Seguro para adoção de nuvem de defesa

A metodologia segura é uma etapa crítica no domínio da missão de adoção da nuvem.

Figura 1: Rastreador de domínio - domínio da missão

Segurança refere-se à tríade de segurança cibernética de confidencialidade, integridade e disponibilidade. Embora a segurança esteja dentro do domínio da missão, é uma consideração importante em todas as etapas da jornada de adoção da nuvem. A segurança falha sem uma estratégia e um plano adequados. As zonas de destino e a governança falham sem as devidas considerações de segurança. As modernizações enfraquecem a postura de segurança se a segurança não for incorporada aos processos de desenvolvimento e operações.

A segurança não é menos importante para uma carga de trabalho. As cargas de trabalho herdam controles de segurança da plataforma, mas ainda devem aplicar controles de segurança acima do nível da plataforma. Aqui estão algumas recomendações de segurança a serem consideradas ao criar e gerenciar cargas de trabalho de defesa.

Implementar a Confiança Zero

Zero Trust é uma metodologia de segurança, não um produto. As implementações de Zero Trust serão diferentes, mas a semelhança é uma tentativa de eliminar a confiança.

Três princípios principais do Zero Trust abordados são (1) verificar cada sessão explicitamente, (2) impor o menor privilégio em cada identidade e (3) monitorar, pesquisar e proteger continuamente. Vamos nos aprofundar mais nesses princípios.

Verificar cada sessão explicitamente - Verificar refere-se à autenticação e autorização. Você precisa autenticar e autorizar todos os dispositivos, independentemente da localização. A autenticação multifator é um padrão de defesa comum em que o uso de um token de segurança complementa o processo de autenticação.

Recomendamos que você use um sistema de controle de acesso baseado em atributos (ABAC). O ABAC se baseia no controle de acesso baseado em função (RBAC) e exige que os dispositivos atendam a condições extras antes de obter acesso a um recurso. Os profissionais de segurança configuram as condições para limitar o acesso e minimizar o número de atribuições de funções que precisam ser gerenciadas. O Microsoft Entra ID fornece recursos ABAC nativos para que as identidades de nuvem acessem apenas informações autorizadas. Para obter mais informações, consulte controle de acesso baseado em atributo.

Impor privilégios mínimos em todas as identidades – o conceito de acesso com privilégios mínimos é um conceito familiar em ambientes de defesa. É visível no nível macro no sistema de controle de acesso obrigatório que muitas organizações de defesa usam. Os dados recebem rótulos de classificação com base em sua confidencialidade (confidencial, secreto, ultrassecreto) e os indivíduos recebem acesso aos dados necessários para concluir uma tarefa. Depois que a tarefa for concluída, o acesso será removido. O acesso a dados confidenciais quando não são necessários é uma violação do modelo com privilégios mínimos.

RBAC e ABAC são os principais recursos da imposição de privilégios mínimos. As pessoas mudam de função e a arquitetura muda, por isso é importante revisar o acesso regularmente para evitar o aumento de privilégios. O RBAC e o ABAC permitem que as equipes criem um sistema de controle de acesso refinado que atenda às necessidades de um ambiente à medida que os requisitos de acesso mudam com o tempo.

O Azure simplifica as revisões de acesso com RBAC e ABAC automatizando aspectos do controle de acesso. As políticas de acesso condicional podem ser vinculadas a funções, departamentos, projetos e locais do pessoal de defesa. À medida que as pessoas mudam de função ou local, seu acesso aos recursos mudará quando atualizado em sua identidade. As equipes de segurança podem executar revisões manuais de qualquer recurso no Azure a qualquer momento. O Azure permite que os usuários vejam recursos de vários níveis, facilitando a revisão manual.

Conceder privilégios elevados por um período definido é uma prática recomendada de segurança. O Microsoft Entra ID simplifica o uso de privilégios elevados com o PIM (Privileged Identity Management). O PIM concede privilégios elevados quando solicitado por um usuário legítimo e concede esses privilégios apenas por um período definido. Esse processo representa o acesso just-in-time e reduz o número de contas inativas que têm acesso privilegiado. Para saber mais, veja:

• PIM para acesso just-in-time
• Melhores práticas de segurança do controle de acesso e gerenciamento de identidades do Azure
• Proteger a identidade com a Confiança Zero

Monitore, verifique e melhore continuamente - A segurança não deve ser estática. O cenário de ameaças muda constantemente e a segurança deve mudar com ele. As equipes de segurança de defesa devem monitorar, verificar e melhorar os ambientes de nuvem para mitigar os riscos. As organizações de defesa geralmente têm ferramentas de segurança necessárias que as ferramentas nativas da nuvem podem complementar para detecção e análise de segurança abrangentes. Recomendamos o Microsoft Defender para Nuvem como uma ferramenta de gerenciamento de postura de segurança de nuvem de linha de base que avalia continuamente a postura de segurança do ambiente. Para obter mais informações, consulte O que é Microsoft Defender para Nuvem?.

Aqui estão algumas ferramentas que agregam valor às implantações de defesa:

• Inteligência de ameaças: os ambientes de nuvem devem ter um feed de inteligência de ameaças persistente e uma ferramenta de detecção que avalie a postura de segurança da rede. Essa ferramenta deve verificar seu ambiente e gerar alertas para as vulnerabilidades detectadas. Para obter mais informações, consulte feeds de inteligência contra ameaças.

• DDoS (negação de serviço distribuída): as ferramentas de segurança devem proteger contra ataques de negação de serviço distribuídos mal-intencionados ou não mal-intencionados.

• Gerenciamento de eventos e informações de segurança (SIEM): um SIEM é uma detecção de ameaças necessária e recursos forenses que analisam, agregam e detectam ameaças em logs gerados em um ambiente de nuvem. Para obter uma lista de ferramentas de segurança disponíveis, consulte Segurança do Azure Governamental.

Para obter mais informações, consulte Confiança Zero no Azure.

Automatize a conformidade de segurança

Os padrões de segurança de defesa exigem que os profissionais de segurança de defesa mantenham centenas de controles de segurança. A execução manual desse processo é trabalhosa e propensa a erros humanos. É possível automatizar a conformidade com os principais padrões de segurança e automatizar a correção de recursos de nuvem para se alinhar a esses padrões. O Azure permite que os proprietários de missão automatizem a conformidade para Zero Trust, CMMC e NIST 800-53

Microsoft Defender para Nuvem pode criar um relatório visual de todos os recursos não compatíveis em relação a um determinado padrão de segurança. Ele pode gerar sugestões de correção para controles de segurança que não estão em conformidade com o padrão. O Microsoft Defender para Nuvem também permite que os profissionais de segurança baixem relatórios de avaliação de conformidade que servem como linhas de base de segurança. Para saber mais, veja:

• Automatize a conformidade
• Visualize a conformidade

Para obter informações gerais de segurança, consulte:

• Documentação de segurança
• Fundamentos de segurança
• Lista de verificação de segurança operacional
• Arquiteturas de referência de segurança cibernética
• Segurança CAF

Próxima etapa

A última metodologia no domínio da missão é a metodologia de gerenciamento. A metodologia de gerenciamento tem recomendações para impulsionar a eficiência operacional.

Gerenciar