Tutorial: Gerir a segurança da plataforma em nuvem

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

O trabalho remoto leva frequentemente a um uso extensivo de aplicações em nuvem e plataformas em nuvem para tarefas e superfícies comuns de negócios a necessidade de proteger ambientes em nuvem e a adoção de produtos de segurança na nuvem. De acordo com o modelo de responsabilidade partilhada,uma organização é responsável pela gestão e segurança da sua plataforma na nuvem: Gestão de Acesso à Identidade (IAM), Máquinas Virtuais (VM) e seus recursos de computação, dados e armazenamento, recursos de rede, entre outros.

Assegurando o seu ambiente multi-nuvens.

Como é que a gestão da postura de segurança ajuda?

É fundamental dispor dos instrumentos de segurança adequados para proteger recursos que possam não ter sido devidamente protegidos. As organizações devem ganhar visibilidade para a sua postura de recursos em nuvem, ter capacidades de descoberta para aprender sobre o uso real de cada plataforma, ser capaz de monitorizar atividades suspeitas, avaliar e rever configurações e estados de conformidade, e ser habilitado a implementar mecanismos de proteção em tempo real.

A Cloud Security Posture Management (CSPM) estende-se também para além da postura de segurança IaaS e PaaS, para cobrir também as configurações do SaaS. Por exemplo, o repositório GitHub com um nível de acesso público, ou aplicações OAuth que têm acesso às minhas aplicações SaaS como o Office 365, Google Workspace ou Sales Force. O SaaS CSPM é um novo e crescente domínio de CSPM, que é uma expansão nativa do produto Cloud App Security.

Proteger várias nuvens de um único portal de gestão

A complexidade moderna das organizações, muitas das quais utilizam várias plataformas em nuvem para diferentes propósitos, e diferentes escalas e status de implantação, requer a capacidade de rastrear regularmente o ambiente multi-nuvem. O estado de implantação de alguns serviços pode mudar ao longo do tempo, e não necessariamente com a notificação completa das alterações às equipas de segurança. Ao unir estes sinais num portal, a experiência da administração é simplificada para uma gestão de tempo e recursos ainda mais eficiente, tanto as pessoas que fazem a monitorização como as pessoas que usam os recursos na nuvem.

A postura de segurança organizacional abrange todas as plataformas em nuvem de uma organização e esta nova funcionalidade é projetada para ser usada por arquitetos de segurança, administradores de segurança central ou analistas de conformidade. A partir desta funcionalidade, os administradores podem rever subscrições com recursos não conformes e impulsionar a remediação de cada um pelo proprietário do recurso.

Neste tutorial, você aprenderá a usar a Cloud App Security para proteger as suas plataformas de nuvem Azure, AWS e GCP:

Como proteger o seu ambiente multi-nuvem

Para evitar configurações erradas da plataforma cloud crítica, é importante que as organizações obtenham visibilidade multi-cloud ao nível do inquilino no seu estado de configuração em nuvem e sejam capazes de melhorar a sua postura de segurança com base em recomendações de referência de segurança e conformidade. Use o seguinte processo para proteger o ambiente multi-nuvem da sua organização.

Fase 1: Descubra recursos multi-nuvens, uso e Shadow IT

Identifique a postura de segurança: Comece por identificar a postura de segurança na nuvem da sua organização, executando o Cloud Discovery para ver o que está a acontecer na sua rede e avalie o uso real de recursos nas suas plataformas de nuvem. Pode conseguir isso configurando o Cloud Discovery para monitorizar e analisar o tráfego da sua rede na Cloud App Security. A análise de registos de tráfego web com a descoberta shadow it da Cloud App Security proporciona uma melhor visibilidade sobre o uso de TI shadow de recursos em nuvem, identificando atividades anómalas usando o motor de deteção de anomalias machine learning ou usando políticas personalizadas que define:

  • Descubra: Descubra o uso através das plataformas de nuvem de hospedagem de recursos da sua organização. Por exemplo, avaliar o volume real de dados que foram descarregados dos seus recursos de armazenamento e identificar o uso de recursos suspeitos que possam indicar tentativas de exfiltração de dados. Da mesma forma, identifique atividades de upload suspeitas que possam indicar uma tentativa de comprometer o seu ambiente injetando código malicioso num alvo.

  • Investigação: Utilize a página de recursos descobertos para visualizar o acesso aos dados através de recursos, incluindo contas de armazenamento, infraestruturas e aplicações personalizadas hospedadas em Azure, AWS e GCP. Faça perguntas como: Houve um número suspeito de transações no acesso a um recurso específico?

    Ver recursos descobertos.

    Para investigar mais aprofundadamente, pode aprofundar cada recurso para ver os tipos de transações que ocorreram, quem acedeu ao mesmo e, em seguida, perfurar para investigar ainda mais os utilizadores.

    Investigue os recursos descobertos.

Fase 2: Monitorizar atividades e alertas para detetar comportamentos suspeitos em cargas de trabalho

Acompanhe atividades suspeitas que possam indicar uma violação, como uma mudança de função IAM (Identity & Access Management) ou uma alteração de configuração do CloudTrail. Por exemplo, use o nosso modelo de política de baldes AWS S3 pré-definido acessível ao público para rastrear as alterações de configuração do balde S3.

Monitorizar os registos de auditoria para alterações suspeitas é um ótimo local para aplicar ferramentas de deteção de anomalias, alertando sobre possíveis violações identificando múltiplas tentativas de login falhadas, ou múltiplas atividades de VM eliminadas em combinação com um cenário de viagem impossível.

Ver alertas.

Use o que aprende com os alertas para afinar as deteções de atividade do utilizador para identificar verdadeiros compromissos e reduzir a fadiga de alerta resultante do manuseamento de grandes volumes de deteções falsas positivas. Considere afinar os seguintes parâmetros políticos:

Fase 3: Avaliar e remediar as configurações erradas da plataforma de nuvem e o estado de conformidade

Avalie o estado da sua conformidade de segurança por inquilino, em todas as plataformas de nuvem pública, incluindo subscrições Azure, contas AWS e projetos GCP. As avaliações permitem-lhe comunicar lacunas de configuração e detalhes de recomendação aos proprietários de recursos e impulsionar a remediação.

Cada plataforma em nuvem fornece uma lista de recursos mal configurados com base nas melhores práticas de conformidade regulamentar.

Arquitetos em nuvem ou analistas de conformidade podem avaliar lacunas de configuração para cada ambiente em nuvem e impulsionar a remediação pelos proprietários de recursos. Por exemplo, as recomendações podem ser avaliadas por:

  • Assinatura para diferenciar entre produção de ambientes não produtivos
  • Severidade para identificar recomendações de alta gravidade que muitas vezes têm diferentes SLA e processos em relação a recomendações de baixa gravidade

Para recomendações de configuração de segurança Azure, superamos recomendações de todo o inquilino Azure e todas as suas subscrições com base nas melhores práticas do Azure Security Center. A seleção de uma recomendação redireciona-o para a página de recomendação no Azure Security Center, onde pode ver detalhes adicionais sobre a recomendação e usá-la para impulsionar a remediação pelo proprietário da subscrição. Algumas recomendações têm opções quick Fix para remediar o problema. Para obter mais informações sobre as recomendações de segurança da Azure, consulte a configuração de Segurança para Azure.

Veja as recomendações do Azure.

Para recomendações de configuração de segurança AWS, pode selecionar uma recomendação para aprofundar os detalhes dos recursos afetados. Por exemplo, a recomendação 2.9 da AWS CIS 'Garantir a entrada de fluxo VPC ativada em todas as superfícies VPC' recursos que não têm registo VPC habilitado. Os detalhes incluem os nomes VPC, a conta em que o recurso está hospedado, e a região. Pode selecionar o link AWS para visualizar a descoberta relevante e alterar as definições relacionadas em AWS para cumprir a recomendação. Para obter mais informações sobre a configuração de segurança para AWS, consulte a configuração de Segurança para AWS.

Ver recomendações da AWS.

Para recomendações de configuração de segurança GCP, selecionar uma recomendação revela informações detalhadas de recomendação e medidas de reparação para ajudá-lo a entender melhor e avaliar o impacto e esforço de remediação da questão. Em seguida, pode selecionar a ligação do Centro de Comando de Segurança GCP para remediar a descoberta na plataforma. Para obter mais informações sobre as recomendações da GCP, consulte a configuração de segurança para GCP.

Consulte as recomendações da GCP.

Fase 4: Automatizar a proteção e a aplicação das políticas para os recursos em nuvem em tempo real

Proteja os recursos da sua organização contra fugas de dados e roubo em tempo real, aplicando políticas de controlo de acesso e sessão. Para obter mais informações, consulte as aplicações Protect em tempo real.

  • Prevenir a exfiltração de dados bloqueando downloads para dispositivos não geridos ou arriscados, proteger o download numa sessão de risco.
  • Evite o upload de ficheiros maliciosos para as suas plataformas na nuvem e bloqueie o acesso a utilizadores específicos com base em muitos fatores de risco.

Especificar ação de remediação de políticas.

Ver também

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.