Ferramentas e políticas de segurança
Na narrativa da Tailwind Traders, o cliente escolheu uma abordagem "começar de baixo" para as zonas de destino do Azure. Isso significa que sua implementação atual não inclui todos os controles de segurança sugeridos. Idealmente, o cliente teria começado com o acelerador de zona de destino do Azure, que já teria instalado muitas das seguintes ferramentas.
Esta unidade descreve quais controles adicionar ao ambiente desse cliente para se aproximar da arquitetura conceitual das zonas de destino do Azure e preparar os requisitos de segurança da organização.
Várias ferramentas e controles estão disponíveis para ajudar você a alcançar rapidamente uma linha de base de segurança:
- Microsoft Defender para Nuvem: fornece as ferramentas necessárias para fortalecer seus recursos, rastrear sua postura de segurança, proteger contra ataques cibernéticos e otimizar o gerenciamento de segurança.
- Microsoft Entra ID: O serviço de gerenciamento de acesso e identidade padrão. O Microsoft Entra ID fornece uma pontuação de segurança de identidade para ajudar você a avaliar sua postura de segurança de identidade em relação às recomendações da Microsoft.
- Microsoft Sentinel: um SIEM nativo de nuvem que fornece análise de segurança inteligente para toda a sua empresa, de plataformas de IA.
- Plano de proteção padrão de DDoS (negação de serviço distribuído) do Azure (opcional): fornece recursos avançados de mitigação de DDoS para defesa contra ataques DDoS.
- Firewall do Azure: um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure.
- Firewall de Aplicativo Web: um serviço nativo de nuvem que protege aplicativos Web contra técnicas comuns de hacking da Web, como SQL vulnerabilidades de injeção e segurança, como scripts entre sites.
- Privileged Identity Management (PIM): Um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização.
- Microsoft Intune: um serviço baseado em nuvem que se concentra no gerenciamento de dispositivo móvel e no gerenciamento de aplicativo móvel.
As seguintes seções ilustram como a Tailwind Traders pode alcançar uma linha de base de segurança na prática.
Implementação de linha de base para controle de acesso
A CISO deseja atingir os seguintes objetivos a partir da narrativa do cliente:
- Permitir que as pessoas façam seus trabalhos com segurança de praticamente qualquer lugar
- Minimizar os danos aos negócios de um grande incidente de segurança
Se esses objetivos se alinharem à sua organização, ou outros fatores estiverem presentes para aumentar os controles de acesso, considere as seguintes tarefas em sua linha de base de segurança:
- Implementar o Microsoft Entra ID para habilitar credenciais fortes
- Adicionar o Intune para segurança do dispositivo
- Adicionar a PIM para contas privilegiadas para se aproximar de um ambiente de Confiança Zero
- Implementar a segmentação de rede de som usando um modelo hub-and-spoke com controles de quebra de vidro e controles de firewall entre as zonas de destino do aplicativo
- Adicionar o Defender para Nuvem e o Azure Policy para monitorar a adesão a esses requisitos
Implementação de linha de base para conformidade
A CISO quer atingir o seguinte objetivo a partir da narrativa do cliente:
- Atender proativamente aos requisitos regulatórios e de conformidade
Se esses objetivos se alinharem à sua organização, ou outros fatores estiverem presentes para aumentar os controles de acesso, considere as seguintes tarefas em sua linha de base de segurança:
- Adicionar a PIM para contas privilegiadas para se aproximar de um ambiente de Confiança Zero
Implementação de linha de base para identificar e proteger dados comerciais confidenciais
A CISO deseja atingir os seguintes objetivos a partir da narrativa do cliente:
- Identificar e proteger dados comerciais confidenciais
- Modernizar rapidamente o programa de segurança existente
Se esses objetivos se alinharem à sua organização, ou outros fatores estiverem presentes para aumentar os controles de acesso, considere as seguintes tarefas em sua linha de base de segurança:
- Adicione o Defender para Nuvem para obter visibilidade e controle centralizados e integrados sobre uma pegada digital extensa e entender quais exposições existem
- Adicionar o Microsoft Sentinel para automatizar processos que podem ser repetidos para liberar tempo para a equipe de segurança
Depois de implementadas as ferramentas certas, garanta a aplicação de boas políticas para impor o uso adequado dessas ferramentas. Várias políticas se aplicam a zonas de destino conectadas online e corporativas:
- Imposição de acesso seguro, como HTTPS, a contas de armazenamento: configure sua conta de armazenamento para aceitar solicitações de conexões seguras apenas definindo a propriedade Transferência segura obrigatória para a conta de armazenamento. Quando você exige uma transferência segura, todas as solicitações originadas de uma conexão insegura são rejeitadas.
- Imposição de auditoria para o Banco de Dados SQL do Azure: acompanhe eventos do banco de dados e grave-os em um log de auditoria em sua conta de armazenamento do Azure, workspace do Log Analytics ou hubs de eventos.
- Imposição de criptografia para o Banco de Dados SQL do Azure: a criptografia de dados transparente ajuda a proteger o Banco de Dados SQL, a Instância Gerenciada de SQL do Azure e o Azure Synapse Analytics contra a ameaça de atividade offline maliciosa, criptografando dados inativos.
- Impedir o encaminhamento de IP: o encaminhamento de IP permite que um adaptador de rede anexado a uma VM receba tráfego de rede não destinado a nenhum dos endereços IP atribuídos a nenhuma das configurações de IP do adaptador de rede. Você também pode enviar tráfego de rede com um endereço IP de origem diferente daquele atribuído a uma das configurações de IP de uma interface de rede. A configuração deve ser habilitada para cada interface de rede conectada à VM que recebe o tráfego que a VM precisa encaminhar.
- Garantia de que as sub-redes estejam associadas a NSGs (grupos de segurança de rede): use um NSG do Azure para filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure. Os NSG contêm regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure. Para cada regra, você pode especificar origem e destino, porta e protocolo.