Realize sua adoção de nuvem com segurança

Concluído

Esta unidade descreve áreas de otimização de segurança a considerar à medida que avança pela metodologia Adote fase da sua jornada.

Ao implementar sua propriedade na nuvem e migrar cargas de trabalho, estabeleça mecanismos de segurança robustos desde o início para evitar lacunas mais tarde. Priorize a segurança durante a fase de adoção para garantir cargas de trabalho consistentes. Para preparar as equipes de TI para operações na nuvem, estabeleça políticas e procedimentos bem projetados.

A metodologia Adopt inclui os cenários Migrate, Modernize, Innovatee Relocate. Considere as recomendações nesta unidade para ajudar a estabelecer uma base segura para o seu património na nuvem.

Modernize a sua postura de segurança

Para modernizar sua postura de segurança durante a fase Adotar, considere as seguintes recomendações:

• Definir linhas de base de segurança que incluam requisitos de disponibilidade para estabelecer uma base clara. Use ferramentas para analisar ambientes e reduzir o erro humano.

• Adote a automação para tarefas de rotina para melhorar a consistência e reduzir erros. Automatize failover, recuperação, implantações de infraestrutura, desenvolvimento de software, testes, monitoramento, alertas e dimensionamento.

• Implemente controles de acesso e autorização Zero Trust. Use o controle de acesso baseado em função (RBAC) e a autenticação multifator (MFA) para ajudar a impedir o acesso não autorizado e garantir a disponibilidade do serviço.

Incorporar metodologias ACM

Metodologias eficazes de adoção de e gerenciamento de mudanças (ACM) são cruciais para a implementação de controles de acesso. As principais metodologias incluem:

• O Modelo Prosci ADKAR: Este modelo centra-se na Consciência, Desejo, Conhecimento, Capacidade e Reforço. Aborde cada elemento para garantir que os funcionários entendam e suportem os controles de acesso.

• The Kotter's 8-Step Change Model: Este modelo descreve passos para a mudança, incluindo a criação de urgência, a formação de uma coalizão, o desenvolvimento de uma visão e a ancoragem de novas abordagens na cultura.

• O Modelo de Gestão da Mudança de Lewin: Este modelo consiste em três etapas: Descongelar (preparar para a mudança), Mudar (implementar novos processos) e Recongelar (solidificar novas práticas).

• O Microsoft 365 Adoption Framework: Essa estrutura fornece uma abordagem estruturada que inclui critérios de sucesso, envolvimento das partes interessadas e suporte para ajudar a garantir uma adoção eficaz.

Facilitação do Azure

• Microsoft Secure Score do pacote Defender XDR ajuda você a definir linhas de base de segurança e fornece recomendações de melhoria.

• Bicep, Terraformou modelos de do Azure Resource Manager (ARM) implantam a infraestrutura como código (IaC). Integre-os em de Pipelines do Azure ou Ações do GitHub pipelines de CI/CD. Use o Microsoft Defender for Cloud para identificar configurações incorretas no IaC.

• Ambientes de Implantação do Azure criar infraestrutura de aplicativo consistente por meio de modelos baseados em projeto. Esses modelos ajudam a garantir segurança, conformidade e eficiência de custos.

  Defina ambientes de implantação como itens de catálogo no GitHub ou repositórios de DevOps do Azure. Um item de catálogo consiste em um modelo IaC e um arquivo manifest.yml.

• Aplicativos Lógicos do Azure e Power Automate criar fluxos de trabalho para tarefas, como fluxos de aprovação ou integrações ChatOps, por meio de conectores e modelos internos.

• Os recursos de dimensionamento internos das tecnologias do Azure alocam recursos dinamicamente para atender aos requisitos de desempenho. Você também pode programar outros serviços para dimensionar automaticamente por meio de APIs.

• grupos de ação do Azure Monitor automatizar operações de autorrecuperação quando alertas são acionados. Você pode definir as operações por meio de runbooks, funções do Azure ou webhooks.

• Para automação de tarefas de rotina, use os seguintes serviços:

  • Azure Functions automatiza tarefas por meio de funções sem servidor com gatilhos controlados por eventos.

  • Azure Automation usa PowerShell e Python para tarefas operacionais. A automação tem recursos como histórico de execução, registro em log e integração com lojas de segredos e controle do código-fonte.

  • Azure Update Manager gerencia atualizações para máquinas virtuais para ajudar a garantir a conformidade e agendar atualizações.

Adotar preparação e resposta a incidentes

Para alinhar o seu património na nuvem com os objetivos de negócio, desenvolva mecanismos de preparação e resposta e um plano de resposta a incidentes. Aborde a preparação para incidentes de duas perspetivas: prontidão e mitigação de ameaças e segurança de infraestrutura e aplicativos.

• de deteção e mitigação de ameaças

  • Configure sistemas de alerta para detetar atividades incomuns em tempo real e integre soluções de deteção e resposta estendidas (XDR) e gerenciamento de eventos e informações de segurança (SIEM).

  • Identifique e mitigue vulnerabilidades regularmente por meio de gerenciamento de patches e atualizações de segurança.

  • Desenvolva e mantenha um plano de resposta a incidentes com etapas de deteção, análise e remediação. Automatize as atividades de mitigação para aumentar a eficiência e reduzir o erro humano. Por exemplo, use um runbook para bloquear automaticamente conexões SQL se uma injeção de SQL for detetada.

• de segurança de infraestruturas e aplicações

  • Integre verificações de segurança em pipelines de CI/CD para ajudar a garantir desenvolvimento, testes e implantação seguros. Inclua análise de código estático, verificação de vulnerabilidades e verificações de conformidade.

  • Implante toda a infraestrutura por meio de código para evitar configurações incorretas e implantações não autorizadas. Coloque os ativos do IaC com o código do aplicativo e aplique as mesmas práticas de implantação que o software.

Facilitação do Azure

• Defender XDR automatiza a deteção e a resposta a ameaças.

• pilhas de implantação gerenciar recursos do Azure como uma unidade única e coesa. Você pode usar negar configurações para impedir que os usuários executem modificações não autorizadas.

Adotar o princípio da confidencialidade

Implemente e institucionalize efetivamente a criptografia e os controles de acesso seguro em todo o ambiente de nuvem da sua empresa. Implemente medidas de prevenção contra perda de dados (DLP) para proteger dados confidenciais em trânsito e dados em repouso.

• Implemente criptografia e controles de acesso seguro para proteger informações confidenciais. Treinar os funcionários sobre confidencialidade de dados e políticas de DLP.

• Incorporar e adotar padrões associados para criptografia, como AES-256, e controles de acesso, como RBAC e acesso condicional.

  • Habilite a criptografia em armazenamentos de dados e considere gerenciar suas próprias chaves. Use camadas de criptografia extras quando possível.

  • Aplique controles RBAC, acesso condicional, just-in-time e just-enough-access a todos os armazenamentos de dados. Revise regularmente as permissões e restrinja o acesso de gravação aos sistemas de configuração.

  • Desenvolver normas para ajudar a garantir a proteção de dados. Por exemplo, criptografe e-mails confidenciais usando o Microsoft Purview Information Protection para garantir a proteção de dados durante a transmissão.

Facilitação do Azure

• Microsoft Sentinel é uma solução SIEM e SOAR escalável e nativa da nuvem para deteção, investigação, resposta e caça proativa de ameaças.

• de criptografia do Azure fornece criptografia para serviços como o Banco de Dados SQL do Azure, o Cosmos DB e o Azure Data Lake. Ele suporta modelos de criptografia do lado do servidor e do lado do cliente.

• de computação confidencial do Azure ajuda a proteger os dados em uso com ambientes de implementação confiáveis baseados em hardware, o que melhora a segurança dos dados até mesmo do acesso de administrador de nuvem.

• Microsoft Entra ID fornece gerenciamento de identidade e acesso com MFA, acesso condicional e logon único.

  • Microsoft Entra ID Protection usa aprendizado de máquina para identificar riscos de entrada e comportamento incomum, o que evita comprometimento de identidade e roubo de credenciais.

  • o Microsoft Defender for Identity é uma solução baseada na nuvem para detetar e investigar ameaças de identidade avançadas.

Adotar o princípio da integridade

Crie seus sistemas de acordo com os padrões que você desenvolveu em fases anteriores para ajudar a garantir a integridade dos dados e do sistema. Treinar engenheiros, administradores e operadores sobre os protocolos e procedimentos relevantes.

• Adotar a integridade dos dados.

  • Automatize a classificação de dados sempre que possível. Rotule manualmente documentos e recipientes conforme necessário. Use ferramentas prontas para identificar informações confidenciais e organizar conjuntos de dados com a opinião de especialistas.

  • Use recursos de verificação internos em serviços como o Azure Data Factory. Para ajudar a garantir a integridade dos dados e armazenar hashes para controlar alterações, use funções SQL como CHECKSUM e BINARY_CHECKSUM.

  • Monitore os armazenamentos de dados em busca de alterações e configure alertas para incidentes que afetem a integridade dos dados.

  • Aplique políticas de backup em todos os sistemas. Compreenda e configure os recursos de backup em serviços PaaS e SaaS, como o Banco de dados SQL.

  • Publique padrões de design de aplicativos que incluam mecanismos de integridade de dados, como o controle de configurações e alterações de dados em seu esquema de dados.

• Adote a integridade do sistema.

  • Use uma solução de monitoramento robusta para registrar automaticamente todos os recursos e habilitar alertas para notificações de incidentes.

  • Implante um sistema que registre e gerencie continuamente configurações para novos sistemas.

  • Implemente um sistema de gerenciamento de patches que registre automaticamente novos sistemas e gerencie a aplicação de patches de acordo com suas políticas, de preferência usando ferramentas nativas da plataforma de nuvem.

Facilitação do Azure

• Microsoft Purview fornece de classificação de dados manuais e automáticos e de rotulagem de sensibilidade para governar, proteger e gerenciar dados.

• Azure Arc fornece gerenciamento centralizado para sistemas locais e na nuvem, o que estende as linhas de base, as políticas e o monitoramento de segurança.

• Update Manager oferece suporte ao gerenciamento unificado de atualizações para máquinas Windows e Linux em ambientes Azure, locais e multicloud, com suporte interno para Azure Policy e Azure Arc.

Adotar o princípio da disponibilidade

Concentre-se em estabelecer e codificar práticas operacionais que suporte a disponibilidade.

• Planejar operações contínuas, mesmo em condições de ataque. Estabeleça processos de recuperação rápidos e mantenha serviços críticos em um nível degradado.

• Implementar um sistema de monitoramento e alerta bem projetado para detetar incidentes de segurança em tempo real e iniciar planos de resposta rapidamente.

• Padronizar atualizações do sistema, agendar manutenções regulares e realizar verificações de integridade para garantir o funcionamento ideal.

• Aplicar padrões de segurança por meio de políticas suportadas por ferramentas para ajudar a garantir a conformidade e a auditabilidade.

• Desenvolver e testar planos de recuperação de desastres. Automatize atividades de recuperação, como failover automático no Banco de dados SQL.

• Use os contratos de nível de serviço (SLAs) da plataforma de nuvem desenvolver métricas de destino para seus próprios SLAs e ajudar a garantir o tempo de atividade garantido para suas cargas de trabalho.

• Aderir a regulamentos como o GDPR e a HIPAA para ajudar a garantir que os sistemas atendam aos altos padrões. Formar regularmente o pessoal em matéria de conformidade e gestão de riscos.

Facilitação do Azure

• de Políticas do Azure é uma solução de gerenciamento de políticas que ajuda a impor padrões organizacionais e avaliar a conformidade em escala.

• Defender for Cloud fornece políticas de segurança que podem automatizar a conformidade com seus padrões de segurança.

• O Azure recursos de recuperação internos dar suporte a planos de continuidade operacional e recuperação de desastres.

Adote a sustentação da segurança

Certifique-se de que sua carga de trabalho possa sustentar e melhorar continuamente seus novos mecanismos e práticas de segurança.

• Crie um painel de revisão de segurança. Revisar continuamente projetos e exigir controles de segurança. Melhore regularmente os processos para manter a segurança como prioridade.

• Implemente uma solução de gerenciamento de vulnerabilidades. Monitore e aja de acordo com as pontuações de risco de vulnerabilidade de segurança, rastreie vulnerabilidades comuns e aplique mitigações regularmente.

• Reforçar a infraestrutura de produção. Para ajudar a proteger seu patrimônio na nuvem, siga as práticas recomendadas do setor, como os benchmarks do Center for Internet Security (CIS).

• Use a base de conhecimento MITRE ATT&CK. Desenvolver modelos e metodologias de ameaça baseados em táticas e técnicas de ataque do mundo real.

• Vire para a esquerda. Use ambientes segregados para pré-produção e produção para integrar a segurança em todas as fases de desenvolvimento.

Facilitação do Azure

Microsoft Defender Vulnerability Management é uma solução abrangente de gerenciamento de vulnerabilidades baseada em risco. Ele identifica, avalia, corrige e rastreia suas maiores vulnerabilidades em seus ativos mais críticos.