Partilhar via


Melhores práticas de segurança do Azure

Este artigo descreve as práticas recomendadas de segurança, que se baseiam nas lições aprendidas pelos clientes e na experiência em nossos próprios ambientes.

Para uma apresentação em vídeo, consulte Práticas recomendadas para a segurança do Azure.

1. Pessoas: Eduque as equipes sobre a jornada de segurança na nuvem

A equipe precisa entender a jornada em que está.

What?

Eduque suas equipes de segurança e TI sobre a jornada de segurança na nuvem e as mudanças pelas quais elas navegarão, incluindo:

  • Ameaças na nuvem
  • O modelo de responsabilidade compartilhada e como ele afeta a segurança
  • Mudanças na cultura e nas funções e responsabilidades que normalmente vêm com a adoção da nuvem

Porquê?

A segurança na nuvem exige uma mudança de mentalidade e abordagem. Embora os resultados que a segurança fornece à organização não mudem, a melhor maneira de alcançar esses resultados na nuvem pode mudar significativamente.

A transição para a nuvem é semelhante à mudança de uma casa independente para um prédio de apartamentos alto. Você ainda tem infraestrutura básica, como encanamento e eletricidade, e faz atividades semelhantes, como socializar, cozinhar, TV e internet, e assim por diante. No entanto, muitas vezes há uma grande diferença no que vem com o edifício, quem o fornece e mantém, e sua rotina diária.

Who?

Todos na organização de segurança e TI com qualquer responsabilidade de segurança, desde o CIO ou CISO até os profissionais técnicos, devem estar familiarizados com as mudanças.

Como?

Forneça às equipes o contexto necessário para implantar e operar com êxito durante a transição para o ambiente de nuvem.

A Microsoft publicou as seguintes lições que os clientes e a organização de TI aprenderam em suas jornadas para a nuvem.

Para obter mais informações, consulte as funções, responsabilidades e responsabilidades do Azure Security Benchmark.

2. Pessoas: Eduque as equipas sobre a tecnologia de segurança na nuvem

As pessoas precisam entender para onde estão indo.

What?

Garanta que suas equipes tenham tempo reservado para educação técnica sobre como proteger recursos de nuvem, incluindo:

  • Tecnologia na nuvem e tecnologia de segurança na nuvem
  • Configurações recomendadas e práticas recomendadas
  • Onde saber mais detalhes técnicos

Porquê?

As equipas técnicas precisam de ter acesso a informações técnicas para tomar decisões de segurança informadas. As equipes técnicas são boas em aprender novas tecnologias no trabalho, mas o volume de detalhes na nuvem muitas vezes sobrecarrega sua capacidade de encaixar o aprendizado em sua rotina diária.

Reserve um tempo dedicado para o aprendizado técnico. A aprendizagem ajuda a garantir que as pessoas têm tempo para criar confiança na sua capacidade de avaliar a segurança na nuvem. Ajuda-os a pensar em como adaptar as suas competências e processos existentes.

Who?

Todas as funções de segurança e TI que interagem diretamente com a tecnologia de nuvem devem dedicar tempo para aprendizado técnico em plataformas de nuvem e como protegê-las.

Segurança, gerentes técnicos de TI e gerentes de projeto podem desenvolver familiaridade com alguns detalhes técnicos para proteger os recursos da nuvem. Essa familiaridade os ajuda a liderar e coordenar iniciativas de nuvem de forma mais eficaz.

Como?

Certifique-se de que os profissionais de segurança técnica tenham tempo reservado para treinamento individualizado sobre como proteger ativos de nuvem. Embora nem sempre seja viável, forneça acesso a treinamento formal com um instrutor experiente e laboratórios práticos.

Importante

Os protocolos de identidade são essenciais para o controle de acesso na nuvem, mas muitas vezes não são priorizados na segurança local. As equipes de segurança devem se concentrar em desenvolver familiaridade com esses protocolos e logs.

A Microsoft fornece recursos abrangentes para ajudar os profissionais técnicos a aumentar seus recursos. Esses recursos incluem:

3. Processo: Atribua responsabilidade por decisões de segurança na nuvem

As decisões de segurança não serão tomadas se ninguém for responsável por tomá-las.

What?

Escolha quem é responsável por tomar cada tipo de decisão de segurança para o ambiente empresarial do Azure.

Porquê?

A propriedade clara das decisões de segurança acelera a adoção da nuvem e aumenta a segurança. A falta de propriedade normalmente cria atritos porque ninguém se sente capacitado para tomar decisões. Ninguém sabe a quem pedir uma decisão e ninguém é incentivado a pesquisar uma decisão bem informada. O atrito frequentemente impede:

  • Objetivos empresariais
  • Cronogramas do desenvolvedor
  • Objetivos de TI
  • Garantias de segurança

O atrito pode resultar em:

  • Projetos paralisados que aguardam aprovação de segurança
  • Implantações inseguras que não podiam esperar pela aprovação de segurança

Who?

A liderança em segurança escolhe quais equipes ou indivíduos são responsáveis por tomar decisões de segurança sobre a nuvem.

Como?

Escolha grupos ou indivíduos para serem responsáveis por tomar decisões importantes de segurança.

Documente esses proprietários, suas informações de contato e socialize as informações amplamente dentro das equipes de segurança, TI e nuvem. A socialização garante que seja fácil para todas as funções contatá-los.

Estas áreas são normalmente onde as decisões de segurança são necessárias. A tabela a seguir mostra a categoria de decisão, a descrição da categoria e quais equipes geralmente tomam as decisões.

Decisão Descrição Equipa típica
Segurança da rede Configure e mantenha o Firewall do Azure, dispositivos virtuais de rede e roteamento associado, WAFs (Web Application Firewalls), NSGs, ASGs e assim por diante. Equipe de segurança de infraestrutura e endpoint focada em segurança de rede
Gestão de redes Gerencie a rede virtual em toda a empresa e a alocação de sub-redes. Equipe de operações de rede existente em operações centrais de TI
Segurança do ponto final do servidor Monitore e corrija a segurança do servidor, incluindo patching, configuração, segurança de endpoint e assim por diante. Operaçõese infraestruturas de TI centrais e equipas de segurança de terminais em conjunto
Monitorização e resposta a incidentes Investigue e corrija incidentes de segurança no SIEM ou no console de origem, incluindo o Microsoft Defender for Cloud, o Microsoft Entra ID Protection e assim por diante. Equipa de operações de segurança
Gestão de políticas Defina a direção para o uso do controle de acesso baseado em função do Azure (Azure RBAC), do Defender for Cloud, da estratégia de proteção do administrador e da Política do Azure para governar os recursos do Azure. Equipes de políticas e padrões e arquitetura de segurança em conjunto
Segurança e padrões de identidade Defina a direção para diretórios do Microsoft Entra, uso de PIM/pam, autenticação multifator, configuração de senha/sincronização, padrões de identidade de aplicativo. Equipes de gerenciamento de identidades e chaves, políticas e padrões e arquitetura de segurança em conjunto

Nota

  • Garantir que os tomadores de decisão tenham a educação adequada em sua área da nuvem para acompanhar essa responsabilidade.
  • Garantir que as decisões sejam documentadas em políticas e padrões para fornecer um registro e orientar a organização a longo prazo.

4. Processo: Atualize os processos de resposta a incidentes para a nuvem

Planeie com antecedência. Você não tem tempo para se planejar para uma crise durante uma crise.

What?

Prepare-se para incidentes de segurança na sua plataforma de nuvem do Azure. Essa preparação inclui todas as ferramentas nativas de deteção de ameaças que você adotou. Atualize processos, prepare sua equipe e pratique com ataques simulados para que eles possam trabalhar no seu melhor durante a investigação de incidentes, remediação e caça a ameaças.

Porquê?

Os atacantes ativos representam um risco imediato para a organização. A situação pode rapidamente tornar-se difícil de controlar. Responda rápida e eficazmente a ataques. Esse processo de resposta a incidentes (RI) deve ser eficaz para todo o seu patrimônio, incluindo todas as plataformas de nuvem que hospedam dados, sistemas e contas empresariais.

Embora semelhantes em muitos aspetos, as plataformas de nuvem são tecnicamente diferentes dos sistemas locais. Os sistemas locais podem interromper processos existentes, normalmente porque as informações estão disponíveis de uma forma diferente. Os analistas de segurança podem ter desafios para responder rapidamente a um ambiente desconhecido que pode atrasá-los. Essa afirmação é especialmente verdadeira se eles forem treinados apenas em arquiteturas locais clássicas e abordagens forenses de rede/disco.

Who?

A modernização do processo de RI é normalmente liderada por operações de segurança. O esforço muitas vezes vem com o apoio de outros grupos para conhecimento e especialização.

  • Patrocínio: O diretor de operações de segurança ou equivalente normalmente patrocina a modernização do processo.

  • Execução: Adaptar processos existentes, ou escrevê-los pela primeira vez, é um esforço colaborativo que envolve:

    • Operações de segurança: A equipe de gerenciamento de incidentes ou liderança lidera atualizações de processo e integração para as principais partes interessadas externas. Estas equipas incluem equipas jurídicas e de comunicação ou de relações públicas.
    • Operações de segurança: Os analistas de segurança fornecem experiência em investigação e triagem de incidentes técnicos.
    • Operações centrais de TI: Esta equipe fornece experiência em plataforma de nuvem diretamente, via centro de excelência em nuvem ou por meio de consultores externos.

Como?

Atualize os processos e prepare sua equipe para que eles saibam o que fazer quando encontrarem um invasor ativo.

  • Processos e playbooks: adapte as investigações, remediação e processos de caça a ameaças existentes às diferenças de como as plataformas de nuvem funcionam. As diferenças incluem ferramentas novas ou diferentes, fontes de dados, protocolos de identidade e assim por diante.
  • Educação: Instrua os analistas sobre a transformação geral da nuvem, detalhes técnicos de como a plataforma funciona e processos novos ou atualizados. Esta informação permite-lhes saber o que pode mudar e onde ir para o que precisam.
  • Principais áreas de foco: Embora haja muitos detalhes descritos nos links de recursos, essas áreas são onde concentrar seus esforços de educação e planejamento:
    • Modelo de responsabilidade compartilhada e arquiteturas de nuvem: para um analista de segurança, o Azure é um datacenter definido por software que fornece muitos serviços. Esses serviços incluem VMs e outros que são diferentes do local, como o Banco de Dados SQL do Azure Azure Functions. Os melhores dados estão nos logs de serviço ou nos serviços especializados de deteção de ameaças. Ele não está em logs para os sistemas operacionais/VMs subjacentes, que são operados pela Microsoft e atendem vários clientes. Os analistas precisam entender e integrar esse contexto em seus fluxos de trabalho diários. Dessa forma, eles sabem quais dados esperar, onde obtê-los e em que formato estão.
    • Fontes de dados de endpoint: Obter informações e dados para ataques e malware em servidores hospedados na nuvem geralmente é mais rápido, fácil e preciso com ferramentas nativas de deteção de nuvem. Ferramentas como o Microsoft Defender for Cloud e soluções de deteção e resposta de pontos finais (EDR) fornecem dados mais precisos do que as abordagens tradicionais de acesso direto ao disco. A perícia direta de disco está disponível para cenários em que é possível e necessária para processos judiciais. Para obter mais informações, consulte computação forense no Azure. Muitas vezes, porém, essa abordagem é a maneira mais ineficiente de detetar e investigar ataques.
    • Fontes de dados de rede e identidade: Muitas funções das plataformas de nuvem usam principalmente a identidade para controle de acesso. Esse controle de acesso inclui acesso ao portal do Azure, embora os controles de acesso à rede também sejam usados extensivamente. Esse controle de acesso exige que os analistas desenvolvam uma compreensão dos protocolos de identidade na nuvem para obter uma imagem completa e rica da atividade do invasor e da atividade legítima do usuário para dar suporte à investigação e correção de incidentes. Os diretórios e protocolos de identidade são diferentes dos locais. Eles geralmente são baseados em SAML, OAuth e OpenID Connect e diretórios de nuvem em vez de LDAP, Kerberos, NTLM e Ative Directory.
    • Exercícios práticos: Ataque e resposta simulados podem ajudar a construir memória muscular organizacional e prontidão técnica. Eles fornecem preparação para seus analistas de segurança, caçadores de ameaças, gerentes de incidentes e outras partes interessadas em sua organização. Aprender no trabalho e adaptar-se é uma parte natural da resposta a incidentes, mas você pode trabalhar para minimizar o quanto você tem que aprender em uma crise.

Recursos principais

Para obter mais informações, consulte o processo de resposta a incidentes do Azure Security Benchmark para o Azure.

5. Processo: Estabelecer a gestão da postura de segurança

Primeiro, conheça-se a si mesmo.

What?

Certifique-se de que está a gerir ativamente a postura de segurança do seu ambiente do Azure ao:

  • Atribuir uma clara apropriação das responsabilidades a:
    • Monitore a postura de segurança
    • Mitigar riscos para os ativos
  • Automatizando e simplificando essas tarefas

Porquê?

A rápida identificação e correção de riscos comuns de higiene de segurança reduz significativamente o risco organizacional.

A natureza definida por software dos datacenters em nuvem permite o monitoramento contínuo de riscos de segurança, como vulnerabilidades de software ou configurações incorretas de segurança, com instrumentação extensiva de ativos. A velocidade com que os desenvolvedores e a equipe de TI podem implantar VMs, bancos de dados e outros recursos cria uma necessidade de garantir que os recursos sejam configurados de forma segura e monitorada ativamente.

Esses novos recursos oferecem novas possibilidades, mas perceber valor deles requer atribuir responsabilidade por usá-los. Executar de forma consistente com operações de nuvem em rápida evolução requer manter os processos humanos tão simples e automatizados quanto possível. Consulte o princípio de segurança "simplicidade de condução".

Nota

O objetivo da simplificação e automação não é livrar-se de empregos, mas remover o fardo de tarefas repetitivas das pessoas para que elas possam se concentrar em atividades humanas de maior valor, como se envolver e educar equipes de TI e DevOps.

Who?

Esta prática é normalmente dividida em dois conjuntos de responsabilidades:

  • Gestão da postura de segurança: Esta função é muitas vezes uma evolução das funções existentes de gestão de vulnerabilidades ou governação. O resultado inclui o monitoramento da postura geral de segurança usando a pontuação segura do Microsoft Defender for Cloud e outras fontes de dados. Isso inclui trabalhar ativamente com proprietários de recursos para mitigar riscos e relatar riscos para a liderança em segurança.

  • Remediação de segurança: atribua a responsabilidade de lidar com esses riscos às equipes responsáveis pelo gerenciamento desses recursos. Essa responsabilidade pertence às equipes de DevOps que gerenciam seus próprios recursos de aplicativos ou às equipes específicas de tecnologia em operações centrais de TI:

    • Recursos de computação e aplicativos
      • Serviços de aplicativos: equipes de desenvolvimento e segurança de aplicativos
      • Contentores: Desenvolvimento de aplicações ou operações de infraestrutura/TI
      • VMs, conjuntos de escala, computação: operações de TI/infraestrutura
    • Dados e recursos de armazenamento
      • SQL, Redis, Data Lake Analytics, armazenamento de data lake: Equipe de banco de dados
      • Contas de armazenamento: equipe de armazenamento e infraestrutura
    • Recursos de identidade e acesso
      • Subscrições: Equipas de identidade
      • Cofre de chaves: Equipe de segurança de identidade ou informações/dados
    • Recursos de rede: Equipe de segurança de rede
    • Segurança de IoT: equipe de operações de IoT

Como?

A segurança é um trabalho de todos. Nem todos, porém, sabem o quão importante é, o que fazer e como fazê-lo.

  • Responsabilize os proprietários de recursos pelo risco de segurança, assim como eles são responsabilizados pela disponibilidade, desempenho, custo e outros fatores de sucesso.
  • Ofereça suporte aos proprietários de recursos com uma compreensão clara de por que o risco de segurança é importante para seus ativos, o que eles podem fazer para mitigar o risco e como implementá-lo com perda mínima de produtividade.

Importante

As explicações para o porquê, o quê e como proteger recursos geralmente são semelhantes em diferentes tipos de recursos e aplicativos, mas é fundamental relacioná-las com o que cada equipe já sabe e se preocupa. As equipes de segurança podem se envolver com suas contrapartes de TI e DevOps como um consultor confiável e parceiro focado em permitir que essas equipes sejam bem-sucedidas.

Ferramentas: a pontuação segura no Microsoft Defender for Cloud fornece uma avaliação das informações de segurança mais importantes no Azure para uma ampla variedade de ativos. Essa avaliação pode ser seu ponto de partida no gerenciamento de postura e pode ser complementada com políticas personalizadas do Azure e outros mecanismos, conforme necessário.

Frequência: configure uma cadência regular, normalmente mensal, para rever a pontuação segura do Azure e planear iniciativas com objetivos de melhoria específicos. A frequência pode ser aumentada conforme necessário.

Gorjeta

Gamifique a atividade, se possível, para aumentar o engajamento, como criar competições divertidas e prêmios para as equipes de DevOps que mais melhorarem sua pontuação.

Para obter mais informações, consulte a estratégia de gerenciamento de postura de segurança do Azure Security Benchmark.

6. Tecnologia: Requer autenticação sem senha ou multifator

Está disposto a apostar na segurança da sua empresa que os atacantes profissionais não conseguem adivinhar ou roubar a palavra-passe do seu administrador?

What?

Exija que todos os administradores de impacto crítico usem autenticação sem senha ou multifator.

Porquê?

Assim como as chaves de esqueleto antigas não protegem uma casa contra um assaltante moderno, as senhas não podem proteger as contas contra ataques comuns. Para obter detalhes técnicos, consulte Seu pa$$word não importa.

A autenticação multifator já foi uma etapa extra pesada. Hoje em dia, as abordagens sem palavra-passe melhoram a forma como os utilizadores iniciam sessão utilizando abordagens biométricas, como o reconhecimento facial no Windows Hello e em dispositivos móveis. Além disso, as abordagens de confiança zero lembram dispositivos confiáveis. Esse método reduz a solicitação de ações irritantes de autenticação multifator fora de banda. Para obter mais informações, consulte Frequência de entrada do usuário.

Who?

A iniciativa de senha e multifator é normalmente liderada por gerenciamento de identidade e chave ou arquitetura de segurança.

Como?

Implemente autenticação sem senha ou multifator. Treine os administradores sobre como usá-lo conforme eles precisam e exija que os administradores sigam usando a política escrita. Utilize uma ou mais destas tecnologias:

Nota

A autenticação multifator baseada em mensagem de texto agora é relativamente barata para os invasores ignorarem, portanto, concentre-se na autenticação multifator sem senha e mais forte.

Para obter mais informações, consulte os controles de autenticação forte do Azure Security Benchmark para todos os acessos baseados em ID do Microsoft Entra.

7. Tecnologia: Integre firewall nativo e segurança de rede

Simplifique a proteção de sistemas e dados contra ataques de rede.

What?

Simplifique sua estratégia de segurança de rede e manutenção integrando o Firewall do Azure, o firewall do aplicativo Web do Azure (WAF) e mitigações de negação de serviço distribuída (DDoS) em sua abordagem de segurança de rede.

Porquê?

A simplicidade é fundamental para a segurança, pois reduz a probabilidade de risco de confusão, configurações incorretas e outros erros humanos. Consulte o princípio de segurança "simplicidade de condução".

Firewalls e WAFs são importantes controles básicos de segurança para proteger aplicativos contra tráfego mal-intencionado, mas sua configuração e manutenção podem ser complexas e consumir uma quantidade significativa de tempo e atenção da equipe de segurança (semelhante a adicionar peças de reposição personalizadas a um carro). Os recursos nativos do Azure podem simplificar a implementação e a operação de firewalls, firewalls de aplicativos Web, mitigações de negação de serviço distribuída (DDoS) e muito mais.

Essa prática pode liberar o tempo e a atenção da sua equipe para tarefas de segurança de maior valor, como:

  • Avaliando a segurança dos serviços do Azure
  • Automatização das operações de segurança
  • Integração da segurança com aplicações e soluções informáticas

Who?

  • Patrocínio: A liderança em segurança ou liderança de TI normalmente patrocina a atualização da estratégia de segurança de rede.
  • Execução: Integrar estratégias na sua estratégia de segurança de rede na nuvem é um esforço colaborativo que envolve:
    • Arquitetura de segurança: estabeleça uma arquitetura de segurança de rede em nuvem com líderes de segurança de rede e rede em nuvem.
    • A rede na nuvem lidera as operações centrais de TI e a segurança da rede na nuvem lidera a equipe de segurança da infraestrutura
      • Estabeleça uma arquitetura de segurança de rede na nuvem com arquitetos de segurança.
      • Configure os recursos de firewall, NSG e WAF e trabalhe com arquitetos de aplicativos em regras WAF.
    • Arquitetos de aplicativos: trabalhem com segurança de rede para criar e refinar conjuntos de regras WAF e configurações DDoS para proteger o aplicativo sem interromper a disponibilidade

Como?

As organizações que desejam simplificar suas operações têm duas opções:

  • Estenda os recursos e arquiteturas existentes: muitas organizações geralmente optam por estender o uso dos recursos de firewall existentes para que possam capitalizar os investimentos existentes em habilidades e integração de processos, especialmente quando adotam a nuvem pela primeira vez.
  • Adote controles de segurança nativos: mais organizações estão começando a preferir usar controles nativos para evitar a complexidade da integração de recursos de terceiros. Essas organizações normalmente procuram evitar o risco de uma configuração incorreta no balanceamento de carga, rotas definidas pelo usuário, o firewall ou o próprio WAF e atrasos nas transferências entre diferentes equipes técnicas. Essa opção é atraente para as organizações que adotam a infraestrutura como abordagens de código, pois podem automatizar e instrumentar os recursos internos mais facilmente do que os recursos de terceiros.

A documentação sobre os recursos de segurança de rede nativa do Azure pode ser encontrada em:

O Azure Marketplace inclui muitos fornecedores de firewall de terceiros.

Para obter mais informações, consulte a Proteção DDOS do Azure Security Benchmark e a proteção por firewall de aplicativos Web.

8. Tecnologia: Integre a deteção nativa de ameaças

Simplifique a deteção e a resposta de ataques contra sistemas e dados do Azure.

What?

Simplifique sua estratégia de deteção e resposta a ameaças incorporando recursos nativos de deteção de ameaças em suas operações de segurança e SIEM.

Porquê?

O objetivo das operações de segurança é reduzir o impacto de atacantes ativos que têm acesso ao ambiente. O impacto é medido pelo tempo médio para reconhecer (MTTA) e remediar (MTTR) incidentes. Esta prática requer precisão e rapidez em todos os elementos de resposta a incidentes. O resultado ajuda a garantir a qualidade das ferramentas e a eficiência da execução do processo são primordiais.

É difícil obter deteções de ameaças altas usando as ferramentas e abordagens existentes. As ferramentas e abordagens são projetadas para deteção de ameaças no local devido às diferenças na tecnologia de nuvem e seu rápido ritmo de mudança. As deteções nativamente integradas fornecem soluções em escala industrial mantidas por provedores de nuvem que podem acompanhar as ameaças atuais e as mudanças na plataforma de nuvem.

Essas soluções nativas permitem que as equipes de operações de segurança se concentrem na investigação e correção de incidentes. Concentre-se nesses itens em vez de perder tempo criando alertas a partir de dados de log desconhecidos, integrando ferramentas e tarefas de manutenção.

Who?

Normalmente conduzido pela equipe de operações de segurança.

  • Patrocínio: Este trabalho é normalmente patrocinado pelo diretor de operações de segurança ou função equivalente.
  • Execução: A integração da deteção nativa de ameaças é um esforço colaborativo que envolve essas soluções com:

Como?

Habilite a deteção de ameaças no Microsoft Defender for Cloud para todos os recursos que você está usando e faça com que cada equipe integre esses recursos em seus processos, conforme descrito acima.

Para obter mais informações, consulte a deteção de ameaças do Azure Security Benchmark para recursos do Azure.

9. Arquitetura: Padronizar em um único diretório e identidade

Ninguém quer lidar com múltiplas identidades e diretórios.

What?

Padronize em um único diretório do Microsoft Entra. Você pode padronizar uma única identidade para cada aplicativo e usuário no Azure.

Nota

Esta prática recomendada refere-se especificamente aos recursos da empresa. Para contas de parceiros, use o Microsoft Entra B2B para não precisar criar e manter contas em seu diretório. Para contas de cliente ou cidadão, use o Azure AD B2C para gerenciá-las.

Porquê?

Várias contas e diretórios de identidade criam atritos desnecessários, o que cria confusão nos fluxos de trabalho diários para:

  • Utilizadores de produtividade
  • Programadores
  • Administradores de TI e identidade
  • Analistas de segurança
  • Outras funções

O gerenciamento de várias contas e diretórios cria um incentivo para práticas de segurança deficientes. Essas práticas incluem coisas como a reutilização de senha entre contas. Isso aumenta a probabilidade de contas obsoletas ou abandonadas que os invasores podem atacar.

Embora às vezes pareça mais fácil criar rapidamente um diretório LDAP personalizado para um determinado aplicativo ou carga de trabalho, essa ação cria muito mais trabalho para integrar e gerenciar. Esse trabalho é semelhante a optar por configurar um locatário adicional do Azure ou uma floresta do Ative Directory local em vez de usar o locatário corporativo existente. Para obter mais informações, consulte o princípio de segurança da simplicidade de condução.

Who?

A padronização em um único diretório do Microsoft Entra geralmente é um esforço entre equipes. O esforço é impulsionado pela arquitetura de segurança ou pelas equipes de gerenciamento de identidade e chaves.

  • Patrocínio: A arquitetura de segurança e gerenciamento de identidades e chaves normalmente patrocina esse trabalho, embora algumas organizações possam exigir patrocínio do CISO ou CIO.
  • Execução: A execução é um esforço colaborativo que envolve:
    • Arquitetura de segurança: Esta equipe incorpora o processo em documentos e diagramas de arquitetura de segurança e TI.
    • Política e normas: Esta equipa documenta a política e monitoriza a conformidade.
    • Gerenciamento de identidades e chaves ou operações centrais de TI: essas equipes implementam a política habilitando recursos e dando suporte aos desenvolvedores com contas, educação e assim por diante.
    • Desenvolvedores de aplicativos ou operações centrais de TI: essas equipes usam identidade em aplicativos e configurações de serviço do Azure. As responsabilidades variam de acordo com o nível de adoção do DevOps.

Como?

Adote uma abordagem pragmática que comece com novas capacidades greenfield. Em seguida, limpe os desafios com o brownfield de aplicativos e serviços existentes como um exercício de acompanhamento:

  • Greenfield: Estabeleça e implemente uma política clara de que toda a identidade corporativa pode usar um único diretório do Microsoft Entra com uma única conta para cada usuário.

  • Brownfield: Muitas organizações geralmente têm vários diretórios legados e sistemas de identidade. Resolva esses itens legados quando o custo do atrito de gerenciamento contínuo exceder o investimento para limpá-lo. Embora as soluções de gerenciamento e sincronização de identidades possam atenuar alguns desses problemas, elas carecem de integração profunda dos recursos de segurança e produtividade. Esses recursos permitem uma experiência perfeita para usuários, administradores e desenvolvedores.

O momento ideal para combinar o uso da identidade é durante os ciclos de desenvolvimento de aplicativos, à medida que:

  • Modernize aplicativos para a nuvem.
  • Atualize aplicativos na nuvem com processos de DevOps.

Embora existam razões válidas para um diretório separado para unidades de negócios independentes ou requisitos regulamentares, evite vários diretórios em todas as outras circunstâncias.

Para obter mais informações, consulte o Benchmark de Segurança do Azure Sistema central de identidade e autenticação do Microsoft Entra.

Importante

A única exceção à regra de contas únicas é que os usuários privilegiados, incluindo administradores de TI e analistas de segurança, podem ter contas separadas para tarefas de usuário padrão em comparação com tarefas administrativas.

Para obter mais informações, consulte Acesso privilegiado do Azure Security Benchmark.

10. Arquitetura: Use o controle de acesso baseado em identidade em vez de teclas

What?

Use identidades Microsoft Entra em vez de autenticação baseada em chave sempre que possível. Por exemplo, serviços do Azure, aplicativos, APIs.

Porquê?

A autenticação baseada em chave pode ser usada para autenticar em serviços de nuvem e APIs. Mas requer o gerenciamento de chaves com segurança, o que é um desafio para se sair bem, especialmente em escala. O gerenciamento seguro de chaves é difícil para profissionais que não são de segurança, como desenvolvedores e profissionais de infraestrutura, e eles muitas vezes não conseguem fazê-lo de forma segura, muitas vezes criando grandes riscos de segurança para a organização.

A autenticação baseada em identidade supera muitos desses desafios com recursos maduros. Os recursos incluem rotação secreta, gerenciamento do ciclo de vida, delegação administrativa e muito mais.

Who?

A implementação de controle de acesso baseado em identidade geralmente é um esforço entre equipes. O esforço é impulsionado pela arquitetura de segurança ou pelas equipes de gerenciamento de identidade e chaves.

Como?

Definir uma preferência organizacional e um hábito para usar a autenticação baseada em identidade requer seguir um processo e habilitar a tecnologia.

O processo

  1. Estabeleça políticas e padrões que descrevam claramente a autenticação baseada em identidade padrão e exceções aceitáveis.
  2. Eduque desenvolvedores e equipes de infraestrutura sobre por que usar a nova abordagem, o que eles precisam fazer e como fazê-lo.
  3. Implemente alterações de forma pragmática, começando com novos recursos greenfield sendo adotados agora e no futuro, como novos serviços do Azure e novos aplicativos, e depois seguindo com uma limpeza das configurações de brownfield existentes.
  4. Monitore a conformidade e faça o acompanhamento com as equipes de desenvolvimento e infraestrutura para remediar.

As tecnologias

Para contas não humanas, como serviços ou automação, use identidades gerenciadas. As identidades gerenciadas do Azure podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais codificadas no código-fonte ou nos arquivos de configuração.

Para serviços que não oferecem suporte a identidades gerenciadas, use a ID do Microsoft Entra para criar uma entidade de serviço com permissões restritas no nível do recurso. Você deve configurar entidades de serviço com credenciais de certificado e fallback para segredos de cliente. Em ambos os casos, o Cofre da Chave do Azure pode ser usado com identidades gerenciadas do Azure, para que o ambiente de tempo de execução, como uma função do Azure, possa recuperar a credencial do cofre de chaves.

Para obter mais informações, consulte as identidades de aplicativo do Azure Security Benchmark.

11. Arquitetura: Estabeleça uma estratégia de segurança unificada única

Todos precisam remar na mesma direção para que o barco avance.

What?

Certifique-se de que todas as equipes estejam alinhadas a uma única estratégia que permita e proteja sistemas e dados corporativos.

Porquê?

Quando as equipas trabalham isoladamente sem estarem alinhadas com uma estratégia comum, as suas ações individuais podem, inadvertidamente, enfraquecer os esforços umas das outras. O desalinhamento pode criar atritos desnecessários que retardam o progresso em relação aos objetivos de todos.

Um exemplo de equipes trabalhando isoladamente que tem se desenrolado de forma consistente em muitas organizações é a segmentação de ativos:

  • Segurança de rede: Desenvolve uma estratégia para segmentar uma rede plana. A estratégia aumenta a segurança, muitas vezes com base em sites físicos, endereços/intervalos de endereços IP atribuídos ou itens semelhantes.
  • Equipe de identidade: Desenvolve uma estratégia para grupos e unidades organizacionais (OUs) do Ative Directory com base em sua compreensão e conhecimento da organização.
  • Equipas de aplicação: Têm dificuldade em trabalhar com estes sistemas. É difícil porque eles foram projetados com informações e compreensão limitadas das operações, objetivos e riscos de negócios.

Em organizações onde essa limitação acontece, as equipes frequentemente enfrentam conflitos sobre exceções de firewall. Os conflitos podem afetar negativamente a segurança porque as equipes aprovam exceções. A produtividade afeta negativamente a segurança porque as implantações diminuem a funcionalidade do aplicativo de que a empresa precisa.

Embora a segurança possa criar um atrito saudável forçando o pensamento crítico, esse conflito apenas cria um atrito doentio que impede os objetivos. Para obter mais informações, consulte as diretrizes de estratégia de segurança.

Who?

  • Patrocínio: A estratégia unificada é normalmente copatrocinada pelo CIO, CISO e CTO. O patrocínio geralmente vem com o apoio da liderança empresarial para alguns elementos de alto nível e é defendido por representantes de cada equipe.
  • Execução: A estratégia de segurança deve ser implementada por todos. Ele integra dados de várias equipes para aumentar a propriedade, a adesão e a probabilidade de sucesso.
    • Arquitetura de segurança: esta equipe lidera o esforço para criar a estratégia de segurança e a arquitetura resultante. A arquitetura de segurança recolhe ativamente o feedback das equipas e documenta-o em apresentações, documentos e diagramas para os vários públicos.
    • Política e padrões: essa equipe captura os elementos apropriados em padrões e políticas e, em seguida, monitora a conformidade.
    • Todas as equipes técnicas de TI e segurança: essas equipes fornecem requisitos de entrada e, em seguida, alinham e implementam a estratégia corporativa.
    • Proprietários e desenvolvedores de aplicativos: essas equipes leem e entendem a documentação de estratégia que se aplica a eles. Idealmente, adaptam a orientação à sua função.

Como?

Construir e implementar uma estratégia de segurança para cloud que inclua a entrada e participação ativa de todas as equipas. Embora o formato da documentação do processo possa variar, ele sempre inclui:

  • Entrada ativa das equipes: as estratégias geralmente falham se as pessoas na organização não as comprarem. O ideal é colocar todas as equipes na mesma sala para construir a estratégia de forma colaborativa. Nos workshops que realizamos com os clientes, muitas vezes encontramos organizações operando em silos de fato e essas reuniões muitas vezes resultam em pessoas se encontrando pela primeira vez. Consideramos que a inclusão é um requisito. Se algumas equipas não forem convidadas, esta reunião tem normalmente de ser repetida até que todos os participantes se juntem à mesma. Se eles não aderirem, o projeto não avança.
  • Documentado e comunicado de forma clara: Todas as equipas devem ter conhecimento da estratégia de segurança. Idealmente, a estratégia de segurança é um componente de segurança da estratégia global de tecnologia. Essa estratégia inclui por que integrar a segurança, o que é importante na segurança e como é o sucesso da segurança. Essa estratégia inclui orientação específica para as equipes de aplicativos e desenvolvimento, para que possam obter orientações claras e organizadas sem ter que ler informações não relevantes.
  • Estável, mas flexível: mantenha as estratégias relativamente consistentes e estáveis, mas as arquiteturas e a documentação podem precisar adicionar clareza e acomodar a natureza dinâmica da nuvem. Por exemplo, filtrar o tráfego externo mal-intencionado permaneceria consistente como um imperativo estratégico, mesmo se você mudar do uso de um firewall de próxima geração de terceiros para o Firewall do Azure e ajustar diagramas e orientações sobre como fazê-lo.
  • Comece com a segmentação: há questões de estratégia grandes e pequenas para resolver, mas você precisa começar em algum lugar. Inicie a estratégia de segurança com a segmentação de ativos corporativos. Essa segmentação é uma decisão fundamental que seria difícil de mudar mais tarde e requer informações de negócios e muitas equipes técnicas.

A Microsoft publicou orientações em vídeo para aplicar uma estratégia de segmentação ao Azure. Há documentos publicados sobre segmentação empresarial e alinhamento da segurança de rede a ela.

O Cloud Adoption Framework inclui orientações para ajudar as suas equipas a:

  • Criação de uma equipe de estratégia de nuvem: idealmente, você integra a segurança em uma estratégia de nuvem existente.
  • Crie ou modernize uma estratégia de segurança: atenda às metas de negócios e segurança na era atual dos serviços em nuvem e das ameaças modernas.

Para obter mais informações, consulte a estratégia de governança do Azure Security Benchmark.