Governar antipadrões
Você pode encontrar antipadrões durante a fase Governar da adoção da nuvem. Entenda as responsabilidades compartilhadas e como construir sua estratégia de segurança em estruturas existentes para ajudá-lo a evitar esses antipadrões.
Antipadrão: Entender mal as responsabilidades compartilhadas
Quando você adota a nuvem, nem sempre fica claro onde termina sua responsabilidade e a responsabilidade do provedor de nuvem começa em relação aos diferentes modelos de serviço. Habilidades e conhecimentos em nuvem são necessários para criar processos e práticas em torno de itens de trabalho que usam modelos de serviço.
Exemplo: suponha que o provedor de nuvem gerencia atualizações
Os membros do departamento de recursos humanos (RH) de uma empresa usam infraestrutura como serviço (IaaS) para configurar vários servidores Windows na nuvem. Eles assumem que o provedor de nuvem gerencia atualizações porque a TI no local geralmente lida com a instalação de atualizações. O departamento de RH não configura as atualizações porque não está ciente de que o Azure não implanta e instala atualizações do sistema operacional (SO) por padrão. Como resultado, os servidores não estão em conformidade e representam um risco de segurança.
Resultado preferido: Criar um plano de preparação
Entenda a responsabilidade compartilhada na nuvem. Crie e crie um plano de preparação. Um plano de preparação pode criar uma dinâmica contínua para a aprendizagem e o desenvolvimento de competências.
Antipadrão: assuma que soluções prontas para uso fornecem segurança
As empresas tendem a ver a segurança como um recurso inerente aos serviços em nuvem. Embora essa suposição esteja geralmente correta, a maioria dos ambientes precisa aderir aos requisitos da estrutura de conformidade, que podem diferir dos requisitos de segurança. O Azure fornece segurança básica e o portal do Azure pode fornecer segurança mais avançada através do Microsoft Defender for Cloud. Ao criar uma assinatura, você deve personalizar sua solução para impor um padrão de conformidade e segurança.
Exemplo: negligenciar a segurança na nuvem
Uma empresa desenvolve uma nova aplicação na nuvem. Ele escolhe uma arquitetura baseada em muitos serviços de plataforma como serviço (PaaS), além de alguns componentes IaaS para fins de depuração. Depois de liberar o aplicativo para produção, a empresa percebe que um de seus servidores de salto foi comprometido e estava extraindo dados para um endereço IP desconhecido. A empresa descobre que o problema é o endereço IP público do servidor jump e uma senha fácil de adivinhar. A empresa poderia ter evitado essa situação se tivesse se concentrado mais na segurança na nuvem.
Resultado preferido: definir uma estratégia de segurança na nuvem
Defina uma estratégia de segurança na nuvem adequada. Para obter mais informações, consulte o Guia de preparação para a nuvem do CISO. Consulte o seu diretor de segurança da informação (CISO) para este guia. O guia de preparação para a nuvem do CISO discute tópicos como recursos da plataforma de segurança, privacidade e controles, conformidade e transparência.
Leia sobre cargas de trabalho de nuvem seguras no Benchmark de Segurança do Azure. Desenvolva os Controles CIS v7.1 do Center for Internet Security, juntamente com o NIST SP800-53 do National Institute of Standards and Technology, que abordam a maioria dos riscos e medidas de segurança.
Use o Microsoft Defender for Cloud para identificar riscos, adaptar as práticas recomendadas e melhorar a postura de segurança da sua empresa.
Implemente ou dê suporte a requisitos de conformidade e segurança automatizados específicos da empresa usando a Política do Azure e a solução Política do Azure como Código.
Antipadrão: use uma estrutura de conformidade ou governança personalizada
A introdução de uma estrutura personalizada de conformidade e governança que não se baseia nos padrões do setor pode aumentar substancialmente o tempo de adoção da nuvem. Isso ocorre porque a tradução da estrutura personalizada para as configurações de nuvem pode ser complexa. Essa complexidade pode aumentar o esforço necessário para traduzir medidas e requisitos personalizados em controles de segurança implementáveis. Normalmente, as empresas têm de cumprir conjuntos semelhantes de requisitos de segurança e conformidade. Como resultado, a maioria das estruturas de conformidade e segurança personalizadas diferem apenas ligeiramente das estruturas de conformidade atuais. As empresas com requisitos de segurança adicionais podem considerar a criação de novas estruturas.
Exemplo: Usar uma estrutura de segurança personalizada
O CISO de uma empresa atribui aos funcionários de segurança de TI a tarefa de criar uma estratégia e estrutura de segurança na nuvem. Em vez de se basear nos padrões do setor, o departamento de segurança de TI cria uma nova estrutura que se baseia na atual política de segurança local. Depois de concluir a política de segurança na nuvem, as equipes de AppOps e DevOps têm dificuldade em implementar a política de segurança na nuvem.
O Azure oferece uma estrutura de segurança e conformidade mais abrangente que difere da própria estrutura da empresa. A equipe do CISO acha que os controles do Azure são incompatíveis com suas próprias regras de conformidade e segurança. Se tivesse baseado sua estrutura em controles padronizados, não teria chegado a essa conclusão.
Resultado preferido: Confiar nos quadros existentes
Use ou desenvolva estruturas existentes, como CIS Controls versão 7.1 ou NIST SP 800-53, antes de estabelecer ou introduzir uma estrutura de conformidade personalizada da empresa. As estruturas existentes tornam a transição para as configurações de segurança na nuvem mais fácil e mensurável. Para obter mais informações sobre implementações de estrutura, consulte Opções de implementação de zonas de aterrissagem do Azure.