Segurança no Microsoft Cloud Adoption Framework para o Azure

Assim como a adoção da nuvem é um percurso, a segurança na nuvem é um percurso contínuo de progresso e maturidade incrementais, não um destino estático.

Prever um estado final de segurança

Um percurso sem um destino é apenas um passeio. Essa abordagem pode eventualmente levar à iluminação, mas as metas e restrições de negócios geralmente exigem foco em objetivos e resultados-chave.

A metodologia Segura fornece uma visão do estado final completo, que orienta a melhoria do seu programa de segurança ao longo do tempo. O visual a seguir mapeia as principais maneiras pelas quais a segurança se integra a uma organização maior e mostra as disciplinas dentro da segurança.

Visual que mostra as disciplinas de segurança e alinhamento de negócios da metodologia do CAF Secure.

O Cloud Adoption Framework orienta esse percurso de segurança fornecendo clareza para os processos, as práticas recomendadas, os modelos e as experiências. Essa orientação se baseia em lições aprendidas e experiências do mundo real de clientes reais, no percurso de segurança da Microsoft e no trabalho com organizações, como NIST, The Open Group e o CIS (Center for Internet Security).

O vídeo a seguir mostra como a metodologia Segura ajuda a orientar melhorias de segurança ao longo do tempo.

Mapear para conceitos, estruturas e padrões

A segurança é uma disciplina organizacional autônoma e um atributo integrado ou sobreposto a outras disciplinas. É difícil definir e mapear com precisão em detalhes. O setor de segurança usa estruturas diferentes para operar, capturar riscos e planejar controles. As disciplinas na metodologia do CAF Secure estão relacionadas a outros conceitos e diretrizes de segurança das seguintes maneiras:

  • Confiança Zero: a Microsoft acredita que todas as disciplinas de segurança devem seguir os princípios Confiança Zero, que pressupõem violação, verificação explícita e uso de acesso de privilégios mínimos. Esses princípios sustentam qualquer estratégia de segurança sólida e devem ser equilibrados com as metas de habilitação de negócios . A primeira e mais visível parte do Confiança Zero está no controle de acesso, portanto, ela é realçada na descrição da disciplina de segurança de controle de acesso.

  • O Grupo Aberto: Essas disciplinas de segurança são mapeadas de perto para os componentes Confiança Zero no white paper de princípios principais publicado pelo The Open Group, no qual a Microsoft participa ativamente. Uma exceção notável é que a Microsoft elevou a disciplina de segurança de inovação para que o DevSecOps seja um elemento de nível superior devido ao quão nova, importante e transformadora essa disciplina é para muitas organizações.

  • A estrutura de segurança cibernética do NIST: para organizações que usam a estrutura de segurança cibernética do NIST, realçamos o texto em negrito em que a estrutura é mapeada com mais detalhes. O controle de acesso moderno e o DevSecOps mapeiam em larga escala para todo o espectro da estrutura, portanto, esses itens não são indicados individualmente.

Mapear para funções e responsabilidades

O diagrama a seguir resume as funções e responsabilidades em um programa de segurança.

Diagrama das responsabilidades e funções de uma equipe de segurança corporativa.

Para saber mais, confira Funções de segurança de nuvem.

Transformação de segurança

Quando as organizações adotam a nuvem, elas descobrem rapidamente que os processos de segurança estáticos não podem acompanhar o ritmo das mudanças nas plataformas de nuvem, o ambiente de ameaças e a evolução das tecnologias de segurança. A segurança deve mudar para uma abordagem em constante evolução para corresponder ao ritmo com essa alteração. Ele transforma a cultura organizacional e os processos diários em toda a organização.

Essa metodologia orienta a integração da segurança com processos de negócios e disciplinas técnicas de segurança. Esses processos e disciplinas permitem um progresso significativo e sustentável em sua jornada de segurança para reduzir o risco organizacional. Poucas organizações podem aperfeiçoar todas essas práticas de uma só vez, mas todas as organizações devem amadurecer constantemente cada processo e disciplina.

Alterar drivers

As organizações de segurança experimentam dois tipos de transformações principais ao mesmo tempo.

  • Segurança como um risco de negócios: A segurança foi impulsionada para o domínio da gestão de riscos empresariais a partir de uma disciplina puramente técnica orientada à qualidade. As forças duplas que impulsionam a segurança são:
    • Transformação digital: O volume digital aumenta continuamente a superfície de ataque potencial da organização.
    • Cenário de ameaças: aumenta o volume de ataque e a sofisticação que são alimentados por uma economia de ataque industrializada com habilidades especializadas e a comoditização contínua de técnicas e ferramentas de ataque.
  • Alteração de plataforma: A segurança está lidando com uma alteração de plataforma técnica na nuvem. Essa mudança está na escala de fábricas trocando a administração de seus próprios geradores elétricos para se conectar a uma rede elétrica. Embora as equipes de segurança geralmente tenham as habilidades fundamentais certas, elas ficam sobrecarregadas com as mudanças em quase todos os processos e tecnologias que usam todos os dias.
  • Mudança nas expectativas: na última década, a inovação digital redefiniu setores inteiros. A agilidade dos negócios, especialmente a agilidade relacionada à transformação digital, pode destituir rapidamente uma organização da liderança do mercado. A perda de confiança do consumidor pode ter um efeito semelhante sobre os negócios. Antes era aceitável que a segurança começasse com "não" para bloquear um projeto e proteger a organização. Agora, a urgência de adotar a transformação digital deve mudar o modelo de engajamento para "vamos falar sobre como se manter seguro enquanto você faz o que é necessário para se manter relevante".

Transformação de guia duradoura

Para transformar como as equipes de negócios e tecnologia veem a segurança, é necessário alinhar a segurança às prioridades, aos processos e à estrutura de risco. As principais áreas que impulsionam o sucesso são:

  • Cultura: a cultura de segurança deve ser focada em cumprir a missão de negócios de maneira segura, não em atrapalhá-la. A segurança deve se tornar uma parte normalizada da cultura da organização. A internet, onde a empresa opera, está aberta e permite que os adversários tentem ataques a qualquer momento. Essa mudança cultural requer processos aprimorados, parcerias e suporte contínuo da liderança em todos os níveis para comunicar a alteração, modelar o comportamento e reforçar a mudança.
  • Propriedade do risco: A responsabilidade pelo risco de segurança deve ser atribuída às mesmas funções que possuem todos os outros riscos. Essa responsabilidade libera a segurança para ser um consultor confiável e especialista no assunto, em vez de um bode expiatório. A segurança deve ser responsável por conselhos sólidos e equilibrados que são comunicados na linguagem desses líderes, mas não devem ser responsabilizados por decisões que não possuem.
  • Talento de segurança: O talento de segurança está em uma escassez crônica e as organizações devem planejar como desenvolver e distribuir melhor conhecimentos e habilidades de segurança. Além de aumentar as equipes de segurança diretamente com conjuntos de habilidades de segurança técnica, as equipes de segurança maduras estão diversificando sua estratégia, concentrando-se em:
    • Crescentes conjuntos de habilidades de segurança e conhecimento dentro das equipes existentes em TI e dentro da empresa. Essas habilidades são especialmente importantes para equipes de DevOps com uma abordagem de DevSecOps. As habilidades podem assumir várias formas, como um suporte técnico de segurança, identificar e treinar campeões dentro da comunidade ou programas de troca de trabalhos.
    • Recrutar conjuntos de habilidades diversificados para equipes de segurança para trazer novas perspectivas e estruturas de problemas (como negócios, psicologia humana ou economia) e criar relações melhores na organização.

Alinhamento de negócios

Devido a essas mudanças, seu programa de adoção da nuvem deve se concentrar fortemente no alinhamento dos negócios em três categorias:

  • Insights de risco: Alinhe e integre insights de segurança e sinais de risco ou fontes às iniciativas de negócios. Certifique-se de que os processos repetíveis instruam as equipes sobre a aplicação desses insights e resguardem as equipes por melhorias.
  • Integração de segurança: Integre conhecimentos, habilidades e insights de segurança em operações diárias do ambiente de TI e de negócios. Incorpore processos repetíveis e parceria profunda em todos os níveis da organização.
  • Resiliência operacional: Verifique se a organização é resiliente continuando as operações durante um ataque (mesmo que em um estado degradado). A organização deve se recuperar rapidamente para a operação completa.

Disciplinas de segurança

Essa transformação afeta cada disciplina de segurança de maneira diferente. Cada uma dessas disciplinas é importante e requer investimento. As seguintes disciplinas são ordenadas (aproximadamente) pelas quais têm as oportunidades mais imediatas de vitórias rápidas à medida que você adota a nuvem:

  • Controle de acesso: A aplicação de rede e identidade cria limites de acesso e segmentação para reduzir a frequência e o alcance de violações de segurança.
  • Operações de segurança: Monitore as operações de TI para detectar, responder e se recuperar de uma violação. Use os dados para reduzir continuamente o risco de uma violação.
  • Proteção de ativos: Maximize a proteção de ativos, como infraestrutura, dispositivos, dados, aplicativos, redes e identidades, para minimizar o risco para o ambiente geral.
  • Governança de segurança: as decisões delegadas aceleram a inovação e introduzem novos riscos. Monitore decisões, configurações e dados para controlar as decisões tomadas em todo o ambiente e dentro de cargas de trabalho em todo o portfólio.
  • Segurança de inovação: À medida que uma organização adota modelos de DevOps para aumentar o ritmo da inovação, a segurança deve se tornar parte integrante de um processo de DevSecOps. Integre a experiência e os recursos de segurança diretamente a esse ciclo de alta velocidade. Esse processo envolve a mudança de algumas tomadas de decisão de equipes centralizadas para capacitar equipes focadas em carga de trabalho.

Princípios básicos

As atividades de segurança devem ser alinhadas e moldadas por um foco duplo em:

  • Habilitação de negócios: Alinhe-se ao objetivo de negócios e à estrutura de risco da organização.
  • Garantias de segurança: Concentre-se em aplicar os princípios Confiança Zero, que são:
    • Presumir violação: Ao projetar a segurança para um componente ou sistema, reduza o risco de um invasor expandir o acesso supondo que outros recursos na organização estejam comprometidos.
    • Verificação explícita: Valide explicitamente a confiança usando todos os pontos de dados disponíveis, em vez de assumir a confiança. Por exemplo, no controle de acesso, valide a identidade do usuário, o local, a integridade do dispositivo, o serviço ou a carga de trabalho, a classificação de dados e as anomalias, em vez de permitir o acesso de uma rede interna implicitamente confiável.
    • Acesso com privilégios mínimos: Limite o risco de um usuário ou recurso comprometido fornecendo JIT/JEA (acesso just-in-time e just-enough), políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e produtividade.

Próximas etapas

Essa metodologia de segurança faz parte de um conjunto abrangente de diretrizes de segurança que também incluem: