Prepare o seu património seguro na nuvem

  • 15 minutos

Esta unidade descreve as áreas de otimização de segurança a serem consideradas à medida que você avança pela metodologia Ready fase de sua jornada.

Diagrama que mostra a fase Ready da metodologia Secure.

A fase Ready da adoção da nuvem concentra-se na construção da fundação do seu património. Uma abordagem de zona de pouso fornece um design seguro e escalável para grandes organizações. Organizações menores podem não precisar de zonas de destino, mas ainda podem se beneficiar da compreensão dessa abordagem para criar uma base segura e escalável.

Modernize a sua postura de segurança

Para modernizar sua postura de segurança, primeiro construa sua zona de aterrissagem ou fundação na nuvem e modernize sua identidade, autorização e plataforma de acesso.

  • Adote uma abordagem de zona de aterrissagem fornecer ambientes controlados para implantar recursos de nuvem. Use os princípios de design da zona de pouso para otimizar sua implementação. Para melhorar a segurança e a capacidade de gerenciamento, separe diferentes domínios do seu patrimônio na nuvem. Mesmo que você não adote uma zona de pouso empresarial completa, entenda e aplique áreas e controles de projeto relevantes. Por exemplo, você pode usar grupos de gerenciamento para controlar seu patrimônio na nuvem.

  • Adote identidade, autorização e acesso modernos com base nos princípios Zero Trust. Permita o acesso apenas quando necessário. Aplique os mesmos controles rigorosos a elementos fundamentais, como assinaturas, recursos de rede, soluções de governança e a plataforma de gerenciamento de identidade e acesso (IAM).

Facilitação do Azure

  • Os aceleradores de zona de aterrissagem do Azure são implantações pré-empacotadas para várias cargas de trabalho, como do Azure Integration Services, do Serviço Kubernetes do Azure (AKS) e de Gerenciamento de API do Azure. Estes aceleradores ajudam-no a configurar rapidamente zonas de aterragem. Para obter uma lista completa, consulte Cenário de plataforma de aplicativo moderna.

  • O módulo Terraform de zonas de aterrissagem do Azure automatiza suas implantações de zona de aterrissagem. Para ajudar a garantir zonas de pouso consistentes e seguras, implante zonas de pouso por meio de seu pipeline de integração contínua e implantação contínua (CI/CD).

  • Microsoft Entra verifica identidades, valida condições de acesso, verifica permissões, criptografa conexões e monitora comprometimento. O Microsoft Entra inclui produtos de identidade e acesso à rede que o ajudam a incorporar uma estratégia de segurança Zero Trust.

Prepare-se para incidentes e resposta

Depois de definir sua estratégia e plano de preparação e resposta a incidentes, você pode começar a implementação. A segregação de rede é crucial para a segurança, quer utilize uma zona de aterragem empresarial completa ou um design mais simples.

  • Projete sua rede com de segmentação e isolamento para reduzir superfícies de ataque e conter violações.

  • Use nuvens privadas virtuais (VPCs), sub-redes e grupos de segurança para controlar o tráfego.

Facilitação do Azure

WAN Virtual do Azure consolida funções de rede, segurança e roteamento em uma única interface. Sua arquitetura hub-and-spoke oferece suporte a filiais, usuários, circuitos de Rota Expressa do Azure e redes virtuais. A WAN virtual ajuda a otimizar suas zonas de pouso por meio de mecanismos de segmentação e segurança.

Prepare-se para a confidencialidade

Para ajudar a proteger dados por padrão, ao implantar cargas de trabalho, implemente e aplique suas políticas e padrões do IAM. As principais políticas e normas incluem:

  • O princípio do menor privilégio: Conceda aos usuários o acesso mínimo necessário para suas tarefas.

  • Controle de acesso baseado em função (RBAC): Atribua funções com base em responsabilidades de trabalho para gerenciar o acesso e reduzir os riscos de acesso não autorizado.

  • Autenticação multifator (MFA): Adicione uma camada extra de segurança.

  • Controles de acesso condicional: Aplique políticas com base em condições específicas, como requisitos geográficos ou de MFA. Certifique-se de que sua plataforma do IAM ofereça suporte a esses controles.

Facilitação do Azure

de Acesso Condicional do Microsoft Entra é o mecanismo de política Microsoft Zero Trust. Avalia os sinais de várias fontes para tomar decisões políticas informadas.

Prepare-se para a integridade

Certifique-se de ter políticas e padrões bem governados para a integridade dos seus dados e do sistema. Defina padrões para as seguintes áreas.

  • Gestão de dados:

    • Crie uma estrutura e uma taxonomia de rótulo de sensibilidade para definir categorias de risco de segurança de dados. Use essa taxonomia para simplificar o inventário de dados, o gerenciamento de políticas e a priorização de investigações.

    • Automatize os processos de verificação e validação de dados para reduzir a carga sobre os engenheiros de dados e minimizar o erro humano.

    • Estabeleça e teste regularmente políticas de backup para ajudar a garantir que os dados sejam copiados, corretos e consistentes. Alinhe-se com seus alvos de RTO (Recovery Target Objetive, objetivo de meta de recuperação) e RPO (Recovery Point Objetive, objetivo de ponto de recuperação).

    • Certifique-se de que seu provedor de nuvem criptografa dados em repouso e dados em trânsito por padrão. Verifique se os serviços em suas cargas de trabalho suportam e estão configurados para criptografia forte.

  • Padrões de projeto de integridade do sistema:

    • Projete uma plataforma robusta de monitoramento de segurança para detetar alterações não autorizadas.

    • Use o gerenciamento de eventos e informações de segurança (SIEM), orquestração de segurança, automação e resposta (SOAR) e ferramentas de deteção de ameaças para identificar atividades suspeitas e ameaças potenciais.

    • Automatize o gerenciamento de configuração para ajudar a garantir a consistência e reduzir o erro humano.

    • Automatize o gerenciamento de patches para máquinas virtuais para ajudar a garantir atualizações regulares e versões consistentes do sistema.

    • Use a infraestrutura como código (IaC) para todas as implantações. Integre o IaC em seus pipelines de CI/CD e aplique práticas de implantação seguras.

Facilitação do Azure

  • de Políticas do Azure e o Microsoft Defender for Cloud ajudar a definir e aplicar políticas de segurança em todo o seu patrimônio na nuvem. Eles apoiam a governança de elementos fundamentais e recursos de carga de trabalho.

  • Azure Update Manager é uma solução nativa do Azure que gerencia atualizações e patches. É extensível a sistemas locais e habilitados para Azure Arc.

  • Microsoft Sentinel é uma solução SIEM e SOAR que fornece deteção de ameaças cibernéticas, investigação, resposta, caça proativa e uma visão empresarial abrangente.

Prepare-se para a disponibilidade

Projete cargas de trabalho resilientes para ajudar a garantir a continuidade dos negócios durante avarias e incidentes de segurança. Considere as seguintes recomendações principais:

  • Use padrões que aumentem a resiliência e incorporem mecanismos de autorrecuperação para ajudar a garantir a operação contínua e a recuperação rápida.

  • Use tecnologias de plataforma como serviço (PaaS), software como serviço (SaaS) e função como serviço (FaaS) para reduzir o gerenciamento do servidor, dimensionar automaticamente e melhorar a disponibilidade.

  • Divida os aplicativos em serviços menores e independentes para melhor escalabilidade e agilidade.

  • Isolar serviços minimizar o impacto de falhas.

  • Certifique-se de que sua arquitetura suporte cargas variáveis para manter a disponibilidade durante picos de tráfego.

  • Projete seu aplicativo para isolar falhas em tarefas ou funções individuais. Essa abordagem evita interrupções generalizadas.

  • Incluir mecanismos de redundância e recuperação de desastres.

  • Implante aplicativos em várias regiões para failover contínuo e serviço ininterrupto.

Prepare-se para a manutenção da segurança

Certifique-se de que os elementos fundamentais da sua propriedade seguem as melhores práticas de segurança e são escaláveis. Esta abordagem ajuda a evitar problemas de segurança e uma gestão complexa à medida que o seu património cresce. Planeje metas de negócios de longo prazo sem grandes reformulações ou revisões operacionais. Se você tiver uma base mais simples, certifique-se de que ela possa fazer a transição para uma arquitetura corporativa sem reimplantar elementos principais. Um design escalável e seguro é fundamental para o sucesso da nuvem.