Determinar os requisitos de propriedade
Este artigo faz parte de uma série que fornece orientação enquanto você projeta uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP) em recursos multicloud com o Microsoft Defender for Cloud.
Goal
Identifique as equipes envolvidas em sua solução de segurança multicloud e planeje como elas se alinharão e trabalharão juntas.
Funções de segurança
Dependendo do tamanho da sua organização, equipes separadas gerenciarão as funções de segurança. Numa empresa complexa, as funções podem ser numerosas.
| Função de segurança | Detalhes |
|---|---|
| Operações de Segurança (SecOps) | Reduzir o risco organizacional, reduzindo o tempo em que os maus atores têm acesso aos recursos corporativos. Deteção, análise, resposta e remediação reativa de ataques. Caça proativa a ameaças. |
| Arquitetura de segurança | Design de segurança resumindo e documentando os componentes, ferramentas, processos, equipes e tecnologias que protegem sua empresa contra riscos. |
| Gerenciamento de conformidade de segurança | Processos que garantem que a organização está em conformidade com os requisitos regulamentares e políticas internas. |
| Segurança das pessoas | Proteger a organização do risco humano à segurança. |
| Segurança de aplicativos e DevSecOps | Integração de segurança em processos e aplicativos de DevOps. |
| Segurança de dados | Proteger os seus dados organizacionais. |
| Segurança de infraestruturas e terminais | Fornecer proteção, deteção e resposta para infraestrutura, redes e dispositivos de ponto final usados por aplicativos e usuários. |
| Gestão de identidades e chaves | Autenticar e autorizar utilizadores, serviços, dispositivos e aplicações. Forneça distribuição e acesso seguros para operações criptográficas. |
| Informações sobre ameaças | Tomar decisões e agir com base em informações sobre ameaças de segurança que fornecem contexto e insights acionáveis sobre ataques ativos e ameaças potenciais. |
| Gestão postural | Reportar continuamente e melhorar a sua postura de segurança organizacional. |
| Preparação de incidentes | Criação de ferramentas, processos e conhecimentos especializados para responder a incidentes de segurança. |
Alinhamento da equipa
Apesar das muitas equipes diferentes que gerenciam a segurança na nuvem, é fundamental que elas trabalhem juntas para descobrir quem é responsável pela tomada de decisões no ambiente multicloud. A falta de propriedade cria atritos que podem resultar em projetos paralisados e implantações inseguras que não podiam esperar pela aprovação de segurança.
A liderança em segurança, mais comumente sob o CISO, deve especificar quem é responsável pela tomada de decisões de segurança. Normalmente, as responsabilidades se alinham conforme resumido na tabela.
| Categoria | Description | Equipa típica |
|---|---|---|
| Segurança do ponto final do servidor | Monitore e corrija a segurança do servidor, incluindo patching, configuração, segurança de endpoint, etc. | Responsabilidade conjunta das operações centrais de TI e das equipas de segurança de infraestruturas e terminais. |
| Monitorização e resposta a incidentes | Investigue e corrija incidentes de segurança no SIEM ou no console de origem da sua organização. | Equipa de operações de segurança. |
| Gestão de políticas | Defina a direção para o controle de acesso baseado em função do Azure (Azure RBAC), o Microsoft Defender for Cloud, a estratégia de proteção do administrador e a Política do Azure, para controlar os recursos do Azure, recomendações personalizadas da AWS/GCP, etc. | Responsabilidade conjunta das equipes de política e padrões e arquitetura de segurança. |
| Gestão de ameaças e vulnerabilidades | Mantenha total visibilidade e controle da infraestrutura, para garantir que problemas críticos sejam descobertos e corrigidos da forma mais eficiente possível. | Responsabilidade conjunta das operações centrais de TI e das equipas de segurança de infraestruturas e terminais. |
| Cargas de trabalho de aplicativos | Concentre-se em controles de segurança para cargas de trabalho específicas. O objetivo é integrar garantias de segurança em processos de desenvolvimento e aplicativos de linha de negócios (LOB) personalizados. | Responsabilidade conjunta das equipes centrais de desenvolvimento de aplicativos e operações de TI. |
| Segurança e padrões de identidade | Entenda o PCI (Permission Creep Index) para assinaturas do Azure, contas da AWS e projetos GCP para identificar riscos associados a permissões não utilizadas ou excessivas entre identidades e recursos. | Responsabilidade conjunta das equipes de gerenciamento de identidade e chaves, políticas e padrões e arquitetura de segurança. |
Melhores práticas
- Embora a segurança multicloud possa ser dividida em diferentes áreas do negócio, as equipes devem gerenciar a segurança em toda a propriedade multicloud. Isso é melhor do que ter equipes diferentes protegendo diferentes ambientes de nuvem. Por exemplo, quando uma equipe gerencia o Azure e outra equipe gerencia a AWS. As equipas que trabalham em ambientes multicloud ajudam a evitar a expansão dentro da organização. Também ajuda a garantir que as políticas de segurança e os requisitos de conformidade sejam aplicados em todos os ambientes.
- Muitas vezes, as equipes que gerenciam o Defender for Cloud não têm privilégios para corrigir recomendações em cargas de trabalho. Por exemplo, a equipe do Defender for Cloud pode não conseguir corrigir vulnerabilidades em uma instância do AWS EC2. A equipe de segurança pode ser responsável por melhorar a postura de segurança, mas não consegue corrigir as recomendações de segurança resultantes. Para resolver este problema:
- É imperativo envolver os proprietários da carga de trabalho da AWS.
- Atribuir aos proprietários datas de vencimento e definir regras de governança cria responsabilidade e transparência, à medida que você conduz processos para melhorar a postura de segurança.
- É imperativo envolver os proprietários da carga de trabalho da AWS.
- Dependendo dos modelos organizacionais, geralmente vemos estas opções para equipes de segurança centrais que operam com proprietários de carga de trabalho:
Opção 1: Modelo centralizado. Os controles de segurança são definidos, implantados e monitorados por uma equipe central.
- A equipe de segurança central decide quais políticas de segurança serão implementadas na organização e quem tem permissões para controlar a política definida.
- A equipe também pode ter o poder de corrigir recursos não compatíveis e impor o isolamento de recursos em caso de ameaça à segurança ou problema de configuração.
- Os proprietários de carga de trabalho, por outro lado, são responsáveis por gerenciar suas cargas de trabalho na nuvem, mas precisam seguir as políticas de segurança que a equipe central implantou.
- Este modelo é o mais indicado para empresas com um elevado nível de automação, para garantir processos de resposta automatizados a vulnerabilidades e ameaças.
Opção 2: Modelo descentralizado.- Os controles de segurança são definidos, implantados e monitorados pelos proprietários da carga de trabalho.
- A implantação do controle de segurança é feita pelos proprietários da carga de trabalho, pois eles são proprietários do conjunto de políticas e, portanto, podem decidir quais políticas de segurança são aplicáveis aos seus recursos.
- Os proprietários precisam estar cientes, entender e agir de acordo com alertas de segurança e recomendações para seus próprios recursos.
- A equipe de segurança central, por outro lado, atua apenas como uma entidade controladora, sem acesso de gravação a nenhuma das cargas de trabalho.
- A equipe de segurança geralmente tem informações sobre a postura geral de segurança da organização e pode responsabilizar os proprietários da carga de trabalho por melhorar sua postura de segurança.
- Esse modelo é mais adequado para organizações que precisam de visibilidade sobre sua postura geral de segurança, mas que, ao mesmo tempo, querem manter a responsabilidade pela segurança com os proprietários da carga de trabalho.
- Atualmente, a única maneira de alcançar a Opção 2 no Defender for Cloud é atribuir os proprietários da carga de trabalho com permissões do Security Reader à assinatura que hospeda o recurso de conector multicloud.
Próximos passos
Neste artigo, você aprendeu como determinar os requisitos de propriedade ao projetar uma solução de segurança multicloud. Continue com a próxima etapa para determinar os requisitos de controle de acesso.