Ferramentas e políticas de segurança
Na narrativa da Tailwind Traders, o cliente escolheu uma abordagem "começar pequeno" para as zonas de pouso do Azure. Isso significa que sua implementação atual não inclui todos os controles de segurança sugeridos. Idealmente, o cliente teria começado com o acelerador de zona de aterrissagem do Azure, que já teria instalado muitas das seguintes ferramentas.
Esta unidade descreve quais controles adicionar ao ambiente desse cliente para se aproximar da arquitetura conceitual das zonas de aterrissagem do Azure e preparar os requisitos de segurança da organização.
Várias ferramentas e controles estão disponíveis para ajudá-lo a alcançar rapidamente uma linha de base de segurança:
- Microsoft Defender for Cloud: fornece as ferramentas necessárias para fortalecer seus recursos, rastrear sua postura de segurança, proteger contra ataques cibernéticos e simplificar o gerenciamento de segurança.
- Microsoft Entra ID: O serviço de gerenciamento de identidade e acesso padrão. O Microsoft Entra ID fornece uma pontuação de segurança de identidade para ajudá-lo a avaliar sua postura de segurança de identidade em relação às recomendações da Microsoft.
- Microsoft Sentinel: um SIEM nativo da nuvem que fornece análises de segurança inteligentes para toda a sua empresa, alimentadas por IA.
- Plano de proteção padrão do Azure Distributed Denial of Service (DDoS) (opcional): fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS.
- Firewall do Azure: um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure.
- Web Application Firewall: um serviço nativo da nuvem que protege aplicativos Web de técnicas comuns de invasão da Web, como injeção de SQL, e vulnerabilidades de segurança, como scripts entre sites.
- Gerenciamento privilegiado de identidades (PIM): um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização.
- Microsoft Intune: um serviço baseado na nuvem que se concentra na gestão de dispositivos móveis e na gestão de aplicações móveis.
As seções a seguir ilustram como os Tailwind Traders podem alcançar uma linha de base de segurança na prática.
Implementação de linha de base para controle de acesso
O CISO quer atingir os seguintes objetivos a partir da narrativa do cliente:
- Permita que as pessoas façam o seu trabalho de forma segura a partir de qualquer lugar
- Minimize os danos aos negócios causados por um grande incidente de segurança
Se esses objetivos estiverem alinhados à sua organização ou se você tiver outros drivers para aumentar os controles de acesso, considere as seguintes tarefas em sua linha de base de segurança:
- Implementar o Microsoft Entra ID para habilitar credenciais fortes
- Adicionar o Intune para segurança do dispositivo
- Adicione PIM para contas privilegiadas para se aproximar de um mundo de confiança zero
- Implemente a segmentação de rede de som usando um modelo hub-and-spoke com controles de quebra-vidro e controles de firewall entre as zonas de aterrissagem do aplicativo
- Adicione o Defender for Cloud e a Política do Azure para monitorar a adesão a esses requisitos
Implementação da linha de base para fins de conformidade
O CISO quer alcançar o seguinte objetivo a partir da narrativa do cliente:
- Atenda proativamente aos requisitos regulatórios e de conformidade
Se esse objetivo estiver alinhado à sua organização ou se você tiver outros drivers para aumentar os controles de acesso, considere a seguinte tarefa em sua linha de base de segurança:
- Adicione PIM para contas privilegiadas para se aproximar de um mundo de confiança zero
Implementação de linha de base para identificar e proteger dados corporativos confidenciais
O CISO quer atingir os seguintes objetivos a partir da narrativa do cliente:
- Identificar e proteger dados comerciais confidenciais
- Modernizar rapidamente o programa de segurança existente
Se esses objetivos estiverem alinhados à sua organização ou se você tiver outros drivers para aumentar os controles de acesso, considere as seguintes tarefas em sua linha de base de segurança:
- Adicione o Defender for Cloud para obter visibilidade e controle centralizados e integrados sobre uma ampla pegada digital e entender quais exposições existem
- Adicione o Microsoft Sentinel para automatizar processos que são repetíveis para liberar tempo para a equipe de segurança
Depois que as ferramentas certas estiverem em vigor, certifique-se de ter boas políticas em vigor para impor o uso adequado dessas ferramentas. Várias políticas se aplicam a zonas de pouso on-line e corporativas:
- Impor acesso seguro, como HTTPS, a contas de armazenamento: configure sua conta de armazenamento para aceitar solicitações de conexões seguras apenas definindo a propriedade Transferência segura necessária para a conta de armazenamento. Quando você precisa de uma transferência segura, todas as solicitações originadas de uma conexão insegura são rejeitadas.
- Impor auditoria para o Banco de Dados SQL do Azure: rastreie eventos de banco de dados e escreva-os em um log de auditoria em sua conta de armazenamento do Azure, espaço de trabalho do Log Analytics ou hubs de eventos.
- Impor criptografia para o Banco de Dados SQL do Azure: a criptografia de dados transparente ajuda a proteger o Banco de Dados SQL, a Instância Gerenciada SQL do Azure e o Azure Synapse Analytics contra a ameaça de atividades offline mal-intencionadas criptografando dados em repouso.
- Impedir o encaminhamento de IP: o encaminhamento de IP permite que uma interface de rede conectada a uma VM receba tráfego de rede não destinado a nenhum dos endereços IP atribuídos a qualquer uma das configurações de IP da interface de rede. Você também pode enviar tráfego de rede com um endereço IP de origem diferente daquele atribuído a uma das configurações de IP de uma interface de rede. A configuração deve ser habilitada para cada interface de rede conectada à VM que recebe o tráfego que a VM precisa encaminhar.
- Verifique se as sub-redes estão associadas a NSGs (grupos de segurança de rede): use um NSG do Azure para filtrar o tráfego de rede de e para os recursos do Azure em uma rede virtual do Azure. Um NSG contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída de vários tipos de recursos do Azure. Para cada regra, você pode especificar a origem e o destino, a porta e o protocolo.