Princípios de design de segurança
Uma carga de trabalho Well-Architected deve ser criada com uma abordagem de confiança zero. Uma carga de trabalho segura é resiliente a ataques e incorpora os princípios de segurança inter-relacionados de confidencialidade, integridade e disponibilidade (também conhecido como tríade da CIA), além de atingir metas de negócios. Qualquer incidente de segurança tem o potencial de se tornar uma grande violação que prejudica a marca e a reputação da carga de trabalho ou organização. Para medir a eficácia de segurança de sua estratégia geral para uma carga de trabalho, comece com estas perguntas:
Seus investimentos defensivos fornecem custos e atritos significativos para impedir que os invasores comprometam sua carga de trabalho?
Suas medidas de segurança serão eficazes para restringir o raio de explosão de um incidente?
Você entende como controlar a carga de trabalho pode ser valioso para um invasor? Você entende o impacto para sua empresa se a carga de trabalho e seus dados forem roubados, indisponíveis ou adulterados?
A carga de trabalho e as operações podem detectar, responder e recuperar-se rapidamente de interrupções?
Ao projetar seu sistema, use o modelo microsoft Confiança Zero como a bússola para mitigar os riscos de segurança:
Verifique explicitamente para que apenas identidades confiáveis executem ações pretendidas e permitidas originadas de locais esperados. Essa proteção torna mais difícil para os invasores representarem usuários e contas legítimos.
Use o acesso de privilégios mínimos para as identidades certas, com o conjunto certo de permissões, para a duração certa e para os ativos certos. Limitar permissões ajuda a impedir que os invasores abusem de permissões que os usuários legítimos nem precisam.
Suponha a violação de controles de segurança e projete controles de compensação que limitam o risco e os danos se uma camada primária de defesa falhar. Isso ajuda você a defender melhor sua carga de trabalho pensando como um invasor interessado no sucesso (independentemente de como eles obtêm).
Segurança não é um esforço único. Você deve implementar essas diretrizes de forma recorrente. Melhore continuamente suas defesas e conhecimentos de segurança para ajudar a manter sua carga de trabalho segura contra invasores que estão constantemente obtendo acesso a vetores de ataque inovadores à medida que são desenvolvidos e adicionados a kits de ataque automatizados.
Os princípios de design destinam-se a estabelecer uma mentalidade de segurança contínua para ajudá-lo a melhorar continuamente a postura de segurança de sua carga de trabalho à medida que as tentativas de invasores evoluem continuamente. Esses princípios devem orientar a segurança de sua arquitetura, opções de design e processos operacionais. Comece com as abordagens recomendadas e justifique os benefícios para um conjunto de requisitos de segurança. Depois de definir sua estratégia, impulsione as ações usando a lista de verificação segurança como a próxima etapa.
Se esses princípios não forem aplicados corretamente, um impacto negativo nas operações e na receita dos negócios poderá ser esperado. Algumas consequências podem ser óbvias, como penalidades para cargas de trabalho regulatórias. Outros podem não ser tão óbvios e podem levar a problemas de segurança contínuos antes de serem detectados.
Em muitas cargas de trabalho críticas, a segurança é a principal preocupação, juntamente com a confiabilidade, dado que alguns vetores de ataque, como a exfiltração de dados, não afetam a confiabilidade. A segurança e a confiabilidade podem efetuar pull de uma carga de trabalho em direções opostas porque o design focado em segurança pode introduzir pontos de falha e aumentar a complexidade operacional. O efeito da segurança na confiabilidade geralmente é indireto, introduzido por meio de restrições operacionais. Considere cuidadosamente as compensações entre segurança e confiabilidade.
Seguindo esses princípios, você pode melhorar a eficácia da segurança, proteger os ativos de carga de trabalho e criar confiança com seus usuários.
Planejar sua preparação de segurança
Esforce-se para adotar e implementar práticas de segurança em decisões e operações de design arquitetônico com mínimo atrito. |
---|
Como proprietário de uma carga de trabalho, você tem uma responsabilidade compartilhada com a organização para proteger ativos. Crie um plano de preparação de segurança alinhado com as prioridades de negócios. Isso levará a processos bem definidos, investimentos adequados e responsabilidades apropriadas. O plano deve fornecer os requisitos de carga de trabalho para a organização, que também compartilha a responsabilidade pela proteção de ativos. Os planos de segurança devem considerar sua estratégia de confiabilidade, modelagem de integridade e autopreservação.
Além dos ativos organizacionais, a carga de trabalho em si precisa ser protegida contra ataques de intrusão e exfiltração. Todas as facetas de Confiança Zero e da tríade da CIA devem ser fatoradas no plano.
Requisitos funcionais e não funcionais, restrições orçamentárias e outras considerações não devem restringir investimentos em segurança nem diluí-los. Ao mesmo tempo, você precisa projetar e planejar investimentos em segurança com essas restrições e restrições em mente.
Abordagem | Benefício |
---|---|
Use a segmentação como estratégia para planejar limites de segurança no ambiente de carga de trabalho, processos e estrutura de equipe para isolar o acesso e a função. Sua estratégia de segmentação deve ser orientada por requisitos de negócios. Você pode baseá-lo na criticidade de componentes, divisão de trabalho, preocupações de privacidade e outros fatores. |
Você poderá minimizar o atrito operacional definindo funções e estabelecendo linhas claras de responsabilidade. Este exercício também ajuda a identificar o nível de acesso para cada função, especialmente para contas de impacto crítico. O isolamento permite limitar a exposição de fluxos confidenciais apenas a funções e ativos que precisam de acesso. Exposição excessiva pode inadvertidamente levar à divulgação do fluxo de informações. Para resumir, você poderá dimensionar os esforços de segurança com base nas necessidades de cada segmento. |
Crie habilidades continuamente por meio de treinamento de segurança baseado em função que atenda aos requisitos da organização e aos casos de uso da carga de trabalho. | Uma equipe altamente qualificada pode projetar, implementar e monitorar controles de segurança que permanecem eficazes contra invasores, que constantemente procuram novas maneiras de explorar o sistema. O treinamento em toda a organização normalmente se concentra no desenvolvimento de um conjunto de habilidades mais amplo para proteger os elementos comuns. No entanto, com o treinamento baseado em função, você se concentra no desenvolvimento de experiência profunda nas ofertas de plataforma e recursos de segurança que abordam preocupações de carga de trabalho. Você precisa implementar ambas as abordagens para se defender contra adversários por meio de bom design e operações eficazes. |
Verifique se há um plano de resposta a incidentes para sua carga de trabalho. Use estruturas do setor que definem o procedimento operacional padrão para preparação, detecção, contenção, mitigação e atividade pós-incidente. |
No momento da crise, a confusão deve ser evitada. Se você tiver um plano bem documentado, as funções responsáveis poderão se concentrar na execução sem perda de tempo em ações incertas. Além disso, um plano abrangente pode ajudá-lo a garantir que todos os requisitos de correção sejam atendidos. |
Fortaleça sua postura de segurança compreendendo os requisitos de conformidade de segurança impostos por influências fora da equipe de carga de trabalho, como políticas organizacionais, conformidade regulatória e padrões do setor. | Clarity sobre os requisitos de conformidade ajudará você a projetar as garantias de segurança certas e evitar problemas de não conformidade, o que pode levar a penalidades. Os padrões do setor podem fornecer uma linha de base e influenciar sua escolha de ferramentas, políticas, proteções de segurança, diretrizes, abordagens de gerenciamento de riscos e treinamento. Se você souber que a carga de trabalho segue a conformidade, poderá incutir confiança em sua base de usuários. |
Defina e imponha padrões de segurança em nível de equipe no ciclo de vida e nas operações da carga de trabalho. Procure práticas consistentes em operações como codificação, aprovações restritas, gerenciamento de versão e proteção e retenção de dados. |
Definir boas práticas de segurança pode minimizar a negligência e a área de superfície para possíveis erros. A equipe otimizará os esforços e o resultado será previsível porque as abordagens se tornarão mais consistentes. Observar padrões de segurança ao longo do tempo permitirá que você identifique oportunidades de melhoria, possivelmente incluindo automação, o que simplificará ainda mais os esforços e aumentará a consistência. |
Alinhe sua resposta a incidentes com a função centralizada do SOC (Security Operation Center) em sua organização. | Centralizar funções de resposta a incidentes permite que você aproveite profissionais especializados de TI que podem detectar incidentes em tempo real para lidar com possíveis ameaças o mais rápido possível. |
Projetar para proteger a confidencialidade
Evite a exposição a informações de privacidade, regulamentação, aplicativo e proprietárias por meio de restrições de acesso e técnicas de ofuscação. |
---|
Os dados da carga de trabalho podem ser classificados por usuário, uso, configuração, conformidade, propriedade intelectual e muito mais. Esses dados não podem ser compartilhados ou acessados além dos limites de confiança estabelecidos. Os esforços para proteger a confidencialidade devem se concentrar em controles de acesso, opacidade e manter um rastro de auditoria de atividades que pertencem aos dados e ao sistema.
Abordagem | Benefício |
---|---|
Implemente controles de acesso fortes que concedem acesso apenas com base na necessidade de saber. |
Privilégio mínimo. A carga de trabalho será protegida contra acesso não autorizado e atividades proibidas. Mesmo quando o acesso for de identidades confiáveis, as permissões de acesso e o tempo de exposição serão minimizados porque o caminho de comunicação está aberto por um período limitado. |
Classifique os dados com base em seu tipo, sensibilidade e risco potencial. Atribua um nível de confidencialidade para cada um. Inclua componentes do sistema que estão no escopo do nível identificado. |
Verificação explícita. Essa avaliação ajuda você a dimensionar as medidas de segurança de tamanho certo. Você também poderá identificar dados e componentes que têm um alto impacto potencial e/ou exposição a riscos. Este exercício adiciona clareza à sua estratégia de proteção de informações e ajuda a garantir o acordo. |
Proteja seus dados em repouso, em trânsito e durante o processamento usando criptografia. Baseie sua estratégia no nível de confidencialidade atribuído. |
Pressuposição de violação. Mesmo que um invasor obtenha acesso, ele não poderá ler dados confidenciais criptografados corretamente . Os dados confidenciais incluem informações de configuração usadas para obter mais acesso dentro do sistema. A criptografia de dados pode ajudá-lo a conter riscos. |
Proteja-se contra explorações que podem causar exposição injustificada de informações. |
Verificação explícita. É crucial minimizar vulnerabilidades em implementações de autenticação e autorização, código, configurações, operações e aquelas que derivam dos hábitos sociais dos usuários do sistema. As medidas de segurança atualizadas permitem que você bloqueie a entrada de vulnerabilidades de segurança conhecidas no sistema. Você também pode atenuar novas vulnerabilidades que podem aparecer ao longo do tempo implementando operações de rotina ao longo do ciclo de desenvolvimento, melhorando continuamente as garantias de segurança. |
Proteja-se contra a exfiltração de dados que resulta de acesso mal-intencionado ou inadvertido aos dados. |
Pressuposição de violação. Você poderá conter o raio de explosão bloqueando a transferência de dados não autorizada. Além disso, os controles aplicados à rede, à identidade e à criptografia protegerão os dados em várias camadas. |
Mantenha o nível de confidencialidade à medida que os dados fluem por meio de vários componentes do sistema. |
Pressuposição de violação. Impor níveis de confidencialidade em todo o sistema permite que você forneça um nível consistente de proteção. Isso pode impedir vulnerabilidades que podem resultar da movimentação de dados para uma camada de segurança mais baixa. |
Mantenha uma trilha de auditoria de todos os tipos de atividades de acesso. |
Pressuposição de violação. Os logs de auditoria dão suporte à detecção e recuperação mais rápidas em caso de incidentes e ajudam no monitoramento de segurança contínuo. |
Projetar para proteger a integridade
Evite corrupção de design, implementação, operações e dados para evitar interrupções que possam impedir que o sistema entregue seu utilitário pretendido ou faça com que ele opere fora dos limites prescritos. O sistema deve fornecer garantia de informações durante todo o ciclo de vida da carga de trabalho. |
---|
A chave é implementar controles que impedem a violação da lógica de negócios, dos fluxos, dos processos de implantação, dos dados e até mesmo dos componentes de pilha inferiores, como o sistema operacional e a sequência de inicialização. A falta de integridade pode introduzir vulnerabilidades que podem levar a violações de confidencialidade e disponibilidade.
Abordagem | Benefício |
---|---|
Implemente controles de acesso fortes que autenticam e autorizam o acesso ao sistema. Minimize o acesso com base no privilégio, no escopo e no tempo. |
Privilégio mínimo. Dependendo da força dos controles, você poderá evitar ou reduzir riscos de modificações não aprovadas. Isso ajuda a garantir que os dados sejam consistentes e confiáveis. Minimizar o acesso limita a extensão de possíveis corrupção. |
Proteja-se continuamente contra vulnerabilidades e detecte-as em sua cadeia de suprimentos para impedir que invasores injetem falhas de software em sua infraestrutura, sistema de build, ferramentas, bibliotecas e outras dependências. A cadeia de suprimentos deve verificar se há vulnerabilidades durante o tempo de build e o runtime. |
Pressuposição de violação. Conhecer a origem do software e verificar sua autenticidade durante todo o ciclo de vida fornecerá previsibilidade. Você saberá sobre vulnerabilidades com bastante antecedência para que possa corrigi-las proativamente e manter o sistema seguro em produção. |
Estabeleça confiança e verifique usando técnicas de criptografia como atestado, assinatura de código, certificados e criptografia. Proteja esses mecanismos permitindo descriptografia respeitável. |
Verifique explicitamente, privilégios mínimos. Você saberá que as alterações nos dados ou no acesso ao sistema são verificadas por uma fonte confiável. Mesmo que os dados criptografados sejam interceptados em trânsito por um ator mal-intencionado, o ator não poderá desbloquear ou decifrar o conteúdo. Você pode usar assinaturas digitais para garantir que os dados não tenham sido adulterados durante a transmissão. |
Verifique se os dados de backup são imutáveis e criptografados quando os dados são replicados ou transferidos. |
Verificação explícita. Você poderá recuperar dados com confiança de que os dados de backup não foram alterados em repouso, inadvertidamente ou mal-intencionados. |
Evite ou reduza implementações do sistema que permitem que sua carga de trabalho opere fora de seus limites e finalidades pretendidos. |
Verificação explícita. Quando seu sistema tem fortes proteções que marcar se o uso está alinhado com seus limites e finalidades pretendidos, o escopo para possíveis abusos ou violações de sua computação, rede e armazenamentos de dados é reduzido. |
Design para proteger a disponibilidade
Evite ou minimize o tempo de inatividade e a degradação do sistema e da carga de trabalho no caso de um incidente de segurança usando controles de segurança fortes. Você deve manter a integridade dos dados durante o incidente e depois que o sistema se recuperar. |
---|
Você precisa equilibrar as opções de arquitetura de disponibilidade com opções de arquitetura de segurança. O sistema deve ter garantias de disponibilidade para garantir que os usuários tenham acesso aos dados e que os dados sejam acessíveis. Do ponto de vista de segurança, os usuários devem operar dentro do escopo de acesso permitido e os dados devem ser confiáveis. Os controles de segurança devem bloquear atores inválidos, mas não devem impedir que usuários legítimos acessem o sistema e os dados.
Abordagem | Benefício |
---|---|
Impedir que identidades comprometidas inutilizem o acesso incorretamente para obter o controle do sistema. Verifique se há limites de tempo e escopo excessivamente difundidos para minimizar a exposição ao risco. |
Privilégio mínimo. Essa estratégia atenua os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos cruciais. Os riscos incluem modificações não autorizadas e até mesmo a exclusão de recursos. Aproveite os modos de segurança JIT (just-in-time) fornecidos pela plataforma, JEA (just-enough-access) e de segurança baseados em tempo para substituir as permissões permanentes sempre que possível. |
Use controles de segurança e padrões de design para evitar que ataques e falhas de código causem esgotamento de recursos e bloqueiem o acesso. |
Verificação explícita. O sistema não terá tempo de inatividade causado por ações mal-intencionadas, como ataques de DDoS (negação de serviço distribuído). |
Implemente medidas preventivas para vetores de ataque que exploram vulnerabilidades no código do aplicativo, protocolos de rede, sistemas de identidade, proteção contra malware e outras áreas. |
Pressuposição de violação. Implemente scanners de código, aplique os patches de segurança mais recentes, atualize o software e proteja seu sistema com antimalware eficaz continuamente. Você poderá reduzir a superfície de ataque para garantir a continuidade dos negócios. |
Priorize os controles de segurança nos componentes e fluxos críticos no sistema suscetíveis a riscos. |
Suponha a violação, verifique explicitamente. Os exercícios regulares de detecção e priorização podem ajudá-lo a aplicar experiência de segurança aos aspectos críticos do sistema. Você poderá se concentrar nas ameaças mais prováveis e prejudiciais e iniciar sua mitigação de risco em áreas que precisam de mais atenção. |
Aplique pelo menos o mesmo nível de rigor de segurança em seus recursos e processos de recuperação que você faz no ambiente primário, incluindo controles de segurança e frequência de backup. |
Pressuposição de violação. Você deve ter um estado de sistema seguro preservado disponível na recuperação de desastres. Se você fizer isso, poderá fazer failover para um sistema ou local secundário seguro e restaurar backups que não introduzirão uma ameaça. Um processo bem projetado pode impedir que um incidente de segurança impeça o processo de recuperação. Dados de backup corrompidos ou dados criptografados que não podem ser decifrados podem retardar a recuperação. |
Sustentar e evoluir sua postura de segurança
Incorpore melhoria contínua e aplique vigilância para ficar à frente dos invasores que estão continuamente evoluindo suas estratégias de ataque. |
---|
Sua postura de segurança não deve se degradar ao longo do tempo. Você deve melhorar continuamente as operações de segurança para que novas interrupções sejam tratadas com mais eficiência. Esforce-se para alinhar melhorias com as fases definidas pelos padrões do setor. Isso leva a uma melhor preparação, tempo reduzido para detecção de incidentes e contenção e mitigação eficazes. A melhoria contínua deve ser baseada em lições aprendidas com incidentes passados.
É importante medir sua postura de segurança, impor políticas para manter essa postura e validar regularmente suas mitigações de segurança e compensando controles para melhorar continuamente sua postura de segurança diante das ameaças em evolução.
Abordagem | Benefício |
---|---|
Crie e mantenha um inventário de ativos abrangente que inclua informações confidenciais sobre recursos, locais, dependências, proprietários e outros metadados relevantes para a segurança. Tanto quanto possível, automatize o inventário para derivar dados do sistema. |
Um inventário bem organizado fornece uma visão holística do ambiente, o que o coloca em uma posição vantajosa contra invasores, especialmente durante atividades pós-incidente. Ele também cria um ritmo de negócios para impulsionar a comunicação, a manutenção de componentes críticos e o descomissionamento de recursos órfãos. |
Execute a modelagem de ameaças para identificar e mitigar possíveis ameaças. | Você terá um relatório de vetores de ataque priorizados pelo nível de gravidade. Você poderá identificar ameaças e vulnerabilidades rapidamente e configurar contramedidas. |
Capture dados regularmente para quantificar seu estado atual em relação à linha de base de segurança estabelecida e definir prioridades para correções. Aproveite os recursos fornecidos pela plataforma para o gerenciamento da postura de segurança e a imposição da conformidade imposta por organizações externas e internas. |
Você precisa de relatórios precisos que tragam clareza e consenso para concentrar áreas. Você poderá executar correções técnicas imediatamente, começando com os itens de prioridade mais alta. Você também identificará lacunas, que oferecem oportunidades de melhoria. Implementar a imposição ajuda a evitar violações e regressões, o que preserva sua postura de segurança. |
Execute testes periódicos de segurança que são conduzidos por especialistas externos à equipe de carga de trabalho que tentam invadir eticamente o sistema. Execute a verificação de vulnerabilidades de rotina e integrada para detectar explorações na infraestrutura, nas dependências e no código do aplicativo. |
Esses testes permitem validar as defesas de segurança simulando ataques do mundo real usando técnicas como testes de penetração. As ameaças podem ser introduzidas como parte do gerenciamento de alterações. A integração de scanners aos pipelines de implantação permite detectar automaticamente vulnerabilidades e até mesmo colocar em quarentena o uso até que as vulnerabilidades sejam removidas. |
Detectar, responder e recuperar com operações de segurança rápidas e eficazes. | O principal benefício dessa abordagem é que ela permite preservar ou restaurar as garantias de segurança da tríade da CIA durante e após um ataque. Você precisa ser alertado assim que uma ameaça for detectada para que você possa iniciar suas investigações e tomar as medidas apropriadas. |
Realize atividades pós-incidente , como análises de causa raiz, pós-morte e relatórios de incidentes. | Essas atividades fornecem insights sobre o impacto da violação e das medidas de resolução, o que impulsiona melhorias nas defesas e operações. |
Atualize-se e mantenha-se atualizado. Mantenha-se atualizado sobre atualizações, aplicação de patch e correções de segurança. Avalie continuamente o sistema e melhore-o com base em relatórios de auditoria, parâmetros de comparação e lições de atividades de teste. Considere a automação, conforme apropriado. Use a inteligência contra ameaças da plataforma de análise de segurança para detecção dinâmica de ameaças. Em intervalos regulares, examine a conformidade da carga de trabalho com as práticas recomendadas do SDL (Security Development Lifecycle). |
Você poderá garantir que sua postura de segurança não se degrade ao longo do tempo. Ao integrar descobertas de ataques do mundo real e atividades de teste, você poderá combater invasores que melhoram e exploram continuamente novas categorias de vulnerabilidades. A automação de tarefas repetitivas diminui a chance de erro humano que pode criar riscos. As revisões SDL trazem clareza em relação aos recursos de segurança. O SDL pode ajudá-lo a manter um inventário de ativos de carga de trabalho e seus relatórios de segurança, que abrangem a origem, o uso, os pontos fracos operacionais e outros fatores. |