Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma carga de trabalho Well-Architected deve ser criada com uma abordagem de confiança zero. Uma carga de trabalho segura é resiliente a ataques e incorpora os princípios de segurança interrelacionados de confidencialidade, integridade e disponibilidade (também conhecidos como tríade da CIA) além de atingir metas de negócios. Qualquer incidente de segurança tem o potencial de se tornar uma grande violação que prejudica a marca e a reputação da carga de trabalho ou organização. Para medir a eficácia de segurança de sua estratégia geral para uma carga de trabalho, comece com estas perguntas:
Seus investimentos defensivos fornecem custos e atritos significativos para impedir que os invasores comprometam sua carga de trabalho?
Suas medidas de segurança serão eficazes para restringir o raio de explosão de um incidente?
Você entende como controlar a carga de trabalho pode ser valioso para um invasor? Você entende o impacto para sua empresa se a carga de trabalho e seus dados forem roubados, indisponíveis ou adulterados?
A carga de trabalho e as operações podem detectar e responder a interrupções, bem como recuperar-se destas, rapidamente?
Ao projetar seu sistema, use o modelo Confiança Zero da Microsoft como uma bússola para reduzir os riscos de segurança:
Verifique explicitamente para que apenas as identidades confiáveis realizem ações pretendidas e permitidas originadas de locais esperados. Essa proteção torna mais difícil para os invasores se passarem por usuários e contas legítimos.
Use o acesso de privilégio mínimo para as identidades certas, com o conjunto certo de permissões, pela duração certa e para os ativos certos. Limitar as permissões ajuda a evitar que os invasores abusem de permissões que os usuários legítimos nem precisam.
Suponha a violação dos controles de segurança e projete controles compensadores que limitam o risco e os danos se uma camada primária de defesa falhar. Isso ajuda você a defender melhor sua carga de trabalho, pensando como um invasor interessado no êxito (independentemente de como obtê-lo).
A segurança não é um esforço único. Você deve implementar essas orientações de maneira recorrente. Melhore continuamente suas defesas e conhecimento de segurança para ajudar a manter sua carga de trabalho segura contra invasores que estão constantemente obtendo acesso a vetores de ataque inovadores à medida que são desenvolvidos e adicionados a kits de ataque automatizados.
Os princípios de arquitetura destinam-se a estabelecer uma mentalidade contínua de segurança para ajudá-lo a melhorar a postura de segurança de seu ambiente computacional à medida que as tentativas de invasores evoluem. Esses princípios devem orientar a segurança de sua arquitetura, opções de design e processos operacionais. Comece com as abordagens recomendadas e justifique os benefícios para um conjunto de requisitos de segurança. Depois de definir sua estratégia, conduza ações usando a lista de verificação de segurança como sua próxima etapa.
Se esses princípios não forem aplicados adequadamente, é possível esperar um impacto negativo nas operações comerciais e na receita. Algumas consequências podem ser óbvias, como penalidades para cargas de trabalho regulatórias. Outros podem não ser tão óbvios e podem levar a problemas de segurança contínuos antes de serem detectados.
Em muitas cargas de trabalho de missão crítica, a segurança é a principal preocupação, juntamente com a confiabilidade, já que alguns vetores de ataque, como a exfiltração de dados, não afetam a confiabilidade. A segurança e a confiabilidade podem puxar uma carga de trabalho em direções opostas, pois o design focado em segurança pode introduzir pontos de falha e aumentar a complexidade operacional. O efeito da segurança sobre a confiabilidade é muitas vezes indireto, introduzido por meio de restrições operacionais. Considere cuidadosamente as compensações entre segurança e confiabilidade.
Seguindo esses princípios, você pode melhorar a eficácia da segurança, fortalecer os ativos de carga de trabalho e conquistar a confiança de seus usuários.
Planejar sua preparação para segurança
Esforce-se para adotar e implementar práticas de segurança em decisões e operações de design arquitetônico com o mínimo de atrito. |
|---|
Como proprietário da carga de trabalho, você tem uma responsabilidade compartilhada com a organização para proteger os ativos. Crie um plano de preparação de segurança alinhado com as prioridades de negócios. Isso levará a processos bem definidos, investimentos adequados e responsabilidades apropriadas. O plano deve fornecer os requisitos de carga de trabalho para a organização, que também compartilha a responsabilidade pela proteção de ativos. Os planos de segurança devem integrar sua estratégia de confiabilidade, modelagem da saúde e autopreservação.
Além dos ativos organizacionais, a carga de trabalho em si precisa ser protegida contra ataques de intrusão e exfiltração. Todas as facetas do Zero Trust e da Tríade da CIA devem ser consideradas no planejamento.
Requisitos funcionais e não funcionais, restrições orçamentárias e outras considerações não devem restringir investimentos em segurança ou diluir garantias. Ao mesmo tempo, você precisa projetar e planejar investimentos em segurança com essas restrições e restrições em mente.
| Abordagem | Benefício |
|---|---|
|
Use a segmentação como estratégia para planejar limites de segurança no ambiente de carga de trabalho, processos e estrutura de equipe para isolar o acesso e a função. Sua estratégia de segmentação deve ser orientada pelos requisitos de negócios. Você pode baseá-lo na criticidade de componentes, divisão de trabalho, questões de privacidade e outros fatores. |
Você poderá minimizar o atrito operacional definindo funções e estabelecendo linhas claras de responsabilidade. Este exercício também ajuda você a identificar o nível de acesso para cada função, especialmente para contas de impacto crítico. O isolamento permite limitar a exposição de fluxos confidenciais apenas a funções e ativos que precisam de acesso. Exposição excessiva pode inadvertidamente levar à divulgação do fluxo de informações. Para resumir, você poderá adequar os esforços de segurança com base nas necessidades de cada segmento. |
| Crie habilidades continuamente por meio de treinamento de segurança baseado em função que atenda aos requisitos da organização e aos casos de uso da carga de trabalho. | Uma equipe altamente qualificada pode projetar, implementar e monitorar controles de segurança que permanecem eficazes contra invasores, que constantemente procuram novas maneiras de explorar o sistema. O treinamento em toda a organização normalmente se concentra no desenvolvimento de um conjunto de habilidades mais amplo para proteger os elementos comuns. No entanto, com o treinamento baseado em função, você se concentra no desenvolvimento de conhecimento profundo nas ofertas de plataforma e recursos de segurança que abordam preocupações com a carga de trabalho. Você precisa implementar ambas as abordagens para se defender contra adversários por meio de um bom design e operações eficazes. |
|
Verifique se há um plano de resposta a incidentes para sua carga de trabalho. Use estruturas do setor que definem o procedimento operacional padrão para preparação, detecção, contenção, mitigação e atividade pós-incidente. |
No momento da crise, a confusão deve ser evitada. Se você tiver um plano bem documentado, as funções responsáveis poderão se concentrar na execução sem desperdiçar tempo em ações incertas. Além disso, um plano abrangente pode ajudá-lo a garantir que todos os requisitos de correção sejam atendidos. |
| Fortaleça sua postura de segurança compreendendo os requisitos de conformidade de segurança impostos por influências fora da equipe de carga de trabalho, como políticas organizacionais, conformidade regulatória e padrões do setor. | A clareza sobre os requisitos de conformidade ajudará você a criar as garantias de segurança corretas e evitar problemas de não conformidade , o que pode levar a penalidades. Os padrões do setor podem fornecer uma linha de base e influenciar sua escolha de ferramentas, políticas, proteções de segurança, diretrizes, abordagens de gerenciamento de riscos e treinamento. Se você souber que a carga de trabalho segue a conformidade, poderá incutir confiança em sua base de usuários. |
|
Defina e imponha padrões de segurança em nível de equipe no ciclo de vida e nas operações da carga de trabalho. Procure práticas consistentes em operações como codificação, aprovações fechadas, gerenciamento de versão e proteção e retenção de dados. |
Definir boas práticas de segurança pode minimizar a negligência e a área da superfície para possíveis erros. A equipe otimizará os esforços e o resultado será previsível porque as abordagens se tornarão mais consistentes. Observar padrões de segurança ao longo do tempo permitirá que você identifique oportunidades de melhoria, possivelmente incluindo automação, o que simplificará ainda mais os esforços e aumentará a consistência. |
| Alinhe sua resposta a incidentes com a função centralizada SOC (Central de Operações de Segurança) em sua organização. | Centralizar funções de resposta a incidentes permite que você aproveite profissionais especializados de TI que podem detectar incidentes em tempo real para lidar com possíveis ameaças o mais rápido possível. |
Design para proteger a confidencialidade
|
Evite a exposição a informações de privacidade, regulamentares, de aplicativos e proprietárias por meio de restrições de acesso e técnicas de ofuscação. |
|---|
Os dados da carga de trabalho podem ser classificados por usuário, uso, configuração, conformidade, propriedade intelectual e muito mais. Esses dados não podem ser compartilhados ou acessados além dos limites de confiança estabelecidos. Os esforços para proteger a confidencialidade devem se concentrar em controles de acesso, opacidade e manter um rastro de auditoria de atividades que pertencem aos dados e ao sistema.
| Abordagem | Benefício |
|---|---|
| Implemente controles de acesso fortes que concedem acesso apenas com base na necessidade de saber. |
Privilégio mínimo. A carga de trabalho será protegida contra acesso não autorizado e atividades proibidas. Mesmo quando o acesso for de identidades confiáveis, as permissões de acesso e o tempo de exposição serão minimizados porque o caminho de comunicação está aberto por um período limitado. |
|
Classifique dados com base em seu tipo, sensibilidade e risco potencial. Atribua um nível de confidencialidade para cada um. Inclua componentes do sistema que estão no escopo do nível identificado. |
Verificar explicitamente. Essa avaliação ajuda você a dimensionar as medidas de segurança de tamanho certo. Você também poderá identificar dados e componentes que têm um alto impacto potencial e/ou exposição a riscos. Este exercício adiciona clareza à sua estratégia de proteção de informações e ajuda a garantir o acordo. |
| Proteja seus dados em repouso, em trânsito e durante o processamento usando criptografia. Baseie sua estratégia no nível de confidencialidade atribuído. |
Presumir a violação. Mesmo que um invasor obtenha acesso, ele não poderá ler dados confidenciais criptografados corretamente . Dados confidenciais incluem as informações de configuração usadas para obter mais acesso dentro do sistema. A criptografia de dados pode ajudá-lo a conter riscos. |
| Proteja-se contra explorações que possam causar exposição injustificada de informações. |
Verificar explicitamente. É crucial minimizar vulnerabilidades em implementações de autenticação e autorização, código, configurações, operações e aquelas que decorrem dos hábitos sociais dos usuários do sistema. As medidas de segurança atualizadas permitem que você bloqueie a entrada de vulnerabilidades de segurança conhecidas no sistema. Você também pode atenuar novas vulnerabilidades que podem aparecer ao longo do tempo implementando operações de rotina ao longo do ciclo de desenvolvimento, melhorando continuamente as garantias de segurança. |
| Proteja-se contra exfiltração de dados resultante de acesso mal-intencionado ou inadvertido aos dados. |
Presumir a violação. Você poderá conter o raio de explosão bloqueando a transferência de dados não autorizada. Além disso, os controles aplicados à rede, identidade e criptografia protegerão os dados em várias camadas. |
| Mantenha o nível de confidencialidade à medida que os dados fluem por meio de vários componentes do sistema. |
Presumir a violação. A imposição de níveis de confidencialidade em todo o sistema permite que você forneça um nível consistente de proteção. Isso pode evitar vulnerabilidades que possam resultar da movimentação de dados para uma camada de segurança mais baixa. |
| Mantenha uma trilha de auditoria de todos os tipos de atividades de acesso. |
Presumir a violação. Os logs de auditoria dão suporte à detecção e recuperação mais rápidas em caso de incidentes e ajudam no monitoramento contínuo de segurança. |
Design para proteger a integridade
|
Evite a corrupção de design, implementação, operações e dados para evitar interrupções que possam impedir o sistema de fornecer seu utilitário pretendido ou fazer com que ele opere fora dos limites prescritos. O sistema deve fornecer a garantia das informações durante todo o ciclo de vida da carga de trabalho. |
|---|
A chave é implementar controles que impedem a violação da lógica de negócios, fluxos, processos de implantação, dados e até mesmo os componentes de pilha inferior, como o sistema operacional e a sequência de inicialização. A falta de integridade pode introduzir vulnerabilidades que podem levar a violações de confidencialidade e disponibilidade.
| Abordagem | Benefício |
|---|---|
|
Implemente controles de acesso fortes que autenticam e autorizam o acesso ao sistema. Minimize o acesso com base no privilégio, no escopo e no tempo. |
Privilégio mínimo. Dependendo da força dos controles, você poderá evitar ou reduzir riscos de modificações não aprovadas. Isso ajuda a garantir que os dados sejam consistentes e confiáveis. Minimizar o acesso limita a extensão da corrupção potencial. |
|
Proteja-se continuamente contra vulnerabilidades e detecte-as em sua cadeia de suprimentos para impedir que os invasores insiram falhas de software em sua infraestrutura, criar sistema, ferramentas, bibliotecas e outras dependências. A cadeia de suprimentos deve verificar vulnerabilidades durante o tempo de compilação e o tempo de execução. |
Presumir a violação. Conhecer a origem do software e verificar sua autenticidade durante todo o ciclo de vida fornecerá previsibilidade. Você saberá mais sobre vulnerabilidades com antecedência para que possa corrigi-las proativamente e manter o sistema seguro em produção. |
|
Estabeleça confiança e verifique usando técnicas de criptografia como atestado, assinatura de código, certificados e criptografia. Proteja esses mecanismos permitindo a descriptografia respeitável. |
Verifique explicitamente, privilégio mínimo. Você saberá que as alterações nos dados ou no acesso ao sistema são verificadas por uma fonte confiável. Mesmo que os dados criptografados sejam interceptados em trânsito por um ator mal-intencionado, o ator não poderá desbloquear ou decifrar o conteúdo. Você pode usar assinaturas digitais para garantir que os dados não foram adulterados durante a transmissão. |
| Verifique se os dados de backup são imutáveis e criptografados quando os dados são replicados ou transferidos. |
Verifique explicitamente. Você poderá recuperar dados com a confiança de que os dados de backup não foram alterados em repouso, de forma inadvertida ou maliciosa. |
| Evite ou reduza as implementações do sistema que permitem que sua carga de trabalho opere fora de seus limites e finalidades pretendidos. |
Verifique explicitamente. Quando seu sistema tem proteções fortes que verificam se o uso está alinhado com seus limites e finalidades pretendidos, o escopo para possíveis abusos ou adulterações de sua computação, rede e armazenamentos de dados é reduzido. |
Projeto para proteger a disponibilidade
|
Evite ou minimize o tempo de inatividade e a degradação do sistema e da carga de trabalho no caso de um incidente de segurança usando controles de segurança fortes. Você deve manter a integridade dos dados durante o incidente e depois que o sistema se recuperar. |
|---|
Você precisa equilibrar as opções de arquitetura de disponibilidade com opções de arquitetura de segurança. O sistema deve ter garantias de disponibilidade para garantir que os usuários tenham acesso aos dados e que os dados sejam acessíveis. A partir de uma perspectiva de segurança, os usuários devem operar dentro do escopo de acesso permitido e os dados devem ser confiáveis. Os controles de segurança devem bloquear maus atores, mas não devem impedir que usuários legítimos acessem o sistema e os dados.
| Abordagem | Benefício |
|---|---|
|
Impedir que identidades comprometidas inutilizem incorretamente o acesso para obter o controle do sistema. Verifique se existem limites de tempo e escopo excessivamente abrangentes a fim de minimizar a exposição ao risco. |
Privilégio mínimo. Essa estratégia reduz os riscos de permissões de acesso excessivas, desnecessárias ou indevidas em recursos cruciais. Os riscos incluem modificações não autorizadas e até mesmo a exclusão de recursos. Aproveite os modos de segurança just-in-time (JIT), just-enough-access (JEA) e baseados em tempo fornecidos pela plataforma para substituir as permissões permanentes sempre que possível. |
| Use controles de segurança e padrões de design para evitar que ataques e falhas de código causem esgotamento de recursos e bloqueiem o acesso. |
Verificar explicitamente. O sistema não experimentará tempo de inatividade causado por ações mal-intencionadas, como ataques de DDoS (negação de serviço distribuído). |
| Implemente medidas preventivas para vetores de ataque que exploram vulnerabilidades no código do aplicativo, protocolos de rede, sistemas de identidade, proteção contra malware e outras áreas. |
Presumir a violação. Implemente scanners de código, aplique os patches de segurança mais recentes, atualize o software e proteja seu sistema com antimalware eficaz continuamente. Você poderá reduzir a superfície de ataque para garantir a continuidade dos negócios. |
| Priorize os controles de segurança nos componentes e fluxos críticos no sistema suscetíveis a riscos. |
Suponha a violação, verifique explicitamente. Os exercícios regulares de detecção e priorização podem ajudá-lo a aplicar a experiência de segurança aos aspectos críticos do sistema. Você poderá se concentrar nas ameaças mais prováveis e prejudiciais e iniciar sua mitigação de risco em áreas que precisam de mais atenção. |
| Aplique pelo menos o mesmo nível de rigor de segurança em seus recursos e processos de recuperação como você faz no ambiente primário, incluindo controles de segurança e frequência de backup. |
Presumir a violação. Você deve ter um estado de sistema seguro preservado disponível na recuperação de desastres. Se você fizer isso, poderá fazer failover para um sistema ou local secundário seguro e restaurar backups que não introduzirão uma ameaça. Um processo bem projetado pode impedir que um incidente de segurança impeça o processo de recuperação. Dados de backup corrompidos ou dados criptografados que não podem ser decifrados podem atrasar a recuperação. |
Sustentar e evoluir sua postura de segurança
|
Incorpore o aprimoramento contínuo e aplique vigilância para ficar à frente dos invasores que estão continuamente evoluindo suas estratégias de ataque. |
|---|
Sua postura de segurança não deve se degradar ao longo do tempo. Você deve melhorar continuamente as operações de segurança para que novas interrupções sejam tratadas com mais eficiência. Esforce-se para alinhar melhorias com as fases definidas pelos padrões do setor. Isso leva a uma melhor preparação, redução do tempo para detecção de incidentes e contenção e mitigação eficazes. A melhoria contínua deve ser baseada nas lições aprendidas com incidentes passados.
É importante medir sua postura de segurança, implementar políticas para manter essa postura e validar regularmente suas mitigações de segurança e controles compensatórios para melhorar continuamente sua postura de segurança diante de ameaças em evolução.
| Abordagem | Benefício |
|---|---|
|
Crie e mantenha um inventário de ativos abrangente que inclua informações confidenciais sobre recursos, locais, dependências, proprietários e outros metadados relevantes para a segurança. Tanto quanto possível, automatize o inventário para derivar dados do sistema. |
Um inventário bem organizado fornece uma visão holística do ambiente, o que coloca você em uma posição vantajosa contra invasores, especialmente durante atividades pós-incidente. Ele também estabelece um ritmo de negócios para melhorar a comunicação, a manutenção dos componentes críticos e o descomissionamento de recursos sem utilidade. |
| Execute a modelagem de ameaças para identificar e atenuar possíveis ameaças. | Você terá um relatório de vetores de ataque priorizados pelo nível de gravidade. Você poderá identificar ameaças e vulnerabilidades rapidamente e configurar contramedidas. |
| Capture dados regularmente para quantificar seu estado atual em relação à linha de base de segurança estabelecida e defina prioridades para correções. Aproveite os recursos fornecidos pela plataforma para o gerenciamento de postura de segurança e a imposição da conformidade imposta por organizações externas e internas. |
Você precisa de relatórios precisos que tragam clareza e consenso para concentrar áreas. Você poderá executar imediatamente as correções técnicas, começando com os itens de prioridade mais alta. Você também identificará lacunas, que oferecem oportunidades de melhoria. Implementar a imposição ajuda a evitar violações e regressões, o que preserva sua postura de segurança. |
|
Execute testes periódicos de segurança que são conduzidos por especialistas externos à equipe de carga de trabalho que tentam invadir eticamente o sistema. Execute a verificação de vulnerabilidades de rotina e integrada para detectar explorações na infraestrutura, nas dependências e no código do aplicativo. |
Esses testes permitem validar as defesas de segurança simulando ataques do mundo real usando técnicas como testes de penetração. As ameaças podem ser introduzidas como parte do gerenciamento de alterações. A integração de scanners nos pipelines de implantação permite que você detecte automaticamente vulnerabilidades e até mesmo o uso de quarentena até que as vulnerabilidades sejam removidas. |
| Detectar, responder e recuperar com operações de segurança rápidas e eficazes. | O principal benefício dessa abordagem é que ela permite que você preserve ou restaure as garantias de segurança da tríade da CIA durante e após um ataque. Você precisa ser alertado assim que uma ameaça for detectada para que você possa iniciar suas investigações e tomar as medidas apropriadas. |
| Realize atividades pós-incidente , como análises de causa raiz, pós-morte e relatórios de incidentes. | Essas atividades fornecem insights sobre o impacto da violação e sobre as medidas de resolução, o que impulsiona melhorias nas defesas e operações. |
|
Atualize-se e mantenha-se atualizado. Mantenha-se atualizado sobre atualizações, aplicação de patch e correções de segurança. Avalie continuamente o sistema e melhore-o com base em relatórios de auditoria, benchmarking e lições de atividades de teste. Considere a automação, conforme apropriado. Use a inteligência contra ameaças alimentada pela análise de segurança para detecção dinâmica de ameaças. Em intervalos regulares, examine a conformidade da carga de trabalho com as práticas recomendadas do SDL (Security Development Lifecycle). |
Você poderá garantir que sua postura de segurança não se degrade ao longo do tempo. Integrando descobertas de ataques do mundo real e atividades de teste, você poderá combater invasores que melhoram e exploram continuamente novas categorias de vulnerabilidades. A automação de tarefas repetitivas diminui a chance de erro humano que pode criar risco. As revisões de SDL trazem clareza sobre os recursos de segurança. O SDL pode ajudá-lo a manter um inventário de ativos de carga de trabalho e seus relatórios de segurança, que abrangem a origem, o uso, as fraquezas operacionais e outros fatores. |