Melhorar a segurança da zona de destino
Quando uma carga de trabalho ou as zonas de destino que a hospedam exigirem o acesso a dados confidenciais ou a sistemas críticos, é importante proteger os dados e os ativos.
Seguro
Ao sair do estado Pronto, você tem a responsabilidade contínua de manter a segurança do ambiente. Além disso, a segurança da nuvem é um processo incremental, em vez de apenas um destino estático. Concentre-se nos objetivos e principais resultados ao prever um estado final de segurança. Mapeie conceitos, estruturas e padrões para as disciplinas na metodologia segura do CAF, juntamente com o mapeamento para funções e responsabilidades para disciplina humana. A metodologia segura fornece diretrizes.
Fornecemos abaixo uma visão geral dessas diretrizes com os links para os detalhes.
Insights de risco
As operações de negócios apresentam riscos de segurança. A equipe de segurança deve informar e aconselhar os tomadores de decisões sobre como os riscos de segurança se enquadram nas estruturas, compreendendo os negócios e usando práticas de segurança para reconhecer para quais riscos devem se planejar e tomar medidas adequadamente.
- Riscos de segurança cibernética: todos os danos potenciais ou destruição dos negócios causados por invasores humanos que tentam roubar moeda, informações privilegiadas ou tecnologia.
- Alinhar o gerenciamento de riscos de segurança: invista em criar uma ponte entre a segurança cibernética e a liderança organizacional, para explicar as ameaças à segurança usando uma terminologia amigável para os negócios, escutando e se comunicando ativamente com todas as pessoas em toda a empresa.
- Noções básicas sobre o risco de segurança cibernética: compreenda as motivações e os padrões de comportamento dos invasores humanos para roubar dinheiro, informações ou tecnologia e identifique o possível impacto de diferentes tipos de ataques.
Integração de segurança
Verifique se a segurança é uma preocupação organizacional e não isolada em um único grupo. A integração de segurança fornece diretrizes sobre como integrar a segurança à função de todos e, ao mesmo tempo, minimizar o atrito com os processos de negócios. As diretrizes específicas incluem:
- Normalização das relações: verifique se todas as equipes estão integradas às equipes de segurança e têm uma compreensão compartilhada das metas de segurança. Além disso, trabalhe para encontrar o nível certo de controles de segurança, garantindo que os controles não ultrapassem o valor comercial.
- Integrar-se às operações de TI e de negócios: equilibre a implementação de atualizações de segurança e mapeie como todos os processos de segurança afetam o impacto atual dos negócios e os possíveis riscos de segurança no futuro.
- Integrar equipes de segurança: evite operar isoladamente, respondendo a ameaças ativas e melhorando continuamente a postura de segurança da organização ao praticar a segurança como disciplina dinâmica.
Resiliência de negócios
Embora talvez as organizações nunca tenham a segurança perfeita, ainda existe uma abordagem pragmática de Resiliência de negócios ao investir no ciclo de vida completo de um risco de segurança antes, durante e depois de um incidente.
- Metas de resiliência: concentre-se em permitir que sua empresa inove rapidamente, limite o impacto e sempre busque maneiras seguras de adotar a tecnologia.
- Resiliência de segurança e assumir violação: assuma violação ou comprometimento para seguir o princípio-chave de Zero Trust e pratique comportamentos de segurança pragmáticos para evitar ataques, limitar danos e ter uma recuperação rápida deles.
Controle de acesso
Elabore uma estratégia de controle de acesso que alinhe a experiência do usuário e as garantias de segurança.
- Do perímetro de segurança ao Zero Trust: adote uma abordagem Zero Trust para controle de acesso para estabelecer e melhorar as garantias de segurança ao trabalhar na nuvem e usar novas tecnologias.
- Controle de acesso moderno: elabore uma estratégia de controle de acesso abrangente, consistente e flexível. Vá além de uma única tática ou tecnologia para várias cargas de trabalho, nuvens e diversos níveis de confidencialidade de negócios.
- Conhecido, confiável, permitido: siga o processo dinâmico de três etapas para garantir uma autenticação conhecida, que confia no usuário ou no dispositivo e que permite os direitos e privilégios apropriados para o aplicativo, o serviço ou os dados.
- Decisões de acesso controladas por dados: tome decisões informadas em relação aos dados diversificados sobre os usuários e dispositivos para cumprir a validação explícita.
- Segmentação: separar para proteger: crie limites como segmentos separados de um ambiente interno, para conter danos de ataques bem-sucedidos.
- Isolamento: evitar firewall e esquecer: crie uma forma extrema de segmentação para ativos comercialmente críticos que consistem em: pessoas, processos e tecnologias.
Operações de segurança
Estabeleça as operações de segurança reduzindo riscos, respondendo rapidamente e recuperando-se para proteger sua organização e seguir a disciplina de segurança do processo do DevOps.
- Pessoas e processo: crie uma cultura para capacitar as pessoas com ferramentas para ativá-las como o ativo mais valioso e diversificar o portfólio de pensamentos, incluindo e treinando pessoas não técnicas com fortes experiências em funções de investigação forense.
- Modelo de operações de segurança: concentre-se nos resultados do gerenciamento de incidentes, na preparação de incidentes e na inteligência contra ameaças. Delegue os resultados entre subequipes para triagem, investigação e busca em incidentes complexos e de alto volume.
- Pontos de contato de negócios do SecOps: interaja com a liderança empresarial para informar os principais incidentes e determinar o impacto dos sistemas críticos. Resposta de prática conjunta contínua para reduzir o risco organizacional.
- Modernização do SecOps: desenvolva as operações de segurança ao seguir tendências que envolvem a cobertura de plataforma, a segurança centrada em identidade, os dispositivos IoT e OT e a telemetria relevante na nuvem.
Proteção de ativos
Proteja os ativos comercialmente críticos, que incluem todos os itens físicos e virtuais, implementando controles de segurança exclusivos para cada tipo de ativo. Execute consistentemente proteção preventiva e de detecção para atender a políticas, padrões e arquitetura.
- Tornar-se seguro: leve os recursos para os padrões e políticas de segurança mais recentes de sua organização, aplicando os controles atuais aos ativos brownfield e garantindo que os ativos greenfield sejam definidos de acordo com os padrões mais recentes.
- Manter-se seguro: pratique a melhoria contínua da nuvem e planeje a atualização ou desativação do software no fim da vida útil, à medida que os requisitos de negócios, tecnologia e segurança mudam rapidamente.
- Introdução: comece a proteger os ativos concentrando-se nos recursos de nuvem conhecidos primeiro e use linhas de base de fornecedor/setor conhecidas e comprovadas para a configuração de segurança.
- Informações importantes: use os principais elementos das equipes responsáveis e encarregadas para gerenciar ativos de toda a empresa, como as necessidades de carga de trabalho de elasticidade de nuvem, e os controles de design para identificar as melhores práticas. Meça o valor comercial da proteção de ativos e favoreça a política automatizada para evitar o custo e a repetição manual.
Governança de segurança
Execute a supervisão e o monitoramento com governança de segurança, para manter e melhorar a postura de segurança ao longo do tempo, usando as metas de negócios e o risco para determinar a melhor direção para segurança.
- Conformidade e relatório: faça com que as políticas de segurança externas e internas atendam aos requisitos obrigatórios em determinado setor.
- Arquitetura e padrões: crie uma visão unificada em toda a propriedade da sua empresa, pois a maioria das empresas consiste em um ambiente híbrido que inclui recursos no local e na nuvem.
- Gerenciamento da postura de segurança: planeje a governança para monitorar os padrões de segurança, fornecer diretrizes e melhorar os processos. Mantenha a agilidade usando a governança controlada por meio de política e aprimoramento contínuo.
- Disciplinas de governança e proteção: aplique controles de segurança e forneça comentários para identificar as melhores soluções.
- Operações de governança e segurança: verifique se as lições aprendidas com os incidentes são integradas às operações de segurança e à governança.
Segurança de inovações
Proteja os processos e os dados de inovação contra ataques cibernéticos, à medida que novos aplicativos são desenvolvidos pensando na segurança de inovação.
- DevSecOps: Segurança integrada ao processo já combinado de desenvolvimento e operações em DevOps para mitigar riscos no processo de inovação.
- Seguro por design e mudando para a esquerda: envolva a segurança em todos os estágios do ciclo de vida do DevOps e faça com que as equipes se alinhem com a velocidade, a confiabilidade e a resiliência da inovação.
- Por que DevSecOps: para proteger o processo de DevOps contra invasores que exploram pontos fracos em toda a infraestrutura de TI da sua organização, o que, por sua vez, protege seus clientes.
- A Jornada do DevSecOps: use a incubação de ideias e o DevOps como processo de duas fases, como a maioria das organizações. Identifique os requisitos de MVP (produto mínimo viável), use técnicas de liderança para resolver conflitos de equipes e integre a segurança nos processos e nas ferramentas existentes.
- Dicas sobre como percorrer a jornada: à medida que você transforma a segurança, haverá desafios comuns ao longo da jornada que envolverão educação, tempo, recursos e a natureza geral de mudança das operações de TI.
Controles de DevSecOps
Adicione segurança a cada estágio de CI/CD (integração contínua e entrega contínua) ao criar os controles do DevSecOps.
- Proteja o design: traga segurança para a fase de planejamento em metodologias de desenvolvimento modernas para implementar modelagem de ameaças, plug-ins de segurança IDE/pré-confirmação e revisão por pares.
- Proteja o código: avalie e implemente o recurso de verificação de vulnerabilidades em seus repositórios centralizados para descobrir riscos e executar correções.
- Proteja o pipeline: use pipelines de build e lançamento para automação e padronização para os processos de criação e implantação de código seguro sem gastar muito tempo na reimplantação ou atualização de ambientes existentes.
- Operações seguras: supervisione e gerencie o estado de segurança quando a solução for colocada em produção. Use as ferramentas de verificação de infraestrutura e práticas de teste de penetração para permitir que as equipes encontrem os riscos e vulnerabilidades a serem resolvidos.
Ciclo de desenvolvimento orientado por testes
Antes de iniciar qualquer melhoria de segurança, é importante entender a "definição de pronto" e todos os "critérios de aceitação". Para obter mais informações, consulte os artigos sobre desenvolvimento controlado por teste de zonas de destino e desenvolvimento controlado por teste no Azure.
Próximas etapas
Saiba como melhorar as operações de zona de destino para dar suporte a aplicativos críticos.