Geekly articles weekly

Livro de infraestrutura de segurança do Microsoft Azure

Este livro fornece informações gerais, considerações de design, cenários de implantação, práticas recomendadas, resultados de pesquisas de tecnologia e instruções para ajudá-lo a compilar uma apresentação abrangente sobre os recursos de segurança do Azure.

Não é necessário conhecimento especializado do Azure ou PowerShell. Supõe-se também que o leitor tenha experiência com tecnologia da informação de classe empresarial e um nível suficiente de qualificação para trabalhar em um data center.

Hoje publicamos parte do primeiro capítulo deste livro. Você pode baixar a versão completa gratuitamente aqui .


Sumário


  • Segurança na nuvem - 1;
  • Proteção de identidade no Azure - 19;
  • Segurança de rede do Azure - 53;
  • Segurança de dados e armazenamento - 85;
  • Proteção de máquinas virtuais contra malware - 103;
  • Gerenciamento de chaves no Azure com cofre de chaves - 119;
  • Segurança da Internet das Coisas - 155;
  • Monitoramento de ambientes híbridos - 175;
  • Operação e gerenciamento na nuvem - 191;

Segurança na nuvem


Antes de começar a considerar o assunto principal deste livro, a infra-estrutura de segurança do Microsoft Azure, é importante entender qual nível de segurança pode ser fornecido na nuvem. Para descobrir por que a plataforma de nuvem do Azure é realmente confiável, é necessário considerar vários fatores importantes que afetam a segurança das soluções na nuvem. A segurança na nuvem é o resultado de um esforço colaborativo entre sua empresa e seu provedor de serviços em nuvem. Este capítulo discute fatores críticos que ajudarão você a entender as limitações, responsabilidades e recursos da tecnologia em nuvem para uso posterior como uma plataforma confiável para seus negócios.

Fatores importantes que afetam a segurança da nuvem


Antes de iniciar uma implementação em larga escala dos sistemas em nuvem, é importante que a equipe responsável da organização entenda como a segurança funciona no modelo em nuvem. Esse entendimento precisa ser desenvolvido antes de iniciar o planejamento. Se os participantes não estiverem familiarizados adequadamente com os recursos de segurança na nuvem, o sucesso de todo o projeto de implantação na nuvem poderá estar em risco.

Ao planejar a implementação de tecnologias em nuvem, é importante avaliar os seguintes aspectos de sua segurança:

  • Conformidade
  • Gerenciamento de riscos
  • Gerenciamento de identidade e acesso
  • Operação Segurança
  • Proteção de ponto final
  • Protecção de dados

Cada um desses aspectos precisa de atenção. A profundidade necessária para o estudo de questões individuais depende das características da sua empresa: por exemplo, as prioridades de uma instituição médica e de uma empresa de manufatura podem variar bastante. Nas seções a seguir, examinaremos cada um desses aspectos com mais detalhes.

Conformidade


Cada organização tem certos requisitos e, ao mudar para a nuvem, é importante não violá-los. A fonte desses requisitos pode ser regras internas ou externas - por exemplo, padrões do setor que são obrigatórios. Os provedores de serviços em nuvem devem estar preparados para ajudar os clientes a atender aos requisitos de implantação da nuvem. Em muitos casos, os clientes precisam contar com um provedor de serviços em nuvem para atender aos requisitos.

Para ajudar os clientes a atender aos requisitos atuais, a Microsoft usa as três metodologias a seguir.

  • Contabilidade inicial dos requisitos necessários
    • Tecnologia confiável
    • Investimentos em processos de conformidade
    • Certificação de Terceiros
  • Assistência aos clientes com conformidade
    • Transparência
    • Escolha
    • Flexibilidade
  • Colaboração com empresas líderes em vários setores
    • Desenvolvimento de padrões
    • Colaboração com órgãos legislativos e reguladores

É recomendável que você trabalhe em estreita colaboração com seu provedor de serviços em nuvem para analisar quais requisitos sua organização deve atender e com que proximidade o fornecedor de serviços em nuvem os atende. Também é muito importante garantir que o provedor de serviços em nuvem já tenha experiência na implementação dos serviços em nuvem mais seguros e confiáveis ​​que fornecem a mais alta confidencialidade e proteção dos dados do cliente.
Leia mais: para obter mais informações sobre como a Microsoft ajuda os clientes a atender aos requisitos de conformidade, consulte este artigo .

Gerenciamento de riscos


Para a implementação bem-sucedida dos sistemas em nuvem, é muito importante que o cliente possa confiar no sistema de segurança da infraestrutura do fornecedor. O provedor de serviços em nuvem deve implementar e aplicar estritamente políticas e programas de gerenciamento de riscos à segurança da Internet. Ao gerenciar riscos em um ambiente em nuvem, é importante considerar seu nível de dinamismo.

A Microsoft fornece com sucesso aos clientes serviços online há muitos anos. Durante esse período, foram desenvolvidos processos altamente eficientes que permitem controlar esses novos riscos. Como parte do gerenciamento de riscos, um provedor de serviços em nuvem deve executar as seguintes tarefas:

  • Identifique vulnerabilidades e ameaças ambientais.
  • Análise quantitativa de riscos.
  • Publique dados sobre riscos na nuvem.
  • Gerenciamento de riscos com base na análise de possíveis conseqüências e seu impacto nos negócios.
  • Verificação da eficácia de possíveis contramedidas e análise de riscos residuais.
  • Gerenciamento de risco contínuo.

É muito importante que os clientes colaborem ativamente com os provedores de serviços em nuvem e exijam que eles garantam a máxima transparência dos processos. Nesse caso, os clientes poderão analisar as medidas tomadas para combater os riscos e avaliar como eles correspondem ao nível de confidencialidade dos dados e ao grau de proteção necessário para sua organização.

Gerenciamento de identidade e acesso


No mundo de hoje, os usuários geralmente têm a oportunidade de trabalhar em qualquer lugar do mundo, usando uma ampla gama de dispositivos, enquanto acessam uma ampla variedade de serviços em nuvem. Em tais circunstâncias, a segurança das identidades dos usuários se torna especialmente importante. Ao usar sistemas baseados em nuvem, são precisamente as identidades que se tornam a fronteira entre “o próprio” e o “outro”. As identidades são o plano de controle de toda a infraestrutura, seja no local ou na nuvem. Identidades são usadas para controlar o acesso a qualquer serviço de qualquer dispositivo e permitem rastrear e analisar os recursos de uso de dados.

Para implementar tecnologias de nuvem nas organizações, é necessário familiarizar-se com os recursos disponíveis para gerenciar identidades e acesso, e também entender como esses métodos permitirão que você interaja com sua infraestrutura local existente. Ao planejar o gerenciamento de identidade e acesso, é importante considerar os seguintes fatores:

  • Preparação da identidade
    • Os requisitos de preparação da identidade dependem do modelo de computação em nuvem usado: software como serviço (SaaS), plataforma como serviço (PaaS) ou infraestrutura como serviço (IaaS).
    • Avalie os recursos de automatizar com segurança a preparação da identidade usando sua infraestrutura local existente.
  • Federação
    • Analise os métodos disponíveis e as possibilidades de integrar esses métodos à sua infraestrutura local existente.
  • Logon único (SSO)
    • Revise os requisitos de SSO da sua organização e a possibilidade de integrar o SSO aos seus aplicativos.
  • Gerenciamento de Perfil
    • Revise as opções de solução disponíveis oferecidas pelo seu provedor de serviços em nuvem e a adequação para sua organização.
  • Controle de acesso
    • Avalie os recursos de controle de acesso a dados que seu provedor de serviços em nuvem oferece.
    • Implemente o controle de acesso baseado em função (RBAC).

Operação Segurança


Para organizações que estão migrando para a tecnologia em nuvem, é importante adaptar os processos internos de acordo, incluindo monitoramento de segurança, auditoria, resposta a incidentes e exames forenses. A plataforma baseada em nuvem deve permitir que os administradores de TI monitorem o status dos serviços em tempo real para monitorar sua integridade e se recuperar rapidamente de uma falha.

Você deve garantir que todos os serviços implantados sejam monitorados e mantidos de acordo com um contrato de nível de serviço (SLA) entre o provedor de serviços em nuvem e a organização do cliente. Outros fatores que afetam a segurança da nuvem estão listados abaixo.

  • Treinamento de funcionários da organização durante o processo.
  • Implemente padrões e práticas do setor para operações, como o NIST SP 800-531.
  • Gerencie as informações de segurança de acordo com os padrões do setor, como o NIST SP 800-612.
  • Use a análise de ameaças fornecida pelo provedor de serviços em nuvem.
  • Atualização contínua de controles e gerenciamento de riscos para aumentar a segurança das operações.

Proteção de ponto final


A segurança da infraestrutura do provedor de serviços em nuvem não é o único fator que determina a segurança na nuvem. Mais adiante neste capítulo, consideraremos o conceito de responsabilidade distribuída. Um de seus aspectos é que, ao implementar tecnologias em nuvem, uma organização é obrigada a fornecer segurança de terminal. Ao introduzir sistemas em nuvem na empresa, é recomendável aumentar a segurança dos pontos de extremidade, pois após essa transição eles abrirão mais frequentemente conexões externas e acessarão mais aplicativos que podem ser hospedados por outros provedores de serviços em nuvem.

O principal alvo dos ataques são os usuários, e é através do uso de terminais que os usuários geralmente recebem informações. O computador de trabalho de um usuário, seu smartphone, qualquer outro dispositivo usando o qual você possa acessar os recursos da nuvem são todos os pontos de extremidade. Os invasores sabem que são os usuários que são o elo mais fraco da cadeia de segurança e estão constantemente aprimorando os métodos de engenharia social (por exemplo, emails de phishing), cuja tarefa é forçar o usuário a executar uma ação que comprometa o endpoint. Ao projetar a segurança do terminal como parte de uma estratégia geral de segurança na nuvem, recomendamos que você siga estas diretrizes.

  • Mantenha seu software de terminal atualizado.
  • Habilite atualizações automáticas de assinaturas nos terminais.
  • Monitore o acesso às fontes de atualização de software.
  • Certifique-se de que os usuários finais não tenham privilégios de administrador local.
  • Permita aos usuários apenas os privilégios mínimos necessários para trabalhar e use a administração baseada em funções.
  • Responda rapidamente às notificações dos pontos de extremidade.

Preste atenção. Proteger o acesso privilegiado é uma etapa crítica para proteger seus negócios. Recomendamos que você leia o artigo sobre estações de trabalho com acesso privilegiado (PAW) em aka.ms/cyberpaw e aprenda mais sobre a metodologia da Microsoft para proteger os ativos mais valiosos.

Protecção de dados


Do ponto de vista da segurança, o objetivo final ao mover dados para a nuvem é proteger os dados onde quer que estejam. O processo de transferência de dados consiste em várias etapas. A etapa é determinada pela localização dos dados em um momento específico. Veja o diagrama na figura:



O diagrama mostra as seguintes etapas:

  1. Os dados são armazenados no dispositivo do usuário. Os dados estão no terminal, que pode ser qualquer dispositivo. É necessário garantir que os dados armazenados nos dispositivos do usuário usados ​​para fins comerciais (scripts BYOD), bem como nos dispositivos da empresa, sejam criptografados.
  2. Os dados são transferidos do dispositivo do usuário para a nuvem. Os dados devem ser protegidos quando saem do dispositivo do usuário. Existem muitas tecnologias disponíveis para ajudar a proteger os dados, independentemente da localização, como o Azure Rights Management. O canal de dados deve ser criptografado. Tecnologias apropriadas, como TLS, devem ser aplicadas.
  3. Os dados são armazenados no centro de dados do provedor de serviços em nuvem. Quando os dados atingem os servidores do provedor de serviços em nuvem, a infraestrutura de armazenamento deve fornecer redundância e proteção. Certifique-se de descobrir exatamente como o provedor de serviços em nuvem implementa a criptografia de dados durante o armazenamento, quem é responsável pelo gerenciamento de chaves e como a redundância de dados é garantida.
  4. Os dados são transferidos da nuvem para o ambiente local. Nesse caso, as recomendações fornecidas para o estágio 2. É necessário fornecer criptografia do próprio arquivo e da camada de transporte.
  5. Os dados são armazenados em um ambiente local. Proteger dados em um ambiente local é tarefa do cliente. Um estágio crítico de sua implementação é a criptografia de dados armazenados no data center da empresa. Sua infraestrutura deve fornecer o nível necessário de criptografia, redundância de dados e gerenciamento de chaves.

Fatores importantes que afetam a segurança da nuvem
Com a transição para o uso da tecnologia em nuvem, outros princípios começam a se aplicar. Os serviços em nuvem diferem das máquinas virtuais e mainframes locais com tempos de acesso compartilhado de várias maneiras, incluindo escalabilidade, velocidade e arquitetura. Portanto, a abordagem para eles deve ser diferente. Ao trabalhar com um provedor de serviços em nuvem (por exemplo, ao usar o Azure), é recomendável considerar os seguintes problemas.

Um serviço em nuvem bem projetado permite colocar as máquinas em operação ou parar de usá-las em alguns minutos ou horas. Muitos serviços desse tipo podem lidar com picos de carga, mais de 10 vezes mais altos que o normal e operando durante o dia. O desenvolvimento de software agora é muito rápido e as alterações semanais (e até diárias) do código tornaram-se a norma. Portanto, o teste deve ser realizado com base nos serviços de trabalho, mas sem o uso de dados confidenciais do trabalho. Para qualquer organização que está migrando para o uso de tecnologias em nuvem, é importante estabelecer um relacionamento confiável com o provedor de serviços em nuvem e usar todas as ferramentas disponíveis para determinar e cumprir mutuamente os requisitos mutuamente aceitos nesses relacionamentos.

Às vezes, dou aos meus amigos o seguinte exemplo. Se, nos anos 90, eu precisava de uma dúzia de servidores para um novo projeto, levava de quatro a seis meses para elaborar planos, encomendá-los, entregar, colocar, conectar, configurar e implantar, e somente depois disso a equipe poderia começar a testar a versão funcional do serviço. . Hoje, graças ao Azure, posso fazer isso em 30 minutos, usando apenas o telefone.

Jim Molini
Gerente de Programa Sênior, C + E Security

Divisão de responsabilidade


Em um data center tradicional, a própria empresa de TI é responsável por todos os aspectos da infraestrutura. É assim que os ambientes de computação local funcionam desde o advento das arquiteturas cliente-servidor modernas (e ainda mais cedo, na era dos mainframes). Se os sistemas de rede, armazenamento ou computação não funcionassem como deveriam, a empresa de TI deveria estabelecer a causa e corrigir o problema.

Com unidades de segurança, a situação era semelhante. O departamento de segurança colaborou com o departamento de TI e, juntos, forneceram proteção para os componentes da infraestrutura de TI. O departamento de segurança da empresa definiu os requisitos, discutiu-os com o departamento de TI e determinou as ferramentas de gerenciamento que a infraestrutura e os operadores de TI poderiam implementar. Além disso, o departamento de segurança estabeleceu padrões e auditou regularmente a infraestrutura para conformidade com esses padrões.

Para data centers localizados fora de ambientes locais, tudo isso permanece válido. No entanto, com o advento de ambientes de computação baseados em nuvens públicas, os departamentos de TI e segurança têm um novo parceiro - um provedor de serviços em nuvem. Esse provedor possui sua própria infraestrutura de TI e é necessário para garantir sua conformidade com os requisitos de segurança e capacidade de gerenciamento.

Isso significa que você precisa não apenas preparar e levar em conta seus próprios requisitos de segurança, mas também ter recursos suficientes para monitorar a infraestrutura de segurança do provedor de serviços em nuvem e rastrear suas operações. Os recursos necessários para esse monitoramento dependem do modelo de segurança em nuvem que sua empresa usa na infraestrutura do provedor de serviços.

Computação em nuvem


Nesta seção, revisamos brevemente o tópico da computação em nuvem para prosseguir a partir das idéias gerais sobre o que está relacionado a elas e o que não está. Esta seção o ajudará a entender como a segurança funciona na nuvem, quais abordagens usadas em data centers familiares permaneceram válidas e quais foram alteradas.

Cloud Definition Publicado por NIST


Por algum tempo, não houve definição formal para o termo "computação em nuvem". Obviamente, pessoas com experiência no setor sob a "nuvem" entendiam a Internet. Para alguns, a essência da computação em nuvem era precisamente a prestação de serviços pela Internet.

Alguns analistas usaram o termo computação de utilidade ("computação como serviço de utilidade"), concentrando-se no modelo de prestação de serviços. Dentro do modelo comunitário, há um certo conjunto de oportunidades que estão disponíveis para todos. O pagamento é cobrado de acordo com a quantidade de recursos utilizados. É muito semelhante ao consumo, por exemplo, de eletricidade e gás por indivíduos.

Autoridades e empresas de vários países estão atualmente usando a definição de computação em nuvem publicada pelo NIST. Eles consideram o mais confiável e útil. O NIST é o Instituto Nacional de Padrões e Tecnologia dos EUA.

O NIST publicou as “cinco características básicas” da computação em nuvem, além de definir modelos de serviços em nuvem e implantações em nuvem. Essas formulações têm um entendimento muito avançado da natureza da computação em nuvem.

A figura mostra cinco recursos básicos, modelos de serviço em nuvem e modelos de implantação em nuvem.



Recursos de computação em nuvem


O NIST destaca as cinco características básicas a seguir da computação em nuvem:

  • Auto-atendimento disponível mediante pedido. A capacidade da plataforma em nuvem de fornecer aos consumidores de serviços em nuvem os recursos necessários, sem qualquer interação com eles. Um exemplo da implementação dessa oportunidade: um consumidor preenche um formulário da Web, indicando seus requisitos de recursos, e o provedor de serviços em nuvem seleciona o necessário.
  • Amplo acesso à rede. A capacidade de acessar recursos da nuvem de praticamente qualquer lugar do mundo a partir de qualquer dispositivo. É importante observar que fortes recursos de acesso à rede fazem parte da definição de computação em nuvem, e fornecer esse acesso é um pré-requisito importante para uma implantação bem-sucedida. Mas este parágrafo não significa que o acesso deve sempre ser aberto a todos. Ao ler este livro, você aprenderá que os controles de acesso são uma parte crítica de qualquer sistema em nuvem.
  • Suporte para mudanças rápidas. , , , . , . , , . , , , . .
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


Você pode baixar a versão completa do livro gratuitamente e estudá-lo no link abaixo.

Baixar

Source: https://habr.com/ru/post/pt423177/

More articles:


All Articles