Determinar os requisitos de propriedade
Este artigo faz parte de uma série que fornece diretrizes para a criação de uma solução de GPSN (gerenciamento da postura de segurança na nuvem) e de CWP (proteção de cargas de trabalho na nuvem) em recursos multinuvem com o Microsoft Defender para Nuvem.
Goal
Identifique as equipes envolvidas em sua solução de segurança multinuvem e planeje como elas se alinharão e trabalharão juntas.
Funções de segurança
Dependendo do tamanho da sua organização, equipes separadas devem gerenciar funções de segurança. Em uma empresa complexa, podem haver diversas funções.
| Função de segurança | Detalhes |
|---|---|
| Operações de segurança (SecOps) | Reduzindo o risco organizacional através da redução do tempo em que os atores mal-intencionados têm acesso aos recursos corporativos. Detecção reativa, análise, resposta e correção de ataques. Busca proativa de ameaças. |
| Arquitetura de segurança | Design de segurança resumindo e documentando os componentes, ferramentas, processos, equipes e tecnologias que protegem seus negócios contra riscos. |
| Gerenciamento de conformidade de segurança | Processos que garantem que a organização esteja em conformidade com os requisitos regulatórios e as políticas internas. |
| Segurança de pessoas | Protegendo a organização do risco humano para a segurança. |
| Segurança de aplicativo e DevSecOps | Integrando a segurança em processos e aplicativos do DevOps. |
| Segurança de dados | Protegendo seus dados organizacionais. |
| Segurança de infraestrutura e ponto de extremidade | Fornecendo proteção, detecção e resposta para infraestrutura, redes e dispositivos de ponto de extremidade usados por aplicativos e usuários. |
| Gerenciamento de identidades e chaves | Autenticando e autorizando usuários, serviços, dispositivos e aplicativos. Forneça distribuição e acesso seguros para operações criptográficas. |
| Inteligência contra ameaças | Tomando decisões e atuando na inteligência contra ameaças de segurança que fornece informações contextuais e acionáveis sobre ataques ativos e ameaças potenciais. |
| Gerenciamento de postura | Relatando continuamente e melhorando sua postura de segurança organizacional. |
| Preparação para incidentes | Compilando ferramentas, processos e conhecimentos para responder a incidentes de segurança. |
Alinhamento da equipe
Apesar das diversas equipes que gerenciam a segurança na nuvem, é fundamental que eles trabalhem em conjunto para descobrir quem é responsável pela tomada de decisões no ambiente multinuvem. A falta de propriedade cria atritos que podem resultar em projetos paralisados e implantações inseguras que não puderam esperar pela aprovação de segurança.
A liderança de segurança, mais comumente sob o CISO, deve especificar quem é responsável pela tomada de decisões de segurança. Normalmente, as responsabilidades se alinham da forma resumida na tabela.
| Categoria | Descrição | Equipe típica |
|---|---|---|
| Segurança de ponto de extremidade do servidor | Monitorar e corrigir a segurança do servidor inclui aplicação de patch, configuração, segurança do ponto de extremidade etc. | Responsabilidade conjunta das equipes de Operações centrais de TI e de Infraestrutura e segurança de ponto de extremidade. |
| Monitoramento e resposta a incidentes | Investigue e corrija incidentes de segurança no SIEM ou no console de origem da organização. | Equipe de Operações de segurança. |
| Gerenciamento de política | Defina as instruções de uso para RBAC (Controle de Acesso Baseado em Função), Microsoft Defender para Nuvem, estratégia de proteção do administrador e Azure Policy para controlar os recursos do Azure, personalizar recomendações de AWS/GCP etc. | Responsabilidade conjunta das equipes de políticas e padrões e arquitetura de segurança. |
| Gerenciamento de Ameaças e Vulnerabilidades | Mantenha a visibilidade completa e o controle da infraestrutura, para garantir que os problemas críticos sejam descobertos e corrigidos da forma mais eficiente possível. | Responsabilidade conjunta das equipes de Operações centrais de TI e de Infraestrutura e segurança de ponto de extremidade. |
| Cargas de trabalho do aplicativo | Concentre-se nos controles de segurança para cargas de trabalho específicas. O objetivo é integrar garantias de segurança em processos de desenvolvimento e aplicativos de linha de negócios (LOB) personalizados. | Responsabilidade conjunta das equipes de desenvolvimento de aplicativos e operações de TI central. |
| Segurança e padrões de identidade | Entenda o PCI (Índice de Excesso de Permissões) para assinaturas do Azure, contas do AWS e projetos GCP, a fim de identificar os riscos associados a permissões não usadas ou excessivas entre identidades e recursos. | Responsabilidade conjunta de equipes de gerenciamento de identidade e de chaves, política e padrões e arquitetura de segurança. |
Práticas recomendadas
- Embora a segurança multinuvem possa ser dividida entre diferentes áreas do negócio, as equipes devem gerenciar a segurança em toda a propriedade multinuvem. Isso é melhor do que ter equipes diferentes para proteger diferentes ambientes de nuvem. Por exemplo, quando uma equipe gerencia o Azure e outra equipe gerencia o AWS. As equipes que trabalham em ambientes multinuvem ajudam a evitar a expansão na organização. Também ajuda a garantir que as políticas de segurança e os requisitos de conformidade sejam aplicados em todos os ambientes.
- Muitas vezes, as equipes que gerenciam o Defender para Nuvem não têm privilégios para corrigir as recomendações nas cargas de trabalho. Por exemplo, a equipe do Defender para Nuvem pode não ser capaz de corrigir vulnerabilidades em uma instância do AWS EC2. A equipe de segurança pode ser responsável por melhorar a postura de segurança, mas não consegue corrigir as recomendações de segurança resultantes. Para resolver esse problema:
- É fundamental envolver os proprietários da carga de trabalho da AWS.
- A atribuição de proprietários com datas de conclusão e definição das regras de governança cria responsabilidade e transparência, à medida que você conduz processos para melhorar a postura de segurança.
- É fundamental envolver os proprietários da carga de trabalho da AWS.
- Dependendo dos modelos organizacionais, normalmente vemos essas opções para equipes de segurança central que operam com proprietários de carga de trabalho:
Opção 1: modelo centralizado. Os controles de segurança são definidos, implantados e monitorados por uma equipe central.
- A equipe de segurança central decide quais políticas de segurança serão implementadas na organização e quem tem permissões para controlar a política definida.
- A equipe também pode ter o poder de corrigir recursos não compatíveis e impor o isolamento de recursos em caso de ameaça de segurança ou problema de configuração.
- Os proprietários de carga de trabalho, por outro lado, são responsáveis por gerenciar suas cargas de trabalho na nuvem, mas precisam seguir as políticas de segurança implantadas pela equipe central.
- Esse modelo é mais adequado para empresas com alto nível de automação, para garantir processos de resposta automatizados em caso de vulnerabilidades e ameaças.
Opção 2: modelo descentralizado. - Os controles de segurança são definidos, implantados e monitorados pelos proprietários da carga de trabalho.
- A implantação do controle de segurança é feita pelos proprietários da carga de trabalho, pois eles possuem a política definida e, portanto, podem decidir quais políticas de segurança são aplicáveis aos seus recursos.
- Os proprietários precisam estar cientes, entender e agir em caso de alertas de segurança e recomendações para seus próprios recursos.
- Por outro lado, a equipe de segurança central atua apenas como uma entidade controladora, sem acesso de gravação a qualquer carga de trabalho.
- A equipe de segurança geralmente tem insights sobre a postura de segurança geral da organização e pode responsabilizar os proprietários da carga de trabalho por melhorarem sua postura de segurança.
- Esse modelo é mais adequado para organizações que precisam de visibilidade sobre sua postura de segurança geral, mas, ao mesmo tempo, querem que os proprietários da carga de trabalho permaneça responsáveis pela segurança.
- Atualmente, a única maneira de obter a Opção 2 no Defender para Nuvem é atribuir aos proprietários de carga de trabalho, permissões de Leitor de Segurança à assinatura que hospeda o recurso de conector multinuvem.
Próximas etapas
Neste artigo, você aprendeu a determinar os requisitos de propriedade ao projetar uma solução de segurança multinuvem. Continue com a próxima etapa para determinar os requisitos de controle de acesso.