Melhorar a segurança da zona de destino

Quando uma carga de trabalho ou as zonas de aterrissagem que a hospedam exigem acesso a dados confidenciais ou sistemas críticos, é importante proteger os dados e ativos.

Proteger

Ao sair do estado Pronto, você tem a responsabilidade contínua de manter a segurança do seu ambiente. A segurança na nuvem também é um processo incremental em vez de apenas um destino estático. Concentre-se em objetivos e resultados-chave ao prever um estado final de segurança. Mapeie conceitos, estruturas e padrões para as disciplinas da metodologia segura do CAF, juntamente com o mapeamento de papéis e responsabilidades para a disciplina humana. A metodologia segura fornece orientações.

Abaixo, fornecemos uma visão geral dessas orientações com links para os detalhes.

Perspetivas de risco

As operações comerciais têm riscos de segurança. A equipe de segurança deve informar e aconselhar os tomadores de decisão sobre como os riscos de segurança se encaixam em suas estruturas, entendendo os negócios e usando práticas de segurança para reconhecer qual risco planejar e agir adequadamente.

  • O que é risco de cibersegurança?: Todos os danos ou destruição potenciais do negócio causados por atacantes humanos que tentam roubar moeda, informação privilegiada ou tecnologia.
  • Alinhe seu gerenciamento de riscos de segurança: invista em unir a segurança cibernética e a liderança organizacional para explicar as ameaças à segurança usando terminologia amigável aos negócios, ouvindo ativamente e comunicando com todas as pessoas da empresa.
  • Compreender o risco de cibersegurança: Compreender as motivações e os padrões de comportamento dos atacantes humanos para roubar dinheiro, informação ou tecnologia e identificar o potencial impacto de diferentes tipos de ataques.

Integração de segurança

Certifique-se de que a segurança é uma preocupação organizacional e não isolada em um único grupo. A integração de segurança fornece orientação sobre como integrar a segurança na função de todos, minimizando o atrito com os processos de negócios. As orientações específicas incluem:

  • Normalizando relações: Certifique-se de que todas as equipes estejam integradas com as equipes de segurança e tenham uma compreensão compartilhada das metas de segurança. Além disso, trabalhe para encontrar o nível certo de controles de segurança, garantindo que os controles não superem o valor comercial.
  • Integração com operações de TI e de negócios: equilibre a implementação de atualizações de segurança e o mapeamento de como todos os processos de segurança afetam o impacto atual nos negócios e o potencial risco de segurança no futuro.
  • Integrar equipes de segurança: Evite operar em silos respondendo a ameaças ativas e melhorando continuamente a postura de segurança da organização, praticando a segurança como uma disciplina dinâmica.

Resiliência empresarial

Embora as organizações nunca possam ter uma segurança perfeita, ainda há a abordagem pragmática da resiliência empresarial em investir o ciclo de vida completo de um risco de segurança antes, durante e depois de um incidente.

  • Objetivos de resiliência: Concentre-se em permitir que sua empresa inove rapidamente, limite o impacto e sempre busque maneiras seguras de adotar tecnologia.
  • Resiliência de segurança e assumir violação: assuma violação ou compromisso para seguir o princípio fundamental de confiança zero e pratique comportamentos pragmáticos de segurança para prevenir ataques, limitar danos e ter recuperação rápida deles.

Controlo de acesso

Faça uma estratégia de controle de acesso que alinhe a experiência do usuário e as garantias de segurança.

  • Do perímetro de segurança à confiança zero: adote uma abordagem de confiança zero para controle de acesso para estabelecer e melhorar as garantias de segurança ao trabalhar na nuvem e usar novas tecnologias.
  • Controle de acesso moderno: crie uma estratégia de controle de acesso abrangente, consistente e flexível. Vá além de uma única tática ou tecnologia para várias cargas de trabalho, nuvens e vários níveis de sensibilidade de negócios.
  • Conhecido, confiável, permitido: siga o processo dinâmico de três etapas para garantir a autenticação conhecida, confiando no usuário ou dispositivo e permitindo os direitos e privilégios apropriados para o aplicativo, serviço ou dados.
  • Decisões de acesso orientadas por dados: Tome decisões informadas a partir dos diversos dados sobre os usuários e dispositivos para cumprir a validação explícita.
  • Segmentação: Separe para proteger: crie limites como segmentos separados de um ambiente interno para conter danos de ataques bem-sucedidos.
  • Isolamento: Evite o firewall e esqueça: projete uma forma extrema de segmentação para ativos críticos para os negócios que consiste em: pessoas, processos e tecnologia.

Operações de segurança

Estabeleça operações de segurança reduzindo riscos, respondendo rapidamente e recuperando para proteger sua organização e seguir a disciplina de segurança do processo de DevOps.

  • Pessoas e processos: crie uma cultura para capacitar as pessoas com ferramentas que as habilitem como seu ativo mais valioso e diversifique seu portfólio de pensamento, incluindo e treinando pessoas não técnicas com sólida experiência em funções de investigação forense.
  • Modelo de operações de segurança: concentre-se nos resultados de gerenciamento de incidentes, preparação de incidentes e inteligência de ameaças. Delegue os resultados entre as subequipes para triar, investigar e caçar incidentes complexos e de alto volume.
  • Pontos de contato de negócios SecOps: Interaja com a liderança de negócios para informar incidentes importantes e determinar o impacto de sistemas críticos. Resposta à prática continuamente conjunta para reduzir o risco organizacional.
  • Modernização do SecOps: evolua as operações de segurança seguindo tendências que envolvem cobertura de plataforma, segurança centrada em identidade, dispositivos IoT e OT e telemetria relevante da nuvem.

Proteção de ativos

Proteja ativos críticos para os negócios, que incluem todos os itens físicos e virtuais implementando controles de segurança exclusivos para cada tipo de ativo. Execute consistentemente proteção preventiva e detectiva para atender a políticas, padrões e arquitetura.

  • Obtenha segurança: atualize os recursos para os padrões e políticas de segurança mais recentes da sua organização aplicando controles atuais aos ativos brownfield e garantindo que os ativos greenfield sejam definidos de acordo com os padrões mais recentes.
  • Mantenha-se seguro: pratique a melhoria contínua da nuvem e planeje a atualização ou a desativação de software em fim de vida à medida que os requisitos de negócios, tecnologia e segurança mudam rapidamente.
  • Primeiros passos: comece a proteger ativos concentrando-se primeiro em recursos de nuvem conhecidos e use linhas de base de fornecedores/setores bem conhecidas e comprovadas para sua configuração de segurança.
  • Informações essenciais: use elementos-chave de equipes responsáveis e responsáveis para gerenciar ativos em toda a empresa, como elasticidade da nuvem, necessidades de carga de trabalho e controles de projeto para identificar práticas recomendadas. Meça o valor comercial da proteção de ativos e favoreça políticas automatizadas para evitar custos e repetição manual.

Governação da segurança

Realize supervisão e monitoramento com governança de segurança para manter e melhorar a postura de segurança ao longo do tempo usando metas de negócios e risco para determinar a melhor direção para a segurança.

  • Conformidade e relatórios: Faça com que as políticas de segurança externas e internas atendam aos requisitos obrigatórios em um determinado setor.
  • Arquitetura e padrões: crie uma visão unificada em toda a propriedade da empresa, pois a maioria das empresas é um ambiente híbrido que inclui recursos locais e na nuvem.
  • Gestão da postura de segurança: Planeje a governança para monitorar os padrões de segurança, fornecer orientação e melhorar os processos. Mantenha a agilidade através de uma governança orientada através de políticas e melhoria contínua.
  • Disciplinas de governança e proteção: Aplique controles de segurança e forneça feedback para identificar as melhores soluções.
  • Governança e operações de segurança: Garantir que as lições aprendidas com os incidentes sejam integradas às operações de segurança e à governança.

Segurança da inovação

Proteja os processos e dados de inovação contra ciberataques à medida que novas aplicações são desenvolvidas tendo em mente a segurança da inovação.

  • O que é DevSecOps?: Segurança integrada ao processo já combinado de desenvolvimento e operações em DevOps para mitigar riscos no processo de inovação.
  • Seguro por projeto e deslocamento para a esquerda: envolva a segurança em todos os estágios do ciclo de vida do DevOps e faça com que as equipes se alinhem com a velocidade de inovação, confiabilidade e resiliência.
  • Por que DevSecOps?: Para proteger o processo de DevOps protegendo contra invasores que exploram fraquezas em toda a infraestrutura de TI da sua organização, o que, por sua vez, protege seus clientes.
  • A jornada DevSecOps: use a incubação de ideias e o DevOps como um processo de duas fases como a maioria das organizações. Identificar os requisitos de MVP (produto mínimo viável), usar técnicas de liderança para resolver conflitos de equipes e integrar a segurança em processos e ferramentas existentes.
  • Dicas sobre como navegar na jornada: À medida que você transforma sua segurança, haverá desafios comuns ao longo da jornada que envolverão educação, tempo, recursos e a natureza geral mutável das operações de TI.

Controles DevSecOps

Adicione segurança a cada estágio de integração contínua e entrega contínua (CI/CD) ao fazer controles DevSecOps.

  • Proteja o design: Traga segurança para a fase de planejamento em metodologias modernas de desenvolvimento para implementar modelagem de ameaças, plug-ins/pré-confirmação de segurança do IDE e revisão por pares.
  • Proteja o código: avalie e implemente o recurso de verificação de vulnerabilidades em seus repositórios centralizados para descobrir riscos e executar a correção.
  • Proteja o pipeline: use pipelines de compilação e liberação para automação e padronização para os processos de criação e implantação de código seguro sem gastar grandes quantidades de tempo na reimplantação ou atualização de ambientes existentes.
  • Operações seguras: supervisione e gerencie o estado da segurança quando a solução é colocada em produção. Use ferramentas de varredura de infraestrutura e práticas de teste de penetração para permitir que as equipes encontrem riscos e vulnerabilidades a serem abordados.

Ciclo de desenvolvimento orientado a testes

Antes de iniciar qualquer melhoria de segurança, é importante entender a "definição de concluído" e todos os "critérios de aceitação". Para obter mais informações, consulte os artigos sobre desenvolvimento controlado por teste de zonas de aterrissagem e desenvolvimento controlado por teste no Azure.

Próximos passos

Entenda como melhorar as operações da zona de pouso para dar suporte a aplicativos críticos.