Equipas, funções e funções de segurança
Este artigo descreve as funções de segurança necessárias para a segurança na nuvem e as funções que desempenham relacionadas com a infraestrutura e as plataformas na nuvem. Essas funções ajudam a garantir que a segurança faça parte de todos os estágios do ciclo de vida da nuvem, desde o desenvolvimento até as operações e a melhoria contínua.
Nota
O Cloud Adoption Framework for Azure concentra-se na infraestrutura e plataformas de nuvem que suportam várias cargas de trabalho. Para obter orientações de segurança para cargas de trabalho individuais, consulte as orientações de segurança no Azure Well-Architected Framework.
Dependendo do tamanho da sua organização e de outros fatores, as funções e funções discutidas neste artigo podem ser cumpridas por pessoas que desempenham várias funções (funções) em vez de por uma única pessoa ou equipe. Empresas e grandes organizações tendem a ter equipes maiores com funções mais especializadas, enquanto organizações menores tendem a consolidar vários papéis e funções entre um número menor de pessoas. As responsabilidades específicas de segurança também variam dependendo das plataformas e serviços técnicos que a organização utiliza.
Algumas tarefas de segurança serão executadas diretamente por equipes de tecnologia e nuvem. Outros podem ser realizados por equipes de segurança especializadas que operam de forma colaborativa com as equipes de tecnologia. Independentemente do tamanho e da estrutura da sua organização, as partes interessadas devem ter uma compreensão clara dos trabalhos de segurança que precisam ser feitos. Todos também devem estar cientes dos requisitos de negócios e da tolerância ao risco de segurança da organização para que possam tomar boas decisões sobre serviços em nuvem que levem em conta e equilibrem a segurança como um requisito fundamental.
Use as orientações neste artigo para ajudar a entender funções específicas que as equipes e funções executam e como diferentes equipes interagem para cobrir a totalidade de uma organização de segurança na nuvem.
Transformação de funções de segurança
As funções de arquitetura, engenharia e operações de segurança estão passando por uma transformação significativa de suas responsabilidades e processos. (Essa transformação é semelhante à transformação orientada pela nuvem de funções de infraestrutura e plataforma.) Essa transformação da função de segurança foi impulsionada por vários fatores:
À medida que as ferramentas de segurança se tornam cada vez mais baseadas em SaaS, há menos necessidade de projetar, implementar, testar e operar infraestruturas de ferramentas de segurança. Essas funções ainda precisam oferecer suporte ao ciclo de vida completo de configuração de serviços e soluções em nuvem (incluindo melhoria contínua) para garantir que atendam aos requisitos de segurança.
O reconhecimento de que a segurança é o trabalho de todos está impulsionando uma abordagem mais colaborativa e madura que permite que as equipes de segurança e tecnologia trabalhem juntas:
As equipas de engenharia técnica são responsáveis por garantir que as medidas de segurança são aplicadas de forma eficaz às suas cargas de trabalho. Essa mudança aumenta a necessidade de contexto e experiência das equipes de segurança sobre como cumprir essas obrigações de forma eficaz e eficiente.
As equipes de segurança estão mudando de uma função de controle de qualidade (ligeiramente adversarial) para uma função que permite às equipes técnicas: tornar o caminho seguro o caminho mais fácil. As equipes de segurança reduzem o atrito e as barreiras usando automação, documentação, treinamento e outras estratégias.
As equipes de segurança estão ampliando cada vez mais suas habilidades para analisar problemas de segurança em várias tecnologias e sistemas. Eles abordam todo o ciclo de vida do invasor, em vez de se concentrar em áreas técnicas restritas (segurança de rede, segurança de endpoint, segurança de aplicativos e segurança em nuvem, por exemplo). O facto de as plataformas em nuvem integrarem diferentes tecnologias em conjunto amplifica esta necessidade de desenvolvimento de competências.
O aumento da taxa de mudança da tecnologia e dos serviços de nuvem de segurança exige que os processos de segurança sejam continuamente atualizados para se manterem sincronizados e gerenciarem os riscos de forma eficaz.
As ameaças à segurança agora ignoram de forma confiável os controles de segurança baseados em rede, portanto, as equipes de segurança precisam adotar uma abordagem Zero Trust que inclua identidade, segurança de aplicativos, segurança de endpoint, segurança em nuvem, CI/CD, educação do usuário e outros controles.
A adoção de processos de DevOps/DevSecOps exige que as funções de segurança sejam mais ágeis para integrar a segurança nativamente no ciclo de vida acelerado de desenvolvimento de soluções resultante.
Visão geral de funções e equipes
As seções a seguir fornecem orientação sobre quais equipes e funções normalmente executam as principais funções de segurança na nuvem (quando essas funções estão presentes na organização). Você deve mapear sua abordagem existente, procurar lacunas e avaliar se sua organização pode e deve investir para resolver essas lacunas.
As funções que executam tarefas de segurança incluem as seguintes funções.
Fornecedor do serviço em nuvem
Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)
Equipas de arquitetura, engenharia e gestão de posturas de segurança:
Arquitetos e engenheiros de segurança (segurança de dados, gerenciamento de identidade e acesso (IAM), segurança de rede, segurança de servidores e contêineres, segurança de aplicativos e DevSecOps)
Engenheiros de segurança de software (segurança de aplicações)
Gestão de postura (gestão de vulnerabilidades/gestão de superfícies de ataque)
Operações de segurança (SecOps/SOC):
Analistas de triagem (nível 1)
Analistas de investigação (nível 2)
Investigação de ameaças
Informações sobre ameaças
Engenharia de deteção
Governança de segurança, risco e conformidade (GRC)
Formação e sensibilização em matéria de segurança
É fundamental garantir que todos entendam seu papel na segurança e como trabalhar com outras equipes. Você pode atingir esse objetivo documentando processos de segurança entre equipes e um modelo de responsabilidade compartilhada para suas equipes técnicas. Isso ajuda a evitar riscos e desperdícios de lacunas de cobertura e de esforços sobrepostos. Ele também ajuda a evitar erros comuns (antipadrões), como equipes selecionando soluções fracas de autenticação e criptografia ou até mesmo tentando criar suas próprias.
Nota
Um modelo de responsabilidade partilhada é semelhante a um modelo Responsável, Responsável, Consultado, Informado (RACI). O modelo de responsabilidade compartilhada ajuda a ilustrar uma abordagem colaborativa sobre quem toma decisões e o que as equipes devem fazer para trabalhar juntas para itens e resultados específicos.
Fornecedor do serviço em nuvem
Os provedores de serviços de nuvem são efetivamente membros da equipe virtual que fornecem funções e recursos de segurança para a plataforma de nuvem subjacente. Alguns provedores de nuvem também fornecem recursos de segurança e recursos que suas equipes podem usar para gerenciar sua postura de segurança e incidentes. Para obter mais informações sobre o desempenho dos provedores de serviços de nuvem, consulte o modelo de responsabilidade compartilhada na nuvem.
Muitos provedores de serviços de nuvem fornecem informações sobre suas práticas e controles de segurança mediante solicitação ou por meio de um portal como o portal de confiança de serviços da Microsoft.
Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)
As equipes de arquitetura, engenharia e operações de infraestrutura/plataforma implementam e integram controles de segurança, privacidade e conformidade na nuvem em toda a infraestrutura de nuvem e ambientes de plataforma (em servidores, contêineres, rede, identidade e outros componentes técnicos).
As funções de engenharia e operações podem se concentrar principalmente em sistemas de nuvem ou integração contínua e implantação contínua (CI/CD), ou podem trabalhar em uma gama completa de nuvem, CI/CD, local e outras infraestruturas e plataformas.
Essas equipes são responsáveis por atender a todos os requisitos de disponibilidade, escalabilidade, segurança, privacidade e outros requisitos para os serviços de nuvem da organização que hospedam cargas de trabalho de negócios. Eles trabalham em colaboração com especialistas em segurança, risco, conformidade e privacidade para gerar resultados que combinam e equilibram todos esses requisitos.
Equipes de arquitetura, engenharia e gerenciamento de postura de segurança
As equipes de segurança trabalham com funções de infraestrutura e plataforma (e outras) para ajudar a traduzir estratégia, política e padrões de segurança em arquiteturas, soluções e padrões de design acionáveis. Essas equipes se concentram em permitir o sucesso de segurança das equipes de nuvem, avaliando e influenciando a segurança da infraestrutura e dos processos e ferramentas que são usados para gerenciá-la. A seguir estão algumas das tarefas comuns executadas pelas equipes de segurança para a infraestrutura:
Arquitetos e engenheiros de segurança adaptam políticas, padrões e diretrizes de segurança para ambientes de nuvem para projetar e implementar controles em parceria com seus homólogos de infraestrutura/plataforma. Os arquitetos e engenheiros de segurança ajudam com uma ampla gama de elementos, incluindo:
Inquilinos/subscrições. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura e arquitetos de acesso (identidade, rede, aplicativo e outros) para ajudar a estabelecer configurações de segurança para locatários de nuvem, assinaturas e contas em provedores de nuvem (que são monitorados por equipes de gerenciamento de postura de segurança).
IAM. Os arquitetos de acesso (identidade, rede, aplicativo e outros) colaboram com engenheiros de identidade e equipes de operações e infraestrutura/plataforma para projetar, implementar e operar soluções de gerenciamento de acesso. Essas soluções protegem contra o uso não autorizado dos ativos de negócios da organização, permitindo que usuários autorizados sigam os processos de negócios para acessar recursos organizacionais com facilidade e segurança. Essas equipes trabalham em soluções como diretórios de identidade e soluções de logon único (SSO), autenticação sem senha e multifator (MFA), soluções de acesso condicional baseadas em risco, identidades de carga de trabalho, gerenciamento privilegiado de identidade/acesso (PIM/PAM), infraestrutura em nuvem e gerenciamento de direitos (CIEM) e muito mais. Essas equipes também colaboram com engenheiros de rede e operações para projetar, implementar e operar soluções de borda de serviço de segurança (SSE). As equipes de carga de trabalho podem aproveitar esses recursos para fornecer acesso contínuo e mais seguro a componentes individuais de carga de trabalho e aplicativos.
Segurança de dados. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de dados e IA para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de dados para todos os dados e recursos avançados que podem ser usados para classificar e proteger dados em cargas de trabalho individuais. Para obter mais informações sobre segurança de dados fundamentais, consulte o benchmark de proteção de dados de segurança da Microsoft. Para obter mais informações sobre como proteger dados em cargas de trabalho individuais, consulte as diretrizes do Well-Architected Framework.
Segurança da rede. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de rede para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos fundamentais de segurança de rede, como conectividade com a nuvem (linhas privadas/alugadas), estratégias e soluções de acesso remoto, firewalls de entrada e saída, firewalls de aplicativos da Web (WAFs) e segmentação de rede. Essas equipes também colaboram com arquitetos de identidade, engenheiros e operações para projetar, implementar e operar soluções SSE. As equipes de carga de trabalho podem aproveitar esses recursos para fornecer proteção discreta ou isolamento de componentes individuais de carga de trabalho e aplicativos.
Segurança de servidores e contentores. Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança fundamentais para servidores, máquinas virtuais (VMs), contêineres, orquestração/gerenciamento, CI/CD e sistemas relacionados. Essas equipes estabelecem processos de descoberta e inventário, configurações de linha de base/benchmark de segurança, processos de manutenção e aplicação de patches, listas de permissões para binários executáveis, imagens de modelo, processos de gerenciamento e muito mais. As equipes de carga de trabalho também podem aproveitar esses recursos básicos de infraestrutura para fornecer segurança para servidores e contêineres para carga de trabalho individual e componentes de aplicativos.
Fundamentos de segurança de software (para segurança de aplicativos e DevSecOps). Arquitetos e engenheiros de segurança colaboram com engenheiros de segurança de software para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança de aplicativos que podem ser usados por cargas de trabalho individuais, verificação de código, ferramentas de lista de materiais de software (SBOM), WAFs e verificação de aplicativos. Consulte Controles DevSecOps para obter mais informações sobre como estabelecer um ciclo de vida de desenvolvimento de segurança (SDL). Para obter mais informações sobre como as equipes de carga de trabalho usam esses recursos, consulte as diretrizes de ciclo de vida de desenvolvimento de segurança no Well-Architected Framework.
Os engenheiros de segurança de software avaliam código, scripts e outras lógicas automatizadas usadas para gerenciar a infraestrutura, incluindo infraestrutura como código (IaC), FLUXOS DE TRABALHO CI/CD e quaisquer outras ferramentas ou aplicativos personalizados. Esses engenheiros devem ser contratados para proteger o código formal em aplicativos compilados, scripts, configurações de plataformas de automação e qualquer outra forma de código executável ou script que possa permitir que invasores manipulem a operação do sistema. Essa avaliação pode envolver simplesmente a realização de uma análise de modelo de ameaça de um sistema, ou pode envolver revisão de código e ferramentas de verificação de segurança. Consulte as diretrizes de práticas do SDL para obter mais informações sobre como estabelecer um SDL.
O gerenciamento de postura (gerenciamento de vulnerabilidades / gerenciamento de superfície de ataque) é a equipe de segurança operacional que se concentra na capacitação de segurança para equipes de operações técnicas. O gerenciamento de postura ajuda essas equipes a priorizar e implementar controles para bloquear ou mitigar técnicas de ataque. As equipes de gerenciamento de postura trabalham em todas as equipes de operações técnicas (incluindo equipes de nuvem) e geralmente servem como seu principal meio de entender os requisitos de segurança, os requisitos de conformidade e os processos de governança.
O gerenciamento de postura geralmente serve como um centro de excelência (CoE) para equipes de infraestrutura de segurança, semelhante à maneira como os engenheiros de software geralmente servem como um CoE de segurança para equipes de desenvolvimento de aplicativos. As tarefas típicas dessas equipes incluem o seguinte.
Monitore a postura de segurança. Monitore todos os sistemas técnicos usando ferramentas de gerenciamento de postura, como o Microsoft Security Exposure Management, o Microsoft Entra Permissions Management, vulnerabilidades que não sejam da Microsoft e ferramentas de Gerenciamento de Superfície de Ataque Externo (EASM) e CIEM, além de ferramentas e painéis personalizados de postura de segurança. Além disso, o gerenciamento de postura realiza análises para fornecer insights por:
Antecipar caminhos de ataque altamente prováveis e prejudiciais. Os atacantes "pensam em gráficos" e procuram caminhos para sistemas críticos para os negócios, encadeando vários ativos e vulnerabilidades em diferentes sistemas (por exemplo, comprometer os pontos finais do usuário, usar o hash/ticket para capturar uma credencial de administrador e, em seguida, acessar os dados críticos para os negócios). As equipes de gerenciamento de postura trabalham com arquitetos e engenheiros de segurança para descobrir e mitigar esses riscos ocultos, que nem sempre aparecem em listas e relatórios técnicos.
Realização de avaliações de segurança para revisar as configurações do sistema e os processos operacionais para obter uma compreensão mais profunda e insights além dos dados técnicos das ferramentas de postura de segurança. Essas avaliações podem assumir a forma de conversas informais de descoberta ou exercícios formais de modelagem de ameaças.
Auxiliar na priorização. Ajude as equipes técnicas a monitorar proativamente seus ativos e priorizar o trabalho de segurança. O gerenciamento de postura ajuda a contextualizar o trabalho de mitigação de riscos, considerando o impacto do risco de segurança (informado pela experiência, relatórios de incidentes de operações de segurança e outras informações sobre ameaças, business intelligence e outras fontes), além dos requisitos de conformidade de segurança.
Treine, oriente e campaiga. Aumente o conhecimento e as habilidades de segurança das equipes técnicas de engenharia por meio de treinamento, orientação de indivíduos e transferência informal de conhecimento. As funções de gerenciamento de postura também podem trabalhar com prontidão/treinamento organizacional e educação em segurança e funções de engajamento em treinamento formal de segurança e criação de segurança dentro de equipes técnicas que evangelizam e educam seus pares sobre segurança.
Identifique lacunas e defenda correções. Identifique tendências gerais, lacunas de processos, lacunas de ferramentas e outros insights sobre riscos e mitigações. As funções de gerenciamento de postura colaboram e se comunicam com arquitetos e engenheiros de segurança para desenvolver soluções, criar um caso para soluções de financiamento e ajudar na implementação de correções.
Coordenar com operações de segurança (SecOps). Ajude as equipes técnicas a trabalhar com funções de SecOps, como engenharia de deteção e equipes de caça a ameaças. Essa continuidade em todas as funções operacionais ajuda a garantir que as deteções estejam em vigor e implementadas corretamente, que os dados de segurança estejam disponíveis para investigação de incidentes e caça a ameaças, que os processos estejam em vigor para colaboração e muito mais.
Fornecer relatórios. Fornecer relatórios oportunos e precisos sobre incidentes de segurança, tendências e métricas de desempenho para a gerência sênior e partes interessadas para atualizar os processos de risco organizacional.
As equipes de gerenciamento de postura geralmente evoluem de funções existentes de gerenciamento de vulnerabilidades de software para lidar com o conjunto completo de tipos de vulnerabilidade funcional, de configuração e operacional descritos no Modelo de Referência de Zero Confiança de Grupo Aberto. Cada tipo de vulnerabilidade pode permitir que usuários não autorizados (incluindo invasores) assumam o controle de software ou sistemas, permitindo que causem danos aos ativos da empresa.
Vulnerabilidades funcionais ocorrem no projeto ou implementação de software. Eles podem permitir o controle não autorizado do software afetado. Essas vulnerabilidades podem ser falhas em software que suas próprias equipes desenvolveram ou falhas em software comercial ou de código aberto (normalmente rastreadas por um identificador de Vulnerabilidades e Exposições Comuns).
As vulnerabilidades de configuração são configurações incorretas de sistemas que permitem acesso não autorizado à funcionalidade do sistema. Essas vulnerabilidades podem ser introduzidas durante operações em andamento, também conhecidas como desvio de configuração. Eles também podem ser introduzidos durante a implantação inicial e configuração de software e sistemas, ou por padrões de segurança fracos de um fornecedor. Alguns exemplos comuns incluem:
Objetos órfãos que permitem acesso não autorizado a itens como registros DNS e associação a grupos.
Funções administrativas excessivas ou permissões para recursos.
Uso de um protocolo de autenticação mais fraco ou algoritmo criptográfico com problemas de segurança conhecidos.
Configurações padrão fracas ou senhas padrão.
As vulnerabilidades operacionais são fraquezas nos processos e práticas operacionais padrão que permitem o acesso ou controle não autorizado dos sistemas. Exemplos incluem:
Administradores que usam contas compartilhadas em vez de suas próprias contas individuais para executar tarefas privilegiadas.
Uso de configurações de "navegação" que criam caminhos de elevação de privilégio que podem ser abusados por invasores. Esta vulnerabilidade ocorre quando contas administrativas com privilégios elevados iniciam sessão em dispositivos e estações de trabalho de utilizador de baixa confiança (como estações de trabalho de utilizador padrão e dispositivos de propriedade do utilizador), por vezes através de servidores jump que não atenuam eficazmente estes riscos. Para obter mais informações, consulte Protegendo acesso privilegiado e dispositivos de acesso privilegiado.
Operações de segurança (SecOps/SOC)
A equipe SecOps às vezes é chamada de Centro de Operações de Segurança (SOC). A equipe de SecOps se concentra em encontrar e remover rapidamente o acesso adversário aos ativos da organização. Eles trabalham em estreita parceria com as equipes de tecnologia, operações e engenharia. As funções SecOps podem funcionar em todas as tecnologias da organização, incluindo TI tradicional, tecnologia operacional (OT) e Internet das Coisas (IoT). A seguir estão as funções SecOps que mais frequentemente interagem com equipes de nuvem:
Analistas de triagem (nível 1). Responde a deteções de incidentes para técnicas de ataque bem conhecidas e segue procedimentos documentados para resolvê-los rapidamente (ou encaminhá-los para analistas de investigação, conforme apropriado). Dependendo do escopo e do nível de maturidade do SecOps, isso pode incluir deteções e alertas de e-mail, soluções antimalware de ponto final, serviços de nuvem, deteções de rede ou outros sistemas técnicos.
Analistas de investigação (nível 2). Responde a investigações de incidentes de maior complexidade e maior gravidade que exigem mais experiência e conhecimento (além de procedimentos de resolução bem documentados). Essa equipe normalmente investiga ataques que são conduzidos por adversários humanos vivos e ataques que afetam vários sistemas. Trabalha em estreita parceria com as equipas de tecnologia, operações e engenharia para investigar e resolver incidentes.
Investigação de ameaças. Procura proativamente ameaças ocultas dentro do acervo técnico que tenham escapado aos mecanismos de deteção padrão. Essa função usa análises avançadas e investigações orientadas por hipóteses.
Informações sobre ameaças. Reúne e dissemina informações sobre atacantes e ameaças para todas as partes interessadas, incluindo negócios, tecnologia e segurança. As equipas de informação sobre ameaças realizam pesquisas, partilham as suas conclusões (formal ou informalmente) e divulgam-nas a várias partes interessadas, incluindo a equipa de segurança na nuvem. Esse contexto de segurança ajuda essas equipes a tornar os serviços de nuvem mais resilientes a ataques, pois estão usando informações de ataques do mundo real no projeto, implementação, teste e operação, e melhorando continuamente.
Engenharia de deteção. Cria deteções de ataque personalizadas e personaliza deteções de ataque fornecidas por fornecedores e pela comunidade em geral. Essas deteções de ataques personalizadas complementam as deteções fornecidas pelo fornecedor para ataques comuns que são comumente encontrados em ferramentas de deteção e resposta estendidas (XDR) e algumas ferramentas de gerenciamento de eventos e informações de segurança (SIEM). Os engenheiros de deteção trabalham com as equipes de segurança na nuvem para identificar oportunidades para projetar e implementar deteções, os dados necessários para apoiá-las e os procedimentos de resposta/recuperação para as deteções.
Governança, risco e conformidade de segurança
Security Governance, Risk, and Compliance (GRC) é um conjunto de disciplinas inter-relacionadas que integram o trabalho técnico das equipas de segurança com os objetivos e expectativas organizacionais. Estas funções e equipas podem ser um híbrido de duas ou mais disciplinas ou podem ser funções discretas. As equipes de nuvem interagem com cada uma dessas disciplinas ao longo do ciclo de vida da tecnologia de nuvem:
A disciplina de governança é uma capacidade fundamental que se concentra em garantir que a organização esteja implementando consistentemente todos os aspetos da segurança. As equipes de governança se concentram em direitos de decisão (quem toma quais decisões) e estruturas de processo que conectam e orientam as equipes. Sem uma governança eficaz, uma organização com todos os controles, políticas e tecnologia certos ainda pode ser violada por atacantes que encontraram áreas onde as defesas pretendidas não são implementadas bem, totalmente ou de todo.
A disciplina de gerenciamento de riscos se concentra em garantir que a organização esteja efetivamente avaliando, entendendo e mitigando riscos. As funções de gerenciamento de riscos trabalham com muitas equipes em toda a organização para criar uma representação clara do risco da organização e mantê-lo atualizado. Como muitos serviços de negócios críticos podem ser hospedados em infraestrutura e plataformas de nuvem, as equipes de nuvem e risco precisam colaborar para avaliar e gerenciar esse risco organizacional. Além disso, a segurança da cadeia de suprimentos se concentra nos riscos associados a fornecedores externos, componentes de código aberto e parceiros.
A disciplina de conformidade garante que os sistemas e processos estejam em conformidade com os requisitos regulamentares e as políticas internas. Sem essa disciplina, a organização pode estar exposta a riscos relacionados ao não cumprimento de obrigações externas (multas, responsabilidade, perda de receita por incapacidade de operar em alguns mercados, entre outros). Os requisitos de conformidade normalmente não conseguem acompanhar a velocidade da evolução do invasor, mas são uma fonte de requisitos importante.
Todas essas três disciplinas operam em todas as tecnologias e sistemas para impulsionar os resultados organizacionais em todas as equipes. Todos os três também dependem do contexto que obtêm uns dos outros e se beneficiam significativamente dos dados atuais de alta fidelidade sobre ameaças, negócios e ambiente de tecnologia. Essas disciplinas também dependem da arquitetura para expressar uma visão acionável que pode ser implementada e da educação e política de segurança para estabelecer regras e orientar as equipes nas muitas decisões diárias.
As equipes de engenharia e operação de nuvem podem trabalhar com funções de gerenciamento de postura, equipes de conformidade e auditoria, arquitetura e engenharia de segurança de segurança ou funções de CISO (Chief Information Security Officer, diretor de segurança da informação) em tópicos de GRC.
Educação e política de segurança
As organizações devem garantir que todas as funções tenham literacia básica em segurança e orientação sobre o que se espera que façam em relação à segurança e como fazê-lo. Para alcançar esse objetivo, você precisa de uma combinação de política escrita e educação. A educação para equipes de nuvem pode ser uma mentoria informal por profissionais de segurança que trabalham diretamente com eles, ou pode ser um programa formal com currículo documentado e campeões de segurança designados.
Em uma organização maior, as equipes de segurança trabalham com prontidão/treinamento organizacional e educação em segurança e funções de engajamento em treinamento formal de segurança e criação de campeões de segurança dentro das equipes técnicas para evangelizar e educar seus colegas sobre segurança.
A educação e a política de segurança devem ajudar cada função a compreender:
Porquê. Mostre a cada papel por que a segurança é importante para eles e seus objetivos no contexto de suas responsabilidades de papel. Se as pessoas não entenderem claramente por que a segurança é importante para elas, elas julgarão que ela não é importante e passarão para outra coisa.
O quê. Resuma as tarefas de segurança que eles precisam fazer em um idioma que eles já entendem. Se as pessoas não souberem o que lhes está a ser pedido, assumirão que a segurança não é importante ou relevante para elas e passarão para outra coisa.
Como. Certifique-se de que cada função tenha instruções claras sobre como aplicar as diretrizes de segurança em sua função. Se as pessoas não souberem como realmente fazer o que estão sendo solicitadas (por exemplo, corrigir servidores, identificar se um link é um link de phishing, denunciar uma mensagem corretamente, revisar o código ou executar um modelo de ameaça), elas falharão e passarão para outra coisa.
Cenário de exemplo: interoperabilidade típica entre equipes
Quando uma organização implanta e operacionaliza um WAF, várias equipes de segurança devem colaborar para garantir sua implantação, gerenciamento e integração eficazes na infraestrutura de segurança existente. Veja como a interoperabilidade entre as equipes pode parecer em uma organização de segurança corporativa:
- Planeamento e projeto
- A equipe de governança identifica a necessidade de segurança aprimorada do aplicativo Web e aloca orçamento para um WAF.
- O arquiteto de segurança de rede projeta a estratégia de implantação do WAF, garantindo que ela se integre perfeitamente aos controles de segurança existentes e esteja alinhada com a arquitetura de segurança da organização.
- Implementação
- O engenheiro de segurança de rede implanta o WAF de acordo com o projeto do arquiteto, configurando-o para proteger os aplicativos Web específicos e permite o monitoramento.
- O engenheiro do IAM configura controles de acesso, garantindo que apenas pessoal autorizado possa gerenciar o WAF.
- Monitorização e gestão
- A equipe de gerenciamento de postura fornece instruções para o SOC configurar o monitoramento e o alerta para o WAF e configurar painéis para rastrear a atividade do WAF.
- As equipes de engenharia de deteção e inteligência de ameaças ajudam a desenvolver planos de resposta para incidentes que envolvem o WAF e a realizar simulações para testar esses planos.
- Conformidade e gestão de riscos
- O responsável pela conformidade e gestão de riscos analisa a implementação do WAF para garantir que cumpre os requisitos regulamentares e realiza auditorias periódicas.
- O engenheiro de segurança de dados garante que as medidas de registro e proteção de dados do WAF estejam em conformidade com os regulamentos de privacidade de dados.
- Melhoria contínua e formação
- O engenheiro DevSecOps integra o gerenciamento WAF no pipeline de CI/CD, garantindo que as atualizações e configurações sejam automatizadas e consistentes.
- O especialista em educação e engajamento em segurança desenvolve e oferece programas de treinamento para garantir que todo o pessoal relevante entenda como usar e gerenciar o WAF de forma eficaz.
- O membro da equipe de governança de nuvem analisa os processos de implantação e gerenciamento do WAF para garantir que eles estejam alinhados com as políticas e padrões organizacionais.
Ao colaborar de forma eficaz, essas funções garantem que o WAF seja implantado corretamente e também continuamente monitorado, gerenciado e aprimorado para proteger os aplicativos Web da organização contra ameaças em evolução.