Gerencie seu patrimônio na nuvem com segurança aprimorada
A fase Gerenciar de uma jornada de adoção da nuvem se concentra na operação contínua do seu patrimônio na nuvem. Manter e reforçar continuamente a sua postura de segurança é fundamental para gerir com sucesso o seu património e deve ser considerado a pedra angular das suas práticas de gestão. Se você negligenciar a segurança em favor de economias de custos ou melhorias de desempenho, corre o risco de expor sua empresa a ameaças que podem prejudicar gravemente sua empresa e reverter quaisquer benefícios de curto prazo que isso trouxe. Investir em mecanismos e práticas de segurança prepara o seu negócio para o sucesso a longo prazo, minimizando os riscos de ataques prejudiciais.
Este artigo é um guia de suporte para a metodologia Gerenciar . Ele descreve as áreas de otimização de segurança que você deve considerar ao passar por essa fase em sua jornada.
Modernização da postura de segurança
Durante a fase Gerenciar de sua jornada de adoção da nuvem, você deve ter uma plataforma de observabilidade robusta com monitoramento completo e alertas inteligentes já configurados, mas modernizar essa plataforma pode exigir uma nova mentalidade que se concentre fortemente em medidas proativas e na adoção dos princípios do Zero Trust.
Suponha a violação: assumir que há uma violação em um ou mais de seus sistemas é um princípio fundamental da deteção proativa e o impulsionador da engenharia de deteção e caça a ameaças. A caça a ameaças usa uma abordagem baseada em hipóteses - que uma violação já aconteceu de alguma forma específica - para analisar inteligentemente seus sistemas por meio de ferramentas na tentativa de provar ou refutar essa hipótese. A engenharia de deteção é a prática de desenvolver mecanismos de deteção especializados para aumentar as plataformas de observabilidade que não estão equipadas para detetar novos e novos ataques cibernéticos.
Verifique explicitamente: Passar de uma mentalidade de "confiança por padrão" para "confiança por exceção" significa que você precisa ser capaz de validar atividades confiáveis por meio da visibilidade. Aumentar sua plataforma de observabilidade com monitoramento inteligente de identidade e acesso pode ajudá-lo a detetar comportamentos anômalos em tempo real.
Facilitação do Azure
- O Microsoft Defender XDR oferece caça avançada a ameaças em vários domínios, como pontos de extremidade, aplicativos na nuvem e identidade.
Gerir a preparação e a resposta a incidentes
Preparação para incidentes:
Implemente uma solução de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR) para aumentar seus sistemas de monitoramento e alerta de infraestrutura para detetar e responder a incidentes de segurança.
Analise proativamente os seus sistemas na nuvem em busca de vulnerabilidades. O uso de um verificador de vulnerabilidades que pode ser integrado a um sistema SIEM consolida os dados de segurança de todo o seu ambiente, o que ajuda você a detetar e responder com eficiência a vários tipos de riscos e incidentes de segurança.
Aumente a profundidade de sua visibilidade sobre os riscos de segurança em seu ambiente implementando uma solução estendida de deteção e resposta (XDR). Alimentar esses dados em seu sistema SIEM unifica o monitoramento de segurança em um único painel de vidro e otimiza a eficiência de sua equipe de operações de segurança.
Planejamento de resposta a incidentes: modernizar sua plataforma de observabilidade é essencial para a deteção de incidentes. É também a base para manter o seu plano de resposta a incidentes. Seu plano de resposta a incidentes deve ser um documento dinâmico atualizado regularmente. Ele precisa se manter atualizado com seus esforços de engenharia de deteção e caça a ameaças e com informações de risco disponíveis publicamente, como a base de conhecimento MITRE ATT&CK .
Além de manter seus planos de resposta a incidentes, você também precisa ter planos de resposta a incidentes e recuperação de desastres totalmente desenvolvidos.
Continuidade de negócios e recuperação de desastres: desenvolva e teste planos de recuperação de desastres para garantir que seu ambiente de nuvem seja resiliente e possa se recuperar rapidamente de incidentes. Inclua estratégias de backup e recuperação que ofereçam suporte à continuidade dos negócios. Em muitos casos, cargas de trabalho individuais em seu ambiente têm metas e processos de recuperação exclusivos, portanto, ter planos baseados em carga de trabalho, em vez de um único plano que cobre todas as facetas do negócio, é uma boa estratégia. Consulte o guia de recuperação de desastres do Well-Architected Framework para obter orientações focadas na carga de trabalho sobre este tópico.
Facilitação do Azure
O Microsoft Defender for Cloud oferece planos que monitoram e protegem muitos recursos de carga de trabalho, como servidores, armazenamento, contêineres, bancos de dados SQL e DNS. Esses planos permitem que você descubra insights profundos que, de outra forma, não conseguiria encontrar com sua solução de monitoramento existente.
- O Defender for Servers inclui o Gerenciamento de Vulnerabilidades do Microsoft Defender para verificação de vulnerabilidades em suas VMs baseadas no Azure ou habilitadas para Azure Arc.
O Microsoft Sentinel é a solução SIEM e SOAR nativa da nuvem da Microsoft. Você pode usá-lo como uma solução independente. Ele também se integra ao Microsoft Defender para fornecer uma plataforma unificada de operações de segurança.
A investigação e a resposta automatizadas no Defender XDR ajudam sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz, fornecendo recursos de deteção automatizada e autorrecuperação para muitos cenários.
Gestão da confidencialidade
A gestão contínua da sua postura de segurança no que diz respeito à confidencialidade envolve a realização regular de práticas de monitorização e auditoria bem concebidas, a manutenção de procedimentos de auditoria codificados e a procura de oportunidades de melhoria contínua.
Monitoramento e auditoria regulares: Para garantir a integridade das políticas de confidencialidade, você precisa estabelecer uma cadência regular para monitoramento e auditoria. A monitorização contínua ajuda na deteção precoce de potenciais ameaças e anomalias de segurança. No entanto, o controlo, por si só, é insuficiente. Você precisa realizar auditorias regulares para verificar se as políticas e controles em vigor são eficazes e se estão sendo cumpridos. As auditorias fornecem uma análise abrangente da sua postura de segurança e ajudam-no a identificar quaisquer lacunas ou fraquezas que precise de resolver.
Documentar e institucionalizar procedimentos de auditoria: Documentar procedimentos de auditoria é crucial para a consistência e prestação de contas. A institucionalização destes procedimentos garante a realização sistemática e regular de auditorias. A documentação pormenorizada deve incluir o âmbito da auditoria, as metodologias, os instrumentos utilizados e a frequência das auditorias. Esta prática ajuda-o a manter um elevado padrão de segurança. Ele também fornece uma trilha clara para fins de conformidade e regulamentação.
As melhores práticas para reforçar a confidencialidade incluem:
Separação de funções (SoD): A implementação da SoD ajuda a prevenir conflitos de interesses e reduz o risco de fraude. Dividir as responsabilidades entre diferentes indivíduos garante que nenhuma pessoa tenha controle sobre todos os aspetos de um processo crítico.
Manutenção proativa do ciclo de vida do usuário: você precisa atualizar e gerenciar contas de usuário regularmente. Essa prática inclui a revogação imediata do acesso para usuários que não precisam mais dele, a atualização de permissões à medida que as funções mudam e a garantia de que as contas inativas sejam desabilitadas. A manutenção proativa ajuda a evitar o acesso não autorizado e ajuda a garantir que apenas usuários atuais e autorizados tenham acesso a dados confidenciais. Os arquitetos de acesso devem incluir essas medidas em seus procedimentos operacionais padrão.
Facilitação do Azure
O Microsoft Purview Data Loss Prevention (DLP) pode ajudá-lo a detetar e prevenir a exfiltração por meio de processos comuns usados por invasores. O Purview DLP pode detetar adversários que usam qualquer uso inicial ou aplicativo na nuvem para exfiltrar dados confidenciais de dispositivos de ponto final. O Purview DLP também pode identificar a execução dessas ferramentas quando os adversários as renomeiam para não serem detetadas.
O Microsoft Purview Insider Risk Management pode ajudá-lo a detetar e prevenir possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança.
Gestão da integridade
O gerenciamento dos dados e da integridade do sistema requer um monitoramento robusto com configurações específicas para detetar alterações não autorizadas em seus ativos. Outros princípios fundamentais da fase de Gestão são a adoção de práticas de melhoria contínua e formação.
Monitoramento da integridade dos dados: monitorar efetivamente a integridade dos dados é uma tarefa complexa. Ferramentas inteligentes podem aliviar o fardo de configurar os mecanismos de monitoramento apropriados. Se você combinar governança de dados inteligente com soluções SIEM e SOAR, poderá obter insights profundos sobre as atividades relacionadas aos seus dados e automatizar partes do seu plano de resposta a incidentes. Seu monitoramento deve detetar comportamentos anômalos, incluindo acesso não autorizado a armazenamentos de dados e alterações em armazenamentos de dados. Respostas automatizadas a incidentes, como bloqueios imediatos, podem ajudar a minimizar o raio de explosão de atividades maliciosas.
Monitoramento da integridade do sistema: monitorar efetivamente a integridade do sistema é mais simples do que monitorar a integridade dos dados. A maioria das plataformas modernas de monitoramento e alerta estão bem equipadas para detetar alterações nos sistemas. Com guarda-corpos adequados em torno das implantações, como permitir apenas alterações no ambiente por meio do IaC, e uma plataforma de autenticação e acesso bem projetada, você pode garantir que as alterações que ocorrem fora dos protocolos aprovados sejam detetadas e investigadas imediatamente.
Facilitação do Azure
Monitoramento da integridade dos dados
- O gerenciamento de integridade do Microsoft Purview pode ajudá-lo a codificar padrões de dados e medir como os dados em seu patrimônio estão em conformidade com esses padrões ao longo do tempo. Ele fornece relatórios para rastrear a integridade dos dados e ajuda os proprietários de dados a corrigir problemas que surjam.
Gerenciando a disponibilidade
Gerenciar a disponibilidade de sua propriedade na nuvem requer um monitoramento de disponibilidade robusto e proativo, validado por meio de testes.
Monitoramento de disponibilidade: certifique-se de que toda a infraestrutura e aplicativos estejam configurados para monitoramento e que o alerta esteja configurado para notificar as equipes apropriadas. Use o registro em log nativo da nuvem e a funcionalidade de instrumentação de aplicativos para simplificar seu projeto de monitoramento e reduzir a carga operacional.
Teste de disponibilidade: Toda a infraestrutura e aplicativos devem ser testados regularmente quanto à disponibilidade como parte de sua estratégia geral de teste. A injeção de falhas e os testes de caos são excelentes estratégias para testar a disponibilidade e a segurança, introduzindo propositadamente avarias.
Facilitação do Azure
Além das soluções do Defender for Cloud discutidas anteriormente, considere as seguintes soluções:
A instrumentação automática para o Azure Monitor Application Insights permite que você instrumente facilmente seu aplicativo para monitoramento de telemetria avançado por meio do Application Insights. Muitos tipos de hospedagem baseados no Azure e locais têm suporte para instrumentação automática.
O Azure Chaos Studio é um serviço gerenciado que usa engenharia de caos para ajudá-lo a medir, entender e melhorar sua resiliência de aplicativos e serviços na nuvem.
Gerenciando a sustentação da segurança
Formação contínua
Incentive a educação contínua e a certificação em práticas de segurança na nuvem para se manter atualizado com as ameaças e tecnologias em evolução. Esta formação deve abranger:
Deteção de ameaças. Use ferramentas avançadas de análise e monitoramento, como o Microsoft Sentinel, para detetar ameaças precocemente, enfatizando o monitoramento contínuo e a identificação proativa de ameaças. A análise avançada permite a identificação de padrões e comportamentos incomuns que podem indicar potenciais ameaças à segurança. A inteligência integrada sobre ameaças fornece informações atualizadas sobre ameaças conhecidas, o que aumenta a capacidade do sistema de detetar riscos emergentes. Incluir formação sobre respostas pré-planeadas, tais como ações automatizadas de contenção, a fim de assegurar uma reação rápida às ameaças detetadas.
Resposta a incidentes. Treine sua equipe de operações de segurança em estratégias robustas de resposta a incidentes que integrem os princípios do Zero Trust, assumindo que as ameaças podem vir de fontes internas e externas. Esta atividade inclui a verificação contínua de identidades e a segurança do acesso aos recursos. O treinamento também deve abranger o uso de árvores de decisão e fluxogramas para orientar as ações de resposta com base em cenários de incidentes específicos.
- Disponibilidade. Forneça treinamento sobre a implantação de soluções de alta disponibilidade e recuperação de desastres usando os serviços do Azure para garantir que os dados e recursos permaneçam acessíveis quando forem necessários. Este treinamento inclui a manutenção de respostas pré-planejadas que descrevem as etapas para preservar a disponibilidade durante um incidente. O treinamento também deve abranger estratégias para garantir o acesso contínuo a recursos críticos, mesmo em caso de interrupções, e incluir treinamento prático sobre como configurar e gerenciar ferramentas de alta disponibilidade e recuperação de desastres do Azure.
Exercícios de simulação: Realize exercícios de segurança regulares e simulações para preparar a equipe para cenários do mundo real. Esses exercícios devem avaliar a capacidade da organização de responder a incidentes dentro da estrutura Zero Trust, tratando todos os segmentos de rede como potencialmente comprometidos até que sejam verificados como seguros. Cenários como ataques de phishing, violações de dados e ransomware devem ser simulados para identificar lacunas nas estratégias de resposta e fornecer experiência prática no tratamento de incidentes. Os exercícios devem enfatizar as estratégias de contenção, isolando rapidamente os sistemas comprometidos para evitar uma maior propagação, a comunicação rápida através do estabelecimento de canais claros e eficientes para disseminar informações e a preservação de evidências, garantindo que todos os dados relevantes sejam coletados e armazenados com segurança para apoiar a análise e investigação subsequentes. Use respostas pré-planejadas, como manuais de incidentes e protocolos de comunicação, para garantir que as ações durante esses exercícios sejam consistentes e sistemáticas.
Exercícios de resposta a incidentes: teste regularmente os planos de resposta a incidentes através de exercícios realistas que simulam vários cenários de ameaça. Esses exercícios devem envolver todas as partes interessadas relevantes, incluindo a equipe do Centro de Operações de Segurança (SOC), coordenadores de resposta a incidentes, líder de governança, controlador de incidentes, líder de investigação, líder de infraestrutura e equipe de governança de nuvem, para garantir uma preparação abrangente em toda a organização. Incorporar elementos da tríade CIA e dos princípios Zero Trust nesses exercícios, como testar a eficácia dos controles de acesso (confidencialidade), implementar verificações de integridade para dados críticos e implementar procedimentos para manter a disponibilidade do serviço durante um incidente. Enfatize a coordenação eficaz, garantindo uma comunicação clara e esforços colaborativos entre as equipes por meio do uso de respostas pré-planejadas, como funções e responsabilidades predefinidas, e contenção rápida por meio do rápido isolamento dos sistemas afetados e mitigação de ameaças. Documente as ações tomadas para fornecer um registro claro para revisão pós-incidente e melhoria contínua.
Estratégias de melhoria contínua para confidencialidade e integridade
A melhoria contínua é essencial para manter e melhorar a confidencialidade e a integridade em ambientes de nuvem corporativos. Documentar os resultados do gerenciamento de configuração e auditorias e inspeções é crucial. Esta documentação fornece um registro histórico que você pode analisar para identificar tendências, problemas recorrentes e áreas para melhorias.
Estratégias de confidencialidade:
Aprenda com o passado. A implementação das lições aprendidas com inspeções anteriores é um princípio fundamental da melhoria contínua. Ao analisar os resultados de auditorias e inspeções anteriores, as organizações podem identificar fraquezas e implementar ações corretivas para evitar problemas semelhantes no futuro. Essa abordagem proativa garante que a organização evolua continuamente e melhore sua postura de segurança.
Use dados em tempo real. A monitorização em tempo real desempenha um papel crítico na melhoria contínua. Ao usar dados em tempo real, as organizações podem identificar e responder rapidamente a potenciais ameaças, o que garante que as medidas de segurança estejam sempre atualizadas e eficazes. Essa abordagem dinâmica ajuda as organizações a evitar repetir erros do passado e garante que as organizações permaneçam resilientes contra ameaças emergentes.
Formação em confidencialidade. Como parte de sua estratégia geral de treinamento, certifique-se de que os funcionários recebam treinamento sobre suas políticas e procedimentos de confidencialidade. Esta formação deve ser obrigatória para os novos contratados e deve ser recorrente regularmente para todos os colaboradores. Para os funcionários da equipe de segurança, isso deve incluir um treinamento mais profundo específico para suas funções. Ensine a importância de implementar criptografia e controles de acesso rigorosos para proteger informações confidenciais contra acesso não autorizado. O treinamento também deve abranger as melhores práticas em tecnologias de criptografia de dados e ferramentas de gerenciamento de acesso para ajudar a garantir que apenas pessoal autorizado possa acessar dados confidenciais.
Estratégias de integridade:
Audite seus dados rotineiramente. Realize rotineiramente auditorias manuais de seus dados para garantir que suas ferramentas de governança e monitoramento de dados estejam funcionando conforme o esperado. Procure oportunidades de melhoria.
Higiene dos dados. Adote bons hábitos de higiene de dados, como os seguintes.
Audite manualmente os dados quanto à qualidade, precisão e consistência. Corrija erros quando eles forem descobertos.
Use estratégias como normalização para reduzir inconsistências e redundâncias.
Arquive dados históricos em armazenamento frio ou offline quando não forem mais necessários na produção. Limpe dados que não precisam ser arquivados.
Revise regularmente as configurações de criptografia para garantir que todos os dados confidenciais sejam criptografados em repouso e em trânsito. Analise regularmente os padrões do setor para criptografia e garanta que seus sistemas estejam alinhados com esses padrões.
Cópia de segurança. Analise regularmente as configurações de backup para garantir que todos os armazenamentos de dados que contenham dados confidenciais ou outros dados críticos estejam sendo copiados. Execute testes de restauração para garantir que os dados de backup sejam válidos. Teste restaurações regularmente para garantir que seus sistemas estejam em conformidade com as metas de RTO (Recovery Time Objetive, objetivo de tempo de recuperação) e RPO (Recovery Point Objetive, objetivo de ponto de recuperação) de sua organização.
Rever regularmente o acesso aos sistemas e dados. As revisões das permissões de acesso a sistemas e armazenamentos de dados devem acontecer regularmente para garantir que não haja lacunas em seus controles e políticas de acesso.
Realizar treinamentos de integridade. Como parte de sua estratégia geral de treinamento, certifique-se de que os funcionários sejam treinados em suas políticas e procedimentos de integridade de dados e sistemas. Esta formação deve ser obrigatória para os novos contratados e recorrente regularmente para todos os colaboradores. Para os funcionários da equipe de segurança, forneça treinamento mais profundo específico para suas funções. Fornecer treinamento sobre o uso de processos de DevOps para infraestrutura como código (IaC) para ajudar a garantir a precisão e a confiabilidade dos dados. As práticas de DevOps, como controle de versão, integração contínua e testes automatizados, ajudam a rastrear, auditar e validar alterações na infraestrutura do ambiente de nuvem antes da implantação. As práticas de DevOps são particularmente importantes para manter as zonas de aterrissagem, porque essas práticas garantem consistência e integridade na configuração, fornecendo uma maneira sistemática de lidar com alterações na infraestrutura.
Próximo passo
Analise a estrutura de adoção do Zero Trust para saber mais sobre a integração das abordagens do Zero Trust em toda a sua jornada de adoção da nuvem.
Analise o pilar Segurança da estrutura bem arquitetada para obter orientações de segurança focadas na carga de trabalho.