Executar a adoção da nuvem com segurança

Concluído

Esta unidade descreve as áreas de otimização de segurança a serem consideradas à medida que você percorre a metodologia Adotar fase de seu percurso.

Ao implementar sua propriedade de nuvem e migrar cargas de trabalho, estabeleça mecanismos de segurança robustos desde o início para evitar lacunas posteriormente. Priorize a segurança durante a fase Adotar para garantir cargas de trabalho consistentes. Para preparar as equipes de TI para operações de nuvem, estabeleça políticas e procedimentos bem projetados.

A metodologia Adote inclui os cenários Migrar, Modernizar, Inovare Realocar. Considere as recomendações nesta unidade para ajudar a estabelecer uma base segura para sua propriedade de nuvem.

Modernizar sua postura de segurança

Para modernizar sua postura de segurança durante a fase Adotar, considere as seguintes recomendações:

• Definir linhas de base de segurança que incluem requisitos de disponibilidade para estabelecer uma base clara. Use ferramentas para analisar ambientes e reduzir erros humanos.

• Adotar de automação para tarefas rotineiras para melhorar a consistência e reduzir erros. Automatizar failover, recuperação, implantações de infraestrutura, desenvolvimento de software, teste, monitoramento, alertas e dimensionamento.

• Implemente controles de acesso e autorização de Confiança Zero. Use o RBAC (controle de acesso baseado em função) e a MFA (autenticação multifator) para ajudar a impedir o acesso não autorizado e garantir a disponibilidade do serviço.

Incorporar metodologias do ACM

Metodologias eficazes adoção e gerenciamento de alterações (ACM) são cruciais para implementar controles de acesso. As principais metodologias incluem:

• o modelo Prosci ADKAR: Este modelo se concentra em Reconhecimento, Desejo, Conhecimento, Capacidade e Reforço. Resolva cada elemento para garantir que os funcionários entendam e ofereçam suporte a controles de acesso.

• o modelo de mudança de 8 etapas do Kotter: Este modelo descreve etapas para a mudança, incluindo a criação de urgência, a formação de uma coalizão, o desenvolvimento de uma visão e a ancoragem de novas abordagens na cultura.

• o Modelo de Gerenciamento de Alterações do Lewin: Esse modelo consiste em três estágios: Descongelar (preparar para a alteração), Alterar (implementar novos processos) e Descongelar (solidificar novas práticas).

• o Microsoft 365 Adoption Framework: Essa estrutura fornece uma abordagem estruturada que inclui critérios de êxito, envolvimento de stakeholders e suporte para ajudar a garantir uma adoção eficaz.

Facilitação do Azure

• Microsoft Secure Score do pacote do Defender XDR ajuda você a definir linhas de base de segurança e fornece recomendações de melhoria.

• Bicep, Terraformou modelos de do ARM (Azure Resource Manager) implantam a infraestrutura como código (IaC). Integre-os ao do Azure Pipelines ou github actions pipelines de CI/CD. Use o Microsoft Defender para Nuvem para identificar configurações incorretas em iac.

• ambientes de implantação do Azure criar infraestrutura de aplicativo consistente por meio de modelos baseados em projeto. Esses modelos ajudam a garantir a segurança, a conformidade e a eficiência de custo.

  Defina ambientes de implantação como itens de catálogo nos repositórios GitHub ou Azure DevOps. Um item de catálogo consiste em um modelo de IaC e um arquivo manifest.yml.

• aplicativos lógicos do Azure e Power Automate criar fluxos de trabalho para tarefas, como fluxos de aprovação ou integrações do ChatOps, por meio de conectores e modelos internos.

• O recursos de dimensionamento internos de tecnologias do Azure alocam dinamicamente recursos para corresponder aos requisitos de desempenho. Você também pode programar outros serviços para dimensionar automaticamente por meio de APIs.

• grupos de ações do Azure Monitor automatizar operações de autorrecuperação quando os alertas são disparados. Você pode definir as operações por meio de runbooks, funções do Azure ou webhooks.

• Para automação de tarefas de rotina, use os seguintes serviços:

  • Azure Functions automatiza tarefas por meio de funções sem servidor com gatilhos controlados por eventos.

  • de Automação do Azure usa o PowerShell e o Python para tarefas operacionais. A automação tem recursos como histórico de execução, registro em log e integração com repositórios de segredos e controle do código-fonte.

  • o Gerenciador de Atualizações do Azure gerencia atualizações para máquinas virtuais para ajudar a garantir a conformidade e agendar atualizações.

Adotar a preparação e a resposta a incidentes

Para alinhar sua propriedade de nuvem com metas de negócios, desenvolva mecanismos de preparação e resposta e um plano de resposta a incidentes. Resolva a preparação de incidentes de duas perspectivas: preparação e mitigação de ameaças e infraestrutura e segurança do aplicativo.

• de detecção e mitigação de ameaças

  • Configure sistemas de alerta para detectar atividades incomuns em tempo real e integre soluções XDR (detecção e resposta estendidas) e siEM (gerenciamento de eventos e informações de segurança).

  • Identifique e reduza vulnerabilidades regularmente por meio de atualizações de segurança e gerenciamento de patch.

  • Desenvolva e mantenha um plano de resposta a incidentes que tenha etapas de detecção, análise e correção. Automatize as atividades de mitigação para aumentar a eficiência e reduzir o erro humano. Por exemplo, use um runbook para bloquear automaticamente as conexões SQL se uma injeção de SQL for detectada.

• de segurança de aplicativos e infraestrutura

  • Integre verificações de segurança em pipelines de CI/CD para ajudar a garantir o desenvolvimento seguro, o teste e a implantação. Inclua análise de código estático, verificação de vulnerabilidade e verificações de conformidade.

  • Implante toda a infraestrutura por meio do código para evitar configurações incorretas e implantações não autorizadas. Coloca os ativos de IaC com o código do aplicativo e aplica as mesmas práticas de implantação de que o software.

Facilitação do Azure

• o Defender XDR automatiza a detecção e a resposta de ameaças.

• Pilhas de implantação gerenciar recursos do Azure como uma única unidade coesa. Você pode usar negar configurações para impedir que os usuários realizem modificações não autorizadas.

Adotar o princípio da confidencialidade

Implemente e institucionalize efetivamente a criptografia e controles de acesso seguro em seu ambiente de nuvem empresarial. Implemente medidas de prevenção contra perda de dados (DLP) para proteger dados confidenciais em trânsito e dados em repouso.

• Implementar criptografia e controles de acesso seguro para proteger informações confidenciais. Treinar funcionários sobre confidencialidade de dados e políticas DLP.

• Incorporar e adotar padrões associados para criptografia, como a AES-256, e controles de acesso, como RBAC e acesso condicional.

  • Habilite a criptografia em armazenamentos de dados e considere gerenciar suas próprias chaves. Use camadas de criptografia extras quando possível.

  • Aplique rbac, acesso condicional, controles just-in-time e just-enough-access a todos os armazenamentos de dados. Examine regularmente as permissões e restrinja o acesso de gravação aos sistemas de configuração.

  • Desenvolva padrões para ajudar a garantir a proteção de dados. Por exemplo, criptografe emails confidenciais usando a Proteção de Informações do Microsoft Purview para garantir a proteção de dados durante a transmissão.

Facilitação do Azure

• o Microsoft Sentinel é uma solução de SIEM e SOAR escalonável, nativa da nuvem, para detecção de ameaças, investigação, resposta e busca proativa.

• criptografia do Azure fornece criptografia para serviços como o Banco de Dados SQL do Azure, o Cosmos DB e o Azure Data Lake. Ele dá suporte a modelos de criptografia do lado do servidor e do lado do cliente.

• de computação confidencial do Azure ajuda a proteger os dados em uso com ambientes de implementação confiáveis baseados em hardware, o que aprimora a segurança de dados até mesmo do acesso do administrador de nuvem.

• Microsoft Entra ID fornece gerenciamento de identidade e acesso com MFA, acesso condicional e logon único.

  • o Microsoft Entra ID Protection usa o aprendizado de máquina para identificar riscos de entrada e comportamento incomum, o que impede o comprometimento de identidade e o roubo de credenciais.

  • Microsoft Defender para Identidade é uma solução baseada em nuvem para detectar e investigar ameaças avançadas de identidade.

Adotar o princípio da integridade

Crie seus sistemas de acordo com os padrões que você desenvolveu em fases anteriores para ajudar a garantir que os dados e a integridade do sistema. Treine engenheiros, administradores e operadores nos protocolos e procedimentos relevantes.

• Adotar integridade de dados.

  • Automatize a classificação de dados quando possível. Rotule manualmente documentos e contêineres conforme necessário. Use ferramentas prontas para identificar informações confidenciais e coletar conjuntos de dados com entrada especializada.

  • Use recursos de verificação internos em serviços como o Azure Data Factory. Para ajudar a garantir a integridade dos dados e armazenar hashes para controlar as alterações, use funções SQL como CHECKSUM e BINARY_CHECKSUM.

  • Monitore armazenamentos de dados para alterações e configure alertas para incidentes que afetam a integridade dos dados.

  • Aplicar políticas de backup entre sistemas. Entenda e configure os recursos de backup nos serviços de PaaS e SaaS, como o Banco de Dados SQL.

  • Publique padrões de design de aplicativo que incluem mecanismos de integridade de dados, como configuração de acompanhamento e alterações de dados em seu esquema de dados.

• Adotar integridade do sistema.

  • Use uma solução de monitoramento robusta para registrar automaticamente todos os recursos e habilitar o alerta para notificações de incidentes.

  • Implante um sistema que registra e gerencia continuamente as configurações para novos sistemas.

  • Implemente um sistema de gerenciamento de patch que registra automaticamente novos sistemas e gerencia a aplicação de patch de acordo com suas políticas, preferencialmente usando ferramentas de plataforma de nuvem nativas.

Facilitação do Azure

• o Microsoft Purview fornece de classificação de dados manual e automática e de rotulagem de confidencialidade para governar, proteger e gerenciar dados.

• Azure Arc fornece gerenciamento centralizado para sistemas locais e de nuvem, o que estende linhas de base de segurança, políticas e monitoramento.

• o Update Manager dá suporte ao gerenciamento unificado de atualizações para computadores Windows e Linux em ambientes do Azure, locais e de várias nuvens, com suporte interno para o Azure Policy e o Azure Arc.

Adotar o princípio da disponibilidade

Concentre-se em estabelecer e codificar práticas operacionais que dar suporte à disponibilidade.

• Plano para operações contínuas, mesmo em condições de ataque. Estabeleça processos de recuperação rápida e mantenha serviços críticos em um nível degradado.

• Implementar um sistema de monitoramento e alertas bem projetado para detectar incidentes de segurança em tempo real e iniciar planos de resposta rapidamente.

• Padronizar atualizações do sistema, agendar a manutenção regular e realizar verificações de integridade para garantir o funcionamento ideal.

• impor padrões de segurança por meio de políticas compatíveis com ferramentas para ajudar a garantir a conformidade e a auditoria.

• Desenvolver e testar planos de recuperação de desastre. Automatizar atividades de recuperação, como failover automático no Banco de Dados SQL.

• usar SLAs (contratos de nível de serviço) de plataforma de nuvem para desenvolver métricas de destino para seus próprios SLAs e ajudar a garantir o tempo de atividade garantido para suas cargas de trabalho.

• adere a regulamentos como o RGPD e o HIPAA para ajudar a garantir que os sistemas atendam aos altos padrões. Treine a equipe regularmente sobre conformidade e gerenciamento de riscos.

Facilitação do Azure

• Azure Policy é uma solução de gerenciamento de políticas que ajuda a impor padrões organizacionais e avaliar a conformidade em escala.

• Defender para Nuvem fornece políticas de segurança que podem automatizar a conformidade com seus padrões de segurança.

• O Azure recursos de recuperação internos dar suporte a planos de continuidade operacional e recuperação de desastres.

Adotar a sustentação de segurança

Verifique se sua carga de trabalho pode manter e melhorar continuamente seus novos mecanismos e práticas de segurança.

• Crie um quadro de revisão de segurança. Revise continuamente projetos e eximeja controles de segurança. Aprimore regularmente os processos para manter a segurança como prioridade.

• Implementar uma solução de gerenciamento de vulnerabilidades. Monitore e aja sobre pontuações de risco de vulnerabilidade de segurança, acompanhe vulnerabilidades comuns e aplique mitigações regularmente.

• Endureça a infraestrutura de produção. Para ajudar a proteger sua propriedade de nuvem, siga as práticas recomendadas do setor, como parâmetros de comparação do Center for Internet Security (CIS).

• Use a base de dados de conhecimento do MITRE ATT&CK. Desenvolva modelos e metodologias de ameaças com base em táticas e técnicas de ataque do mundo real.

• Shift para a esquerda. Use ambientes segregados para pré-produção e produção para integrar a segurança em todas as fases de desenvolvimento.

Facilitação do Azure

o Microsoft Defender Vulnerability Management é uma solução abrangente de gerenciamento de vulnerabilidades baseada em risco. Ele identifica, avalia, corrige e controla suas maiores vulnerabilidades em seus ativos mais críticos.