Realize sua adoção de nuvem com segurança
Quando você implementa sua propriedade na nuvem e migra cargas de trabalho, é essencial estabelecer mecanismos e práticas de segurança robustos. Essa abordagem garante que suas cargas de trabalho estejam seguras desde o início e evita a necessidade de resolver lacunas de segurança depois que as cargas de trabalho estiverem em produção. Priorize a segurança durante a fase Adotar para garantir que as cargas de trabalho sejam criadas de forma consistente e de acordo com as práticas recomendadas. As práticas de segurança estabelecidas também preparam as equipes de TI para operações na nuvem por meio de políticas e procedimentos bem projetados.
Quer esteja a migrar cargas de trabalho para a nuvem ou a criar uma propriedade de nuvem totalmente nova, pode aplicar as orientações neste artigo. A metodologia Cloud Adoption Framework Adopt incorpora os cenários Migrar, Modernizar, Inovar e Realocar . Independentemente do caminho que você seguir durante a fase Adotar de sua jornada na nuvem, é importante considerar as recomendações deste artigo ao estabelecer os elementos fundamentais do seu patrimônio na nuvem e criar ou migrar cargas de trabalho.
Este artigo é um guia de apoio à metodologia Adote . Ele fornece áreas de otimização de segurança que você deve considerar ao passar por essa fase em sua jornada.
Adoção de modernização da postura de segurança
Considere as seguintes recomendações ao trabalhar para modernizar sua postura de segurança como parte da fase Adotar:
Linhas de base de segurança: defina linhas de base de segurança que incluam requisitos de disponibilidade para estabelecer uma base clara e robusta para o desenvolvimento. Para economizar tempo e reduzir o risco de erro humano na análise de seus ambientes, use uma ferramenta de análise de linha de base de segurança pronta para uso.
Adote a automação: use ferramentas de automação para gerenciar tarefas de rotina para reduzir o risco de erro humano e melhorar a consistência. Aproveite os serviços em nuvem que podem automatizar os procedimentos de failover e recuperação. As tarefas que você pode considerar automatizar incluem:
- Implantações e gerenciamento de infraestrutura
- Atividades do ciclo de vida do desenvolvimento de software
- Testar
- Monitorização e alertas
- Dimensionamento
Controles de acesso e autorização Zero Trust: implemente controles de acesso fortes e sistemas de gerenciamento de identidade para garantir que apenas o pessoal autorizado tenha acesso a sistemas e dados críticos. Essa abordagem reduz o risco de atividades maliciosas que podem interromper os serviços. Padronize os RBACs (controles de acesso baseados em funções) estritamente impostos e exija autenticação multifator para evitar acesso não autorizado que possa interromper a disponibilidade do serviço. Para obter mais informações, consulte Protegendo a identidade com Zero Trust.
Institucionalização da gestão da mudança
Metodologias eficazes de adoção e gestão da mudança (ACM) são cruciais para garantir a implementação e institucionalização bem-sucedida dos controles de acesso. Algumas das melhores práticas e metodologias incluem:
Modelo Prosci ADKAR: Este modelo concentra-se em cinco blocos de construção fundamentais para uma mudança bem-sucedida. Esses componentes são Consciência, Desejo, Conhecimento, Capacidade e Reforço. Ao abordar cada elemento, as organizações podem garantir que os funcionários entendam a necessidade de controles de acesso, estejam motivados a apoiar a mudança, tenham os conhecimentos e habilidades necessários e recebam reforço contínuo para manter a mudança.
Modelo de Mudança de 8 Passos de Kotter: Este modelo descreve oito passos para liderar a mudança. Essas etapas incluem criar um senso de urgência, formar uma coalizão poderosa, desenvolver uma visão e estratégia, comunicar a visão, capacitar os funcionários para uma ação ampla, gerar ganhos de curto prazo, consolidar ganhos e ancorar novas abordagens na cultura. Seguindo essas etapas, as organizações podem gerenciar efetivamente a adoção de controles de acesso.
Modelo de Gestão da Mudança de Lewin: Este modelo tem três estágios, que são Descongelar, Alterar e Recongelar. No estágio Descongelar, as organizações se preparam para a mudança, identificando a necessidade de controles de acesso e criando um senso de urgência. Na etapa de Mudança, novos processos e práticas são implementados. Na etapa Refreeze, as novas práticas são solidificadas e integradas à cultura organizacional.
Estrutura de gerenciamento de mudanças e adoção da Microsoft: essa estrutura fornece uma abordagem estruturada para impulsionar a adoção e a mudança, definindo critérios de sucesso, envolvendo as partes interessadas e preparando a organização. Este quadro também mede o sucesso para garantir a eficácia da implementação. Enfatiza a importância da comunicação, treinamento e apoio para garantir que os controles de acesso sejam efetivamente adotados e institucionalizados.
As organizações podem garantir que os controles de acesso sejam implementados e adotados pelos funcionários incorporando essas metodologias e práticas recomendadas do ACM. Essa abordagem resulta em um ambiente empresarial mais seguro e compatível.
Facilitação do Azure
Estabeleça uma linha de base de segurança: o Microsoft Secure Score pode ajudá-lo a estabelecer linhas de base com recomendações tangíveis para melhorias. Ele é fornecido como parte do pacote Microsoft Defender XDR e pode analisar a segurança de muitos produtos Microsoft e não-Microsoft.
Automação da implantação de infraestrutura: os modelos do Azure Resource Manager (modelos ARM) e o Bicep são ferramentas nativas do Azure para implantar a infraestrutura como código (IaC) usando sintaxe declarativa. Os modelos ARM são escritos em JSON, enquanto o Bicep é uma linguagem específica do domínio. Você pode integrar facilmente ambos nos pipelines do Azure ou nos pipelines de integração contínua e entrega contínua (CI/CD) do GitHub Actions.
O Terraform é outra ferramenta IaC declarativa totalmente suportada no Azure. Você pode usar o Terraform para implantar e gerenciar a infraestrutura e integrá-la ao seu pipeline de CI/CD.
Você pode usar o Microsoft Defender for Cloud para descobrir configurações incorretas no IaC.
Ambientes de Implantação do Azure: os Ambientes de Implantação permitem que as equipes de desenvolvimento criem rapidamente uma infraestrutura de aplicativo consistente usando modelos baseados em projetos. Esses modelos minimizam o tempo de configuração e maximizam a segurança, a conformidade e a eficiência de custos. Um ambiente de implantação é uma coleção de recursos do Azure que são implantados em assinaturas predefinidas. Os administradores de infraestrutura de desenvolvimento podem aplicar políticas de segurança corporativa e fornecer um conjunto selecionado de modelos de IAC predefinidos.
Os administradores de infraestrutura de desenvolvimento definem ambientes de implantação como itens de catálogo. Os itens de catálogo são hospedados em um repositório GitHub ou Azure DevOps, chamado de catálogo. Um item de catálogo consiste em um modelo IaC e um arquivo manifest.yml.
Você pode criar scripts para a criação de ambientes de implantação e gerenciar programaticamente os ambientes. Para obter orientações detalhadas e focadas na carga de trabalho, consulte a abordagem IaC do Azure Well-Architected Framework.
Automação de tarefas de rotina:
Azure Functions: o Azure Functions é uma ferramenta sem servidor que você pode usar para automatizar tarefas usando sua linguagem de desenvolvimento preferida. O Functions fornece um conjunto abrangente de gatilhos e ligações orientados a eventos que conectam suas funções a outros serviços. Você não precisa escrever código extra.
Automação do Azure: PowerShell e Python são linguagens de programação populares para automatizar tarefas operacionais. Use esses idiomas para executar operações como reiniciar serviços, transferir logs entre armazenamentos de dados e dimensionar a infraestrutura para atender à demanda. Você pode expressar essas operações em código e executá-las sob demanda. Individualmente, esses idiomas carecem de uma plataforma para gerenciamento centralizado, controle de versão ou rastreamento do histórico de execução. Os idiomas também carecem de um mecanismo nativo para responder a eventos como alertas orientados por monitoramento. Para fornecer esses recursos, você precisa de uma plataforma de automação. A automação fornece uma plataforma hospedada pelo Azure para hospedar e executar código PowerShell e Python em ambientes locais e na nuvem, incluindo sistemas Azure e não Azure. O código PowerShell e Python é armazenado em um runbook de automação. Use a automação para:
Acione runbooks sob demanda, em um cronograma ou por meio de um webhook.
Execute o histórico e o registro.
Integre uma loja de segredos.
Integre o controle do código-fonte.
Azure Update Manager: o Update Manager é um serviço unificado que você pode usar para gerenciar e controlar atualizações para máquinas virtuais. Você pode monitorar a conformidade de atualizações do Windows e Linux em toda a sua carga de trabalho. Também pode utilizar o Azure Update Manager para fazer atualizações em tempo real ou agendá-las dentro de uma janela de manutenção definida. Use o Update Manager para:
Supervisione a conformidade em toda a sua frota de máquinas.
Agende atualizações recorrentes.
Implante atualizações críticas.
Aplicativos Lógicos do Azure e Microsoft Power Automate: Quando você cria DPA (automação de processo digital) personalizada para lidar com tarefas de carga de trabalho, como fluxos de aprovação ou criação de integrações ChatOps, considere usar Aplicativos Lógicos ou Power Automate. Você pode construir fluxos de trabalho a partir de conectores e modelos internos. As Aplicações Lógicas e o Power Automate baseiam-se na mesma tecnologia subjacente e são adequados para tarefas baseadas em gatilhos ou no tempo.
Dimensionamento automático: muitas tecnologias do Azure têm recursos internos de dimensionamento automático. Você também pode programar outros serviços para dimensionar automaticamente usando APIs. Para obter mais informações, consulte Autoscaling.
Grupos de ação do Azure Monitor: para executar automaticamente operações de autorrecuperação quando um alerta é acionado, use os grupos de ação do Azure Monitor. Você pode definir essas operações usando um runbook, uma função do Azure ou um webhook.
Preparação para incidentes e adoção de resposta
Depois de estabelecer sua zona de aterrissagem ou outro design de plataforma com segmentação de rede segura e organização de recursos e assinatura bem projetada, você pode começar a implementação com foco na preparação e resposta a incidentes. Durante essa fase, o desenvolvimento de seus mecanismos de preparação e resposta, incluindo seu plano de resposta a incidentes, garante que suas práticas operacionais e de patrimônio na nuvem estejam alinhadas com os objetivos de negócios. Este alinhamento é crucial para manter a eficiência e alcançar os objetivos estratégicos. A fase de adoção deve abordar a preparação e a resposta a incidentes de duas perspetivas. Essas perspetivas são a prontidão e a mitigação de ameaças e a segurança de infraestrutura e aplicativos.
Prontidão e mitigação de ameaças
Deteção de ameaças: implemente ferramentas e práticas avançadas de monitoramento para detetar ameaças em tempo real. Essa implementação inclui a configuração de sistemas de alerta para atividades incomuns e a integração de soluções de deteção e resposta estendidas (XDR) e gerenciamento de eventos e informações de segurança (SIEM). Para obter mais informações, consulte Proteção contra ameaças Zero Trust e XDR.
Gerenciamento de vulnerabilidades: identifique e mitigue vulnerabilidades regularmente por meio do gerenciamento de patches e atualizações de segurança para garantir que os sistemas e aplicativos estejam protegidos contra ameaças conhecidas.
Resposta a incidentes: desenvolva e mantenha um plano de resposta a incidentes que inclua etapas de deteção, análise e remediação para abordar e recuperar rapidamente de incidentes de segurança. Para obter orientações focadas na carga de trabalho, consulte Recomendações para resposta a incidentes de segurança. Automatize as atividades de mitigação tanto quanto possível para torná-las mais eficientes e menos propensas a erros humanos. Por exemplo, se você detetar uma injeção de SQL, poderá ter um runbook ou fluxo de trabalho que bloqueie automaticamente todas as conexões com o SQL para conter o incidente.
Segurança de infraestruturas e aplicações
Pipelines de implantação seguros: crie pipelines de CI/CD com verificações de segurança integradas para garantir que os aplicativos sejam desenvolvidos, testados e implantados com segurança. Esta solução inclui análise de código estático, verificação de vulnerabilidades e verificações de conformidade. Para obter mais informações, consulte Zero Trust developer guidance.
Implantações de IAC: implante toda a infraestrutura por meio de código, sem exceção. Reduza o risco de infraestrutura mal configurada e implantações não autorizadas impondo esse padrão. Coloque todos os ativos do IaC com ativos de código de aplicativo e aplique as mesmas práticas de implantação seguras que as implantações de software.
Facilitação do Azure
Automação de deteção e resposta a ameaças: automatize a deteção e a resposta a ameaças com a funcionalidade automatizada de investigação e resposta no Microsoft Defender XDR.
Segurança de implantação do Iac: use pilhas de implantação para gerenciar recursos do Azure como uma unidade única e coesa. Impeça que os usuários executem modificações não autorizadas usando as configurações de negação.
Adotar o princípio da confidencialidade
Depois que a estratégia geral e o plano de implementação para adotar o princípio de confidencialidade da Tríade da CIA já estiverem em vigor, o próximo passo é focar no ACM. Esta etapa inclui garantir que a criptografia e os controles de acesso seguro sejam efetivamente implementados e institucionalizados em todo o ambiente de nuvem corporativo. Na fase de adoção, medidas de prevenção contra perda de dados (DLP) são implementadas para proteger dados confidenciais em trânsito e dados em repouso. A implementação envolve a implantação de soluções de criptografia, a configuração de controles de acesso e o treinamento de todos os funcionários sobre a importância da confidencialidade dos dados e da adesão às políticas de DLP.
Implementar criptografia e controles de acesso seguro
Para proteger informações confidenciais contra acesso não autorizado, é crucial implementar criptografia robusta e controles de acesso seguros. A criptografia garante que os dados sejam ilegíveis para usuários não autorizados, enquanto os controles de acesso regulam quem pode acessar dados e recursos específicos. Compreenda os recursos de criptografia dos serviços de nuvem que você implanta e habilite os mecanismos de criptografia apropriados para atender às suas necessidades de negócios.
Incorporar e adotar normas associadas
Para garantir a implementação consistente de criptografia e controles de acesso, é essencial desenvolver e adotar padrões associados. As organizações devem estabelecer diretrizes claras e práticas recomendadas para o uso de criptografia e controles de acesso, e garantir que esses padrões sejam comunicados a todos os funcionários. Por exemplo, um padrão pode especificar que todos os dados confidenciais devem ser criptografados usando criptografia AES-256 e que o acesso a esses dados deve ser restrito apenas a pessoal autorizado. As organizações podem garantir que a criptografia e os controles de acesso sejam aplicados de forma consistente em toda a empresa, incorporando esses padrões em suas políticas e procedimentos. A oferta regular de formação e apoio reforça ainda mais estas práticas entre os colaboradores. Outros exemplos incluem:
Criptografia forte: habilite a criptografia em armazenamentos de dados quando possível e considere gerenciar suas próprias chaves. Seu provedor de nuvem pode oferecer criptografia em repouso para o armazenamento no qual seu armazenamento de dados está hospedado e oferecer a opção de habilitar a criptografia de banco de dados, como criptografia de dados transparente no Banco de Dados SQL do Azure. Aplique a camada extra de criptografia sempre que possível.
Controles de acesso: aplique RBAC, controles de acesso condicional, acesso just-in-time e acesso just-enough-a todos os armazenamentos de dados. Padronize a prática de revisar permissões regularmente. Restrinja o acesso de gravação aos sistemas de configuração, o que permite alterações somente por meio de uma conta de automação designada. Essa conta aplica modificações após processos de revisão completa, normalmente como parte do Azure Pipelines.
Adoção de padrões: a organização pode desenvolver um padrão que exija que todos os e-mails que contenham informações confidenciais sejam criptografados usando a Proteção de Informações do Microsoft Purview. Este requisito garante que os dados sensíveis sejam protegidos durante a transmissão e apenas acessíveis por destinatários autorizados.
Facilitação do Azure
Soluções SIEM e SOAR: o Microsoft Sentinel é um SIEM escalável e nativo da nuvem que oferece uma solução inteligente e abrangente para SIEM e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel fornece deteção, investigação, resposta e busca proativa de ameaças, com uma visão geral de alto nível da sua empresa.
Criptografia do Azure: o Azure fornece criptografia para serviços como o Banco de Dados SQL do Azure, o Azure Cosmos DB e o Azure Data Lake. Os modelos de criptografia com suporte incluem criptografia do lado do servidor com chaves gerenciadas por serviço, chaves gerenciadas pelo cliente no Cofre de Chaves do Azure e chaves gerenciadas pelo cliente em hardware controlado pelo cliente. Os modelos de criptografia do lado do cliente dão suporte à criptografia de dados por um aplicativo antes de serem enviados para o Azure. Para obter mais informações, consulte Visão geral da criptografia do Azure.
Gerenciamento de controle de acesso: anteriormente conhecido como Azure Ative Directory, o Microsoft Entra ID fornece recursos abrangentes de gerenciamento de identidade e acesso. Ele suporta autenticação multifator, políticas de acesso condicional e logon único para garantir que apenas usuários autorizados possam acessar dados confidenciais.
O Microsoft Entra ID Protection usa aprendizado de máquina avançado para identificar riscos de entrada e comportamento incomum do usuário para bloquear, desafiar, limitar ou conceder acesso. Ele ajuda a evitar o comprometimento da identidade, protege contra o roubo de credenciais e fornece informações sobre sua postura de segurança de identidade.
O Microsoft Defender for Identity é uma solução de deteção de ameaças de identidade de segurança baseada na nuvem que ajuda a proteger o monitoramento de identidade em toda a organização. Ele pode ajudá-lo a identificar, detetar e investigar melhor ameaças avançadas direcionadas à sua organização por meio de mecanismos automatizados de deteção e resposta a ameaças.
Computação confidencial do Azure: este serviço protege os dados enquanto estão a ser processados. Ele usa ambientes de execução confiáveis baseados em hardware para isolar e proteger os dados em uso, garantindo que até mesmo os administradores de nuvem não possam acessar os dados.
Adotar o princípio da integridade
Na fase Adotar, o planejamento e os projetos são transformados em implementações do mundo real. Para garantir a integridade dos dados e do sistema, construa seus sistemas de acordo com os padrões que você desenvolveu em fases anteriores. Além disso, treine engenheiros, administradores e operadores sobre os protocolos e procedimentos relevantes.
Adoção da integridade dos dados
Classificação de dados: implemente sua estrutura de classificação de dados por meio de automação quando possível e manualmente quando necessário. Use ferramentas prontas para uso para automatizar sua classificação de dados e identificar informações confidenciais. Rotule manualmente documentos e contêineres para garantir uma classificação precisa. Organize conjuntos de dados para análise, aproveitando a experiência de usuários experientes para estabelecer sensibilidade.
Verificação e validação de dados: aproveite a funcionalidade interna de verificação e validação nos serviços que você implanta. Por exemplo, o Azure Data Factory tem funcionalidade interna para verificar a consistência dos dados quando você move dados de uma origem para um repositório de destino. Considere adotar práticas como:
Usar as funções CHECKSUM e BINARY_CHECKSUM no SQL para garantir que os dados não sejam corrompidos em trânsito.
Armazenar hashes em tabelas e criar sub-rotinas que modificam os hashes quando a data da última modificação é alterada.
Monitoramento e alerta: monitore seus armazenamentos de dados em busca de alterações com informações detalhadas do histórico de alterações para ajudar nas avaliações. Configure alertas para garantir que você tenha visibilidade apropriada e possa tomar ações eficientes se houver incidentes que possam afetar a integridade dos dados.
Políticas de backup: aplique políticas de backup em todos os sistemas apropriados. Compreenda os recursos de backup da plataforma como um serviço e do software como um serviço de serviços. Por exemplo, o Banco de Dados SQL do Azure inclui backups automáticos e você pode configurar a política de retenção conforme necessário.
Compartilhar padrões de design: publique e compartilhe padrões de design de aplicativos que incorporam mecanismos de integridade de dados em toda a organização. As normas de conceção devem abranger requisitos não funcionais, tais como o controlo nativo da configuração e das alterações de dados ao nível da aplicação e o registo deste histórico no esquema de dados. Essa abordagem exige que o esquema de dados retenha detalhes sobre o histórico de dados e o histórico de configurações como parte do armazenamento de dados, além de mecanismos de registro padrão para fortalecer seu monitoramento de integridade.
Adoção da integridade do sistema
Monitoramento de segurança: use uma solução de monitoramento robusta para registrar automaticamente todos os recursos em sua propriedade na nuvem e garantir que o alerta esteja habilitado e configurado para notificar as equipes apropriadas quando ocorrerem incidentes.
Gerenciamento de configuração automatizado: implante e configure um sistema de gerenciamento de configuração que registra automaticamente novos sistemas e gerencia suas configurações continuamente.
Gerenciamento automatizado de patches: implante e configure um sistema de gerenciamento de patches que registra automaticamente novos sistemas e gerencia patches de acordo com suas políticas. Prefira ferramentas nativas à sua plataforma na nuvem.
Facilitação do Azure
Classificação e rotulagem de dados: o Microsoft Purview é um conjunto robusto de soluções que pode ajudar sua organização a governar, proteger e gerenciar dados, onde quer que eles estejam. Oferece classificação manual e automática de dados e etiquetagem de sensibilidade.
Gerenciamento de configuração: o Azure Arc é uma plataforma de governança e gerenciamento de infraestrutura centralizada e unificada que você pode usar para gerenciar configurações para sistemas locais e baseados em nuvem. Usando o Azure Arc, você pode estender suas linhas de base de segurança da Política do Azure, suas políticas do Defender for Cloud e avaliações do Secure Score, bem como registrar e monitorar todos os seus recursos em um só lugar.
Gerenciamento de patches: o Azure Update Manager é uma solução unificada de gerenciamento de atualizações para máquinas Windows e Linux que você pode usar para ambientes Azure, locais e multicloud. Tem suporte incorporado para o Azure Policy e máquinas geridas Azure Arc .
Adotar o princípio da disponibilidade
Depois que os padrões de design resilientes forem definidos, sua organização poderá passar para a fase de adoção. Para obter orientações detalhadas sobre a disponibilidade da carga de trabalho, consulte o pilar Confiabilidade do Well-Architected Framework e a documentação de confiabilidade do Azure. No contexto da adoção da nuvem, o foco está em estabelecer e codificar práticas operacionais que suportem a disponibilidade.
Estabelecer práticas operacionais para dar suporte à disponibilidade
Para manter um patrimônio de nuvem altamente disponível, as equipes que operam os sistemas de nuvem devem aderir a práticas padronizadas e maduras. Estas práticas devem incluir:
Continuidade operacional: As organizações devem planejar operações contínuas, mesmo sob condições de ataque. Essa abordagem inclui o estabelecimento de processos para recuperação rápida e a manutenção de serviços críticos em um nível degradado até que a recuperação total seja possível.
Observabilidade robusta e contínua: A capacidade de uma organização de detetar incidentes de segurança à medida que eles acontecem permite que eles iniciem seus planos de resposta a incidentes rapidamente. Essa estratégia ajuda a minimizar ao máximo os efeitos nos negócios. A deteção de incidentes só é possível através de um sistema de monitorização e alerta bem concebido, que segue as melhores práticas para a deteção de ameaças. Para obter mais informações, consulte o guia de observabilidade e o Guia de monitoramento de segurança e deteção de ameaças.
Manutenção proativa: padronize e aplique atualizações do sistema por meio de políticas. Agende janelas de manutenção regulares para aplicar atualizações e patches aos sistemas sem interromper os serviços. Realize verificações regulares de integridade e atividades de manutenção para garantir que todos os componentes estejam funcionando de forma otimizada.
Políticas de governança padronizadas: Aplique todos os padrões de segurança por meio de políticas suportadas por ferramentas. Use uma ferramenta de gerenciamento de políticas para garantir que todos os seus sistemas estejam em conformidade com seus requisitos de negócios por padrão e que suas políticas sejam facilmente auditáveis.
Preparação para recuperação de desastres: desenvolva e teste regularmente planos de recuperação de desastres para suas cargas de trabalho para garantir que elas sejam recuperáveis se ocorrer um desastre. Para obter mais informações, consulte Recuperação de desastres. Automatize as atividades de recuperação tanto quanto possível. Por exemplo, use recursos de failover automático em serviços como o Banco de Dados SQL do Azure.
Contratos de nível de serviço: os contratos de nível de serviço (SLAs) que sua plataforma de nuvem fornece para seus serviços ajudam você a entender o tempo de atividade garantido para os componentes de suas cargas de trabalho. Use esses SLAs como base para desenvolver suas próprias métricas de destino para os SLAs que você fornece aos seus clientes. A Microsoft publica os SLAs para todos os serviços de nuvem em SLAs para serviços online.
Requisitos de conformidade: Aderir a regulamentos como o Regulamento Geral sobre a Proteção de Dados (RGPD) e a HIPAA para garantir que os sistemas são projetados e mantidos de acordo com padrões elevados, incluindo padrões relacionados com a disponibilidade. A não conformidade pode resultar em ações legais e multas que podem interromper as operações de negócios. A conformidade geralmente não se limita à configuração do sistema. A maioria das estruturas de conformidade também exige padrões de gerenciamento de riscos e resposta a incidentes. Certifique-se de que seus padrões operacionais atendam aos requisitos da estrutura e que a equipe seja treinada regularmente.
Facilitação do Azure
Gestão de políticas e conformidade:
A Política do Azure é uma solução de gestão de políticas que ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. Para automatizar a imposição de políticas para muitos serviços do Azure, aproveite as definições de política internas.
O Defender for Cloud fornece políticas de segurança que podem automatizar a conformidade com seus padrões de segurança.
Continuidade operacional e recuperação de desastres: muitos serviços do Azure têm recursos de recuperação internos que você pode incorporar em seus planos de continuidade operacional e recuperação de desastres. Para obter mais informações, consulte Guias de confiabilidade dos serviços do Azure.
Adote a sustentação da segurança
Considere as seguintes recomendações para ajudar a garantir que os mecanismos e práticas de segurança implementados como parte da adoção da nuvem possam ser sustentados e continuamente melhorados à medida que você continua sua jornada:
Instituir um conselho de revisão de segurança: crie um conselho de revisão de segurança que revise continuamente os projetos e exija controles de segurança. Reveja os seus processos regularmente para encontrar áreas de melhoria. Desenvolver processos para garantir que a segurança esteja sempre em primeiro lugar para todos.
Implementar uma solução de gerenciamento de vulnerabilidades: use uma solução de gerenciamento de vulnerabilidades para monitorar a pontuação de risco de vulnerabilidade de segurança e tenha um processo definido para agir com a pontuação de risco mais alta para a mais baixa para minimizar o risco. Rastreie as vulnerabilidades comuns mais recentes e os riscos de exposição. Tenha uma política para aplicar essas mitigações regularmente para remediação.
Proteja a infraestrutura de produção: proteja seu patrimônio na nuvem fortalecendo sua infraestrutura. Para fortalecer sua infraestrutura de acordo com as práticas recomendadas do setor, siga as diretrizes de benchmarking, como as referências do Center for Internet Security (CIS).
Use a base de conhecimento MITRE ATT&CK: Use a base de conhecimento MITRE ATT&CK para ajudar a desenvolver modelos e metodologias de ameaças para táticas e técnicas de ataque comuns do mundo real.
Deslocar para a esquerda: use ambientes segregados com diferentes níveis de acesso para pré-produção versus produção. Essa abordagem ajuda você a mudar para a esquerda, o que adiciona preocupações de segurança a todas as fases de desenvolvimento e fornece flexibilidade em ambientes mais baixos.
Facilitação do Azure
Gerenciamento de vulnerabilidades: o Microsoft Defender Vulnerability Management é uma solução abrangente de gerenciamento de vulnerabilidades baseada em risco que você pode usar para identificar, avaliar, corrigir e rastrear todas as suas maiores vulnerabilidades em seus ativos mais críticos, tudo em uma única solução.