envolve:Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • Equipa ou liderança de gestão de incidentes de Operações de Segurança lidera atualizações ao processo e integração de principais partes interessadas externas, incluindo equipas legais e de comunicações/relações públicasSecurity Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Analistas de segurança das Operações de Segurança – forneçam conhecimentos especializados em investigação técnica de incidentes e triagemSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • Operações centrais de TI - Fornece conhecimentos especializados na plataforma cloud (diretamente, através do centro de nuvem de excelência, ou através de consultores externos)Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Como: Atualize os processos e prepare a sua equipa para que saiba o que fazer quando encontrar um intruso ativo.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Processos e Playbooks: Adaptar as investigações existentes, a reparação e a caça de ameaças às diferenças de como funcionam as plataformas em nuvem (ferramentas novas/diferentes, fontes de dados, protocolos de identidade, etc.).Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Educação: Educar os analistas sobre a transformação geral da nuvem, detalhes técnicos de como a plataforma funciona, e processos novos/atualizados para que saibam o que será diferente e onde ir para o que precisam.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

Principais Áreas de Foco: Embora existam muitos detalhes descritos nas ligações de recursos, estas são áreas-chave para concentrar os seus esforços de educação e planeamento:Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Modelo de responsabilidade partilhada e arquiteturas em nuvem: Para um analista de segurança, o Azure é um datacenter definido por software que fornece muitos serviços, incluindo VMs (familiares) e outros que são muito diferentes de instalações como as Funções Azure Azure Azure, etc. onde os melhores dados estão nos registos de serviço ou nos serviços especializados de deteção de ameaças em vez de em registos para os OS/VMs subjacentes (que são operados pela Microsoft e serviços múltiplos clientes).Shared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Os analistas precisam de compreender e integrar este contexto nos seus fluxos de trabalho diários para que saibam quais os dados que esperam, onde obtê-lo e em que formato estará.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Fontes de dados de ponto final: Obter informações e dados para ataques e malware em servidores hospedados na nuvem é muitas vezes mais rápido, mais fácil e preciso com ferramentas nativas de deteção de nuvem como o Azure Security Center e sistemas EDR em oposição às abordagens tradicionais de acesso direto ao disco.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Embora os peritos em disco direto estejam disponíveis para cenários onde é possível e necessário para processos judiciais (computador forense em Azure),esta é frequentemente a forma mais ineficiente de detetar e investigar ataques.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Fontes de dados de rede e identidade: Muitas funções das plataformas cloud utilizam principalmente a identidade para o controlo de acessos, como o acesso ao portal Azure (embora os controlos de acesso à rede também sejam utilizados extensivamente).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). Isto requer que os analistas desenvolvam uma compreensão dos protocolos de identidade em nuvem para obter uma imagem completa, rica e de atividade do atacante (e atividade legítima do utilizador) para apoiar a investigação e a remediação de incidentes.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Os diretórios de identidade e os protocolos também são diferentes dos locais, uma vez que são tipicamente baseados em diretórios SAML, OAuth e OIDC e Cloud em vez de LDAP, Kerberos, NTLM e Ative Directory que são geralmente encontrados no local.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Exercícios de prática: Ataques simulados e resposta podem ajudar a construir memória muscular organizacional e prontidão técnica para os seus analistas de segurança, caçadores de ameaças, gestores de incidentes e outras partes interessadas na sua organização.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. Aprender no trabalho e adaptar-se é uma parte natural da resposta a incidentes, mas deve trabalhar para minimizar o quanto tem de aprender numa crise.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Recursos-chave:Key Resources:

Consulte também o Azure Security Benchmark IR-1: Preparação – atualizar o processo de resposta a incidentes para o Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. Processo: Estabelecer gestão da postura de segurança5. Process: Establish security posture management

Primeiro, conheça-se a si mesmo.First, know thyself.

O que: Certifique-se de que está a gerir ativamente a postura de segurança do seu ambiente Azure através de:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Atribuição de uma clara apropriação de responsabilidades paraAssigning clear ownership of responsibilities for
    • Monitorização da postura de segurançaMonitoring security posture
    • Mitigação dos riscos para os ativosMitigating risks to assets
  • Automatizar e simplificar estas tarefasAutomating and simplifying these tasks

Porquê: Identificar e remediar rapidamente riscos comuns de higiene de segurança reduz significativamente o risco organizacional.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

A natureza definida pelos datacenters em nuvem permite uma monitorização contínua do risco de segurança (vulnerabilidades de software, configurações de segurança, etc.) com uma extensa instrumentação de ativos.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. A rapidez com que os desenvolvedores e a equipa de TI podem implantar VMs, bases de dados e outros recursos também criam a necessidade de garantir que os recursos são configurados de forma segura e ativa.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Estas novas capacidades oferecem novas possibilidades, mas a concretização do valor deles requer atribuir a responsabilidade pela sua utilização.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. Executar consistentemente com operações em nuvem em rápida evolução também requer manter os processos humanos o mais simples e automatizados possível.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. Consulte o princípio de segurança "Drive Simplicity".See the "Drive Simplicity" security principle.

Nota

O objetivo da simplificação e automação não é livrar-se de empregos, mas sim remover o fardo das tarefas repetitivas das pessoas para que possam concentrar-se em atividades humanas de maior valor, como envolver-se e educar as equipas de TI e DevOps.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Quem: Isto é tipicamente dividido em dois conjuntos de responsabilidades:Who: This is typically divided into two sets of responsibilities:

  • Gestão da postura de segurança – Esta função mais recente é muitas vezes uma evolução das funções de gestão ou governação de vulnerabilidades existentes.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. Isto inclui monitorizar a postura de segurança geral usando a Azure Security Center Secure Score e outras fontes de dados, trabalhar ativamente com os proprietários de recursos para mitigar riscos, e reportar riscos para a liderança de segurança.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Reparação de segurança: Atribuir responsabilidade para abordar estes riscos às equipas responsáveis pela gestão desses recursos.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. Isto deve ser das equipas de DevOps que gerem os seus próprios recursos de aplicação ou das equipas específicas da tecnologia nas operações centrais de TI:This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Recursos de Computação e Aplicações:Compute and Apps Resources:
      • Serviços de Aplicações - Desenvolvimento de Aplicações/Equipa de SegurançaApp Services - Application Development/Security Team(s)
      • Contentores - Desenvolvimento de Aplicações e/ou Operações de Infraestrutura/TIContainers - Application Development and/or Infrastructure/IT Operations
      • VMs/Conjuntos de escala/cálculo - OPERAÇÕES DE TI/InfraestruturasVMs/Scale sets/compute - IT/Infrastructure Operations
    • Dados & Recursos de Armazenamento:Data & Storage Resources:
      • SQL/Redis/Data Lake Analytics/Data Lake Store - Equipa de Base de DadosSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Contas de Armazenamento - Equipa de Armazenamento/InfraestruturasStorage Accounts - Storage/Infrastructure Team
    • Recursos de Identidade e Acesso:Identity and Access Resources:
      • Assinaturas - Equipa de Identidade(s)Subscriptions - Identity Team(s)
      • Cofre chave - Identidade ou Informação/Equipa de Segurança de DadosKey Vault – Identity or Information/Data Security Team
    • Recursos de Rede - Equipa de Segurança de RedeNetworking Resources - Network Security Team
    • IoT Security - Equipa de Operações IoTIoT Security - IoT Operations Team

Como: A segurança é o trabalho de todos, mas nem todos sabem atualmente o quão importante é, o que fazer e como fazê-lo.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • Responsabilizar os proprietários de recursos pelo risco de segurança, assim como são responsabilizados pela disponibilidade, desempenho, custo e outros fatores de sucesso.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Apoiar os proprietários de recursos com uma compreensão clara do porquê do risco de segurança importar para os seus ativos, o que devem fazer para mitigar o risco, e como implementá-lo com a mínima perda de produtividade.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Importante

As explicações para o porquê, o quê, e como garantir recursos são muitas vezes semelhantes em diferentes tipos de recursos e aplicações, mas é fundamental relacionar estas com o que cada equipa já sabe e se preocupa.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. As equipas de segurança devem envolver-se com os seus homólogos de TI e DevOps como um conselheiro de confiança e parceiro focado em permitir que estas equipas sejam bem sucedidas.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Ferramenta : Secure Score in Azure Security Center fornece uma avaliação das informações de segurança mais importantes em Azure para uma grande variedade de ativos.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Este deve ser o seu ponto de partida na gestão da postura e pode ser complementado com políticas azure personalizadas e outros mecanismos, conforme necessário.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frequência: Crie uma cadência regular (normalmente mensal) para rever a pontuação segura do Azure e planear iniciativas com objetivos específicos de melhoria.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. A frequência pode ser aumentada conforme necessário.The frequency can be increased as needed.

Dica

Gamify a atividade se possível para aumentar o envolvimento, como criar competições divertidas e prémios para as equipas DevOps que melhoram a sua pontuação mais.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

Consulte também o Azure Security Benchmark GS-2: Defina a estratégia de gestão da postura de segurança.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. Tecnologia: Requera autenticação sem palavras-passe ou multi-factor (MFA)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

Está disposto a apostar a segurança da sua empresa que os agressores profissionais não podem adivinhar ou roubar a senha do seu administrador?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

O que: Exigir que todos os administradores de impacto crítico utilizem a autenticação sem palavras-passe ou multi-factores (MFA).What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Assim como as chaves de esqueleto antigo não protegem uma casa contra um ladrão moderno, as palavras-passe não podem proteger as contas contra ataques comuns que vemos hoje.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. Os detalhes técnicos são descritos no Seu Pa$$word não importa.Technical details are described in Your Pa$$word doesn't matter.

Embora o MFA já tenha sido um passo extra oneroso, as abordagens passwords hoje em dia melhoram a experiência do logon usando abordagens biométricas como reconhecimento facial no Windows Hello e dispositivos móveis (onde não é preciso lembrar ou escrever uma palavra-passe).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). Além disso, as abordagens de confiança zero lembram-se de dispositivos fidedignos, que reduzem o pedido de irritação das ações de MFA da banda (ver frequência de inscrição do utilizador).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Quem: A iniciativa de palavra-passe e multi-factor é tipicamente liderada pela Identidade e Gestão de Chaves e/ou Arquitetura de Segurança.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Como: Implementar a autenticação sem palavras-passe ou a autenticação de MFA, formar administradores sobre como usá-lo (se necessário) e exigir que os administradores sigam a sua utilização através da política escrita.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. Isto pode ser realizado por uma ou mais destas tecnologias:This can be accomplished by one or more of these technologies:

Nota

O MFA baseado em mensagens de texto é agora relativamente barato para os atacantes contornarem, por isso concentre-se em MFA sem palavras-passe & mais forte.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

Consulte também o ID-4 de Benchmark de Segurança Azure: Utilize controlos de autenticação fortes para todos os acessos baseados no Azure Ative Directory.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. Tecnologia: Integrar firewall nativa e segurança de rede7. Technology: Integrate native firewall and network security

Simplificar a proteção de sistemas e dados contra ataques de rede.Simplify protection of systems and data against network attacks.

O que: Simplificar a sua estratégia de segurança de rede e manutenção integrando a Azure Firewall, a Azure Web App Firewall (WAF) e as mitigações distribuídas de Negação de Serviço (DDoS) na sua abordagem de segurança de rede.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Porquê: A simplicidade é fundamental para a segurança, uma vez que reduz a probabilidade de risco de confusão, configurações erradas e outros erros humanos.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. Consulte o princípio de segurança "Drive Simplicity".See the "Drive Simplicity" security principle.

Firewalls e WAFs são importantes controlos básicos de segurança para proteger as aplicações de tráfego malicioso, mas a sua configuração e manutenção podem ser complexas e consumir uma quantidade significativa de tempo e atenção da equipa de segurança (semelhante a adicionar peças personalizadas após o mercado a um carro).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). As capacidades nativas do Azure podem simplificar a implementação e operação de Firewalls, Firewalls de Aplicações Web, Mitigações de Negação de Serviço Distribuídas (DDoS) e muito mais.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Isto pode libertar o tempo e a atenção da sua equipa para tarefas de segurança de maior valor, como avaliar a segurança dos Serviços Azure, automatizar operações de segurança e integrar a segurança com aplicações e soluções de TI.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Quem:Who:

  • Patrocínio: Esta atualização da estratégia de segurança da rede é tipicamente patrocinada pela liderança de segurança e/ou liderança de TISponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • Execução: Integrá-los na sua estratégia de segurança da rede em nuvem é um esforço colaborativo que envolve:Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • Arquitetura de Segurança - Estabeleça arquitetura de segurança de rede em nuvem com redes de nuvem e cabos de segurança de rede em nuvem.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Lide de rede em nuvem (Central IT Operations) + Lidere de segurança cloud Network (Equipa de segurança de infraestrutura)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Estabeleça arquitetura de segurança de rede de nuvem com arquitetos de segurançaEstablish cloud network security architecture with security architects
      • Configure as capacidades de Firewall, NSG e WAF e trabalhe com arquitetos de aplicações nas regras da WAFConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Arquitetos de candidatura: Trabalhar com a segurança da rede para construir e aperfeiçoar as regras da WAF e configurações de DDoS para proteger a aplicação sem perturbar a disponibilidadeApplication architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Como: As organizações que procuram simplificar as suas operações têm duas opções:How: Organizations looking to simplify their operations have two options:

  • Alargar as capacidades e arquiteturas existentes: Muitas organizações optam frequentemente por alargar o uso das capacidades de firewall existentes para que possam capitalizar os investimentos existentes em competências e integração de processos, especialmente quando adotam a nuvem pela primeira vez.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Abrace os controlos de segurança nativos: Cada vez mais organizações começam a preferir usar controlos nativos para evitar a complexidade da integração de capacidades de terceiros.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Estas organizações procuram normalmente evitar o risco de uma configuração errada no equilíbrio de cargas, rotas definidas pelo utilizador, na própria firewall/WAF e nos atrasos nas transferências entre diferentes equipas técnicas.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Esta opção é particularmente convincente para as organizações que abraçam a infraestrutura à medida que se aproximam as abordagens de código, uma vez que podem automatizar e instrumentar as capacidades incorporadas mais facilmente do que as capacidades de terceiros.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

A documentação sobre as capacidades de segurança da rede nativa Azure pode ser encontrada em:Documentation on Azure native network security capabilities can be found at:

O Azure Marketplace inclui muitos fornecedores de firewall de terceiros.Azure Marketplace includes many third-party firewall providers.

Consulte também o Azure Security Benchmark NS-4: Proteja as aplicações e serviços contra ataques de rede externa.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. Tecnologia: Integrar a deteção de ameaças nativas8. Technology: Integrate native threat detection

Simplificar a deteção e resposta de ataques contra sistemas e dados Azure.Simplify detection and response of attacks against Azure systems and data.

O que: Simplificar a sua estratégia de deteção e resposta de ameaças incorporando capacidades nativas de deteção de ameaças nas suas operações de segurança e SIEM.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Porquê: O objetivo das operações de segurança é reduzir o impacto dos atacantes ativos que têm acesso ao ambiente, medido pelo tempo médio para reconhecer (MTTA) e remediar incidentes (MTTR).Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. Isto requer precisão e rapidez em todos os elementos de resposta a incidentes, pelo que a qualidade das ferramentas e a eficiência da execução do processo são primordiais.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

É difícil obter deteções de ameaças elevadas usando ferramentas e abordagens existentes projetadas para deteção de ameaças no local devido a diferenças na tecnologia da nuvem e ao seu ritmo acelerado de mudança.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. As deteções integradas nativamente fornecem soluções à escala industrial mantidas pelos fornecedores de nuvem que podem acompanhar as ameaças atuais e as mudanças na plataforma na nuvem.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Estas soluções nativas também permitem que as equipas de operações de segurança se concentrem na investigação e reparação de incidentes em vez de perder tempo tentando criar alertas a partir de dados de registos desconhecidos, integrando ferramentas e tarefas de manutenção.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Isto é normalmente conduzido pela equipa de Operações de Segurança.Who: This is typically driven by the Security Operations team.

  • Patrocínio: Isto é normalmente patrocinado pelo Diretor de Operações de Segurança (ou equivalente)..Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • Execução: A integração da deteção de ameaças nativas é um esforço colaborativo que envolve aqueles com:Execution: Integrating native threat detection is a collaborative effort involving those with:
    • Operações de Segurança: integrar alertas no SIEM e processos de investigação de incidentes, educar analistas sobre alertas de nuvem e o que significam, e como usar as ferramentas de nuvem nativa.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Preparação para incidentes: Integre incidentes em nuvem em exercícios de prática e garanta que os exercícios de prática são conduzidos para impulsionar a prontidão da equipa.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Inteligência de Ameaça: Pesquisar e integrar informação sobre ataques em nuvem para informar as equipas com contexto e inteligência.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Arquitetura de Segurança: Integre a ferramenta nativa na documentação de arquitetura de segurança.Security Architecture: Integrate native tooling into security architecture documentation.
    • Política e normas: Estabeleça padrões e políticas para permitir a ferramenta nativa em toda a organização.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Monitor para conformidade.Monitor for compliance.
    • Infraestruturas e Endpoint / Operações centrais de TI: Configure e permita deteções, integrando-se na automação e infraestrutura como soluções de código.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Como: Ativar a deteção de ameaças no Centro de Segurança Azure para todos os recursos que está a utilizar e fazer com que cada equipa os integre nos seus processos, conforme descrito acima.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

Consulte também o Azure Security Benchmark LT-1: Permitir a deteção de ameaças para os recursos Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. Arquitetura: Normalizar num único diretório e identidade9. Architecture: Standardize on a single directory and identity

Ninguém quer lidar com múltiplas identidades e diretórios.Nobody wants to deal with multiple identities and directories.

O que: Normalizar num único diretório AD Azure e identidade única para cada aplicação e utilizador em Azure (para todas as funções de identidade da empresa).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Nota

Esta boa prática refere-se especificamente aos recursos empresariais.This best practice refers specifically to enterprise resources. Para contas de parceiros, utilize o Azure AD B2B para que não tenha de criar e manter contas no seu diretório.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. Para contas cliente/cidadão, utilize o Azure AD B2C para geri-los.For customer/citizen accounts, use Azure AD B2C to manage them.

Porquê: Contas múltiplas e diretórios de identidade criam atrito e confusão desnecessários em fluxos de trabalho diários para utilizadores de produtividade, desenvolvedores, administradores de TI e identidade, analistas de segurança e outros papéis.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

Gerir várias contas e diretórios também cria um incentivo para más práticas de segurança, como reutilizar a mesma palavra-passe através das contas e aumentar a probabilidade de contas velhas/abandonadas que os atacantes podem atingir.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

Embora por vezes pareça mais fácil levantar rapidamente um diretório personalizado (baseado em LDAP, etc.) para uma determinada aplicação ou carga de trabalho, isso cria muito mais trabalhos de integração e manutenção para configurar e gerir.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. Isto é semelhante em muitos aspetos à decisão de criar um inquilino adicional da Azure ou de outros locais Ative Directory Forest vs. usando a empresa existente.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. Consulte também o princípio de segurança "Drive Simplicity".See also the "Drive Simplicity" security principle.

Quem: Este é frequentemente um esforço de equipa cruzada impulsionado por equipas de Arquitetura de Segurança ou Identidade e Gestão de Chaves.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Como: Adotar uma abordagem pragmática que comece com novas capacidades de campo verde (crescendo hoje) e, em seguida, limpe os desafios com o campo castanho das aplicações e serviços existentes como um exercício de acompanhamento:How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • Greenfield: Estabeleça e implemente uma política clara de que toda a identidade da empresa em curso deve utilizar um único diretório AZure AD com uma única conta para cada utilizador.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Brownfield: Muitas organizações têm frequentemente vários diretórios e sistemas de identidade.Brownfield: Many organizations often have multiple legacy directories and identity systems. Endereça-os quando o custo do atrito de gestão em curso exceder o investimento para limpá-lo.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Embora as soluções de gestão de identidade e sincronização possam mitigar algumas destas questões, carecem de uma integração profunda das funcionalidades de segurança e produtividade que permitam uma experiência perfeita para utilizadores, administradores e desenvolvedores.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

O momento ideal para consolidar o seu uso da identidade é durante os ciclos de desenvolvimento de aplicações como você:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Modernizar aplicações para a nuvemModernize applications for the cloud
  • Atualizar aplicações em nuvem com processos DevOpsUpdate cloud applications with DevOps processes

Embora existam razões válidas para um diretório separado no caso de unidades de negócio extremamente independentes ou requisitos regulamentares, devem ser evitados vários diretórios em todas as outras circunstâncias.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

Consulte também o ID-1 de Benchmark de Segurança Azure: Standardize o Azure Ative Directory como o sistema central de identidade e autenticação.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Importante

A única exceção à regra das contas únicas é que os utilizadores privilegiados (incluindo administradores de TI e analistas de segurança) devem ter contas separadas para tarefas padrão do utilizador vs. tarefas administrativas.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Para mais informações, consulte o Azure Security Benchmark Privileged Access.For more information, see Azure Security Benchmark Privileged Access.

10. Arquitetura: Utilize controlo de acesso baseado na identidade (em vez de chaves)10. Architecture: Use identity based access control (instead of keys)

O que: Utilize identidades AZure AD em vez de autenticação baseada em chaves sempre que possível (Serviços Azure, Aplicações, APIs, etc.).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Porquê: A autenticação baseada em chaves pode ser usada para autenticar serviços na nuvem e APIs, mas requer a gestão segura das chaves, o que é um desafio para um bom desempenho (especialmente em escala).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). A gestão segura de chaves é difícil para profissionais não-seguros como desenvolvedores e profissionais de infraestruturas e muitas vezes não conseguem fazê-lo de forma segura, muitas vezes criando grandes riscos de segurança para a organização.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

A autenticação baseada na identidade supera muitos destes desafios com capacidades maduras para rotação secreta, gestão do ciclo de vida, delegação administrativa, entre outros.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Quem: Este é frequentemente um esforço de equipa cruzada impulsionado por equipas de arquitetura de segurança ou identidade e gestão chave.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Como: Definir uma preferência organizacional e hábito para a utilização da autenticação baseada na identidade requer seguir um processo e ativar a tecnologia.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

O processo:The process:

  1. Estabeleça políticas e normas que delineiem claramente a autenticação baseada em identidade padrão, bem como exceções aceitáveis.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Educar os desenvolvedores & equipas de infraestruturas sobre o porquê de usar a nova abordagem, o que precisam de fazer e como fazê-lo.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Implementar mudanças de forma pragmática – começando com novas capacidades de campo verde a serem adotadas agora e no futuro (novos serviços Azure, novas aplicações) e, em seguida, acompanhando com uma limpeza das configurações existentes em Brownfield.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. Monitorize para o cumprimento e acompanhamento com equipas de desenvolvimento e infraestrutura para remediar.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

As tecnologias: Para contas não humanas, tais como serviços ou automação, utilize identidades geridas.The technologies: For non-human accounts such as services or automation, use managed identities. As identidades geridas pelo Azure podem autenticar para os serviços e recursos da Azure que suportam a autenticação AZure.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. A autenticação é ativada através de regras de concessão de acesso pré-definidas, evitando credenciais codificadas em código fonte ou ficheiros de configuração.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

Para serviços que não suportem identidades geridas, utilize a Azure AD para criar um principal de serviço com permissões restritas ao nível dos recursos.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. Recomendamos configurar os diretores de serviço com credenciais de certificado e voltar aos segredos dos clientes.We recommended configuring service principals with certificate credentials and fall back to client secrets. Em ambos os casos, o Azure Key Vault pode ser usado em conjunto com identidades geridas aZure, de modo que o ambiente de tempo de execução (como uma função Azure) pode recuperar a credencial do cofre chave.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

Consulte também o ID-2 de benchmark de segurança Azure: Gerir as identidades da aplicação de forma segura e automática.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. Arquitetura: Estabelecer uma única estratégia de segurança unificada11. Architecture: Establish a single unified security strategy

Todos precisam de remar na mesma direção para o barco seguir em frente.Everyone needs to row in the same direction for the boat to go forward.

O que: Garantir que todas as equipas estão alinhadas com uma estratégia única que permita e proteja sistemas e dados empresariais.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Porquê: Quando as equipas trabalham isoladamente sem estarem alinhadas com uma estratégia comum, as suas ações individuais podem inadvertidamente minar os esforços uns dos outros, criando atritos desnecessários que retardam o progresso contra os objetivos de todos.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

Um exemplo disso que tem jogado consistentemente em muitas organizações é a segmentação de ativos:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • A equipa de segurança da rede desenvolve uma estratégia para segmentar uma rede plana para aumentar a segurança (muitas vezes com base em sites físicos, endereços/intervalos de endereços IP atribuídos, ou similares)The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Separadamente, a equipa de identidade desenvolveu uma estratégia para grupos e unidades organizacionais de Diretório Ativo (OUs) com base na sua compreensão e conhecimento da organização.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • Muitas vezes, as equipas de aplicação têm dificuldade em trabalhar com estes sistemas porque foram concebidas com uma entrada limitada e compreensão de operações comerciais, objetivos e riscos.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

Nas organizações onde isso acontece, as equipas experimentam frequentemente conflitos sobre exceções de firewall, que impactam negativamente tanto a segurança (as exceções são geralmente aprovadas) como a produtividade (a implementação é abrandada para a funcionalidade de aplicação que o negócio necessita).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

Embora a segurança possa criar atrito saudável forçando o pensamento crítico, este conflito só cria atritos insalubres que impedem os objetivos.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Para obter mais informações, consulte a orientação da estratégia de segurança: o nível certo de atrito de segurança.For more information, see Security strategy guidance: the right level of security friction.

Quem?Who:

  • Patrocínio: A estratégia unificada tipicamente copatrocinada pelo CIO, CISO e CTO (muitas vezes com apoio de liderança empresarial para alguns elementos de alto nível) e defendida por representantes de cada equipa.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Execução: A estratégia de segurança tem de ser implementada por todos, pelo que deve integrar os contributos de todas as equipas para aumentar a propriedade, a aquisição e a probabilidade de sucesso.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Arquitetura de segurança: Lidera o esforço para construir estratégia de segurança e arquitetura resultante, recolher ativamente feedback das equipas, e documentá-lo em apresentações, documentos e diagramas para os vários públicos.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Política e normas: Captura os elementos apropriados em normas e políticas e, em seguida, monitoriza para o cumprimento.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Todas as equipas técnicas de TI e segurança: Fornecer requisitos de entrada, em seguida, alinhar e implementar a estratégia da empresa.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Proprietários de aplicações e desenvolvedores: Leia e compreenda a documentação de estratégia que lhes é aplicável (idealmente, orientação adaptada ao seu papel).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Como:How:

Construa e implemente uma estratégia de segurança para a nuvem que inclua a entrada e participação ativa de todas as equipas.Build and implement a security strategy for cloud that includes the input and active participation of all teams. Embora o formato de documentação do processo varie, isto deve incluir sempre:While the process documentation format will vary, this should always include:

  • Entrada ativa das equipas: As estratégias normalmente falham se as pessoas da organização não as acreditam.Active input from teams: Strategies typically fail if people in the organization don't buy into them. Idealmente, colocar todas as equipas na mesma sala para construir colaborativamente a estratégia.Ideally, get all teams in the same room to collaboratively build the strategy. Nos workshops que realizamos com os clientes, muitas vezes encontramos organizações que operam em silos de facto e estas reuniões muitas vezes resultam em pessoas que se encontram pela primeira vez.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Também achamos que a inclusão é um requisito.We also find that inclusiveness is a requirement. Se algumas equipas não forem convidadas, este encontro tem de ser repetido até que todos os participantes se juntem a ele (ou o projeto não avança).If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • Documentado e comunicado claramente: Todas as equipas devem ter consciência da estratégia de segurança (idealmente uma componente de segurança da estratégia tecnológica global) incluindo o porquê de integrar a segurança, o que é importante na segurança e como é o sucesso da segurança.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. Isto deve incluir orientações específicas para as equipas de aplicação e desenvolvimento, de modo a que possam obter uma orientação prioritária clara sem terem de ler através de partes não relevantes da orientação.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Estável, mas flexível: As estratégias devem manter-se relativamente consistentes e estáveis, mas as arquiteturas e a documentação podem precisar de alterações para acrescentar clareza e acomodar a natureza dinâmica da nuvem.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Por exemplo, filtrar o tráfego externo malicioso permaneceria consistente como um imperativo estratégico, mesmo que se mude da utilização de uma firewall de próxima geração de terceiros para a Azure Firewall e ajuste os diagramas/orientações sobre como fazê-lo.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • Comece com a segmentação: Ao longo da adoção em nuvem, as suas equipas abordarão muitos tópicos de estratégia grandes e pequenos, mas você precisa começar em algum lugar.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. Recomendamos iniciar a estratégia de segurança com a segmentação de ativos empresariais, uma vez que é uma decisão fundamental que seria desafiante para mudar mais tarde e requer tanto a entrada de negócios como muitas equipas técnicas.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

A Microsoft publicou orientações de vídeo para aplicar uma estratégia de segmentação ao Azure, bem como documentos sobre segmentação empresarial e alinhar a segurança da rede com ela.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

O Quadro de Adoção em Nuvem inclui orientações para ajudar as suas equipas com:The Cloud Adoption Framework includes guidance to help your teams with:

Consulte também a governação e estratégia de benchmark de segurança Azure.Also see the Azure Security Benchmark governance and strategy.