Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma carga de trabalho Well-Architected deve ser construída com uma abordagem de confiança zero. Uma carga de trabalho segura é resiliente a ataques e incorpora os princípios de segurança inter-relacionados de confidencialidade, integridade e disponibilidade (também conhecida como tríade CIA), além de atender às metas de negócios. Qualquer incidente de segurança tem o potencial de se tornar uma grande violação que prejudica a marca e a reputação da carga de trabalho ou organização. Para medir a eficácia de segurança de sua estratégia geral para uma carga de trabalho, comece com estas perguntas:
Seus investimentos defensivos fornecem custos e atritos significativos para evitar que os atacantes comprometam sua carga de trabalho?
As suas medidas de segurança serão eficazes na restrição do raio de explosão de um incidente?
Você entende como controlar a carga de trabalho pode ser valioso para um invasor? Você entende o impacto para o seu negócio se a carga de trabalho e seus dados forem roubados, indisponíveis ou adulterados?
A carga de trabalho e as operações podem detetar, responder e recuperar rapidamente de interrupções?
Ao conceber o seu sistema, utilize o modelo Confiança Zero da Microsoft como bússola para mitigar os riscos de segurança:
Verifique explicitamente para que apenas identidades confiáveis executem ações pretendidas e permitidas originadas de locais esperados. Esta salvaguarda torna mais difícil para os atacantes fazerem-se representar por utilizadores e contas legítimas.
Use o acesso de privilégios mínimos para as identidades certas, com o conjunto certo de permissões, pela duração certa e para os ativos certos. Limitar as permissões ajuda a impedir que os atacantes abusem de permissões de que os utilizadores legítimos nem sequer necessitam.
Assuma a violação dos controles de segurança e projete controles de compensação que limitem o risco e os danos se uma camada primária de defesa falhar. Isto ajuda-o a defender melhor a sua carga de trabalho ao pensar como um atacante que está interessado no êxito (independentemente da forma como o consegue).
A segurança não é um esforço pontual. É necessário implementar esta orientação numa base recorrente. Melhore continuamente suas defesas e conhecimento de segurança para ajudar a manter sua carga de trabalho segura contra invasores que estão constantemente ganhando acesso a vetores de ataque inovadores à medida que são desenvolvidos e adicionados a kits de ataque automatizados.
Os princípios de design destinam-se a estabelecer uma mentalidade de segurança contínua para ajudá-lo a melhorar continuamente a postura de segurança da sua carga de trabalho à medida que as tentativas dos atacantes evoluem continuamente. Estes princípios devem orientar a segurança da sua arquitetura, as escolhas de conceção e os processos operacionais. Comece com as abordagens recomendadas e justifique os benefícios para um conjunto de requisitos de segurança. Depois de definir sua estratégia, direcione ações usando a lista de verificação de segurança como próxima etapa.
Se estes princípios não forem aplicados corretamente, é de esperar um impacto negativo nas operações empresariais e nas receitas. Algumas consequências podem ser óbvias, como penalizações por cargas de trabalho regulamentares. Outros podem não ser tão óbvios e podem levar a problemas de segurança contínuos antes de serem detetados.
Em muitas cargas de trabalho de missão crítica, a segurança é a principal preocupação, a par da fiabilidade, dado que alguns vetores de ataque, como a exfiltração de dados, não afetam a fiabilidade. A segurança e a fiabilidade podem solicitar uma carga de trabalho em direções opostas porque a conceção centrada na segurança pode introduzir pontos de falha e aumentar a complexidade operacional. O efeito da segurança na fiabilidade é frequentemente indireto, introduzido através de restrições operacionais. Considerar cuidadosamente os compromissos entre segurança e fiabilidade.
Ao seguir estes princípios, pode melhorar a eficácia da segurança, reforçar os ativos de carga de trabalho e criar confiança junto dos seus utilizadores.
Planeie a sua preparação para a segurança
Esforce-se para adotar e implementar práticas de segurança nas decisões e operações de design arquitetónico com o mínimo de obstáculos. |
|---|
Como proprietário de uma carga de trabalho, você tem uma responsabilidade compartilhada com a organização para proteger os ativos. Crie um plano de preparação de segurança alinhado com as prioridades de negócios. Conduzirá a processos bem definidos, a investimentos adequados e a responsabilizações adequadas. O plano deve fornecer os requisitos de carga de trabalho para a organização, que também compartilha a responsabilidade pela proteção dos ativos. Os planos de segurança devem ser considerados na sua estratégia de fiabilidade, modelação de integridade e autopreservação.
Além dos ativos organizacionais, a carga de trabalho em si precisa ser protegida contra ataques de intrusão e exfiltração. Todas as facetas do Zero Trust e da tríade CIA devem ser levadas em conta no plano.
Requisitos funcionais e não funcionais, restrições orçamentárias e outras considerações não devem restringir investimentos em segurança ou diluir garantias. Ao mesmo tempo, você precisa projetar e planejar investimentos em segurança com essas restrições e restrições em mente.
| Abordagem | Benefício |
|---|---|
|
Use a segmentação como uma estratégia para planejar os limites de segurança no ambiente de carga de trabalho, nos processos e na estrutura da equipe para isolar o acesso e a função. Sua estratégia de segmentação deve ser orientada pelos requisitos de negócios. Você pode baseá-lo na criticidade dos componentes, divisão do trabalho, preocupações com privacidade e outros fatores. |
Você será capaz de minimizar o atrito operacional definindo papéis e estabelecendo linhas claras de responsabilidade. Este exercício também ajuda a identificar o nível de acesso para cada função, especialmente para contas de impacto crítico. O isolamento permite limitar a exposição de fluxos confidenciais apenas a funções e ativos que precisam de acesso. Uma exposição excessiva pode conduzir inadvertidamente à divulgação de fluxos de informação. Para resumir, você poderá dimensionar corretamente os esforços de segurança com base nas necessidades de cada segmento. |
| Desenvolva continuamente habilidades por meio de treinamento de segurança baseado em funções que atenda aos requisitos da organização e aos casos de uso da carga de trabalho. | Uma equipe altamente qualificada pode projetar, implementar e monitorar controles de segurança que permanecem eficazes contra invasores, que constantemente procuram novas maneiras de explorar o sistema. O treinamento em toda a organização normalmente se concentra no desenvolvimento de um conjunto mais amplo de habilidades para proteger os elementos comuns. No entanto, com o treinamento baseado em funções, você se concentra no desenvolvimento de conhecimentos profundos nas ofertas da plataforma e nos recursos de segurança que abordam as preocupações com a carga de trabalho. Você precisa implementar ambas as abordagens para se defender contra adversários através de um bom design e operações eficazes. |
|
Certifique-se de que existe um plano de resposta a incidentes para a sua carga de trabalho. Use estruturas do setor que definem o procedimento operacional padrão para preparação, deteção, contenção, mitigação e atividade pós-incidente. |
Em caso de crise, há que evitar confusões. Se você tiver um plano bem documentado, as funções responsáveis podem se concentrar na execução sem perder tempo com ações incertas. Além disso, um plano abrangente pode ajudá-lo a garantir que todos os requisitos de correção sejam cumpridos. |
| Fortaleça sua postura de segurança entendendo os requisitos de conformidade de segurança impostos por influências externas à equipe de carga de trabalho, como políticas organizacionais, conformidade regulatória e padrões do setor. | A clareza sobre os requisitos de conformidade irá ajudá-lo a projetar para as garantias de segurança corretas e evitar problemas de não conformidade , que podem levar a penalidades. Os padrões do setor podem fornecer uma linha de base e influenciar sua escolha de ferramentas, políticas, salvaguardas de segurança, diretrizes, abordagens de gerenciamento de riscos e treinamento. Se você souber que a carga de trabalho está de acordo com a conformidade, poderá incutir confiança em sua base de usuários. |
|
Defina e aplique padrões de segurança em nível de equipe em todo o ciclo de vida e operações da carga de trabalho. Procure práticas consistentes em operações como codificação, aprovações fechadas, gerenciamento de liberação e proteção e retenção de dados. |
A definição de boas práticas de segurança pode minimizar a negligência e a área de superfície para possíveis erros. A equipa otimizará os esforços e o resultado será previsível porque as abordagens se tornam mais consistentes. Observar os padrões de segurança ao longo do tempo permitirá que você identifique oportunidades de melhoria, possivelmente incluindo automação, o que simplificará ainda mais os esforços e aumentará a consistência. |
| Alinhe sua resposta a incidentes com a função centralizada do Security Operation Center (SOC) em sua organização. | A centralização das funções de resposta a incidentes permite que você aproveite os profissionais de TI especializados que podem detetar incidentes em tempo real para lidar com ameaças potenciais o mais rápido possível. |
Conceção para proteger a confidencialidade
|
Evite a exposição a informações de privacidade, regulamentares, de aplicação e proprietárias através de restrições de acesso e técnicas de ofuscação. |
|---|
Os dados da carga de trabalho podem ser classificados por utilizador, utilização, configuração, conformidade, propriedade intelectual e muito mais. Esses dados não podem ser compartilhados ou acessados além dos limites de confiança estabelecidos. Os esforços para proteger a confidencialidade devem centrar-se nos controlos de acesso, na opacidade e na manutenção de uma pista de auditoria das atividades relacionadas com os dados e o sistema.
| Abordagem | Benefício |
|---|---|
| Implemente controles de acesso fortes que concedam acesso apenas com base na necessidade de conhecimento. |
Privilégio mínimo. A carga de trabalho será protegida contra acesso não autorizado e atividades proibidas. Mesmo quando o acesso é de identidades confiáveis, as permissões de acesso e o tempo de exposição serão minimizados porque o caminho de comunicação está aberto por um período limitado. |
|
Classifique os dados com base em seu tipo, sensibilidade e risco potencial. Atribua um nível de confidencialidade para cada um. Inclua componentes do sistema que estão no escopo para o nível identificado. |
Verifique explicitamente. Esta avaliação ajuda-o a tomar medidas de segurança do tamanho certo. Você também será capaz de identificar dados e componentes que têm um alto impacto potencial e/ou exposição ao risco. Este exercício adiciona clareza à sua estratégia de proteção de informações e ajuda a garantir o acordo. |
| Proteja seus dados em repouso, em trânsito e durante o processamento usando criptografia. Baseie a sua estratégia no nível de confidencialidade atribuído. |
Pressuponha a violação. Mesmo que um invasor obtenha acesso, ele não será capaz de ler dados confidenciais criptografados corretamente . Dados confidenciais incluem informações de configuração que são usadas para obter mais acesso dentro do sistema. A criptografia de dados pode ajudá-lo a conter riscos. |
| Proteja-se contra exploits que possam causar exposição injustificada de informações. |
Verifique explicitamente. É crucial minimizar as vulnerabilidades nas implementações de autenticação e autorização, código, configurações, operações e aquelas que decorrem dos hábitos sociais dos usuários do sistema. As medidas de segurança atualizadas permitem-lhe bloquear a entrada no sistema de vulnerabilidades de segurança conhecidas . Você também pode mitigar novas vulnerabilidades que podem aparecer ao longo do tempo implementando operações de rotina ao longo do ciclo de desenvolvimento, melhorando continuamente as garantias de segurança. |
| Proteja-se contra a exfiltração de dados resultante de acesso mal-intencionado ou inadvertido aos dados. |
Pressuponha a violação. Você será capaz de conter o raio de explosão bloqueando a transferência não autorizada de dados. Além disso, os controles aplicados à rede, identidade e criptografia protegerão os dados em várias camadas. |
| Manter o nível de confidencialidade à medida que os dados fluem através de vários componentes do sistema. |
Pressuponha a violação. A imposição de níveis de confidencialidade em todo o sistema permite que você forneça um nível consistente de proteção. Isso pode evitar vulnerabilidades que podem resultar da movimentação de dados para uma camada de segurança mais baixa. |
| Manter uma trilha de auditoria de todos os tipos de atividades de acesso. |
Pressuponha a violação. Os logs de auditoria oferecem suporte a deteção e recuperação mais rápidas em caso de incidentes e ajudam no monitoramento contínuo de segurança. |
Design para proteger a integridade
|
Evite a corrupção do projeto, implementação, operações e dados para evitar interrupções que podem impedir o sistema de fornecer a utilidade pretendida ou fazer com que ele opere fora dos limites prescritos. O sistema deve fornecer garantias de informação durante todo o ciclo de vida da carga de trabalho. |
|---|
A chave é implementar controles que impeçam a adulteração da lógica de negócios, fluxos, processos de implantação, dados e até mesmo os componentes de pilha inferior, como o sistema operacional e a sequência de inicialização. A falta de integridade pode introduzir vulnerabilidades que podem levar a quebras de confidencialidade e disponibilidade.
| Abordagem | Benefício |
|---|---|
|
Implemente controles de acesso fortes que autenticam e autorizam o acesso ao sistema. Minimize o acesso com base em privilégio, escopo e tempo. |
Privilégio mínimo. Dependendo da força dos controles, você poderá prevenir ou reduzir os riscos de modificações não aprovadas. Isso ajuda a garantir que os dados sejam consistentes e confiáveis. Minimizar o acesso limita a extensão da corrupção potencial. |
|
Proteja-se continuamente contra vulnerabilidades e detete-as em sua cadeia de suprimentos para impedir que invasores injetem falhas de software em sua infraestrutura, sistema de compilação, ferramentas, bibliotecas e outras dependências. A cadeia de suprimentos deve verificar vulnerabilidades durante o tempo de compilação e o tempo de execução. |
Pressuponha a violação. Conhecer a origem do software e verificar a sua autenticidade ao longo do ciclo de vida proporcionará previsibilidade. Você saberá sobre as vulnerabilidades com bastante antecedência para que possa corrigi-las proativamente e manter o sistema seguro na produção. |
|
Estabeleça confiança e verifique usando técnicas de criptografia como atestado, assinatura de código, certificados e criptografia. Proteja esses mecanismos permitindo uma desencriptação respeitável. |
Verifique explicitamente, princípio do menor privilégio. Você saberá que as alterações nos dados ou o acesso ao sistema são verificados por uma fonte confiável. Mesmo que os dados criptografados sejam intercetados em trânsito por um ator mal-intencionado, o ator não será capaz de desbloquear ou decifrar o conteúdo. Você pode usar assinaturas digitais para garantir que os dados não foram adulterados durante a transmissão. |
| Certifique-se de que os dados de backup sejam imutáveis e criptografados quando os dados forem replicados ou transferidos. |
Verifique explicitamente. Você poderá recuperar dados com a confiança de que os dados de backup não foram alterados em repouso, inadvertidamente ou maliciosamente. |
| Evite ou reduza implementações de sistema que permitam que sua carga de trabalho opere fora dos limites e finalidades pretendidos. |
Verifique explicitamente. Quando seu sistema tem proteções fortes que verificam se o uso está alinhado com os limites e finalidades pretendidos, o escopo para abuso potencial ou adulteração de sua computação, rede e armazenamentos de dados é reduzido. |
Design para proteger a disponibilidade
|
Impeça ou minimize o tempo de inatividade e a degradação do sistema e da carga de trabalho no caso de um incidente de segurança usando controles de segurança fortes. Você deve manter a integridade dos dados durante o incidente e após a recuperação do sistema. |
|---|
Você precisa equilibrar as opções de arquitetura de disponibilidade com as opções de arquitetura de segurança. O sistema deve ter garantias de disponibilidade para assegurar que os utilizadores têm acesso aos dados e que os dados são acessíveis. Do ponto de vista da segurança, os utilizadores devem operar dentro do âmbito de acesso permitido e os dados devem ser de confiança. Os controles de segurança devem bloquear os agentes mal-intencionados, mas não devem bloquear o acesso de usuários legítimos ao sistema e aos dados.
| Abordagem | Benefício |
|---|---|
|
Impeça que identidades comprometidas usem indevidamente o acesso para obter o controle do sistema. Verifique se há escopo e prazos excessivamente difundidos para minimizar a exposição ao risco. |
Privilégio mínimo. Essa estratégia reduz os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos cruciais . Os riscos incluem modificações não autorizadas e até mesmo a exclusão de recursos. Aproveite os modos de segurança just-in-time (JIT), just-enough-access (JEA) e baseados em tempo fornecidos pela plataforma para substituir as permissões permanentes sempre que possível. |
| Use controles de segurança e padrões de design para evitar que ataques e falhas de código causem esgotamento de recursos e bloqueiem o acesso. |
Verifique explicitamente. O sistema não terá tempo de inatividade causado por ações maliciosas, como ataques distribuídos de negação de serviço (DDoS). |
| Implemente medidas preventivas para vetores de ataque que explorem vulnerabilidades no código do aplicativo, protocolos de rede, sistemas de identidade, proteção contra malware e outras áreas. |
Pressuponha a violação. Implemente scanners de código, aplique os patches de segurança mais recentes, atualize o software e proteja seu sistema com antimalware eficaz continuamente. Você poderá reduzir a superfície de ataque para garantir a continuidade dos negócios. |
| Priorize os controles de segurança sobre os componentes e fluxos críticos no sistema que são suscetíveis a riscos. |
Assuma a violação, verifique explicitamente. Exercícios regulares de deteção e priorização podem ajudá-lo a aplicar a experiência em segurança aos aspetos críticos do sistema. Você será capaz de se concentrar nas ameaças mais prováveis e prejudiciais e iniciar sua mitigação de riscos em áreas que precisam de mais atenção. |
| Aplique pelo menos o mesmo nível de rigor de segurança em seus recursos e processos de recuperação que aplica no ambiente principal, incluindo controles de segurança e frequência de backup. |
Pressuponha a violação. Você deve ter um estado seguro preservado do sistema disponível em caso de recuperação de desastres. Se o fizer, pode efetuar o failover para um sistema ou local secundário seguro e restaurar backups que não introduzam uma ameaça. Um processo bem projetado pode evitar que um incidente de segurança atrapalhe o processo de recuperação. Dados de backup corrompidos ou dados criptografados que não podem ser decifrados podem retardar a recuperação. |
Mantenha e evolua a sua postura de segurança
|
Incorpore a melhoria contínua e aplique vigilância para se manter à frente dos atacantes que estão continuamente evoluindo suas estratégias de ataque. |
|---|
A sua postura de segurança não deve deteriorar-se com o tempo. Você deve melhorar continuamente as operações de segurança para que novas interrupções sejam tratadas de forma mais eficiente. Esforce-se para alinhar as melhorias com as fases definidas pelos padrões da indústria. Isso leva a uma melhor preparação, menor tempo para deteção de incidentes e contenção e mitigação eficazes. A melhoria contínua deve basear-se nos ensinamentos retirados de incidentes anteriores.
É importante medir sua postura de segurança, aplicar políticas para manter essa postura e validar regularmente suas mitigações de segurança e controles de compensação, a fim de melhorar continuamente sua postura de segurança diante de ameaças em evolução.
| Abordagem | Benefício |
|---|---|
|
Crie e mantenha um inventário de ativos abrangente que inclua informações classificadas sobre recursos, locais, dependências, proprietários e outros metadados relevantes para a segurança. Na medida do possível, automatize o inventário para derivar dados do sistema. |
Um inventário bem organizado fornece uma visão holística do ambiente, o que o coloca em uma posição vantajosa contra invasores, especialmente durante atividades pós-incidente. Também cria um ritmo de negócios para impulsionar a comunicação, a manutenção de componentes críticos e o desmantelamento de recursos órfãos. |
| Execute a modelagem de ameaças para identificar e mitigar ameaças potenciais. | Você terá um relatório de vetores de ataque priorizados por seu nível de gravidade. Você será capaz de identificar ameaças e vulnerabilidades rapidamente e configurar contramedidas. |
|
Capture dados regularmente para quantificar seu estado atual em relação à linha de base de segurança estabelecida e defina prioridades para remediações. Aproveite os recursos fornecidos pela plataforma para o gerenciamento da postura de segurança e a aplicação da conformidade imposta por organizações externas e internas. |
Você precisa de relatórios precisos que tragam clareza e consenso para as áreas de foco. Você poderá executar imediatamente correções técnicas, começando com os itens de maior prioridade. Você também identificará lacunas, que oferecem oportunidades de melhoria. A implementação da fiscalização ajuda a evitar violações e regressões, o que preserva a sua postura de segurança. |
|
Execute testes de segurança periódicos que são conduzidos por especialistas externos à equipe de carga de trabalho que tentam hackear eticamente o sistema. Execute varreduras de vulnerabilidade integradas e de rotina para detetar explorações na infraestrutura, dependências e código do aplicativo. |
Esses testes permitem validar defesas de segurança simulando ataques do mundo real usando técnicas como testes de penetração. As ameaças podem ser introduzidas como parte do seu gerenciamento de alterações. A integração de scanners nos pipelines de implantação permite detetar automaticamente vulnerabilidades e até mesmo colocar em quarentena o uso até que as vulnerabilidades sejam removidas. |
| Detete, responda e recupere com operações de segurança rápidas e eficazes. | O principal benefício dessa abordagem é que ela permite preservar ou restaurar as garantias de segurança da tríade da CIA durante e após um ataque. Você precisa ser alertado assim que uma ameaça for detetada para que possa iniciar suas investigações e tomar as medidas apropriadas. |
| Conduza atividades pós-incidente como análises de causa raiz, retrospectivas e relatórios de incidentes. | Essas atividades fornecem informações sobre o impacto da violação e sobre as medidas de resolução, o que impulsiona melhorias nas defesas e operações. |
|
Atualize-se e mantenha-se atualizado. Mantenha-se atualizado sobre atualizações, patches e correções de segurança. Avaliar continuamente o sistema e melhorá-lo com base em relatórios de auditoria, benchmarking e lições de atividades de teste. Considere a automação, conforme apropriado. Use inteligência de ameaças alimentada por análises de segurança para deteção dinâmica de ameaças. Em intervalos regulares, revise a conformidade da carga de trabalho com as práticas recomendadas do Security Development Lifecycle (SDL). |
Você será capaz de garantir que sua postura de segurança não se degrade com o tempo. Ao integrar descobertas de ataques do mundo real e atividades de teste, você será capaz de combater invasores que melhoram e exploram continuamente novas categorias de vulnerabilidades. A automação de tarefas repetitivas diminui a chance de erro humano que pode criar risco. As revisões SDL trazem clareza sobre os recursos de segurança. O SDL pode ajudá-lo a manter um inventário de ativos de carga de trabalho e seus relatórios de segurança, que abrangem origem, uso, fraquezas operacionais e outros fatores. |