Princípios de design de segurança
Uma carga de trabalho bem arquitetada deve ser criada com uma abordagem de segurança de confiança zero. Uma carga de trabalho segura é resiliente a ataques e incorpora os princípios de segurança inter-relacionados de confidencialidade, integridade e disponibilidade (também conhecidos como a tríade CIA), além de atender às metas comerciais. Qualquer incidente de segurança tem o potencial de se tornar uma grande violação que prejudica sua marca e reputação. Para avaliar o quão bem sua estratégia de segurança funciona para sua carga de trabalho, pergunte-se o seguinte:
- O quanto suas medidas de segurança retardam ou impedem que invasores invadam sua carga de trabalho?
- Até que ponto suas medidas de segurança limitam os danos ou a propagação de um ataque, caso ele aconteça?
- Quão valiosa é sua carga de trabalho para um invasor? Quanto prejudicaria seu negócio se sua carga de trabalho ou seus dados fossem roubados, ficassem indisponíveis ou fossem adulterados?
- Com que rapidez você consegue detectar, responder e se recuperar de interrupções na sua carga de trabalho?
Ao projetar seu sistema, use o modelo Microsoft Zero Trust como bússola para mitigar riscos de segurança:
Verifique explicitamente para que apenas identidades confiáveis executem ações pretendidas e permitidas originadas de locais esperados. Essa proteção torna mais difícil para os invasores se passarem por usuários e contas legítimos.
Use o acesso de privilégio mínimo para as identidades certas, com o conjunto certo de permissões, pela duração certa e para os ativos certos. Limitar as permissões ajuda a evitar que os invasores abusem de permissões que os usuários legítimos nem precisam.
Suponha uma violação dos controles de segurança e projete controles compensatórios que limitem os riscos e danos caso um camada de defesa primária falhe. Isso ajuda você a defender melhor sua carga de trabalho, pensando como um invasor interessado no êxito (independentemente de como obtê-lo).
A segurança não é um esforço único. Você deve implementar essas orientações de maneira recorrente. Melhore continuamente suas defesas e conhecimento de segurança para proteger proteger sua carga de trabalho de invasores que são hábeis em encontrar novos e inovadores vetores de ataque, geralmente usando kits de ataque automatizados.
Os princípios de design, baseados no Microsoft Azure Well-Architected Framework, têm como objetivo promover uma mentalidade de segurança contínua, para ajudar você a melhorar a postura de segurança da sua carga de trabalho à medida que as ameaças evoluem. Esses princípios devem orientar a segurança de sua arquitetura, opções de design e processos operacionais. Comece com as abordagens recomendadas e justifique os benefícios para um conjunto de requisitos de segurança. Depois de definir sua estratégia, conduza ações usando a Lista de verificação de segurança como seu próximo etapa.
Se esses princípios não forem aplicados adequadamente, é possível esperar um impacto negativo nas operações comerciais e na receita. Algumas consequências podem ser óbvias, como penalidades para cargas de trabalho regulatórias. No entanto, outros podem ser menos aparentes e resultar em problemas de segurança contínuos antes de serem detectados.
Em muitas cargas de trabalho de missão crítica, a segurança é a principal preocupação, juntamente com a confiabilidade, já que alguns vetores de ataque, como a exfiltração de dados, não afetam a confiabilidade. A segurança e a confiabilidade podem puxar uma carga de trabalho em direções opostas, pois o design focado em segurança pode introduzir pontos de falha e aumentar a complexidade operacional. O efeito da segurança sobre a confiabilidade é muitas vezes indireto, introduzido por meio de restrições operacionais. Considere cuidadosamente as compensações entre segurança e confiabilidade.
Seguindo esses princípios, você pode melhorar a eficácia da segurança, fortalecer os ativos de carga de trabalho e conquistar a confiança de seus usuários.
Planejar a preparação de sua segurança
 Objetivo: adotar e implementar práticas de segurança em decisões e operações de projeto arquitetônico com o mínimo de atrito. |
|---|
Como proprietário da carga de trabalho, você compartilha a responsabilidade com a organização pelos ativos proteger. Crie um plano de prontidão de segurança que corresponda às prioridades do seu negócio. Ele ajudará você a estabelecer processos claros, investimentos suficientes e responsabilidades apropriadas. O plano deve comunicar os requisitos de carga de trabalho à organização, que também compartilha a responsabilidade de proteger os ativos. Planos de segurança devem fazer parte de sua estratégia de confiabilidade, modelagem de saúde e autopreservação.
Saiba mais sobre como planejar sua prontidão de segurança no Azure Well-Architected Framework.
Design para proteger a confidencialidade
| Evite a exposição de informações de privacidade, regulatórias, de aplicativos e proprietárias usando restrições de acesso e técnicas de ofuscação. |
|---|
Os dados da carga de trabalho podem ser classificados por usuário, uso, configuração, conformidade, propriedade intelectual e muito mais. Você não deve compartilhar ou acessar esses dados além dos limites de confiança estabelecidos. Para garantir a confidencialidade, você deve se concentrar em controles de acesso, opacidade e manter um registro de auditoria das atividades que envolvem dados e o sistema.
Saiba mais sobre como projetar para confidencialidade proteger no Azure Well-Architected Framework.
Design para proteger a integridade
| Evite danos ao design, implementação, operações e dados para evitar interrupções que podem impedir o sistema de entregar o valor esperado ou fazer com que ele opere fora dos limites definidos. O sistema deve fornecer a garantia das informações durante todo o ciclo de vida da carga de trabalho. |
|---|
O segredo é usar controles que impeçam a adulteração da lógica de negócios, fluxos, processos de implantação, dados e até mesmo dos componentes de pilha inferior, como o sistema operacional e a sequência de inicialização. A falta de integridade pode criar vulnerabilidades que podem levar a violações de confidencialidade e disponibilidade.
Saiba mais sobre como projetar para integridade proteger no Azure Well-Architected Framework.
Design para proteger a disponibilidade
| Evite ou minimize o tempo de inatividade e a degradação do sistema e da carga de trabalho no caso de um incidente de segurança usando controles de segurança fortes. Você deve manter a integridade dos dados durante o incidente e após a recuperação do sistema. |
|---|
Você deve equilibrar as opções de arquitetura de disponibilidade com as opções de arquitetura de segurança. O sistema deve fornecer garantias de disponibilidade para assegurar que os usuários possam acessar os dados e que os dados sejam acessíveis. A partir de uma perspectiva de segurança, os usuários devem operar dentro do escopo de acesso permitido e os dados devem ser confiáveis. Os controles de segurança devem impedir que agentes mal-intencionados, mas não devem impedir que usuários legítimos acessem o sistema e os dados.
Saiba mais sobre como projetar para disponibilidade proteger no Azure Well-Architected Framework.
Manter e evoluir sua postura de segurança
| Inclua melhorias contínuas e aplique vigilância para ficar à frente dos invasores que estão continuamente evoluindo suas estratégias de ataque. |
|---|
Sua postura de segurança não deve se deteriorar com o tempo. Você deve continuar melhorando as operações de segurança para que novas interrupções sejam tratadas de forma mais eficaz. Objetivo é alinhar melhorias com as fases definidas pelos padrões da indústria. Isso resulta em melhor prontidão, menor tempo para detecção de incidentes e contenção e mitigação eficazes. A melhoria contínua deve ser baseada nas lições aprendidas com incidentes passados.
Saiba mais sobre sustentando e evoluindo sua postura de segurança no Azure Well-Architected Framework.