Seguro para adoção da nuvem de defesa

A metodologia segura é um passo crítico no domínio da missão de adoção da nuvem.

Figura 1: Rastreador de domínio - domínio da missão

Segurança refere-se à tríade de segurança cibernética de confidencialidade, integridade e disponibilidade. Embora a segurança esteja dentro do domínio da missão, ela é uma consideração importante em todos os estágios da jornada de adoção da nuvem. A segurança falha sem uma estratégia e um plano adequados. As zonas de desembarque e a governação vacilam sem as devidas considerações de segurança. As modernizações enfraquecem a postura de segurança se a segurança não for incorporada nos processos de desenvolvimento e operações.

A segurança não é menos importante para uma carga de trabalho. As cargas de trabalho herdam controles de segurança da plataforma, mas ainda devem aplicar controles de segurança acima do nível da plataforma. Aqui estão algumas recomendações de segurança a serem consideradas ao criar e gerenciar cargas de trabalho de defesa.

Implementar Zero Trust

O Zero Trust é uma metodologia de segurança, não um produto. As implementações do Zero Trust serão diferentes, mas a semelhança é uma tentativa de eliminar a confiança.

Três princípios principais do Zero Trust abordados são (1) verificar cada sessão explicitamente, (2) impor o menor privilégio em cada identidade e (3) monitorar, pesquisar e proteger continuamente. Vamos aprofundar esses princípios.

Verificar cada sessão explicitamente - Verificar refere-se à autenticação e autorização. Você precisa autenticar e autorizar todos os dispositivos, independentemente da localização. A autenticação multifator é um padrão de defesa comum em que o uso de um token de segurança complementa o processo de autenticação.

Recomendamos que você use um sistema de controle de acesso baseado em atributos (ABAC). O ABAC baseia-se no controle de acesso baseado em função (RBAC) e exige que os dispositivos atendam a condições extras antes de obter acesso a um recurso. Os profissionais de segurança configuram as condições para limitar o acesso e minimizar o número de atribuições de funções que precisam ser gerenciadas. O Microsoft Entra ID fornece recursos ABAC nativos para que as identidades na nuvem acessem apenas informações autorizadas. Para obter mais informações, consulte Controle de acesso baseado em atributos.

Impor privilégios mínimos em todas as identidades - O conceito de acesso com privilégios mínimos é um conceito familiar em ambientes de defesa. É visível no nível macro no sistema de controle de acesso obrigatório que muitas organizações de defesa usam. Os dados recebem rótulos de classificação com base em sua sensibilidade (confidencial, secreta, ultrassecreta) e os indivíduos recebem acesso aos dados necessários para concluir uma tarefa. Quando a tarefa for concluída, o acesso será removido. O acesso a dados sensíveis quando não são necessários é uma violação do modelo menos privilegiado.

RBAC e ABAC são as principais características da aplicação de privilégios mínimos. As pessoas mudam de função e de arquitetura, por isso é importante rever o acesso regularmente para evitar o aumento de privilégios. RBAC e ABAC permitem que as equipes criem um sistema de controle de acesso refinado que atenda às necessidades de um ambiente à medida que os requisitos de acesso mudam ao longo do tempo.

O Azure simplifica as revisões de acesso com RBAC e ABAC automatizando aspetos do controle de acesso. As políticas de acesso condicional podem ser vinculadas a funções, departamentos, projetos e locais do pessoal de defesa. À medida que as pessoas mudam de função ou local, seu acesso aos recursos mudará quando atualizado em sua identidade. As equipes de segurança podem executar revisões manuais de qualquer recurso no Azure a qualquer momento. O Azure permite que os usuários vejam recursos de vários níveis, facilitando a revisão manual.

Conceder privilégios elevados por um período definido é uma prática recomendada de segurança. O Microsoft Entra ID simplifica o uso de privilégios elevados com o Privileged Identity Management (PIM). O PIM concede privilégios elevados quando solicitado por um usuário legítimo e só concede esses privilégios por um período definido. Esse processo representa o acesso just-in-time e reduz o número de contas inativas que têm acesso privilegiado. Para obter mais informações, consulte:

• PIM para acesso just-in-time
• Práticas recomendadas de segurança de gerenciamento de identidade e controle de acesso do Azure
• Protegendo a identidade com Zero Trust

Monitorize, analise e melhore continuamente - A segurança não deve ser estática. O cenário de ameaças muda constantemente, e a segurança deve mudar com ele. As equipes de segurança de defesa devem monitorar, verificar e melhorar os ambientes de nuvem para mitigar os riscos. As organizações de defesa muitas vezes precisam de ferramentas de segurança que as ferramentas nativas da nuvem podem complementar para deteção e análise de segurança abrangentes. Recomendamos o Microsoft Defender for Cloud como uma ferramenta de gerenciamento de postura de segurança na nuvem de linha de base que avalia continuamente a postura de segurança do ambiente. Para obter mais informações, consulte O que é o Microsoft Defender for Cloud?.

Aqui estão algumas ferramentas que agregam valor às implantações de defesa:

• Inteligência de ameaças: os ambientes de nuvem devem ter um feed de informações de ameaças persistente e uma ferramenta de deteção que avalie a postura de segurança da rede. Esta ferramenta deve analisar o seu ambiente e gerar alertas para as vulnerabilidades que deteta. Para obter mais informações, consulte feeds de inteligência de ameaças.

• Negação de serviço distribuída (DDoS): As ferramentas de segurança devem proteger contra ataques de negação de serviço distribuídos mal-intencionados ou não-maliciosos.

• Gerenciamento de eventos e informações de segurança (SIEM): um SIEM é um recurso forense e de deteção de ameaças necessário que analisa, agrega e deteta ameaças em logs gerados em um ambiente de nuvem. Para obter uma lista de ferramentas de segurança disponíveis, consulte Segurança do Azure Government.

Para obter mais informações, consulte Confiança zero no Azure.

Automatize a conformidade de segurança

Os padrões de segurança de defesa exigem que os profissionais de segurança de defesa mantenham centenas de controles de segurança. A execução manual deste processo é trabalhosa e propensa a erros humanos. É possível automatizar a conformidade com os principais padrões de segurança e automatizar a remediação de recursos de nuvem para alinhá-los com esses padrões. O Azure permite que os proprietários de missões automatizem a conformidade com Zero Trust, CMMC e NIST 800-53

O Microsoft Defender for Cloud pode criar um relatório visual de todos os recursos não compatíveis com um determinado padrão de segurança. Ele pode gerar sugestões de correção para controles de segurança que não estão em conformidade com o padrão. O Microsoft Defender for Cloud também permite que os profissionais de segurança baixem relatórios de avaliação de conformidade que servem como linhas de base de segurança. Para obter mais informações, consulte:

• Automatize a conformidade
• Visualize a conformidade

Para obter informações gerais sobre segurança, consulte:

• Documentação de segurança
• Fundamentos de segurança
• Lista de verificação de segurança operacional
• Arquiteturas de referência de cibersegurança
• Segurança CAF

Próximo passo

A última metodologia no domínio da missão é a metodologia de gestão. A metodologia de gestão tem recomendações para impulsionar a eficiência operacional.

Gerir