Segurança no Microsoft Cloud Adoption Framework para o Azure
Assim como a adoção da nuvem é um percurso, a segurança na nuvem é um percurso contínuo de progresso e maturidade incrementais, não um destino estático.
Prever um estado final de segurança
Um percurso sem um destino é apenas um passeio. Essa abordagem pode eventualmente levar à iluminação, mas as metas e restrições de negócios geralmente exigem foco em objetivos e resultados-chave.
A metodologia Segura fornece uma visão do estado final completo, que orienta a melhoria do seu programa de segurança ao longo do tempo. O visual a seguir mapeia as principais maneiras pelas quais a segurança se integra a uma organização maior e mostra as disciplinas dentro da segurança.
O Cloud Adoption Framework orienta esse percurso de segurança fornecendo clareza para os processos, as práticas recomendadas, os modelos e as experiências. Essa orientação se baseia em lições aprendidas e experiências do mundo real de clientes reais, no percurso de segurança da Microsoft e no trabalho com organizações, como NIST, The Open Group e o CIS (Center for Internet Security).
O vídeo a seguir mostra como a metodologia Segura ajuda a orientar melhorias de segurança ao longo do tempo.
Mapear para conceitos, estruturas e padrões
A segurança é uma disciplina organizacional autônoma e um atributo integrado ou sobreposto a outras disciplinas. É difícil definir e mapear com precisão em detalhes. O setor de segurança usa estruturas diferentes para operar, capturar riscos e planejar controles. As disciplinas na metodologia do CAF Secure estão relacionadas a outros conceitos e diretrizes de segurança das seguintes maneiras:
Confiança Zero: a Microsoft acredita que todas as disciplinas de segurança devem seguir os princípios Confiança Zero, que pressupõem violação, verificação explícita e uso de acesso de privilégios mínimos. Esses princípios sustentam qualquer estratégia de segurança sólida e devem ser equilibrados com as metas de habilitação de negócios . A primeira e mais visível parte do Confiança Zero está no controle de acesso, portanto, ela é realçada na descrição da disciplina de segurança de controle de acesso.
O Grupo Aberto: Essas disciplinas de segurança são mapeadas de perto para os componentes Confiança Zero no white paper de princípios principais publicado pelo The Open Group, no qual a Microsoft participa ativamente. Uma exceção notável é que a Microsoft elevou a disciplina de segurança de inovação para que o DevSecOps seja um elemento de nível superior devido ao quão nova, importante e transformadora essa disciplina é para muitas organizações.
A estrutura de segurança cibernética do NIST: para organizações que usam a estrutura de segurança cibernética do NIST, realçamos o texto em negrito em que a estrutura é mapeada com mais detalhes. O controle de acesso moderno e o DevSecOps mapeiam em larga escala para todo o espectro da estrutura, portanto, esses itens não são indicados individualmente.
Mapear para funções e responsabilidades
O diagrama a seguir resume as funções e responsabilidades em um programa de segurança.
Para saber mais, confira Funções de segurança de nuvem.
Transformação de segurança
Quando as organizações adotam a nuvem, elas descobrem rapidamente que os processos de segurança estáticos não podem acompanhar o ritmo das mudanças nas plataformas de nuvem, o ambiente de ameaças e a evolução das tecnologias de segurança. A segurança deve mudar para uma abordagem em constante evolução para corresponder ao ritmo com essa alteração. Ele transforma a cultura organizacional e os processos diários em toda a organização.
Essa metodologia orienta a integração da segurança com processos de negócios e disciplinas técnicas de segurança. Esses processos e disciplinas permitem um progresso significativo e sustentável em sua jornada de segurança para reduzir o risco organizacional. Poucas organizações podem aperfeiçoar todas essas práticas de uma só vez, mas todas as organizações devem amadurecer constantemente cada processo e disciplina.
Alterar drivers
As organizações de segurança experimentam dois tipos de transformações principais ao mesmo tempo.
-
Segurança como um risco de negócios: A segurança foi impulsionada para o domínio da gestão de riscos empresariais a partir de uma disciplina puramente técnica orientada à qualidade. As forças duplas que impulsionam a segurança são:
- Transformação digital: O volume digital aumenta continuamente a superfície de ataque potencial da organização.
- Cenário de ameaças: aumenta o volume de ataque e a sofisticação que são alimentados por uma economia de ataque industrializada com habilidades especializadas e a comoditização contínua de técnicas e ferramentas de ataque.
- Alteração de plataforma: A segurança está lidando com uma alteração de plataforma técnica na nuvem. Essa mudança está na escala de fábricas trocando a administração de seus próprios geradores elétricos para se conectar a uma rede elétrica. Embora as equipes de segurança geralmente tenham as habilidades fundamentais certas, elas ficam sobrecarregadas com as mudanças em quase todos os processos e tecnologias que usam todos os dias.
- Mudança nas expectativas: na última década, a inovação digital redefiniu setores inteiros. A agilidade dos negócios, especialmente a agilidade relacionada à transformação digital, pode destituir rapidamente uma organização da liderança do mercado. A perda de confiança do consumidor pode ter um efeito semelhante sobre os negócios. Antes era aceitável que a segurança começasse com "não" para bloquear um projeto e proteger a organização. Agora, a urgência de adotar a transformação digital deve mudar o modelo de engajamento para "vamos falar sobre como se manter seguro enquanto você faz o que é necessário para se manter relevante".
Transformação de guia duradoura
Para transformar como as equipes de negócios e tecnologia veem a segurança, é necessário alinhar a segurança às prioridades, aos processos e à estrutura de risco. As principais áreas que impulsionam o sucesso são:
- Cultura: a cultura de segurança deve ser focada em cumprir a missão de negócios de maneira segura, não em atrapalhá-la. A segurança deve se tornar uma parte normalizada da cultura da organização. A internet, onde a empresa opera, está aberta e permite que os adversários tentem ataques a qualquer momento. Essa mudança cultural requer processos aprimorados, parcerias e suporte contínuo da liderança em todos os níveis para comunicar a alteração, modelar o comportamento e reforçar a mudança.
- Propriedade do risco: A responsabilidade pelo risco de segurança deve ser atribuída às mesmas funções que possuem todos os outros riscos. Essa responsabilidade libera a segurança para ser um consultor confiável e especialista no assunto, em vez de um bode expiatório. A segurança deve ser responsável por conselhos sólidos e equilibrados que são comunicados na linguagem desses líderes, mas não devem ser responsabilizados por decisões que não possuem.
-
Talento de segurança: O talento de segurança está em uma escassez crônica e as organizações devem planejar como desenvolver e distribuir melhor conhecimentos e habilidades de segurança. Além de aumentar as equipes de segurança diretamente com conjuntos de habilidades de segurança técnica, as equipes de segurança maduras estão diversificando sua estratégia, concentrando-se em:
- Crescentes conjuntos de habilidades de segurança e conhecimento dentro das equipes existentes em TI e dentro da empresa. Essas habilidades são especialmente importantes para equipes de DevOps com uma abordagem de DevSecOps. As habilidades podem assumir várias formas, como um suporte técnico de segurança, identificar e treinar campeões dentro da comunidade ou programas de troca de trabalhos.
- Recrutar conjuntos de habilidades diversificados para equipes de segurança para trazer novas perspectivas e estruturas de problemas (como negócios, psicologia humana ou economia) e criar relações melhores na organização.
Alinhamento de negócios
Devido a essas mudanças, seu programa de adoção da nuvem deve se concentrar fortemente no alinhamento dos negócios em três categorias:
- Insights de risco: Alinhe e integre insights de segurança e sinais de risco ou fontes às iniciativas de negócios. Certifique-se de que os processos repetíveis instruam as equipes sobre a aplicação desses insights e resguardem as equipes por melhorias.
- Integração de segurança: Integre conhecimentos, habilidades e insights de segurança em operações diárias do ambiente de TI e de negócios. Incorpore processos repetíveis e parceria profunda em todos os níveis da organização.
- Resiliência operacional: Verifique se a organização é resiliente continuando as operações durante um ataque (mesmo que em um estado degradado). A organização deve se recuperar rapidamente para a operação completa.
Disciplinas de segurança
Essa transformação afeta cada disciplina de segurança de maneira diferente. Cada uma dessas disciplinas é importante e requer investimento. As seguintes disciplinas são ordenadas (aproximadamente) pelas quais têm as oportunidades mais imediatas de vitórias rápidas à medida que você adota a nuvem:
- Controle de acesso: A aplicação de rede e identidade cria limites de acesso e segmentação para reduzir a frequência e o alcance de violações de segurança.
- Operações de segurança: Monitore as operações de TI para detectar, responder e se recuperar de uma violação. Use os dados para reduzir continuamente o risco de uma violação.
- Proteção de ativos: Maximize a proteção de ativos, como infraestrutura, dispositivos, dados, aplicativos, redes e identidades, para minimizar o risco para o ambiente geral.
- Governança de segurança: as decisões delegadas aceleram a inovação e introduzem novos riscos. Monitore decisões, configurações e dados para controlar as decisões tomadas em todo o ambiente e dentro de cargas de trabalho em todo o portfólio.
- Segurança de inovação: À medida que uma organização adota modelos de DevOps para aumentar o ritmo da inovação, a segurança deve se tornar parte integrante de um processo de DevSecOps. Integre a experiência e os recursos de segurança diretamente a esse ciclo de alta velocidade. Esse processo envolve a mudança de algumas tomadas de decisão de equipes centralizadas para capacitar equipes focadas em carga de trabalho.
Princípios básicos
As atividades de segurança devem ser alinhadas e moldadas por um foco duplo em:
- Habilitação de negócios: Alinhe-se ao objetivo de negócios e à estrutura de risco da organização.
-
Garantias de segurança: Concentre-se em aplicar os princípios Confiança Zero, que são:
- Presumir violação: Ao projetar a segurança para um componente ou sistema, reduza o risco de um invasor expandir o acesso supondo que outros recursos na organização estejam comprometidos.
- Verificação explícita: Valide explicitamente a confiança usando todos os pontos de dados disponíveis, em vez de assumir a confiança. Por exemplo, no controle de acesso, valide a identidade do usuário, o local, a integridade do dispositivo, o serviço ou a carga de trabalho, a classificação de dados e as anomalias, em vez de permitir o acesso de uma rede interna implicitamente confiável.
- Acesso com privilégios mínimos: Limite o risco de um usuário ou recurso comprometido fornecendo JIT/JEA (acesso just-in-time e just-enough), políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e produtividade.
Próximas etapas
Essa metodologia de segurança faz parte de um conjunto abrangente de diretrizes de segurança que também incluem:
- Azure Well-Architected Framework: diretrizes sobre como proteger suas cargas de trabalho no Azure.
- Design da arquitetura de segurança: percurso no nível da implementação de nossas arquiteturas de segurança. Navegue pelas arquiteturas de segurança.
- Parâmetros de comparação de segurança do Azure: melhores práticas e controles prescritivos para segurança do Azure.
- Zona de destino de escala empresarial: arquitetura de referência do Azure e implementação com segurança integrada.
- 10 principais melhores práticas de segurança para o Azure: as dez melhores práticas de segurança do Azure que a Microsoft recomenda com base nas lições aprendidas por nossos clientes e em nossos próprios ambientes.
- Arquiteturas de segurança cibernética da Microsoft: os diagramas descrevem como os recursos de segurança da Microsoft se integram às plataformas da Microsoft e plataformas de terceiros.