Controlar antipadrões
Você pode encontrar antipadrões durante a fase Govern da adoção da nuvem. Entenda as responsabilidades compartilhadas e como criar sua estratégia de segurança em estruturas existentes para ajudá-lo a evitar esses antipadrões.
Antipadrão: não entender responsabilidades compartilhadas
Quando você adota a nuvem, nem sempre fica claro onde sua responsabilidade termina e onde a responsabilidade do provedor de nuvem começa em relação aos diferentes modelos de serviço. Conhecimentos e habilidades de nuvem são necessários para criar processos e práticas em torno de itens de trabalho que usam modelos de serviço.
Exemplo: considerar que o provedor de nuvem gerencia atualizações
Os membros do departamento de recursos humanos (RH) de uma empresa usam a infraestrutura como serviço (IaaS) para configurar vários servidores Windows na nuvem. Eles assumem que o provedor de nuvem gerencia atualizações porque a TI no local geralmente lida com a instalação de atualizações. O departamento de RH não configura as atualizações porque não está ciente de que o Azure não implanta e instala atualizações do sistema operacional (SO) por padrão. Como resultado, os servidores são incompatíveis e representam um risco à segurança.
Resultado preferencial: criar um plano de preparação
Entenda a responsabilidade compartilhada na nuvem. Compilar e criar um plano de preparação. Um plano de preparação pode criar um impulso contínuo para aprender e desenvolver conhecimentos.
Antipadrão: considerar que soluções prontas para uso fornecem segurança
As empresas tendem a ver a segurança como um recurso inerente aos serviços em nuvem. Embora essa suposição seja geralmente correta, a maioria dos ambientes precisa aderir aos requisitos da estrutura de conformidade, que podem diferir dos requisitos de segurança. O Azure fornece segurança básica e o portal do Azure pode fornecer segurança mais avançada por meio do Microsoft Defender for Cloud. Ao criar uma assinatura, você deve personalizar sua solução para impor um padrão de conformidade e segurança.
Exemplo: negligenciar segurança de nuvem
Uma empresa desenvolve um novo aplicativo na nuvem. Ela escolhe uma arquitetura baseada em muitos serviços de PaaS (plataforma como serviço), além de alguns componentes de IaaS para fins de depuração. Depois de liberar o aplicativo para produção, a empresa percebe que um de seus servidores de salto foi comprometido e estava extraindo dados para um endereço IP desconhecido. A empresa descobre que o problema é o endereço IP público do servidor de salto e uma senha fácil de adivinhar. A empresa poderia ter evitado essa situação se ela tivesse se concentrado mais na segurança de nuvem.
Resultado preferencial: definir uma estratégia de segurança de nuvem
Defina uma estratégia de segurança de nuvemadequada. Para obter mais informações, consulte o guia de preparação para a nuvem CISO. Consulte seu diretor de segurança da informação (CISO) para este guia. O guia de preparação para a nuvem CISO discute tópicos como recursos da plataforma de segurança, privacidade e controles, conformidade e transparência.
Leia sobre proteger cargas de trabalho de nuvem no Azure Security Benchmark. Crie com base nos controles do CIS v7.1 do Centro para Segurança da Internet, junto ao NIST SP800-53 do National Institute of Standards and Technology, que abordam a maioria dos riscos e medidas de segurança.
Use o Microsoft Defender para Nuvem para identificar riscos, adaptar melhores práticas e melhorar a postura de segurança de sua empresa.
Implemente ou dê suporte a requisitos automatizados de conformidade e segurança específicos da empresa usando a Política do Azure e a solução Política do Azure como Código.
Antipadrão: usar uma estrutura de conformidade ou governança personalizada
A introdução de uma estrutura personalizada de conformidade e governança que não seja baseada nos padrões do setor pode aumentar substancialmente o tempo de adoção da nuvem. Isso ocorre porque a tradução da estrutura personalizada para as configurações de nuvem pode ser complexa. Essa complexidade pode aumentar o esforço necessário para converter medidas e requisitos personalizados em controles de segurança implementáveis. As empresas geralmente precisam cumprir conjuntos semelhantes de requisitos de segurança e conformidade. Como resultado, a maioria das estruturas de conformidade e segurança personalizadas diferem somente um pouco das estruturas de conformidade atuais. Empresas com requisitos de segurança extras podem considerar a criação de novas estruturas.
Exemplo: usar uma estrutura de segurança personalizada
O CISO de uma empresa atribui aos funcionários de segurança de TI a tarefa de inventar uma estrutura e uma estratégia de segurança de nuvem. Em vez de se basear nos padrões do setor, o departamento de segurança de TI cria uma nova estrutura criada a partir da política de segurança local atual. Depois de concluir a política de segurança de nuvem, as equipes AppOps e DevOps têm dificuldade para implementar a política de segurança de nuvem.
O Azure oferece uma estrutura de segurança e conformidade mais abrangente que difere da estrutura da própria empresa. A equipe do CISO considera os controles do Azure incompatíveis com suas próprias regras de conformidade e segurança. Se tivesse baseado sua estrutura em controles padronizados, ela não teria chegado a essa conclusão.
Resultado preferencial: depender de estruturas existentes
Use ou desenvolva estruturas existentes, como CIS Controls versão 7.1 ou NIST SP 800-53, antes de estabelecer ou introduzir uma estrutura de conformidade da empresa personalizada. As estruturas existentes tornam a transição para as configurações de segurança da nuvem mais fácil e mais mensurável. Para obter mais informações sobre implementações de estrutura, consulte Opções de implementação de zonas de aterrissagem do Azure.