Equipes, funções e funções de segurança
Este artigo descreve as funções de segurança necessárias para a segurança na nuvem e as funções que elas executam relacionadas à infraestrutura e às plataformas de nuvem. Essas funções ajudam a garantir que a segurança faça parte de todos os estágios do ciclo de vida da nuvem, desde o desenvolvimento até as operações e a melhoria contínua.
Observação
O Cloud Adoption Framework para Azure se concentra na infraestrutura de nuvem e nas plataformas que dão suporte a várias cargas de trabalho. Para obter diretrizes de segurança para cargas de trabalho individuais, consulte as diretrizes de segurança no Azure Well-Architected Framework.
Dependendo do tamanho da sua organização e de outros fatores, as funções e funções discutidas neste artigo podem ser desempenhadas por pessoas que executam várias funções (funções) em vez de por uma única pessoa ou equipe. Empresas e grandes organizações tendem a ter equipes maiores com funções mais especializadas, enquanto organizações menores tendem a consolidar várias funções e funções entre um número menor de pessoas. As responsabilidades específicas de segurança também variam dependendo das plataformas e serviços técnicos que a organização usa.
Algumas tarefas de segurança serão executadas diretamente pelas equipes de tecnologia e nuvem. Outros podem ser executados por equipes de segurança especializadas que operam em colaboração com as equipes de tecnologia. Independentemente do tamanho e da estrutura da sua organização, as partes interessadas devem ter uma compreensão clara dos trabalhos de segurança que precisam ser feitos. Todos também devem estar cientes dos requisitos de negócios e da tolerância ao risco de segurança da organização para que possam tomar boas decisões sobre serviços em nuvem que levem em consideração e equilibrem a segurança como um requisito fundamental.
Use as diretrizes neste artigo para ajudar a entender as funções específicas que as equipes e funções executam e como diferentes equipes interagem para cobrir toda a organização de segurança na nuvem.
Transformação de funções de segurança
As funções de arquitetura, engenharia e operações de segurança estão passando por uma transformação significativa de suas responsabilidades e processos. (Essa transformação é semelhante à transformação orientada pela nuvem de funções de infraestrutura e plataforma.) Essa transformação da função de segurança foi impulsionada por vários fatores:
À medida que as ferramentas de segurança se tornam cada vez mais baseadas em SaaS, há menos necessidade de projetar, implementar, testar e operar infraestruturas de ferramentas de segurança. Essas funções ainda precisam dar suporte a todo o ciclo de vida da configuração de serviços e soluções em nuvem (incluindo melhoria contínua) para garantir que atendam aos requisitos de segurança.
O reconhecimento de que a segurança é o trabalho de todos está impulsionando uma abordagem mais colaborativa e madura que permite que as equipes de segurança e tecnologia trabalhem juntas:
As equipes de engenharia técnica são responsáveis por garantir que as medidas de segurança sejam aplicadas de forma eficaz às suas cargas de trabalho. Essa mudança aumenta a necessidade de contexto e experiência das equipes de segurança sobre como cumprir essas obrigações de forma eficaz e eficiente.
As equipes de segurança estão mudando de uma função de controle de qualidade (ligeiramente adversária) para uma função que capacita as equipes técnicas: tornar o caminho seguro o caminho mais fácil. As equipes de segurança reduzem o atrito e as barreiras usando automação, documentação, treinamento e outras estratégias.
As equipes de segurança estão ampliando cada vez mais suas habilidades para analisar problemas de segurança em várias tecnologias e sistemas. Eles abordam todo o ciclo de vida do invasor, em vez de se concentrar em áreas técnicas restritas (segurança de rede, segurança de endpoint, segurança de aplicativos e segurança de nuvem, por exemplo). O fato de as plataformas em nuvem integrarem diferentes tecnologias amplifica essa necessidade de desenvolvimento de habilidades.
O aumento da taxa de mudança dos serviços de nuvem de tecnologia e segurança exige que os processos de segurança sejam atualizados continuamente para manter a sincronia e gerenciar os riscos com eficiência.
As ameaças à segurança agora ignoram de forma confiável os controles de segurança baseados em rede, portanto, as equipes de segurança precisam adotar uma abordagem Zero Trust que inclua identidade, segurança de aplicativos, segurança de endpoint, segurança de nuvem, CI/CD, educação do usuário e outros controles.
A adoção de processos de DevOps/DevSecOps exige que os direitos de acesso sejam mais ágeis para integrar a segurança nativamente ao ciclo de vida de desenvolvimento acelerado da solução resultante.
Visão geral de funções e equipes
As seções a seguir fornecem diretrizes sobre quais equipes e funções normalmente executam as principais funções de segurança na nuvem (quando essas funções estão presentes na organização). Você deve mapear sua abordagem existente, procurar lacunas e avaliar se sua organização pode e deve investir para resolver essas lacunas.
As funções que executam tarefas de segurança incluem as funções a seguir.
Provedor de serviços de nuvem
Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)
Equipes de arquitetura, engenharia e gerenciamento de postura de segurança:
Arquitetos e engenheiros de segurança (segurança de dados, gerenciamento de identidade e acesso (IAM), segurança de rede, segurança de servidores e contêineres, segurança de aplicativos e DevSecOps)
Engenheiros de segurança de software (segurança de aplicativos)
Gerenciamento de postura (gerenciamento de vulnerabilidades / gerenciamento de superfície de ataque)
Operações de segurança (SecOps/SOC):
Analistas de triagem (nível 1)
Analistas de investigação (nível 2)
Busca de ameaças
Inteligência contra ameaças
Engenharia de detecção
Governança de segurança, risco e conformidade (GRC)
Treinamento e conscientização de segurança
É fundamental garantir que todos entendam seu papel na segurança e como trabalhar com outras equipes. Você pode atingir essa meta documentando processos de segurança entre equipes e um modelo de responsabilidade compartilhada para suas equipes técnicas. Isso ajuda a evitar riscos e desperdícios de lacunas de cobertura e de esforços sobrepostos. Ele também ajuda a evitar erros comuns (antipadrões), como equipes selecionando soluções fracas de autenticação e criptografia ou até mesmo tentando criar suas próprias.
Observação
Um modelo de responsabilidade compartilhada é semelhante a um modelo RACI (Responsável, Responsável, Consultado, Informado). O modelo de responsabilidade compartilhada ajuda a ilustrar uma abordagem colaborativa sobre quem toma decisões e o que as equipes devem fazer para trabalhar juntas em itens e resultados específicos.
Provedor de serviços de nuvem
Os provedores de serviços em nuvem são efetivamente membros da equipe virtual que fornecem funções e recursos de segurança para a plataforma de nuvem subjacente. Alguns provedores de nuvem também fornecem recursos e capacidades de segurança que suas equipes podem usar para gerenciar sua postura e incidentes de segurança. Para obter mais informações sobre o desempenho dos provedores de serviços de nuvem, consulte o modelo de responsabilidade compartilhada na nuvem.
Muitos provedores de serviços de nuvem fornecem informações sobre suas práticas e controles de segurança mediante solicitação ou por meio de um portal como o portal de confiança do serviço da Microsoft.
Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)
As equipes de arquitetura, engenharia e operações de infraestrutura/plataforma implementam e integram controles de segurança, privacidade e conformidade na nuvem em toda a infraestrutura de nuvem e ambientes de plataforma (entre servidores, contêineres, rede, identidade e outros componentes técnicos).
As funções de engenharia e operações podem se concentrar principalmente em sistemas de nuvem ou integração contínua e implantação contínua (CI/CD), ou podem trabalhar em uma gama completa de nuvem, CI/CD, local e outras infraestruturas e plataformas.
Essas equipes são responsáveis por atender a todos os requisitos de disponibilidade, escalabilidade, segurança, privacidade e outros requisitos para os serviços de nuvem da organização que hospedam cargas de trabalho de negócios. Eles trabalham em colaboração com especialistas em segurança, risco, conformidade e privacidade para gerar resultados que combinem e equilibrem todos esses requisitos.
Equipes de arquitetura de segurança, engenharia e gerenciamento de postura
As equipes de segurança trabalham com funções de infraestrutura e plataforma (e outras) para ajudar a traduzir estratégias, políticas e padrões de segurança em arquiteturas, soluções e padrões de design acionáveis. Essas equipes se concentram em permitir o sucesso da segurança das equipes de nuvem, avaliando e influenciando a segurança da infraestrutura e os processos e ferramentas usados para gerenciá-la. A seguir estão algumas das tarefas comuns executadas pelas equipes de segurança para a infraestrutura:
Arquitetos e engenheiros de segurança adaptam políticas, padrões e diretrizes de segurança para ambientes de nuvem para projetar e implementar controles em parceria com seus equivalentes de infraestrutura/plataforma. Arquitetos e engenheiros de segurança auxiliam em uma ampla gama de elementos, incluindo:
Locatários/assinaturas. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura e arquitetos de acesso (identidade, rede, aplicativo e outros) para ajudar a estabelecer configurações de segurança para locatários de nuvem, assinaturas e contas em provedores de nuvem (que são monitorados por equipes de gerenciamento de postura de segurança).
IAM. Os arquitetos de acesso (identidade, rede, aplicativo e outros) colaboram com engenheiros de identidade e equipes de operações e infraestrutura/plataforma para projetar, implementar e operar soluções de gerenciamento de acesso. Essas soluções protegem contra o uso não autorizado dos ativos de negócios da organização, permitindo que usuários autorizados sigam os processos de negócios para acessar os recursos organizacionais com facilidade e segurança. Essas equipes trabalham em soluções como diretórios de identidade e soluções de logon único (SSO), autenticação multifator e sem senha (MFA), soluções de acesso condicional baseadas em risco, identidades de carga de trabalho, gerenciamento de identidade/acesso privilegiado (PIM/PAM), infraestrutura de nuvem e gerenciamento de direitos (CIEM) e muito mais. Essas equipes também colaboram com engenheiros e operações de rede para projetar, implementar e operar soluções de borda de serviço de segurança (SSE). As equipes de carga de trabalho podem aproveitar esses recursos para fornecer acesso contínuo e mais seguro a componentes individuais de carga de trabalho e aplicativos.
Segurança de dados. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de dados e IA para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de dados para todos os dados e recursos avançados que podem ser usados para classificar e proteger dados em cargas de trabalho individuais. Para obter mais informações sobre segurança de dados básica, consulte o parâmetro de comparação de proteção de dados de segurança da Microsoft. Para obter mais informações sobre como proteger dados em cargas de trabalho individuais, consulte as diretrizes do Well-Architected Framework.
Segurança de rede. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de rede para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de rede, como conectividade com a nuvem (linhas privadas/alugadas), estratégias e soluções de acesso remoto, firewalls de entrada e saída, firewalls de aplicativos da Web (WAFs) e segmentação de rede. Essas equipes também colaboram com arquitetos de identidade, engenheiros e operações para projetar, implementar e operar soluções SSE. As equipes de carga de trabalho podem aproveitar esses recursos para fornecer proteção discreta ou isolamento de componentes individuais de carga de trabalho e aplicativos.
Segurança de servidores e contêineres. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança básicos para servidores, máquinas virtuais (VMs), contêineres, orquestração/gerenciamento, CI/CD e sistemas relacionados. Essas equipes estabelecem processos de descoberta e inventário, configurações de linha de base/benchmark de segurança, processos de manutenção e aplicação de patches, lista de permissões para binários executáveis, imagens de modelo, processos de gerenciamento e muito mais. As equipes de carga de trabalho também podem aproveitar esses recursos básicos de infraestrutura para fornecer segurança para servidores e contêineres para carga de trabalho individual e componentes de aplicativos.
Fundamentos de segurança de software (para segurança de aplicativos e DevSecOps). Arquitetos e engenheiros de segurança colaboram com engenheiros de segurança de software para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança de aplicativos que podem ser usados por cargas de trabalho individuais, verificação de código, ferramentas de lista de materiais de software (SBOM), WAFs e verificação de aplicativos. Consulte Controles de DevSecOps para obter mais informações sobre como estabelecer um SDL (ciclo de vida de desenvolvimento de segurança). Para obter mais informações sobre como as equipes de carga de trabalho usam esses recursos, consulte as diretrizes do ciclo de vida de desenvolvimento de segurança no Well-Architected Framework.
Os engenheiros de segurança de software avaliam códigos, scripts e outras lógicas automatizadas usadas para gerenciar a infraestrutura, incluindo infraestrutura como código (IaC), fluxos de trabalho de CI/CD e quaisquer outras ferramentas ou aplicativos personalizados. Esses engenheiros devem ser contratados para proteger o código formal em aplicativos compilados, scripts, configurações de plataformas de automação e qualquer outra forma de código executável ou script que possa permitir que invasores manipulem a operação do sistema. Essa avaliação pode envolver simplesmente a execução de uma análise do modelo de ameaça de um sistema ou pode envolver revisão de código e ferramentas de verificação de segurança. Consulte as diretrizes de práticas do SDL para obter mais informações sobre como estabelecer um SDL.
O gerenciamento de postura (gerenciamento de vulnerabilidades / gerenciamento de superfície de ataque) é a equipe de segurança operacional que se concentra na habilitação de segurança para equipes de operações técnicas. O gerenciamento de postura ajuda essas equipes a priorizar e implementar controles para bloquear ou mitigar técnicas de ataque. As equipes de gerenciamento de postura trabalham em todas as equipes de operações técnicas (incluindo equipes de nuvem) e geralmente servem como seu principal meio de entender os requisitos de segurança, os requisitos de conformidade e os processos de governança.
O gerenciamento de postura geralmente serve como um centro de excelência (CoE) para equipes de infraestrutura de segurança, semelhante à maneira como os engenheiros de software geralmente servem como um CoE de segurança para equipes de desenvolvimento de aplicativos. As tarefas típicas para essas equipes incluem o seguinte.
Monitore a postura de segurança. Monitore todos os sistemas técnicos usando ferramentas de gerenciamento de postura, como o Microsoft Security Exposure Management, o Microsoft Entra Permissions Management, ferramentas de vulnerabilidade e EASM (Gerenciamento de Superfície de Ataque Externo) e CIEM que não são da Microsoft, além de ferramentas e painéis de postura de segurança personalizados. Além disso, o gerenciamento de postura realiza análises para fornecer insights:
Antecipando caminhos de ataque altamente prováveis e prejudiciais. Os invasores "pensam em gráficos" e buscam caminhos para sistemas críticos para os negócios, encadeando vários ativos e vulnerabilidades em diferentes sistemas (por exemplo, comprometer endpoints do usuário, usar o hash/ticket para capturar uma credencial de administrador e acessar os dados críticos para os negócios). As equipes de gerenciamento de postura trabalham com arquitetos e engenheiros de segurança para descobrir e mitigar esses riscos ocultos, que nem sempre aparecem em listas e relatórios técnicos.
Realização de avaliações de segurança para revisar as configurações do sistema e os processos operacionais para obter uma compreensão e insights mais profundos além dos dados técnicos das ferramentas de postura de segurança. Essas avaliações podem assumir a forma de conversas informais de descoberta ou exercícios formais de modelagem de ameaças.
Auxiliar na priorização. Ajude as equipes técnicas a monitorar proativamente seus ativos e priorizar o trabalho de segurança. O gerenciamento de postura ajuda a contextualizar o trabalho de mitigação de riscos, considerando o impacto do risco de segurança (informado pela experiência, relatórios de incidentes de operações de segurança e outras informações de ameaças, inteligência de negócios e outras fontes), além dos requisitos de conformidade de segurança.
Treine, oriente e defenda. Aumentar o conhecimento e as habilidades de segurança das equipes de engenharia técnica por meio de treinamento, orientação de indivíduos e transferência informal de conhecimento. As funções de gerenciamento de postura também podem trabalhar com prontidão/treinamento organizacional e funções de educação e engajamento de segurança em treinamento formal de segurança e configuração de segurança em equipes técnicas que evangelizam e educam seus colegas sobre segurança.
Identifique lacunas e defenda correções. Identifique tendências gerais, lacunas de processo, lacunas de ferramentas e outros insights sobre riscos e mitigações. As funções de gerenciamento de postura colaboram e se comunicam com arquitetos e engenheiros de segurança para desenvolver soluções, criar um caso para soluções de financiamento e ajudar na implementação de correções.
Coordenar com operações de segurança (SecOps). Ajude as equipes técnicas a trabalhar com funções de SecOps, como engenharia de detecção e equipes de busca de ameaças. Essa continuidade em todas as funções operacionais ajuda a garantir que as detecções estejam em vigor e implementadas corretamente, que os dados de segurança estejam disponíveis para investigação de incidentes e busca de ameaças, que os processos estejam em vigor para colaboração e muito mais.
Forneça relatórios. Forneça relatórios oportunos e precisos sobre incidentes de segurança, tendências e métricas de desempenho para a alta administração e as partes interessadas para atualizar os processos de risco organizacional.
As equipes de gerenciamento de postura geralmente evoluem de funções de gerenciamento de vulnerabilidades de software existentes para lidar com o conjunto completo de tipos de vulnerabilidades funcionais, de configuração e operacionais descritos no Modelo de Referência de Confiança Zero do Grupo Aberto. Cada tipo de vulnerabilidade pode permitir que usuários não autorizados (incluindo invasores) assumam o controle de software ou sistemas, permitindo que causem danos aos ativos de negócios.
Vulnerabilidades funcionais ocorrem no design ou implementação de software. Eles podem permitir o controle não autorizado do software afetado. Essas vulnerabilidades podem ser falhas no software que suas próprias equipes desenvolveram ou falhas no software comercial ou de código aberto (normalmente rastreado por um identificador de Vulnerabilidades e Exposições Comuns).
Vulnerabilidades de configuração são configurações incorretas de sistemas que permitem acesso não autorizado à funcionalidade do sistema. Essas vulnerabilidades podem ser introduzidas durante operações em andamento, também conhecidas como descompasso de configuração. Eles também podem ser introduzidos durante a implantação e configuração inicial de software e sistemas, ou por padrões de segurança fracos de um fornecedor. Alguns exemplos comuns incluem:
Objetos órfãos que permitem acesso não autorizado a itens como registros DNS e associação a grupos.
Funções administrativas excessivas ou permissões para recursos.
Uso de um protocolo de autenticação ou algoritmo criptográfico mais fraco que tenha problemas de segurança conhecidos.
Configurações padrão fracas ou senhas padrão.
Vulnerabilidades operacionais são pontos fracos nos processos e práticas operacionais padrão que permitem acesso ou controle não autorizado de sistemas. Os exemplos incluem:
Administradores que usam contas compartilhadas em vez de suas próprias contas individuais para executar tarefas privilegiadas.
Uso de configurações de "navegação" que criam caminhos de elevação de privilégio que podem ser abusados por invasores. Essa vulnerabilidade ocorre quando contas administrativas com altos privilégios entram em dispositivos e estações de trabalho de usuários de baixa confiança (como estações de trabalho de usuário padrão e dispositivos de propriedade do usuário), às vezes por meio de servidores de salto que não reduzem efetivamente esses riscos. Para obter mais informações, consulte protegendo o acesso privilegiado e dispositivos de acesso privilegiado.
Operações de segurança (SecOps/SOC)
A equipe de SecOps às vezes é chamada de Centro de Operações de Segurança (SOC). A equipe de SecOps se concentra em encontrar e remover rapidamente o acesso do adversário aos ativos da organização. Eles trabalham em estreita parceria com equipes de tecnologia, operações e engenharia. As funções de SecOps podem funcionar em todas as tecnologias da organização, incluindo TI tradicional, tecnologia operacional (OT) e Internet das Coisas (IoT). A seguir estão as funções de SecOps que interagem com mais frequência com as equipes de nuvem:
Analistas de triagem (nível 1). Responde a detecções de incidentes para técnicas de ataque bem conhecidas e segue procedimentos documentados para resolvê-los rapidamente (ou encaminhá-los para analistas de investigação, conforme apropriado). Dependendo do escopo e do nível de maturidade do SecOps, isso pode incluir detecções e alertas de email, soluções antimalware de ponto de extremidade, serviços de nuvem, detecções de rede ou outros sistemas técnicos.
Analistas de investigação (nível 2). Responde a investigações de incidentes de maior complexidade e gravidade que exigem mais experiência e conhecimento (além de procedimentos de resolução bem documentados). Essa equipe normalmente investiga ataques conduzidos por adversários humanos vivos e ataques que afetam vários sistemas. Trabalha em estreita parceria com as equipes de tecnologia, operações e engenharia para investigar incidentes e resolvê-los.
Busca de ameaças. Procura proativamente ameaças ocultas dentro do patrimônio técnico que escaparam dos mecanismos de detecção padrão. Essa função usa análises avançadas e investigações orientadas por hipóteses.
Inteligência contra ameaças. Reúne e divulga informações sobre invasores e ameaças para todas as partes interessadas, incluindo negócios, tecnologia e segurança. As equipes de inteligência de ameaças realizam pesquisas, compartilham suas descobertas (formal ou informalmente) e as disseminam para várias partes interessadas, incluindo a equipe de segurança na nuvem. Esse contexto de segurança ajuda essas equipes a tornar os serviços de nuvem mais resilientes a ataques porque estão usando informações de ataque do mundo real no design, implementação, teste e operação, e melhorando continuamente.
Engenharia de detecção. Cria detecções de ataques personalizadas e personaliza as detecções de ataques fornecidas por fornecedores e pela comunidade em geral. Essas detecções de ataques personalizadas complementam as detecções fornecidas pelo fornecedor para ataques comuns que são comumente encontrados em ferramentas de detecção e resposta estendidas (XDR) e algumas ferramentas de gerenciamento de eventos e informações de segurança (SIEM). Os engenheiros de detecção trabalham com as equipes de segurança na nuvem para identificar oportunidades de projetar e implementar detecções, os dados necessários para apoiá-las e os procedimentos de resposta/recuperação para as detecções.
Governança, risco e conformidade de segurança
Governança de Segurança, Risco e Conformidade (GRC) é um conjunto de disciplinas inter-relacionadas que integram o trabalho técnico das equipes de segurança com as metas e expectativas organizacionais. Essas funções e equipes podem ser um híbrido de duas ou mais disciplinas ou podem ser funções distintas. As equipes de nuvem interagem com cada uma dessas disciplinas ao longo do ciclo de vida da tecnologia de nuvem:
A disciplina de governança é um recurso fundamental que se concentra em garantir que a organização esteja implementando consistentemente todos os aspectos da segurança. As equipes de governança se concentram nos direitos de decisão (quem toma quais decisões) e nas estruturas de processos que conectam e orientam as equipes. Sem uma governança eficaz, uma organização com todos os controles, políticas e tecnologia corretos ainda pode ser violada por invasores que encontraram áreas onde as defesas pretendidas não são bem implementadas, totalmente ou de forma alguma.
A disciplina de gerenciamento de riscos se concentra em garantir que a organização esteja avaliando, compreendendo e mitigando riscos de forma eficaz. As funções de gerenciamento de riscos trabalham com muitas equipes em toda a organização para criar uma representação clara do risco da organização e mantê-la atualizada. Como muitos serviços críticos de negócios podem ser hospedados em infraestrutura e plataformas de nuvem, as equipes de nuvem e risco precisam colaborar para avaliar e gerenciar esse risco organizacional. Além disso, a segurança da cadeia de suprimentos se concentra nos riscos associados a fornecedores externos, componentes de código aberto e parceiros.
A disciplina de conformidade garante que os sistemas e processos estejam em conformidade com os requisitos regulatórios e as políticas internas. Sem essa disciplina, a organização pode estar exposta a riscos relacionados ao não cumprimento de obrigações externas (multas, responsabilidade, perda de receita por incapacidade de operar em alguns mercados e muito mais). Os requisitos de conformidade normalmente não conseguem acompanhar a velocidade da evolução do invasor, mas são uma fonte importante de requisitos.
Todas essas três disciplinas operam em todas as tecnologias e sistemas para impulsionar os resultados organizacionais em todas as equipes. Todos os três também dependem do contexto que obtêm uns dos outros e se beneficiam significativamente dos dados atuais de alta fidelidade sobre ameaças, negócios e ambiente de tecnologia. Essas disciplinas também dependem da arquitetura para expressar uma visão acionável que pode ser implementada e da educação e política de segurança para estabelecer regras e orientar as equipes nas muitas decisões diárias.
As equipes de engenharia e operação de nuvem podem trabalhar com funções de gerenciamento de postura, equipes de conformidade e auditoria, arquitetura e engenharia de segurança ou funções de CISO (diretor de segurança da informação) em tópicos de GRC.
Educação e política de segurança
As organizações devem garantir que todas as funções tenham conhecimentos básicos de segurança e orientação sobre o que se espera que façam em relação à segurança e como fazê-lo. Para atingir esse objetivo, você precisa de uma combinação de política escrita e educação. A educação para equipes de nuvem pode ser uma orientação informal de profissionais de segurança que trabalham diretamente com elas, ou pode ser um programa formal com currículo documentado e campeões de segurança designados.
Em uma organização maior, as equipes de segurança trabalham com prontidão/treinamento organizacional e funções de educação e engajamento de segurança em treinamento formal de segurança e na criação de campeões de segurança dentro de equipes técnicas para evangelizar e educar seus colegas sobre segurança.
A educação e a política de segurança devem ajudar cada função a entender:
Por que. Mostre a cada função por que a segurança é importante para eles e seus objetivos no contexto de suas responsabilidades de função. Se as pessoas não entenderem claramente por que a segurança é importante para elas, elas a julgarão sem importância e passarão para outra coisa.
Que. Resuma quais tarefas de segurança eles precisam fazer em um idioma que eles já entendam. Se as pessoas não souberem o que estão sendo solicitadas a fazer, elas assumirão que a segurança não é importante ou relevante para elas e passarão para outra coisa.
Como. Certifique-se de que cada função tenha instruções claras sobre como aplicar as diretrizes de segurança em sua função. Se as pessoas não souberem como realmente fazer o que estão sendo solicitadas a fazer (por exemplo, corrigir servidores, identificar se um link é um link de phishing, relatar uma mensagem corretamente, revisar o código ou executar um modelo de ameaça), elas falharão e passarão para outra coisa.
Cenário de exemplo: interoperabilidade típica entre equipes
Quando uma organização implanta e operacionaliza um WAF, várias equipes de segurança devem colaborar para garantir sua implantação, gerenciamento e integração eficazes na infraestrutura de segurança existente. Veja como a interoperabilidade entre as equipes pode parecer em uma organização de segurança corporativa:
- Planejamento e design
- A equipe de governança identifica a necessidade de segurança aprimorada de aplicativos Web e aloca orçamento para um WAF.
- O arquiteto de segurança de rede projeta a estratégia de implantação do WAF, garantindo que ela se integre perfeitamente aos controles de segurança existentes e se alinhe à arquitetura de segurança da organização.
- Implementação
- O engenheiro de segurança de rede implanta o WAF de acordo com o design do arquiteto, configurando-o para proteger os aplicativos Web específicos e habilita o monitoramento.
- O engenheiro do IAM configura controles de acesso, garantindo que apenas pessoal autorizado possa gerenciar o WAF.
- Monitoramento e gerenciamento
- A equipe de gerenciamento de postura fornece instruções para o SOC configurar o monitoramento e os alertas para o WAF e configurar painéis para rastrear a atividade do WAF.
- As equipes de engenharia de detecção e inteligência de ameaças ajudam a desenvolver planos de resposta para incidentes que envolvem o WAF e a realizar simulações para testar esses planos.
- Conformidade e gerenciamento de riscos
- O diretor de conformidade e gerenciamento de riscos analisa a implantação do WAF para garantir que ela atenda aos requisitos regulatórios e realiza auditorias periódicas.
- O engenheiro de segurança de dados garante que as medidas de registro e proteção de dados do WAF estejam em conformidade com os regulamentos de privacidade de dados.
- Melhoria contínua e treinamento
- O engenheiro de DevSecOps integra o gerenciamento do WAF ao pipeline de CI/CD, garantindo que as atualizações e configurações sejam automatizadas e consistentes.
- O especialista em educação e engajamento de segurança desenvolve e oferece programas de treinamento para garantir que todo o pessoal relevante entenda como usar e gerenciar o WAF de forma eficaz.
- O membro da equipe de governança de nuvem analisa os processos de implantação e gerenciamento do WAF para garantir que eles estejam alinhados com as políticas e padrões organizacionais.
Ao colaborar de forma eficaz, essas funções garantem que o WAF seja implantado corretamente e também monitorado, gerenciado e aprimorado continuamente para proteger os aplicativos da Web da organização contra ameaças em evolução.