Proteger a infraestrutura com a Confiança Zero
A infraestrutura representa um vetor de ameaça crítico. A infraestrutura de TI, local ou multinuvem, é definida como todo o hardware (físico, virtual, conteinerizado), software (código aberto, próprio e terceirizado, PaaS, SaaS), microsserviços (funções, APIs), infraestrutura de rede, instalações e assim por diante, necessários para desenvolver, testar, fornecer, monitorar, controlar ou dar suporte a serviços de TI. É uma área em que a Microsoft investiu enormes recursos para desenvolver um conjunto abrangente de recursos para proteger sua infraestrutura futura de nuvem e local.
A segurança moderna com uma estratégia de Confiança Zero ponta a ponta facilita:
- A avaliação da versão.
- A realização do gerenciamento de configuração.
- O uso de privilégios administrativos JIT/JEA (Just-In-Time/Just-Enough-Access) para fortalecer as defesas.
- O uso de telemetria para detectar ataques e anomalias.
- O bloqueio e a sinalização automática de comportamentos arriscados e a adoção de ações de proteção.
Igualmente importante, o Microsoft Azure Blueprints e os recursos relacionados garantem que os recursos sejam criados, implementados e apoiados de maneiras que estão em conformidade com os requisitos, padrões e políticas da organização.
O Azure Blueprints, as Políticas do Azure, o Microsoft Defender para Nuvem, o Microsoft Sentinel e o Azure Sphere podem contribuir muito para melhorar a segurança da sua infraestrutura. Juntos, eles permitem uma abordagem diferente para definir, projetar, provisionar, implantar e monitorar sua infraestrutura.
Objetivos da implantação de Confiança Zero da infraestrutura
Dica
Antes que a maioria das organizações inicie o percurso da Confiança Zero, sua abordagem à segurança de infraestrutura é caracterizada pelo seguinte:
- As permissões são gerenciadas manualmente entre ambientes.
- Gerenciamento de configuração de VMs e servidores nos quais as cargas de trabalho estão em execução.
Ao implementar uma estrutura de Confiança Zero de ponta a ponta para gerenciar e monitorar sua infraestrutura, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais: |
|
I. As cargas de trabalho são monitoradas e alertadas para o comportamento anormal. |
|
Depois que os objetivos iniciais forem concluídos, concentre-se nesses objetivos adicionais de implantação: |
|
IV. Implantações não autorizadas são bloqueadas e o alerta é disparado. V. A visibilidade granular e o controle de acesso estão disponíveis entre cargas de trabalho. VI. Acesso de usuário e recurso segmentado para cada carga de trabalho. |
Guia da implantação de Confiança Zero da infraestrutura
Este guia mostra as etapas necessárias para proteger sua infraestrutura seguindo os princípios de uma estrutura de segurança da Confiança Zero.
Antes de começar, verifique se você atendeu a esses objetivos de implantação de infraestrutura de linha de base.
Definindo a linha de base do locatário da Microsoft
Uma linha de base priorizada deve ser definida para a maneira como sua infraestrutura é gerenciada. Aproveitando as diretrizes do setor, como NIST 800-53, você pode derivar um conjunto de requisitos para gerenciar sua infraestrutura. Na Microsoft, definimos uma linha de base mínima para a seguinte lista de requisitos:
-
O acesso a dados, redes, serviços, utilitários, ferramentas e aplicativos deve ser controlado por mecanismos de autenticação e autorização.
-
Os dados devem ser criptografados em trânsito e em repouso.
-
Restringir fluxos de tráfego de rede.
-
Visibilidade da equipe de segurança em todos os ativos.
-
O monitoramento e a auditoria devem ser habilitados e configurados corretamente de acordo com as diretrizes organizacionais prescritas.
-
O anti-malware deve estar atualizado e em execução.
-
As verificações de vulnerabilidade devem ser executadas e as vulnerabilidades corrigidas, de acordo com as diretrizes organizacionais prescritas.
Para medir e impulsionar a conformidade com essa linha de base mínima, ou nossa expandida, começamos obtendo visibilidade no nível do locatário e no seus ambientes locais, aplicando uma função de Leitor de segurança ao locatário do Azure. Com a função Leitor de Segurança estabelecida, ele pode obter mais visibilidade por meio das políticas do Microsoft Defender para Nuvem e do Azure, que podem ser usadas para aplicar linhas de base do setor (por exemplo, Azure CIS, PCI, ISO 27001) ou uma linha de base personalizada que sua organização definiu.
As permissões são gerenciadas manualmente entre ambientes
Do nível de locatário até os recursos individuais em cada assinatura do AD do grupo de recursos, é necessário aplicar controles de acesso baseado em função adequados.
Dica
Saiba mais sobre como implementar uma estratégia de identidade Confiança Zero de ponta a ponta.
Gerenciamento de configuração de VMS e servidores nos quais as cargas de trabalho estão em execução
Assim como gerenciamos nosso ambiente de data center local, também devemos garantir que estamos gerenciando efetivamente nossos recursos de nuvem. O benefício de aproveitar o Azure é a capacidade de gerenciar todas as suas VMs de uma plataforma usando o Azure Arc (versão prévia). Usando o Azure Arc, você pode estender suas linhas de base de segurança a partir da Política do Azure, das políticas do Microsoft Defender para Nuvem e das avaliações de classificação de segurança, além de registrar e monitorar todos os seus recursos em um só lugar. Abaixo estão algumas ações para começar.
Implementar o Azure Arc (versão prévia)
O Azure Arc permite que as organizações ampliem os controles de segurança familiares do Azure para o local e a borda da infraestrutura da organização. Os administradores têm várias opções para conectar recursos locais ao Azure Arc. Isso inclui o portal do Azure, o PowerShell e a instalação do Windows com scripts de entidade de serviço.
Saiba mais sobre essas técnicas.
Aplicar linhas de base de segurança por meio do Azure Policy incluindo a aplicação de políticas no convidado
Ao ativar o Defender para Nuvem, você poderá incorporar um conjunto de controles básicos por meio das definições de políticas integradas do Azure Policy para o Microsoft Defender para Nuvem. O conjunto de políticas básicas será refletido na classificação de segurança do Defender para Nuvem, onde você poderá medir sua conformidade com essas políticas.
Você pode estender sua cobertura de políticas além do conjunto Defender para Nuvem e criar políticas personalizadas se uma incorporada não estiver disponível. Você também pode incorporar políticas de configuração de convidados, que medem a conformidade dentro de suas VMs convidadas em assinaturas.
Aplique os controles Endpoint Protection do Defender para Nuvem e de gerenciamento de vulnerabilidades
A proteção de ponto de extremidade é essencial para garantir que a infraestrutura permaneça segura e disponível. Como parte de qualquer estratégia para proteção de terminais e gerenciamento de vulnerabilidades, você poderá medir a conformidade centralmente para garantir que a proteção contra malware seja ativada e configurada por meio da avaliação e das recomendações de proteção de terminais no Microsoft Defender para Nuvem.
Visibilidade centralizada da sua linha de base em várias assinaturas
Ao aplicar o registro do leitor de locatário, você pode obter visibilidade no seu locatário do status de cada uma das políticas que estão sendo avaliadas como parte das políticas de Configuração de Convidado, do Azure Policy e da classificação de segurança ASC. Você afunila isso para o painel de conformidade organizacional para relatórios centrais do estado do seu locatário.
Além disso, como parte do Defender para servidores, você pode usar a política Habilitar a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (desenvolvida pela Qualys) para verificar se há vulnerabilidades em VMs e fazer com que elas sejam refletidas diretamente no Defender para Nuvem. Se você já tiver uma solução de verificação de vulnerabilidade implantada em sua empresa, poderá usar a solução de avaliação de vulnerabilidade de política alternativa, que deve ser instalada em suas máquinas virtuais para Implantação de uma solução de verificação de vulnerabilidades do parceiro.
|
Objetivos de implantação inicial |
Depois de atender aos objetivos de infraestrutura de linha de base, você pode se concentrar na implementação de uma infraestrutura moderna com uma estratégia de Confiança Zero de ponta a ponta.
I. As cargas de trabalho são monitoradas e alertadas para o comportamento anormal
Ao criar uma nova infraestrutura, você também precisa garantir o estabelecimento de regras para o monitoramento e a geração de alertas. Essa é a chave para identificar quando um recurso está exibindo um comportamento inesperado.
Recomendamos habilitar o Microsoft Defender para Nuvem e seus planos para proteger os tipos de recursos compatíveis, incluindo Defender para servidores, Defender para Armazenamento, Defender para Containers, Defender para SQL etc.
Para monitorar identidades, é recomendável habilitar o Microsoft Defender para Identidade e o Advanced Threat Analytics para habilitar a coleção de sinal para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas para a sua organização.
A integração desses sinais do Defender para Nuvem, do Defender para Identidade, do Advanced Threat Analytics e de outros sistemas de monitoramento e auditoria com o Microsoft Sentinel, uma solução nativa em nuvem de gerenciamento de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR), permitirá que seu Centro de Operações de Segurança (SOC) trabalhe em um único painel para monitorar eventos de segurança na sua empresa.
Dica
Saiba mais sobre como implementar uma estratégia de identidade Confiança Zero de ponta a ponta.
II. Cada carga de trabalho recebe uma identidade de aplicativo – e é configurada e implantada de maneira consistente
Recomendamos o uso de uma política atribuída e aplicada ao criar recursos/cargas de trabalho. Políticas podem exigir que as tags sejam aplicadas a um recurso na criação, exigir a atribuição de grupos de recursos e restringir/direcionar características técnicas, como regiões permitidas, especificações da VM (por exemplo, tipo de VM, discos e políticas de rede aplicadas).
Dica
Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para aplicativos.
III. O acesso humano aos recursos requer o Just-In-Time
A equipe deve usar o acesso administrativo com moderação. Quando funções administrativas são necessárias, os usuários devem receber acesso administrativo temporário.
As organizações devem estabelecer um programa de Proteção ao administrador. As características desses programas incluem:
- Redução de destino no número de usuários com permissões administrativas.
- Auditoria de contas e funções de permissão elevada.
- Criação de zonas de infraestrutura HVA (Ativo de Alto Valor) para reduzir a área de superfície.
- Fornecer aos administradores SAWs (Estações de Trabalho de Administração Seguras) para reduzir a probabilidade de roubo de credenciais.
Todos esses itens ajudam uma organização a se tornar mais ciente de como as permissões administrativas estão sendo usadas, onde elas ainda são necessárias e fornecem um roteiro de como operar com mais segurança.
|
Objetivos de implantação adicionais |
Depois de atingir os três objetivos iniciais, você pode se concentrar em objetivos adicionais, como o bloqueio de implantações não autorizadas.
IV. Implantações não autorizadas são bloqueadas e o alerta é disparado
Quando as organizações mudam para a nuvem, as possibilidades são ilimitadas. Isso nem sempre é um ponto positivo. Por vários motivos, as organizações precisam ser capazes de bloquear implantações não autorizadas e disparar alertas para conscientizar os líderes e os gerentes sobre os problemas.
O Microsoft Azure oferece o Azure Blueprints para controlar como os recursos são implantados, garantindo que apenas os recursos aprovados (por exemplo, modelos do ARM) possam ser implantados. O Blueprints pode garantir que os recursos que não atendem às políticas do Blueprints ou outras regras sejam bloqueados da implantação. A violação real do Blueprints ou a tentativa dela pode gerar alertas conforme necessário e criar notificações, ativar webhooks ou runbooks de automação ou até mesmo criar tíquetes de gerenciamento de serviços.
V. A visibilidade granular e o controle de acesso estão disponíveis entre cargas de trabalho
O Microsoft Azure oferece uma variedade de métodos para obter visibilidade dos recursos. No portal do Azure, os proprietários de recursos podem configurar muitos recursos de análise e coleta de logs e de métrica. Essa visibilidade pode ser usada não apenas para alimentar as operações de segurança, mas também para oferecer suporte à eficiência de computação e aos objetivos organizacionais. Isso inclui recursos como Conjuntos de dimensionamento de máquinas virtuais, que permitem a expansão e a redução dos recursos com base em métricas.
No lado do controle de acesso, o RBAC (Controle de Acesso Baseado em Função) pode ser empregado para atribuir permissões a recursos. Isso torna possível que as permissões sejam atribuídas e revogadas uniformemente nos níveis individuais e de grupo usando uma variedade de funções internas ou personalizadas.
VI. Acesso de usuário e recurso segmentado para cada carga de trabalho
O Microsoft Azure oferece várias maneiras de segmentar cargas de trabalho para gerenciar o acesso a usuários e recursos. A segmentação de rede é a abordagem geral e, no Azure, os recursos podem ser isolados no nível de assinatura com VNets (redes virtuais), regras de emparelhamento VNet, NSGs (Grupos de Segurança de Rede), ASGs (Grupos de Segurança do Aplicativo) e Firewall do Azure. Há vários padrões de design para determinar a melhor abordagem para segmentar cargas de trabalho.
Dica
Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para a rede.
Produtos abordados neste guia
Microsoft Azure
Modelos do Azure Resource Manager (ARM)
Conclusão
A infraestrutura é fundamental para uma estratégia de Confiança Zero com êxito. Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes ou continue lendo os outros capítulos deste guia, que abrangem todos os pilares da Confiança Zero.
A série de guias de implantação de Confiança Zero