Área de design: Segurança
Esta área de design cria uma base para a segurança em seus ambientes Azure, híbridos e multicloud. Você pode aprimorar essa base posteriormente com as diretrizes de segurança descritas na metodologia segura do Cloud Adoption Framework.
Revisão da área de design
Funções ou funções envolvidas: Esta área de design é liderada pela segurança na nuvem, especificamente os arquitetos de segurança dentro dessa equipe. A plataforma de nuvem e o centro de excelência em nuvem são necessários para rever as decisões de rede e identidade. Os papéis coletivos podem ser necessários para definir e implementar os requisitos técnicos decorrentes deste exercício. Guardrails de segurança mais avançados também podem precisar de suporte da governança de nuvem.
Escopo: O objetivo deste exercício é entender os requisitos de segurança e implementá-los de forma consistente em todas as cargas de trabalho em sua plataforma de nuvem. O principal escopo deste exercício se concentra em operações de segurança, ferramentas e controle de acesso. Este âmbito inclui Zero Trust e segurança de rede avançada.
Fora do escopo: este exercício se concentra na base para um centro de operações de segurança moderno na nuvem. Para agilizar a conversa, este exercício não aborda algumas das disciplinas da metodologia CAF Secure. As operações de segurança, a proteção de ativos e a segurança de inovação serão baseadas na implantação da zona de aterrissagem do Azure. No entanto, eles estão fora do escopo para essa discussão da área de design.
Visão geral da área de design
A segurança é uma consideração fundamental para todos os clientes, em todos os ambientes. Ao projetar e implementar uma zona de aterrissagem do Azure, a segurança deve ser uma consideração durante todo o processo.
A área de design de segurança concentra-se em considerações e recomendações para decisões de zona de pouso. A metodologia segura do Cloud Adoption Framework também fornece orientações mais detalhadas para processos e ferramentas de segurança holísticos.
Novo ambiente de nuvem (greenfield): para iniciar sua jornada na nuvem com um pequeno conjunto de assinaturas, consulte Criar suas assinaturas iniciais do Azure. Além disso, considere usar modelos de implantação do Bicep na criação de suas zonas de aterrissagem do Azure. Para obter mais informações, consulte Azure Landing Zones Bicep - Deployment Flow.
Ambiente de nuvem existente (brownfield): considere usar os seguintes serviços de identidade e acesso do Microsoft Entra se estiver interessado em aplicar os princípios da área de design de segurança a ambientes existentes do Azure:
- Implante a sincronização na nuvem do Microsoft Entra Connect para fornecer aos usuários locais dos Serviços de Domínio Ative Directory (AD DS) logon único seguro (SSO) para seus aplicativos apoiados por ID do Microsoft Entra. Um benefício adicional para configurar a identidade híbrida é que você pode impor a autenticação multifator (MFA) do Microsoft Entra e a Proteção por Senha do Microsoft Entra para proteger ainda mais essas identidades
- Considere o Acesso Condicional do Microsoft Entra para fornecer autenticação segura para seus aplicativos de nuvem e recursos do Azure.
- Implemente o Microsoft Entra Privileged Identity Management para garantir acesso com privilégios mínimos e relatórios profundos em todo o seu ambiente do Azure. As equipes devem iniciar revisões de acesso recorrentes para garantir que as pessoas e os princípios de serviço certos tenham níveis de autorização atuais e corretos.
- Utilize as recomendações, alertas e recursos de correção do Microsoft Defender for Cloud. Sua equipe de segurança também pode integrar o Microsoft Defender for Cloud ao Microsoft Sentinel se precisar de uma solução híbrida e multicloud de Gerenciamento de Eventos de Segurança (SIEM)/Orquestração e Resposta de Segurança (SOAR) mais robusta e gerenciada centralmente.
O repositório do Azure Landing Zones Bicep - Deployment Flow contém vários modelos de implantação do Bicep que podem acelerar suas implantações de zona de aterrissagem do Azure greenfield e brownfield. Esses modelos já têm orientações de segurança de práticas comprovadas da Microsoft integradas a eles.
Para obter mais informações sobre como trabalhar em ambientes de nuvem brownfield, consulte Considerações sobre o ambiente Brownfield.
Referência da segurança da cloud da Microsoft
O benchmark de segurança na nuvem da Microsoft inclui recomendações de segurança de alto impacto para ajudá-lo a proteger a maioria dos serviços que você usa no Azure. Você pode pensar nessas recomendações como gerais ou organizacionais, pois elas são aplicáveis à maioria dos serviços do Azure. As recomendações de benchmark de segurança na nuvem da Microsoft são personalizadas para cada serviço do Azure. Esta orientação personalizada está contida em artigos de recomendações de serviço.
A documentação de benchmark de segurança na nuvem da Microsoft especifica controles de segurança e recomendações de serviço.
- Controles de segurança: as recomendações de benchmark de segurança na nuvem da Microsoft são categorizadas por controles de segurança. Os controles de segurança representam requisitos de segurança de alto nível independentes do fornecedor, como segurança de rede e proteção de dados. Cada controlo de segurança tem um conjunto de recomendações e instruções de segurança que o ajudam a implementar essas recomendações.
- Recomendações de serviço: quando disponíveis, as recomendações de referência para os serviços do Azure incluirão recomendações de referência de segurança na nuvem da Microsoft que são adaptadas especificamente para esse serviço.
Azure Attestation
O Atestado do Azure é uma ferramenta que pode ajudá-lo a garantir a segurança e a integridade da sua plataforma e dos binários que são executados dentro dela. É especialmente útil para empresas que exigem recursos de computação altamente escaláveis e confiança intransigente com a capacidade de atestado remoto.
Considerações sobre design de segurança
Uma organização deve ter visibilidade do que está acontecendo em seu patrimônio técnico na nuvem. O monitoramento de segurança e o log de auditoria dos serviços da plataforma Azure são um componente fundamental de uma estrutura escalável.
Considerações sobre o design das operações de segurança
Âmbito | Contexto |
---|---|
Alertas de segurança | - Quais equipes exigem notificações para alertas de segurança? - Existem grupos de serviços que exigem encaminhamento para equipas diferentes? - Requisitos de negócio para monitorização e alerta em tempo real. - Integração de informações de segurança e gerenciamento de eventos com Microsoft Defender for Cloud e Microsoft Sentinel. |
Registos de segurança | - Períodos de retenção de dados para dados de auditoria. Os relatórios do Microsoft Entra ID P1 ou P2 têm um período de retenção de 30 dias. - Arquivamento de longo prazo de logs como logs de atividade do Azure, logs de máquina virtual (VM) e logs de plataforma como serviço (PaaS). |
Controlos de segurança | - Configuração de segurança de linha de base por meio da política de VM convidada do Azure. - Considere como seus controles de segurança se alinharão com os guardrails de governança. |
Gestão de vulnerabilidades | - Correção de emergência para vulnerabilidades críticas. - Aplicação de patches para VMs que estão offline por longos períodos de tempo. - Avaliação da vulnerabilidade das VMs. |
Responsabilidade partilhada | - Onde estão as transferências para as responsabilidades da equipe? Essas responsabilidades devem ser consideradas ao monitorar ou responder a eventos de segurança. - Considerar as orientações da metodologia Secure para operações de segurança. |
Encriptação e chaves | - Quem precisa ter acesso às chaves no ambiente? - Quem será responsável pela gestão das chaves? - Explore ainda mais a criptografia e as chaves. |
Atestado | - Você usará o Trusted Launch para suas VMs e precisará de atestado da integridade de toda a cadeia de inicialização de sua VM (UEFI, OS, sistema e drivers)? - Você quer aproveitar a criptografia de disco confidencial para suas VMs confidenciais? - Suas cargas de trabalho exigem atestado de que estão sendo executadas dentro de um ambiente confiável? |
Recomendações de projeto de operações de segurança
Use os recursos de relatório do Microsoft Entra ID para gerar relatórios de auditoria de controle de acesso.
Exporte os logs de atividade do Azure para os Logs do Azure Monitor para retenção de dados de longo prazo. Exporte para o Armazenamento do Azure para armazenamento de longo prazo além de dois anos, se necessário.
Habilite o padrão do Defender for Cloud para todas as assinaturas e use a Política do Azure para garantir a conformidade.
Monitore o desvio de patches do sistema operacional básico por meio do Azure Monitor Logs e do Microsoft Defender for Cloud.
Use as políticas do Azure para implantar automaticamente configurações de software por meio de extensões de VM e impor uma configuração de VM de linha de base compatível.
Monitore o desvio de configuração de segurança da VM por meio da Política do Azure.
Conecte as configurações de recursos padrão a um espaço de trabalho centralizado do Azure Monitor Log Analytics.
Use uma solução baseada em Grade de Eventos do Azure para alertas orientados a log e em tempo real.
Use o Atestado do Azure para atestado de:
- A integridade de toda a cadeia de inicialização da sua VM. Para obter mais informações, consulte Visão geral do monitoramento da integridade da inicialização.
- Liberação segura de chaves de criptografia de disco confidenciais para uma VM confidencial. Para obter mais informações, consulte Criptografia de disco confidencial do sistema operacional.
- Vários tipos de ambientes de execução confiáveis de carga de trabalho. Para obter mais informações, consulte Casos de uso.
Considerações sobre o design do controle de acesso
Os limites de segurança modernos são mais complexos do que os limites de um datacenter tradicional. As quatro paredes do datacenter não contêm mais seus ativos. Manter os utilizadores fora da rede protegida já não é suficiente para controlar o acesso. Na nuvem, seu perímetro é composto por duas partes: controles de segurança de rede e controles de acesso Zero Trust.
Segurança de rede avançada
Âmbito | Contexto |
---|---|
Planejar a conectividade de entrada e saída com a Internet | Descreve os modelos de conectividade recomendados para conectividade de entrada e saída de e para a Internet pública. |
Planejar a segmentação da rede da zona de pouso | Explora as principais recomendações para oferecer segmentação de rede interna altamente segura dentro de uma zona de pouso. Essas recomendações impulsionam a implementação de confiança zero na rede. |
Definir requisitos de criptografia de rede | Explora as principais recomendações para obter criptografia de rede entre o local e o Azure e entre as regiões do Azure. |
Plano de inspeção de tráfego | Explora as principais considerações e abordagens recomendadas para espelhar ou tocar no tráfego na Rede Virtual do Azure. |
Confiança Zero
Para acesso Zero Trust com identidades, você deve considerar:
- Que equipas ou indivíduos necessitam de acesso a serviços dentro da zona de aterragem? Que papéis estão a desempenhar?
- Quem deve autorizar os pedidos de acesso?
- Quem deve receber as notificações quando funções privilegiadas são ativadas?
- Quem deve ter acesso ao histórico de auditoria?
Para obter mais informações, consulte Microsoft Entra Privileged Identity Management.
A implementação do Zero Trust pode ir além do gerenciamento de identidade e acesso. Você deve considerar se sua organização precisa implementar práticas de Zero Trust em vários pilares, como infraestrutura, dados e rede. Para obter mais informações, consulte Incorporar práticas de Zero Trust em sua zona de desembarque
Recomendações de projeto de controle de acesso
No contexto dos seus requisitos subjacentes, realize um exame conjunto de cada serviço requerido. Se você quiser trazer suas próprias chaves, talvez elas não sejam suportadas em todos os serviços considerados. Implemente mitigações relevantes para que as inconsistências não prejudiquem os resultados desejados. Escolha pares de regiões apropriados e regiões de recuperação de desastres que minimizem a latência.
Desenvolva um plano de lista de permissões de segurança para avaliar serviços como configuração de segurança, monitoramento e alertas. Em seguida, crie um plano para integrá-los com os sistemas existentes.
Determine o plano de resposta a incidentes para os serviços do Azure antes de movê-lo para a produção.
Alinhe seus requisitos de segurança com os roteiros da plataforma Azure para se manter atualizado com os controles de segurança recém-lançados.
Implemente uma abordagem de confiança zero para acesso à plataforma Azure quando apropriado.
Segurança no acelerador de zona de aterrissagem do Azure
A segurança está no centro do acelerador de zona de aterrissagem do Azure. Como parte da implementação, muitas ferramentas e controles são implantados para ajudar as organizações a alcançar rapidamente uma linha de base de segurança.
Por exemplo, estão incluídos os seguintes:
Ferramentas:
- Microsoft Defender for Cloud, nível padrão ou gratuito
- Microsoft Sentinel
- Proteção de Rede DDoS do Azure (opcional)
- Azure Firewall
- Firewall de Aplicações Web (WAF)
- Privileged Identity Management (PIM)
Políticas para zonas de aterrissagem on-line e corporativas:
- Imponha acesso seguro, como HTTPS, a contas de armazenamento
- Impor auditoria para o Banco de Dados SQL do Azure
- Impor criptografia para o Banco de Dados SQL do Azure
- Impedir o encaminhamento de IP
- Impedir a entrada de RDP da Internet
- Garantir que as sub-redes estejam associadas ao NSG
Próximos passos
Saiba como proteger o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID.