Área de design: segurança
Essa área de design cria uma base para a segurança em seus ambientes do Azure, híbridos e de várias nuvens. Você pode aprimorar essa base mais tarde com as diretrizes de segurança descritas na Metodologia segura do Cloud Adoption Framework.
Revisão da área de design
Funções envolvidas: essa área de design é conduzida por segurança de nuvem, especificamente pelos arquitetos de segurança nessa equipe. A plataforma de nuvem e o centro de excelência de nuvem são necessários para examinar as decisões de rede e de identidade. As funções coletiva podem ser necessárias para definir e implementar os requisitos técnicos provenientes deste exercício. Proteções de segurança mais avançadas também podem precisar de suporte da governança de nuvem.
Escopo: a meta deste exercício é entender os requisitos de segurança e implementá-los consistentemente em todas as cargas de trabalho em sua plataforma de nuvem. O escopo principal deste exercício concentra-se nas ferramentas de operações de segurança e no controle de acesso. Esse escopo inclui Zero Trust e segurança de rede avançada.
Fora do escopo: este exercício se concentra na base de um centro de operações de segurança moderno na nuvem. Para simplificar a conversa, este exercício não aborda algumas das disciplinas na metodologia segura do CAF. As operações de segurança, proteção de ativos e segurança de inovação serão criadas na sua implantação da zona de destino do Azure. No entanto, elas estão fora do escopo desta discussão da área de design.
Visão geral da área de design
A segurança é uma consideração fundamental para todos os clientes, em todos os ambientes. Ao projetar e implementar uma zona de destino do Azure, a segurança deve ser uma consideração em todo o processo.
A área de design de segurança concentra-se em considerações e recomendações para decisões de zona de destino. A Metodologia segura do Cloud Adoption Framework também oferece diretrizes mais detalhadas para ferramentas e processos de segurança holísticos.
Novo ambiente de nuvem (greenfield): para iniciar sua jornada na nuvem com um pequeno conjunto de assinaturas, consulte Criar suas assinaturas iniciais do Azure. Além disso, considere usar modelos de implantação do Bicep na criação de zonas de destino do Azure. Para obter mais informações, consulte Zonas de Destino do Azure para Bicep – Fluxo de Implantação.
Ambiente de nuvem existente (brownfield): considere usar os seguintes serviços de identidade e acesso do Microsoft Entra se tiver interesse em aplicar os princípios de área de design de segurança a ambientes existentes do Azure:
- Use as 10 principais melhores práticas de segurança do Azure da Microsoft. Essas diretrizes resumem as diretrizes comprovadas em campo pelos CSAs (arquitetos de soluções na nuvem) da Microsoft, bem como por parceiros.
- Implante a sincronização na nuvem do Microsoft Entra Connect para fornecer aos usuários do Active Directory Domain Services (AD DS) local um SSO (logon único) seguro para os aplicativos apoiados pelo Microsoft Entra ID. Um benefício adicional para configurar a identidade híbrida é que você pode impor a autenticação multifator (MFA) do Microsoft Entra e a Proteção por Senha do Microsoft Entra para proteger ainda mais essas identidades
- Considere o Acesso Condicional do Microsoft Entra para fornecer autenticação segura para seus aplicativos de nuvem e recursos do Azure.
- Implemente o Microsoft Entra Privileged Identity Management para garantir acesso com privilégios mínimos e relatórios detalhados em todo o ambiente do Azure. As equipes devem iniciar revisões de acesso recorrentes para garantir que as pessoas e os princípios de serviço certos tenham níveis de autorização atuais e corretos.
- Use as recomendações, os alertas e os recursos de correção do Microsoft Defender para Nuvem. Sua equipe de segurança também poderá integrar o Microsoft Defender para Nuvem ao Microsoft Sentinel se precisar de uma solução de SIEM/SOAR (Gerenciamento de Eventos de Informações de Segurança/Orquestração e Resposta de Segurança) mais robusta, híbrida, multinuvem e gerenciada centralmente.
O repositório Zonas de Destino do Azure para Bicep – Fluxo de Trabalho de Implantação contém vários modelos de implantação do Bicep que podem acelerar suas implantações de zona de destino do Azure greenfield e brownfield. Esses modelos já têm diretrizes de segurança comprovadas na prática pela Microsoft integradas a eles.
Para obter mais informações sobre como trabalhar em ambientes de nuvem brownfield, consulte Considerações sobre o ambiente brownfield.
Referência de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança de nuvem da Microsoft inclui recomendações de segurança de alto impacto que podem ajudar você a proteger a maioria dos serviços que usa no Azure. Você pode considerar essas recomendações como gerais ou organizacionais, pois elas são aplicáveis à maioria dos serviços do Azure. As recomendações do parâmetro de comparação de segurança de nuvem da Microsoft são personalizadas para cada serviço do Azure. Essas diretrizes personalizadas estão contidas nos artigos de recomendações de serviço.
A documentação do parâmetro de comparação de segurança de nuvem da Microsoft especifica controles de segurança e recomendações de serviço.
- Controles de segurança: as recomendações do parâmetro de comparação de segurança de nuvem da Microsoft são categorizadas por controles de segurança. Os controles de segurança representam requisitos de segurança independentes de fornecedor de alto nível, como segurança de rede e proteção de dados. Cada controle de segurança tem recomendações de segurança e instruções que ajudam a implementar essas recomendações.
- Recomendações de serviço: quando disponíveis, as recomendações do parâmetro de comparação para serviços do Azure incluem recomendações do parâmetro de segurança do Azure adaptadas especificamente para esse serviço.
Atestado do Azure
O Atestado do Azure é uma ferramenta que pode ajudá-lo a garantir a segurança e a integridade da sua plataforma e dos binários executados dentro dela. É especialmente útil para empresas que exigem recursos de computação altamente escalonáveis e confiança intransigente com o recurso de atestado remoto.
Considerações sobre design de segurança
Uma organização precisa ter visibilidade do que está acontecendo na sua propriedade de nuvem técnica. O monitoramento de segurança e o log de auditoria dos serviços da plataforma Azure é um componente fundamental de uma estrutura escalonável.
Considerações de design de operações de segurança
Escopo | Contexto |
---|---|
Alertas de segurança | – Quais equipes exigem notificações para alertas de segurança? – Há grupos de serviços cujos alertas exigem roteamento para equipes diferentes? – Requisitos de negócios para monitoramento e alertas em tempo real. – Integração de informações de segurança e gerenciamento de eventos com o Microsoft Defender para Nuvem e Microsoft Sentinel. |
Logs de segurança | – Períodos de retenção dos dados de auditoria. Os relatórios do Microsoft Entra ID P1 e P2 têm um período de retenção de 30 dias. – Arquivamento de longo prazo de logs, como logs de atividades do Azure, logs de VM (máquina virtual) e logs de PaaS (plataforma como serviço). |
Controles de segurança | Configuração da segurança de linha de base por meio da política de VM no convidado do Azure. – Considere como os controles de segurança serão alinhados às proteções de governança. |
Gerenciamento de vulnerabilidades | – Aplicação de patch emergencial para vulnerabilidades críticas. – Aplicação de patch para VMs que estão offline por longos períodos. – Avaliação de vulnerabilidade de VMs. |
Responsabilidade compartilhada | – Onde estão as entregas das responsabilidades da equipe? Essas responsabilidades precisam ser consideradas ao monitorar eventos de segurança ou responder a eles. – Considere as diretrizes da metodologia segura para operações de segurança. |
Criptografia e chaves | – Quem requer acesso às chaves no ambiente? – Quem será responsável por gerenciar as chaves? – Explore ainda mais a criptografia e as chaves. |
Atestado | - Você usará o Trusted Launch para suas VMs e precisará atestar a integridade de toda a cadeia de inicialização de sua VM (UEFI, OS, sistema e drivers)? - Você quer aproveitar a criptografia de disco confidencial para suas VMs confidenciais? - Suas cargas de trabalho exigem atestado de que estão sendo executadas dentro de um ambiente confiável? |
Recomendações de design das operações de segurança
Usar os recursos de relatório do Microsoft Entra ID para gerar relatórios de auditoria de controle de acesso.
Exporte logs de atividades do Azure para logs do Azure Monitor para retenção de dados de longo prazo. Exporte para o Armazenamento do Microsoft Azure para armazenamento de longo prazo além de dois anos, se necessário.
Habilite o Defender para Nuvem Standard para todas as assinaturas e use o Azure Policy para garantir a conformidade.
Monitore a descompasso de patches do sistema operacional base por meio de logs do Azure Monitor e do Microsoft Defender para Nuvem.
Use as políticas do Azure para implantar automaticamente configurações de software por meio de extensões de VM e aplicar uma configuração de VM de linha de base compatível.
Monitore o descompasso de configuração de segurança da VM via Azure Policy.
Conecte configurações de recurso padrão para um workspace do Log Analytics do Azure Monitor centralizado.
Use uma solução baseada na Grade de Eventos do Azure para alertas em tempo real orientados por log.
Use o Atestado do Azure para atestar de:
- A integridade de toda a cadeia de inicialização da sua VM. Para obter mais informações, consulte Visão geral do monitoramento de integridade de inicialização.
- Liberação segura de chaves de criptografia de disco confidenciais para uma VM confidencial. Para obter mais informações, consulte Criptografia de disco confidencial do sistema operacional.
- Vários tipos de ambientes de execução confiáveis de carga de trabalho. Para obter mais informações, consulte Casos de uso.
Considerações sobre design de controle de acesso
Os limites de segurança modernos são mais complexos do que os limites em um datacenter tradicional. As quatro paredes do datacenter não contêm mais os seus ativos. Manter os usuários fora da rede protegida não é mais suficiente para controlar o acesso. Na nuvem, seu perímetro é composto por duas partes: controles de segurança de rede e controles de acesso Zero Trust.
Segurança de rede avançada
Escopo | Contexto |
---|---|
Planejar a conectividade de entrada e saída da Internet | Descreve modelos de conectividade recomendados para conectividade de entrada e saída de e para a Internet pública. |
Planejar a segmentação de rede da zona de destino | Explora as principais recomendações para fornecer segmentação de rede interna altamente segura em uma zona de destino. Essas recomendações impulsionam a implementação de confiança zero na rede. |
Definir requisitos de criptografia de rede | Explora as principais recomendações para obter a criptografia de rede entre o local e o Azure e entre regiões do Azure. |
Planejar a inspeção de tráfego | Explora as principais considerações e abordagens recomendadas para espelhamento ou aproveitamento de tráfego na Rede Virtual do Microsoft Azure. |
Confiança zero
Para acesso Zero Trust com identidades, você deve considerar:
- Quais equipes ou indivíduos precisam de acesso aos serviços na zona de aterrissagem? Quais funções eles estão desempenhando?
- Quem deve autorizar as solicitações de acesso?
- Who deve receber as notificações quando as funções privilegiadas são ativadas?
- Quem deve ter acesso ao histórico de auditoria?
Para saber mais, veja Microsoft Entra Privileged Identity Management.
A implementação do Zero Trust pode ir além do gerenciamento de identidade e acesso. Você deve considerar se sua organização precisa implementar práticas de Confiança Zero em vários pilares, como infraestrutura, dados e rede. Para obter mais informações, consulte Incorporar práticas de Confiança Zero na sua zona de aterrissagem
Recomendações de design de controle de acesso
No contexto dos requisitos subjacentes, realize um exame conjunto de cada serviço necessário. Se você quiser trazer chaves próprias, talvez isso não tenha suporte em todos os serviços considerados. Implemente uma mitigação pertinente para que as inconsistências não prejudiquem os resultados desejados. Escolha pares de regiões apropriados e regiões de recuperação de desastre que minimizem a latência.
Desenvolva um plano de lista de permitidos de segurança para avaliar serviços como configuração de segurança, monitoramento e alertas. Em seguida, crie um plano para integrá-los aos sistemas existentes.
Determine o plano de resposta a incidentes para os serviços do Azure antes de colocá-lo em produção.
Alinhe seus requisitos de segurança com roteiros de plataforma do Azure para permanecer atualizado com os controles de segurança lançados recentemente.
Implemente uma abordagem de confiança zero para acesso à plataforma do Azure, quando apropriado.
Segurança no acelerador de zona de destino do Azure
A segurança está no núcleo do acelerador de zona de destino do Azure. Como parte da implementação, muitas ferramentas e controles são implantados para ajudar as organizações a atingir rapidamente uma linha de base de segurança.
Por exemplo, os seguintes itens estão incluídos:
Ferramentas:
- Microsoft Defender para Nuvem, camada Standard ou Gratuita
- Microsoft Sentinel
- Proteção de Rede contra DDoS do Azure (opcional)
- Firewall do Azure
- Firewall do aplicativo Web (WAF)
- PIM (Privileged Identity Management)
Políticas para zonas de destino online e conectadas a corporações:
- Impor acesso seguro, como HTTPS, a contas de armazenamento
- Impor auditoria para o Banco de Dados SQL do Azure
- Impor criptografia para o Banco de Dados SQL do Azure
- Impedir o encaminhamento de IP
- Impedir RDP de entrada da Internet
- Verifique se as sub-redes estão associadas ao NSG
Próximas etapas
Saiba como proteger o acesso privilegiado para implantações híbridas e de nuvem no Microsoft Entra ID.