Seguro
Você pode usar a metodologia Secure para aprimorar sua postura de segurança. Essas diretrizes são relevantes para todas as metodologias dentro do Cloud Adoption Framework, pois você deve implementar a segurança como parte integrante de cada fase. Todas as recomendações na metodologia Secure aderem aos princípios de Confiança Zero de assumir comprometimento (ou assumir violação), privilégio mínimo e verificação explícita de confiança.
Aproveite as diretrizes de segurança
Essa orientação segura do Cloud Adoption Framework é um componente de um conjunto holístico maior de diretrizes de segurança da Microsoft projetadas para ajudar várias equipes a entender e executar suas responsabilidades de segurança. O conjunto completo inclui as seguintes diretrizes:
A metodologia Cloud Adoption Framework Secure fornece diretrizes de segurança para equipes que gerenciam a infraestrutura de tecnologia que dá suporte a todas as operações e desenvolvimento de carga de trabalho hospedadas no Azure.
diretrizes de segurança do Azure Well-Architected Framework fornece diretrizes para proprietários de cargas de trabalho individuais sobre como aplicar práticas recomendadas de segurança aos processos de desenvolvimento de aplicativos e DevOps e DevSecOps. A Microsoft fornece diretrizes que complementam esta documentação sobre como aplicar práticas de segurança e controles DevSecOps em um ciclo de vida de desenvolvimento de segurança.
O de referência de segurança de nuvem da Microsoft fornece diretrizes de prática recomendada para que os stakeholders garantam uma segurança robusta na nuvem. Essas diretrizes incluem linhas de base de segurança que descrevem os recursos de segurança disponíveis e as configurações ideais recomendadas para os serviços do Azure.
diretrizes de Confiança Zero fornece diretrizes para que as equipes de segurança implementem recursos técnicos para dar suporte a uma iniciativa de modernização de Confiança Zero.
Ao longo de sua jornada de adoção da nuvem, procure oportunidades para aprimorar sua postura de segurança geral por meio de de modernização, de preparação de incidentes e resposta. Sua capacidade de se preparar e responder a incidentes pode afetar significativamente seu sucesso na nuvem. Mecanismos de preparação bem projetados e práticas operacionais permitem a detecção rápida de ameaças e ajudam a minimizar o raio de explosão de incidentes.
Usar o modelo da Tríade da CIA
A de Tríade da CIA é um modelo fundamental na segurança da informação que representa três princípios fundamentais: confidencialidade, integridade e disponibilidade.
confidencialidade garante que somente indivíduos autorizados possam acessar informações confidenciais. Esse princípio inclui medidas como criptografia e controles de acesso para proteger dados contra acesso não autorizado.
de Integridade mantém a precisão e a integridade dos dados. Esse princípio significa proteger os dados contra alterações ou adulterações por usuários não autorizados, o que garante que as informações permaneçam confiáveis.
disponibilidade garante que as informações e os recursos estejam acessíveis aos usuários autorizados quando necessário. Esse princípio inclui a manutenção de sistemas e redes para evitar o tempo de inatividade e garantir o acesso contínuo aos dados.
Algumas maneiras pelas quais os princípios da tríade podem ajudar a garantir a segurança e a confiabilidade incluem:
Proteção de dados: Proteger dados confidenciais contra violações aproveitando a Tríade da CIA, que garante a privacidade e a conformidade com as regulamentações.
Continuidade dos negócios: garantir a integridade e a disponibilidade dos dados para manter as operações de negócios e evitar o tempo de inatividade.
confiança do cliente: Implementar a Tríade da CIA para criar confiança com clientes e stakeholders demonstrando um compromisso com a segurança de dados.
Atribuir funções
Atribuir funções de segurança apropriadas para ajudar a garantir que sua equipe possa executar funções de segurança durante cada estágio do ciclo de vida da nuvem, do desenvolvimento ao aprimoramento contínuo.
- Mapeie suas funções existentes e quais funções elas abrangem.
- Verifique se há lacunas.
- Avalie se sua organização pode e deve investir para resolver essas lacunas.
Você deve garantir que todos entendam seu papel na segurança e como trabalhar com outras equipes. Para atingir essa meta, documente processos de segurança entre equipes e um modelo de responsabilidade compartilhada para suas equipes técnicas. Um modelo de responsabilidade compartilhada é semelhante a um modelo RACI (Responsável, Responsável, Responsável, Consultado e Informado). Um modelo de responsabilidade compartilhada ajuda a ilustrar uma abordagem colaborativa, incluindo quem toma decisões e o que as equipes devem fazer para trabalhar em conjunto para itens e resultados específicos.
Você deve melhorar continuamente a segurança para manter uma postura de segurança robusta na nuvem porque as ameaças cibernéticas evoluem continuamente e se tornam mais sofisticadas. Retrospectivas e monitoramento podem ajudá-lo a identificar áreas que podem se beneficiar de melhorias. Além disso, certifique-se de fornecer treinamento adequado para se manter atualizado com ameaças e tecnologias em evolução.