Preparar sua propriedade de nuvem segura

  • 15 minutos

Esta unidade descreve as áreas de otimização de segurança a serem consideradas à medida que você percorre a metodologia Pronto fase de seu percurso.

Diagrama que mostra a fase Pronto da metodologia Segura.

A fase Pronta da adoção da nuvem concentra-se na criação da base de sua propriedade. Uma abordagem de zona de destino fornece um design seguro e escalonável para grandes organizações. Organizações menores podem não precisar de zonas de destino, mas ainda podem se beneficiar de entender essa abordagem para criar uma base segura e escalonável.

Modernizar sua postura de segurança

Para modernizar sua postura de segurança, primeiro crie sua base de nuvem ou zona de destino e modernize sua identidade, autorização e plataforma de acesso.

  • Adotar uma abordagem de zona de destino para fornecer ambientes controlados para implantar recursos de nuvem. Use os princípios de design da zona de destino para otimizar sua implementação. Para aprimorar a segurança e a capacidade de gerenciamento, separe diferentes domínios de sua propriedade de nuvem. Mesmo que você não adote uma zona de destino corporativa completa, entenda e aplique controles e áreas de design relevantes. Por exemplo, você pode usar grupos de gerenciamento para controlar sua propriedade de nuvem.

  • Adotar identidade moderna, autorização e acesso com base em princípios de Confiança Zero. Permitir o acesso somente conforme necessário. Aplique os mesmos controles estritos a elementos fundamentais, como assinaturas, recursos de rede, soluções de governança e a plataforma IAM (gerenciamento de identidade e acesso).

Facilitação do Azure

  • Os aceleradores de zona de destino do Azure são implantações pré-empacotadas para várias cargas de trabalho, como do Azure Integration Services, do AKS (Serviço de Kubernetes do Azure) e de Gerenciamento de API do Azure. Esses aceleradores ajudam você a configurar rapidamente as zonas de destino. Para obter uma lista completa, consulte cenário de plataforma de aplicativo moderna.

  • o módulo Terraform das zonas de destino do Azure automatiza suas implantações de zona de destino. Para ajudar a garantir zonas de destino consistentes e seguras, implante zonas de destino por meio de seu pipeline de CI/CD (integração contínua e implantação contínua).

  • Microsoft Entra verifica identidades, valida condições de acesso, verifica permissões, criptografa conexões e monitora o comprometimento. O Microsoft Entra inclui produtos de acesso à rede e identidade que ajudam você a incorporar uma estratégia de segurança de Confiança Zero.

Preparar-se para incidentes e resposta

Depois de definir sua estratégia e planejar a preparação e a resposta a incidentes, você pode iniciar a implementação. A segregação de rede é crucial para a segurança, quer você use uma zona de destino corporativa completa ou um design mais simples.

  • Projete sua rede com segmentação e isolamento para reduzir superfícies de ataque e conter violações.

  • usar VPCs (nuvens virtuais privadas), sub-redes e grupos de segurança para controlar o tráfego.

Facilitação do Azure

WAN Virtual do Azure consolida as funções de rede, segurança e roteamento em uma única interface. Sua arquitetura hub-and-spoke dá suporte a branches, usuários, circuitos do Azure ExpressRoute e redes virtuais. A WAN Virtual ajuda a otimizar suas zonas de destino por meio de mecanismos de segmentação e segurança.

Preparar-se para confidencialidade

Para ajudar a proteger dados por padrão ao implantar cargas de trabalho, implementar e impor suas políticas e padrões de IAM. As principais políticas e padrões incluem:

  • o princípio do privilégio mínimo: conceder aos usuários acesso mínimo necessário para suas tarefas.

  • RBAC (controle de acesso baseado em função): Atribuir funções com base em responsabilidades de trabalho para gerenciar o acesso e reduzir riscos de acesso não autorizados.

  • MFA (autenticação multifator): Adicionar uma camada extra de segurança.

  • controles de acesso condicional: impor políticas com base em condições específicas, como geografia ou requisitos de MFA. Verifique se a plataforma IAM dá suporte a esses controles.

Facilitação do Azure

o Microsoft Entra Conditional Access é o mecanismo de política de Confiança Zero da Microsoft. Ele avalia sinais de várias fontes para tomar decisões de política informadas.

Preparar-se para a integridade

Verifique se você políticas e padrões bem regidos para seus dados e integridade do sistema. Defina padrões para as áreas a seguir.

  • gerenciamento de dados :

    • Crie uma taxonomia de rótulo de confidencialidade e estrutura para definir categorias de risco de segurança de dados. Use essa taxonomia para simplificar o inventário de dados, o gerenciamento de políticas e a priorização da investigação.

    • Automatize os processos de verificação e validação de dados para reduzir a carga sobre os engenheiros de dados e minimizar o erro humano.

    • Estabeleça e teste regularmente as políticas de backup para ajudar a garantir que os dados sejam armazenados em backup, corretos e consistentes. Alinhe-se com os destinos RTO (objetivo de destino de recuperação) e RPO (objetivo de ponto de recuperação).

    • Verifique se o provedor de nuvem criptografa dados inativos e dados em trânsito por padrão. Verifique se os serviços em suas cargas de trabalho dão suporte e estão configurados para criptografia forte.

  • padrões de design de integridade do sistema :

    • Crie uma plataforma de monitoramento de segurança robusta para detectar alterações não autorizadas.

    • Use informações de segurança e gerenciamento de eventos (SIEM), orquestração de segurança, automação e resposta (SOAR) e ferramentas de detecção de ameaças para identificar atividades suspeitas e possíveis ameaças.

    • Automatize o gerenciamento de configuração para ajudar a garantir a consistência e reduzir o erro humano.

    • Automatize o gerenciamento de patch para máquinas virtuais para ajudar a garantir atualizações regulares e versões consistentes do sistema.

    • Use a iac (infraestrutura como código) para todas as implantações. Integre a IaC aos pipelines de CI/CD e aplique práticas de implantação seguras.

Facilitação do Azure

  • do Azure Policy e o Microsoft Defender para Cloud ajudar a definir e impor políticas de segurança em sua propriedade de nuvem. Eles dão suporte à governança de elementos fundamentais e recursos de carga de trabalho.

  • do Azure Update Manager é uma solução nativa do Azure que gerencia atualizações e patches. Ele é extensível para sistemas locais e habilitados para Azure Arc.

  • o Microsoft Sentinel é uma solução SIEM e SOAR que fornece detecção de ameaças cibernéticas, investigação, resposta, busca proativa e uma visão empresarial abrangente.

Preparar-se para a disponibilidade

Crie cargas de trabalho resilientes para ajudar a garantir a continuidade dos negócios durante falhas e incidentes de segurança. Considere as seguintes recomendações principais:

  • Usar padrões que aprimoram a resiliência e incorporam mecanismos de autorrecuperação para ajudar a garantir a operação contínua e a recuperação rápida.

  • Usar paaS (plataforma como serviço), SaaS (software como serviço) e tecnologias faaS (função como serviço) para reduzir o gerenciamento de servidores, dimensionar automaticamente e melhorar a disponibilidade.

  • Dividir aplicativos em serviços menores e independentes para obter melhor escalabilidade e agilidade.

  • Isolar serviços para minimizar o impacto das falhas.

  • Verifique se sua arquitetura dá suporte a cargas variadas para manter a disponibilidade durante picos de tráfego.

  • Projete seu aplicativo para isolar falhas em tarefas ou funções individuais. Essa abordagem evita interrupções generalizadas.

  • Incluir mecanismos de redundância e recuperação de desastre.

  • Implantar aplicativos em várias regiões para failover contínuo e serviço ininterrupto.

Preparar-se para a sustentação de segurança

Verifique se os elementos fundamentais de sua propriedade seguem as práticas recomendadas de segurança e são escalonáveis. Essa abordagem ajuda a evitar problemas de segurança e gerenciamento complexo à medida que sua propriedade cresce. Planeje metas de negócios de longo prazo sem grandes reformulações ou revisões operacionais. Se você tiver uma base mais simples, verifique se ela pode fazer a transição para uma arquitetura empresarial sem reimplantar elementos principais. Um design escalonável e seguro é a chave para o sucesso da nuvem.