Compartilhar via


Melhorar a segurança da zona de destino

Quando uma carga de trabalho ou as zonas de destino que a hospedam exigirem o acesso a dados confidenciais ou a sistemas críticos, é importante proteger os dados e os ativos.

Seguro

Ao sair do estado Pronto, você tem a responsabilidade contínua de manter a segurança do ambiente. Além disso, a segurança da nuvem é um processo incremental, em vez de apenas um destino estático. Concentre-se nos objetivos e principais resultados ao prever um estado final de segurança. Mapeie conceitos, estruturas e padrões para as disciplinas na metodologia segura do CAF, juntamente com o mapeamento para funções e responsabilidades para disciplina humana. A metodologia segura fornece diretrizes.

Fornecemos abaixo uma visão geral dessas diretrizes com os links para os detalhes.

Insights de risco

As operações de negócios apresentam riscos de segurança. A equipe de segurança deve informar e aconselhar os tomadores de decisões sobre como os riscos de segurança se enquadram nas estruturas, compreendendo os negócios e usando práticas de segurança para reconhecer para quais riscos devem se planejar e tomar medidas adequadamente.

  • Riscos de segurança cibernética: todos os danos potenciais ou destruição dos negócios causados por invasores humanos que tentam roubar moeda, informações privilegiadas ou tecnologia.
  • Alinhar o gerenciamento de riscos de segurança: invista em criar uma ponte entre a segurança cibernética e a liderança organizacional, para explicar as ameaças à segurança usando uma terminologia amigável para os negócios, escutando e se comunicando ativamente com todas as pessoas em toda a empresa.
  • Noções básicas sobre o risco de segurança cibernética: compreenda as motivações e os padrões de comportamento dos invasores humanos para roubar dinheiro, informações ou tecnologia e identifique o possível impacto de diferentes tipos de ataques.

Integração de segurança

Verifique se a segurança é uma preocupação organizacional e não isolada em um único grupo. A integração de segurança fornece diretrizes sobre como integrar a segurança à função de todos e, ao mesmo tempo, minimizar o atrito com os processos de negócios. As diretrizes específicas incluem:

  • Normalização das relações: verifique se todas as equipes estão integradas às equipes de segurança e têm uma compreensão compartilhada das metas de segurança. Além disso, trabalhe para encontrar o nível certo de controles de segurança, garantindo que os controles não ultrapassem o valor comercial.
  • Integrar-se às operações de TI e de negócios: equilibre a implementação de atualizações de segurança e mapeie como todos os processos de segurança afetam o impacto atual dos negócios e os possíveis riscos de segurança no futuro.
  • Integrar equipes de segurança: evite operar isoladamente, respondendo a ameaças ativas e melhorando continuamente a postura de segurança da organização ao praticar a segurança como disciplina dinâmica.

Resiliência de negócios

Embora talvez as organizações nunca tenham a segurança perfeita, ainda existe uma abordagem pragmática de Resiliência de negócios ao investir no ciclo de vida completo de um risco de segurança antes, durante e depois de um incidente.

  • Metas de resiliência: concentre-se em permitir que sua empresa inove rapidamente, limite o impacto e sempre busque maneiras seguras de adotar a tecnologia.
  • Resiliência de segurança e assumir violação: assuma violação ou comprometimento para seguir o princípio-chave de Zero Trust e pratique comportamentos de segurança pragmáticos para evitar ataques, limitar danos e ter uma recuperação rápida deles.

Controle de acesso

Elabore uma estratégia de controle de acesso que alinhe a experiência do usuário e as garantias de segurança.

  • Do perímetro de segurança ao Zero Trust: adote uma abordagem Zero Trust para controle de acesso para estabelecer e melhorar as garantias de segurança ao trabalhar na nuvem e usar novas tecnologias.
  • Controle de acesso moderno: elabore uma estratégia de controle de acesso abrangente, consistente e flexível. Vá além de uma única tática ou tecnologia para várias cargas de trabalho, nuvens e diversos níveis de confidencialidade de negócios.
  • Conhecido, confiável, permitido: siga o processo dinâmico de três etapas para garantir uma autenticação conhecida, que confia no usuário ou no dispositivo e que permite os direitos e privilégios apropriados para o aplicativo, o serviço ou os dados.
  • Decisões de acesso controladas por dados: tome decisões informadas em relação aos dados diversificados sobre os usuários e dispositivos para cumprir a validação explícita.
  • Segmentação: separar para proteger: crie limites como segmentos separados de um ambiente interno, para conter danos de ataques bem-sucedidos.
  • Isolamento: evitar firewall e esquecer: crie uma forma extrema de segmentação para ativos comercialmente críticos que consistem em: pessoas, processos e tecnologias.

Operações de segurança

Estabeleça as operações de segurança reduzindo riscos, respondendo rapidamente e recuperando-se para proteger sua organização e seguir a disciplina de segurança do processo do DevOps.

  • Pessoas e processo: crie uma cultura para capacitar as pessoas com ferramentas para ativá-las como o ativo mais valioso e diversificar o portfólio de pensamentos, incluindo e treinando pessoas não técnicas com fortes experiências em funções de investigação forense.
  • Modelo de operações de segurança: concentre-se nos resultados do gerenciamento de incidentes, na preparação de incidentes e na inteligência contra ameaças. Delegue os resultados entre subequipes para triagem, investigação e busca em incidentes complexos e de alto volume.
  • Pontos de contato de negócios do SecOps: interaja com a liderança empresarial para informar os principais incidentes e determinar o impacto dos sistemas críticos. Resposta de prática conjunta contínua para reduzir o risco organizacional.
  • Modernização do SecOps: desenvolva as operações de segurança ao seguir tendências que envolvem a cobertura de plataforma, a segurança centrada em identidade, os dispositivos IoT e OT e a telemetria relevante na nuvem.

Proteção de ativos

Proteja os ativos comercialmente críticos, que incluem todos os itens físicos e virtuais, implementando controles de segurança exclusivos para cada tipo de ativo. Execute consistentemente proteção preventiva e de detecção para atender a políticas, padrões e arquitetura.

  • Tornar-se seguro: leve os recursos para os padrões e políticas de segurança mais recentes de sua organização, aplicando os controles atuais aos ativos brownfield e garantindo que os ativos greenfield sejam definidos de acordo com os padrões mais recentes.
  • Manter-se seguro: pratique a melhoria contínua da nuvem e planeje a atualização ou desativação do software no fim da vida útil, à medida que os requisitos de negócios, tecnologia e segurança mudam rapidamente.
  • Introdução: comece a proteger os ativos concentrando-se nos recursos de nuvem conhecidos primeiro e use linhas de base de fornecedor/setor conhecidas e comprovadas para a configuração de segurança.
  • Informações importantes: use os principais elementos das equipes responsáveis e encarregadas para gerenciar ativos de toda a empresa, como as necessidades de carga de trabalho de elasticidade de nuvem, e os controles de design para identificar as melhores práticas. Meça o valor comercial da proteção de ativos e favoreça a política automatizada para evitar o custo e a repetição manual.

Governança de segurança

Execute a supervisão e o monitoramento com governança de segurança, para manter e melhorar a postura de segurança ao longo do tempo, usando as metas de negócios e o risco para determinar a melhor direção para segurança.

  • Conformidade e relatório: faça com que as políticas de segurança externas e internas atendam aos requisitos obrigatórios em determinado setor.
  • Arquitetura e padrões: crie uma visão unificada em toda a propriedade da sua empresa, pois a maioria das empresas consiste em um ambiente híbrido que inclui recursos no local e na nuvem.
  • Gerenciamento da postura de segurança: planeje a governança para monitorar os padrões de segurança, fornecer diretrizes e melhorar os processos. Mantenha a agilidade usando a governança controlada por meio de política e aprimoramento contínuo.
  • Disciplinas de governança e proteção: aplique controles de segurança e forneça comentários para identificar as melhores soluções.
  • Operações de governança e segurança: verifique se as lições aprendidas com os incidentes são integradas às operações de segurança e à governança.

Segurança de inovações

Proteja os processos e os dados de inovação contra ataques cibernéticos, à medida que novos aplicativos são desenvolvidos pensando na segurança de inovação.

  • DevSecOps: Segurança integrada ao processo já combinado de desenvolvimento e operações em DevOps para mitigar riscos no processo de inovação.
  • Seguro por design e mudando para a esquerda: envolva a segurança em todos os estágios do ciclo de vida do DevOps e faça com que as equipes se alinhem com a velocidade, a confiabilidade e a resiliência da inovação.
  • Por que DevSecOps: para proteger o processo de DevOps contra invasores que exploram pontos fracos em toda a infraestrutura de TI da sua organização, o que, por sua vez, protege seus clientes.
  • A Jornada do DevSecOps: use a incubação de ideias e o DevOps como processo de duas fases, como a maioria das organizações. Identifique os requisitos de MVP (produto mínimo viável), use técnicas de liderança para resolver conflitos de equipes e integre a segurança nos processos e nas ferramentas existentes.
  • Dicas sobre como percorrer a jornada: à medida que você transforma a segurança, haverá desafios comuns ao longo da jornada que envolverão educação, tempo, recursos e a natureza geral de mudança das operações de TI.

Controles de DevSecOps

Adicione segurança a cada estágio de CI/CD (integração contínua e entrega contínua) ao criar os controles do DevSecOps.

  • Proteja o design: traga segurança para a fase de planejamento em metodologias de desenvolvimento modernas para implementar modelagem de ameaças, plug-ins de segurança IDE/pré-confirmação e revisão por pares.
  • Proteja o código: avalie e implemente o recurso de verificação de vulnerabilidades em seus repositórios centralizados para descobrir riscos e executar correções.
  • Proteja o pipeline: use pipelines de build e lançamento para automação e padronização para os processos de criação e implantação de código seguro sem gastar muito tempo na reimplantação ou atualização de ambientes existentes.
  • Operações seguras: supervisione e gerencie o estado de segurança quando a solução for colocada em produção. Use as ferramentas de verificação de infraestrutura e práticas de teste de penetração para permitir que as equipes encontrem os riscos e vulnerabilidades a serem resolvidos.

Ciclo de desenvolvimento orientado por testes

Antes de iniciar qualquer melhoria de segurança, é importante entender a "definição de pronto" e todos os "critérios de aceitação". Para obter mais informações, consulte os artigos sobre desenvolvimento controlado por teste de zonas de destino e desenvolvimento controlado por teste no Azure.

Próximas etapas

Saiba como melhorar as operações de zona de destino para dar suporte a aplicativos críticos.