Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
É essencial estabelecer mecanismos e práticas de segurança robustos ao implementar infraestrutura na nuvem e migrar cargas de trabalho. Essa abordagem garante que suas cargas de trabalho estejam seguras desde o início e evita a necessidade de resolver lacunas de segurança depois que as cargas de trabalho estiverem em produção. Priorize a segurança durante a fase de Adoção para garantir que as cargas de trabalho sejam criadas de maneira consistente e de acordo com as práticas recomendadas. As práticas de segurança estabelecidas também preparam as equipes de TI para operações na nuvem por meio de políticas e procedimentos bem projetados.
Quer esteja a migrar cargas de trabalho para a nuvem ou a criar uma propriedade de nuvem totalmente nova, pode aplicar as orientações neste artigo. A metodologia Cloud Adoption Framework Adopt incorpora as metodologias Migra, Modernizar e Nativo na Cloud. Independentemente do caminho que seguir durante a fase de adoção de sua jornada na nuvem, é importante considerar as recomendações deste artigo ao estabelecer os elementos fundamentais da sua infraestrutura na nuvem e criar ou migrar workloads.
Este artigo é um guia de apoio à metodologia Adote . Ele fornece áreas de otimização de segurança que você deve considerar ao passar por essa fase em sua jornada.
Adoção de modernização da postura de segurança
Considere as seguintes recomendações ao trabalhar para modernizar a sua postura de segurança como parte da fase de adoção.
Linhas de base de segurança: defina linhas de base de segurança que incluam requisitos de disponibilidade para estabelecer uma base clara e robusta para o desenvolvimento. Para economizar tempo e reduzir o risco de erro humano na análise de seus ambientes, use uma ferramenta de análise de linha de base de segurança pronta para uso.
Adote a automação: use ferramentas de automação para gerenciar tarefas de rotina para reduzir o risco de erro humano e melhorar a consistência. Aproveite os serviços em nuvem que podem automatizar os procedimentos de failover e recuperação. As tarefas que você pode considerar automatizar incluem:
- Implantações e gerenciamento de infraestrutura
- Atividades do ciclo de vida do desenvolvimento de software
- Testing
- Monitorização e alertas
- Scaling
Confiança Zero controlos de acesso e autorização: Implementar controlos de acesso rigorosos e sistemas de gestão de identidade para garantir que apenas pessoal autorizado tenha acesso a sistemas e dados críticos. Essa abordagem reduz o risco de atividades maliciosas que podem interromper os serviços. Padronize os RBACs (controles de acesso baseados em funções) estritamente impostos e exija autenticação multifator para evitar acesso não autorizado que possa interromper a disponibilidade do serviço. Para mais informações, consulte Proteger identidade com Confiança Zero.
Institucionalização da gestão da mudança
Metodologias eficazes de adoção e gestão da mudança (ACM) são cruciais para garantir a implementação e institucionalização bem-sucedida dos controles de acesso. Algumas das melhores práticas e metodologias incluem:
Modelo Prosci ADKAR: Este modelo concentra-se em cinco blocos de construção fundamentais para uma mudança bem-sucedida. Esses componentes são Consciência, Desejo, Conhecimento, Capacidade e Reforço. Ao abordar cada elemento, as organizações podem garantir que os funcionários entendam a necessidade de controles de acesso, estejam motivados a apoiar a mudança, tenham os conhecimentos e habilidades necessários e recebam reforço contínuo para manter a mudança.
Modelo de Mudança de 8 Passos de Kotter: Este modelo descreve oito passos para liderar a mudança. Essas etapas incluem criar um senso de urgência, formar uma coalizão poderosa, desenvolver uma visão e estratégia, comunicar a visão, capacitar os funcionários para uma ação ampla, gerar ganhos de curto prazo, consolidar ganhos e ancorar novas abordagens na cultura. Seguindo essas etapas, as organizações podem gerenciar efetivamente a adoção de controles de acesso.
Modelo de Gestão da Mudança de Lewin: Este modelo tem três estágios, que são Descongelar, Alterar e Recongelar. No estágio de descongelamento, as organizações preparam-se para a mudança, identificando a necessidade de controlos de acesso e criando uma sensação de urgência. Na etapa de Mudança, novos processos e práticas são implementados. Na etapa Refreeze, as novas práticas são solidificadas e integradas à cultura organizacional.
Microsoft Quadro de adoção e gestão da mudança: Este quadro fornece uma abordagem estruturada para impulsionar a adoção e a mudança, definindo critérios de sucesso, envolvendo as partes interessadas e preparando a organização. Este quadro também mede o sucesso para garantir a eficácia da implementação. Enfatiza a importância da comunicação, treinamento e apoio para garantir que os controles de acesso sejam efetivamente adotados e institucionalizados.
As organizações podem garantir que os controles de acesso sejam implementados e adotados pelos funcionários incorporando essas metodologias e práticas recomendadas do ACM. Essa abordagem resulta em um ambiente empresarial mais seguro e compatível.
Facilitação Azure
Estabelecer uma linha de base de segurança:Classificação de Segurança da Microsoft pode ajudá-lo a estabelecer referências concretas para melhorias. É fornecido como parte da suíte Microsoft Defender XDR e pode analisar a segurança de muitos produtos Microsoft e não Microsoft.
Automação de implementação de infraestruturas:Azure Resource Manager templates (templates ARM) e Bicep são ferramentas nativas Azure para implementar infraestrutura como código (IaC) utilizando sintaxe declarativa. Os templates ARM são escritos em JSON, enquanto o Bicep é uma linguagem específica de domínio. Pode integrar facilmente ambos os sistemas em pipelines de integração e entrega contínuas (CI/CD) do Azure Pipelines ou do GitHub Actions.
Terraform é outra ferramenta declarativa de IaC totalmente suportada em Azure. Você pode usar o Terraform para implantar e gerenciar a infraestrutura e integrá-la ao seu pipeline de CI/CD.
Pode usar Microsoft Defender para a Cloud para detetar configurações incorretas em IaC.
Azure Ambientes de Implementação:Ambientes de Implementação permite às equipas de desenvolvimento criar rapidamente uma infraestrutura de aplicação consistente utilizando modelos baseados em projetos. Esses modelos minimizam o tempo de configuração e maximizam a segurança, a conformidade e a eficiência de custos. Um ambiente de implementação é uma coleção de recursos do Azure que são implementados em subscrições predefinidas. Os administradores de infraestrutura de desenvolvimento podem aplicar políticas de segurança corporativa e fornecer um conjunto selecionado de modelos de IAC predefinidos.
Os administradores de infraestrutura de desenvolvimento definem ambientes de implantação como itens de catálogo. Os itens do catálogo são alojados num repositório GitHub ou Azure DevOps, chamado catálogo. Um item de catálogo consiste em um modelo IaC e um arquivo manifest.yml.
Você pode criar scripts para a criação de ambientes de implantação e gerenciar programaticamente os ambientes. Para orientações detalhadas e focadas na carga de trabalho, consulte a abordagem IaC do Azure Well-Architected Framework.
Automação de tarefas de rotina:
Funções do Azure:Funções do Azure é uma ferramenta serverless que pode usar para automatizar tarefas utilizando a sua linguagem de desenvolvimento preferida. O Functions fornece um conjunto abrangente de gatilhos e ligações orientados a eventos que conectam suas funções a outros serviços. Você não precisa escrever código extra.
Automatização do Azure: PowerShell e Python são linguagens de programação populares para automatizar tarefas operacionais. Use esses idiomas para executar operações como reiniciar serviços, transferir logs entre armazenamentos de dados e dimensionar a infraestrutura para atender à demanda. Você pode expressar essas operações em código e executá-las sob demanda. Individualmente, esses idiomas carecem de uma plataforma para gerenciamento centralizado, controle de versão ou rastreamento do histórico de execução. Os idiomas também carecem de um mecanismo nativo para responder a eventos como alertas orientados por monitoramento. Para fornecer esses recursos, você precisa de uma plataforma de automação. Automation fornece uma plataforma alojada em Azure para alojar e executar código PowerShell e Python em ambientes cloud e on-premises, incluindo sistemas Azure e não Azure. O código PowerShell e Python é armazenado num runbook de Automação. Use a automação para:
Acione runbooks sob demanda, em um cronograma ou por meio de um webhook.
Execute o histórico e o registro.
Integre um repositório de segredos.
Integre o controle do código-fonte.
Gestor de Atualizações do Azure:Update Manager é um serviço unificado que pode usar para gerir e governar atualizações em máquinas virtuais. Pode monitorizar a conformidade com as atualizações do Windows e Linux em toda a sua carga de trabalho. Também pode utilizar o Azure Update Manager para fazer atualizações em tempo real ou agendá-las dentro de uma janela de manutenção definida. Utilize o Gestor de Atualizações para:
Supervisione a conformidade em toda a sua frota de máquinas.
Agende atualizações recorrentes.
Implante atualizações críticas.
Azure Logic Apps e Microsoft Power Automate: Quando construir automação digital de processos (DPA) personalizada para lidar com tarefas de carga de trabalho como fluxos de aprovação ou integrações com ChatOps, considere usar Logic Apps ou Power Automate. Você pode construir fluxos de trabalho a partir de conectores e modelos internos. As Logic Apps e o Power Automate baseiam-se na mesma tecnologia subjacente e são bem adequados para tarefas baseadas em gatilhos ou no tempo.
Escalonamento automático: Muitas tecnologias Azure têm capacidades integradas de escalonamento automático. Você também pode programar outros serviços para dimensionar automaticamente usando APIs. Para obter mais informações, consulte Autoscaling.
Azure Monitor grupos de ação: Para executar automaticamente operações de auto-recuperação quando um alerta é acionado, utilize os grupos de ação do Azure Monitor. Pode definir estas operações usando um runbook, uma função Azure ou um webhook.
Preparação para incidentes e adoção de resposta
Depois de estabelecer sua zona de aterrissagem ou outro design de plataforma com segmentação de rede segura e organização de recursos e assinatura bem projetada, você pode começar a implementação com foco na preparação e resposta a incidentes. Durante essa fase, o desenvolvimento de seus mecanismos de preparação e resposta, incluindo seu plano de resposta a incidentes, garante que suas práticas operacionais e de patrimônio na nuvem estejam alinhadas com os objetivos de negócios. Este alinhamento é crucial para manter a eficiência e alcançar os objetivos estratégicos. A fase de adoção deve abordar a preparação e a resposta a incidentes de duas perspetivas. Essas perspetivas são a prontidão e a mitigação de ameaças e a segurança de infraestrutura e aplicativos. Revise os requisitos da Iniciativa Futuro Seguro (SFI) da
Prontidão e mitigação de ameaças
Deteção de ameaças: implemente ferramentas e práticas avançadas de monitoramento para detetar ameaças em tempo real. Essa implementação inclui a configuração de sistemas de alerta para atividades incomuns e a integração de soluções de deteção e resposta estendidas (XDR) e gerenciamento de eventos e informações de segurança (SIEM). Para mais informações, consulte Confiança Zero proteção contra ameaças e XDR.
Gerenciamento de vulnerabilidades: identifique e mitigue vulnerabilidades regularmente por meio do gerenciamento de patches e atualizações de segurança para garantir que os sistemas e aplicativos estejam protegidos contra ameaças conhecidas.
Resposta a incidentes: desenvolva e mantenha um plano de resposta a incidentes que inclua etapas de deteção, análise e remediação para abordar e recuperar rapidamente de incidentes de segurança. Para obter orientações focadas na carga de trabalho, consulte Recomendações para resposta a incidentes de segurança. Automatize as atividades de mitigação tanto quanto possível para torná-las mais eficientes e menos propensas a erros humanos. Por exemplo, se você detetar uma injeção de SQL, poderá ter um runbook ou fluxo de trabalho que bloqueie automaticamente todas as conexões com o SQL para conter o incidente.
Segurança de infraestruturas e aplicações
Pipelines de implantação seguros: construa pipelines de CI/CD com verificações de segurança integradas para assegurar que as aplicações sejam desenvolvidas, testadas e implantadas de forma segura. Esta solução inclui análise de código estático, verificação de vulnerabilidades e verificações de conformidade. Para mais informações, consulte Confiança Zero orientação para programadores.
Implantações de IAC: implante toda a infraestrutura por meio de código, sem exceção. Reduza o risco de infraestrutura mal configurada e implantações não autorizadas impondo esse padrão. Coloque todos os ativos do IaC com ativos de código de aplicativo e aplique as mesmas práticas de implantação seguras que as implantações de software.
Facilitação Azure
Automação de deteção e resposta de ameaças: Automatizar a deteção e resposta a ameaças com a funcionalidade automatizada de investigação e resposta em Microsoft Defender XDR.
Segurança na implementação de IaC: Use stacks de implementação para gerir os recursos do Azure como uma unidade única e coesa. Impeça que os usuários executem modificações não autorizadas usando as configurações de negação.
Adotar o princípio da confidencialidade
Depois que a estratégia geral e o plano de implementação para adotar o princípio de confidencialidade da Tríade da CIA já estiverem em vigor, o próximo passo é focar no ACM. Esta etapa inclui garantir que a criptografia e os controles de acesso seguro sejam efetivamente implementados e institucionalizados em todo o ambiente de nuvem corporativo. Na fase de adoção, medidas de prevenção contra perda de dados (DLP) são implementadas para proteger dados confidenciais em trânsito e dados em repouso. A implementação envolve a implantação de soluções de criptografia, a configuração de controles de acesso e o treinamento de todos os funcionários sobre a importância da confidencialidade dos dados e da adesão às políticas de DLP.
Implementar criptografia e controles de acesso seguro
Para proteger informações confidenciais contra acesso não autorizado, é crucial implementar criptografia robusta e controles de acesso seguros. A criptografia garante que os dados sejam ilegíveis para usuários não autorizados, enquanto os controles de acesso regulam quem pode acessar dados e recursos específicos. Compreenda os recursos de criptografia dos serviços de nuvem que você implanta e habilite os mecanismos de criptografia apropriados para atender às suas necessidades de negócios.
Incorporar e adotar normas associadas
Para garantir a implementação consistente de criptografia e controles de acesso, é essencial desenvolver e adotar padrões associados. As organizações devem estabelecer diretrizes claras e práticas recomendadas para o uso de criptografia e controles de acesso, e garantir que esses padrões sejam comunicados a todos os funcionários. Por exemplo, um padrão pode especificar que todos os dados confidenciais devem ser criptografados usando criptografia AES-256 e que o acesso a esses dados deve ser restrito apenas a pessoal autorizado. As organizações podem garantir que a criptografia e os controles de acesso sejam aplicados de forma consistente em toda a empresa, incorporando esses padrões em suas políticas e procedimentos. A oferta regular de formação e apoio reforça ainda mais estas práticas entre os colaboradores. Outros exemplos incluem:
Criptografia forte: habilite a criptografia em armazenamentos de dados quando possível e considere gerenciar suas próprias chaves. O seu fornecedor de cloud pode oferecer encriptação em repouso para o armazenamento onde o seu armazenamento de dados está alojado, e dar-lhe a opção de ativar a encriptação da base de dados como encriptação de dados transparentes em Base de Dados SQL do Azure. Aplique a camada extra de criptografia sempre que possível.
Controles de acesso: Aplique RBAC, controles de Acesso Condicional, acesso just-in-time e acesso just-enough a todos os armazenamentos de dados. Padronize a prática de revisar permissões regularmente. Restrinja o acesso de gravação aos sistemas de configuração, o que permite alterações somente por meio de uma conta de automação designada. Esta conta aplica modificações após processos de revisão minuciosos, normalmente como parte do Azure Pipelines.
: A organização poderá desenvolver uma norma que exija que todos os emails que contenham informações sensíveis sejam encriptados usando Proteção de Informações do Microsoft Purview . Este requisito garante que os dados sensíveis sejam protegidos durante a transmissão e apenas acessíveis por destinatários autorizados.
Facilitação Azure
SIEM e SOAR: Microsoft Sentinel é um SIEM escalável e nativo da nuvem que fornece uma solução inteligente e abrangente de SIEM, juntamente com a orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel fornece deteção de ameaças, investigação, resposta e caça proativa, com uma visão geral de alto nível da sua empresa.Azure encriptação: Azure fornece encriptação para serviços como Base de Dados SQL do Azure, Azure Cosmos DB e Azure Data Lake. Os modelos de encriptação suportados incluem encriptação do lado do servidor com chaves geridas pelo serviço, chaves geridas pelo cliente no Azure Key Vault e chaves geridas pelo cliente em hardware controlado pelo cliente. Os modelos de encriptação do lado do cliente suportam a encriptação dos dados por uma aplicação antes de serem enviados para o Azure. Para mais informações, consulte Azure visão geral da encriptação.
Gestão de controlo de acessos:Microsoft Entra ID fornece capacidades abrangentes de gestão de identidade e acessos. Ele suporta autenticação multifator, políticas de acesso condicional e logon único para garantir que apenas usuários autorizados possam acessar dados confidenciais.
Microsoft Entra ID Protection utiliza aprendizagem automática avançada para identificar riscos de início de sessão e comportamentos invulgares dos utilizadores para bloquear, desafiar, limitar ou conceder acesso. Ele ajuda a evitar o comprometimento da identidade, protege contra o roubo de credenciais e fornece informações sobre sua postura de segurança de identidade.
Microsoft Defender para Identidade é uma solução de deteção de ameaças de identidade baseada na cloud que ajuda a proteger a monitorização de identidade em toda a sua organização. Ele pode ajudá-lo a identificar, detetar e investigar melhor ameaças avançadas direcionadas à sua organização por meio de mecanismos automatizados de deteção e resposta a ameaças.
Azure computação confidencial: Este serviço protege os dados enquanto são processados. Ele usa ambientes de execução confiáveis baseados em hardware para isolar e proteger os dados em uso, garantindo que até mesmo os administradores de nuvem não possam acessar os dados.
Adotar o princípio da integridade
Na fase Adotar, o planejamento e os projetos são transformados em implementações do mundo real. Para garantir a integridade dos dados e do sistema, construa seus sistemas de acordo com os padrões que você desenvolveu em fases anteriores. Além disso, treine engenheiros, administradores e operadores sobre os protocolos e procedimentos relevantes.
Adoção da integridade dos dados
Classificação de dados: implemente sua estrutura de classificação de dados por meio de automação quando possível e manualmente quando necessário. Use ferramentas prontas para uso para automatizar sua classificação de dados e identificar informações confidenciais. Rotule manualmente documentos e contêineres para garantir uma classificação precisa. Organize conjuntos de dados para análise, aproveitando a experiência de usuários experientes para estabelecer sensibilidade.
Verificação e validação de dados: aproveite a funcionalidade interna de verificação e validação nos serviços que você implanta. Por exemplo, Azure Data Factory tem funcionalidade incorporada para verificar a consistência dos dados quando se move dados de uma fonte para um armazenamento de destino. Considere adotar práticas como:
Usar as funções CHECKSUM e BINARY_CHECKSUM no SQL para garantir que os dados não sejam corrompidos em trânsito.
Armazenar hashes em tabelas e criar sub-rotinas que modificam os hashes quando a data da última modificação é alterada.
Monitoramento e alerta: monitore seus armazenamentos de dados em busca de alterações com informações detalhadas do histórico de alterações para ajudar nas avaliações. Configure alertas para garantir que você tenha visibilidade apropriada e possa tomar ações eficientes se houver incidentes que possam afetar a integridade dos dados.
Políticas de backup: aplique políticas de backup em todos os sistemas apropriados. Compreenda os recursos de backup da plataforma como um serviço e do software como um serviço de serviços. Por exemplo, Base de Dados SQL do Azure inclui backups automáticos, e pode configurar a política de retenção conforme necessário.
Compartilhar padrões de design: publique e compartilhe padrões de design de aplicativos que incorporam mecanismos de integridade de dados em toda a organização. As normas de conceção devem abranger requisitos não funcionais, tais como o controlo nativo da configuração e das alterações de dados ao nível da aplicação e o registo deste histórico no esquema de dados. Essa abordagem exige que o esquema de dados retenha detalhes sobre o histórico de dados e o histórico de configurações como parte do armazenamento de dados, além de mecanismos de registro padrão para fortalecer seu monitoramento de integridade.
Adoção da integridade do sistema
Monitoramento de segurança: use uma solução de monitoramento robusta para registrar automaticamente todos os recursos em sua propriedade na nuvem e garantir que o alerta esteja habilitado e configurado para notificar as equipes apropriadas quando ocorrerem incidentes.
Gerenciamento de configuração automatizado: implante e configure um sistema de gerenciamento de configuração que registra automaticamente novos sistemas e gerencia suas configurações continuamente.
Gerenciamento automatizado de patches: implante e configure um sistema de gerenciamento de patches que registra automaticamente novos sistemas e gerencia patches de acordo com suas políticas. Prefira ferramentas nativas à sua plataforma na nuvem.
Facilitação Azure
Classificação e rotulagem de dados:Microsoft Purview é um conjunto robusto de soluções que pode ajudar a sua organização a governar, proteger e gerir dados, onde quer que estejam. Oferece classificação manual e automática de dados e etiquetagem de sensibilidade.
Gestão de Configuração:Azure Arc é uma plataforma centralizada e unificada de governação e gestão de infraestruturas que pode usar para gerir configurações de sistemas baseados na cloud e on-premises. Ao usar Azure Arc, pode estender as suas bases de segurança de Azure Policy, as suas políticas Defender para a Cloud e avaliações do Secure Score, bem como registar e monitorizar todos os seus recursos num só local.
Patch management:Gestor de Atualizações do Azure é uma solução unificada de gestão de atualizações para máquinas Windows e Linux que pode ser utilizada em ambientes Azure, on-premises e multicloud. Tem suporte integrado para máquinas geridas Azure Policy e Azure Arc.
Adotar o princípio da disponibilidade
Depois que os padrões de design resilientes forem definidos, sua organização poderá passar para a fase de adoção. Para orientações detalhadas sobre a disponibilidade de cargas de trabalho, consulte o pilar Fiabilidade do Well-Architected Framework e a documentação de Fiabilidade do Azure. No contexto da adoção da nuvem, o foco está em estabelecer e codificar práticas operacionais que suportem a disponibilidade.
Estabelecer práticas operacionais para dar suporte à disponibilidade
Para manter um patrimônio de nuvem altamente disponível, as equipes que operam os sistemas de nuvem devem aderir a práticas padronizadas e maduras. Estas práticas devem incluir:
Continuidade operacional: As organizações devem planejar operações contínuas, mesmo sob condições de ataque. Essa abordagem inclui o estabelecimento de processos para recuperação rápida e a manutenção de serviços críticos em um nível degradado até que a recuperação total seja possível.
Observabilidade robusta e contínua: A capacidade de uma organização de detetar incidentes de segurança à medida que eles acontecem permite que eles iniciem seus planos de resposta a incidentes rapidamente. Essa estratégia ajuda a minimizar ao máximo os efeitos nos negócios. A deteção de incidentes só é possível através de um sistema de monitorização e alerta bem concebido, que segue as melhores práticas para a deteção de ameaças. Para obter mais informações, consulte o guia de observabilidade e o Guia de monitoramento de segurança e deteção de ameaças.
Manutenção proativa: padronize e aplique atualizações do sistema por meio de políticas. Agende janelas de manutenção regulares para aplicar atualizações e patches aos sistemas sem interromper os serviços. Realize verificações regulares de saúde e atividades de manutenção para garantir que todos os componentes funcionam de forma ótima.
Políticas de governança padronizadas: Aplique todos os padrões de segurança por meio de políticas suportadas por ferramentas. Use uma ferramenta de gerenciamento de políticas para garantir que todos os seus sistemas estejam em conformidade com seus requisitos de negócios por padrão e que suas políticas sejam facilmente auditáveis.
Preparação para recuperação de desastres: desenvolva e teste regularmente planos de recuperação de desastres para suas cargas de trabalho para garantir que elas sejam recuperáveis se ocorrer um desastre. Para obter mais informações, consulte Recuperação de desastres. Automatize as atividades de recuperação tanto quanto possível. Por exemplo, utilize capacidades automáticas de failover em serviços como Base de Dados SQL do Azure.
Contratos de nível de serviço: os contratos de nível de serviço (SLAs) que sua plataforma de nuvem fornece para seus serviços ajudam você a entender o tempo de atividade garantido para os componentes de suas cargas de trabalho. Use esses SLAs como base para desenvolver as suas próprias métricas-alvo para os SLAs que fornece aos seus clientes. Microsoft publica os SLAs para todos os serviços cloud em SLAs para serviços online.
Requisitos de conformidade: Aderir a regulamentos como o Regulamento Geral sobre a Proteção de Dados (RGPD) e a HIPAA para garantir que os sistemas são projetados e mantidos de acordo com padrões elevados, incluindo padrões relacionados com a disponibilidade. A não conformidade pode resultar em ações legais e multas que podem interromper as operações de negócios. A conformidade geralmente não se limita à configuração do sistema. A maioria das estruturas de conformidade também exige padrões de gerenciamento de riscos e resposta a incidentes. Certifique-se de que seus padrões operacionais atendam aos requisitos da estrutura e que a equipe seja treinada regularmente.
Facilitação Azure
Gestão de políticas e conformidade:
Azure Policy é uma solução de gestão de políticas que ajuda a fazer cumprir normas organizacionais e avaliar a conformidade em larga escala. Para automatizar a aplicação de políticas em muitos serviços Azure, aproveite as definições incorporadas de políticas.
Defender para a Cloud fornece políticas de segurança que podem automatizar a conformidade com os seus padrões de segurança.
Continuidade operacional e recuperação de desastres: Muitos serviços de Azure têm capacidades de recuperação incorporadas que pode incorporar nos seus planos de continuidade operacional e recuperação de desastres. Para mais informações, consulte os guias de fiabilidade dos serviços da Azure.
Adote a manutenção da segurança
Considere as seguintes recomendações para ajudar a garantir que os mecanismos e práticas de segurança implementados como parte da adoção da nuvem possam ser sustentados e continuamente melhorados à medida que você continua sua jornada:
Instituir um conselho de revisão de segurança: crie um conselho de revisão de segurança que revise continuamente os projetos e exija controles de segurança. Reveja os seus processos regularmente para encontrar áreas de melhoria. Desenvolver processos para garantir que a segurança esteja sempre em primeiro lugar para todos.
Implementar uma solução de gerenciamento de vulnerabilidades: use uma solução de gerenciamento de vulnerabilidades para monitorar a pontuação de risco de vulnerabilidade de segurança e tenha um processo definido para agir com a pontuação de risco mais alta para a mais baixa para minimizar o risco. Rastreie as vulnerabilidades comuns mais recentes e os riscos de exposição. Tenha uma política para aplicar essas mitigações regularmente para remediação.
Proteja a infraestrutura de produção: proteja seu patrimônio na nuvem fortalecendo sua infraestrutura. Para fortalecer sua infraestrutura de acordo com as práticas recomendadas do setor, siga as diretrizes de benchmarking, como as referências do Center for Internet Security (CIS).
Use a base de conhecimento MITRE ATT&CK: Use a base de conhecimento MITRE ATT&CK para ajudar a desenvolver modelos e metodologias de ameaças para táticas e técnicas de ataque comuns do mundo real.
Deslocar para a esquerda: use ambientes segregados com diferentes níveis de acesso para pré-produção versus produção. Essa abordagem ajuda você a mudar para a esquerda, o que adiciona preocupações de segurança a todas as fases de desenvolvimento e fornece flexibilidade em ambientes mais baixos.
Facilitação Azure
Vulnerability management:Gestão de vulnerabilidades do Microsoft Defender é uma solução abrangente de gestão de vulnerabilidades baseada em risco que pode usar para identificar, avaliar, remediar e acompanhar todas as suas maiores vulnerabilidades nos seus ativos mais críticos, tudo numa única solução.