Geekly articles weekly

Proteção de dados em nuvem: um guia para desenvolvedores

A plataforma do Azure foi projetada para fornecer segurança e atender a todos os requisitos do desenvolvedor. Aprenda a usar os serviços internos para armazenar com segurança os dados do aplicativo, para que apenas serviços e clientes autorizados acessem esses dados.



1. Introdução


A segurança é um dos aspectos mais importantes de qualquer arquitetura. Proteger os dados comerciais e dos clientes é fundamental. O vazamento de dados pode arruinar a reputação da empresa e causar danos financeiros significativos. Neste módulo, discutiremos os problemas básicos de segurança da arquitetura ao desenvolver um ambiente em nuvem.

Ao explorar o desenvolvimento de soluções em nuvem para as quais a segurança é uma prioridade, veremos como um usuário fictício do Azure usa esses princípios na prática.

A Lamna Healthcare é uma empresa nacional de assistência médica. Seu departamento de TI recentemente começou a mover a maioria de seus sistemas de TI para o Azure. A organização usa seus próprios aplicativos, aplicativos de código aberto e aplicativos padrão com várias arquiteturas e plataformas de tecnologia. Aprenderemos o que precisa ser feito para transferir sistemas e dados para a nuvem sem comprometer a segurança.

Nota

Embora os conceitos discutidos neste módulo não sejam exaustivos, eles incluem alguns conceitos importantes relacionados à criação de soluções na nuvem. A Microsoft publica uma ampla variedade de modelos, guias e exemplos para o desenvolvimento de aplicativos na plataforma Azure. É altamente recomendável que você revise o conteúdo no Centro de Arquitetura do Azure antes de planejar e projetar sua arquitetura.

Objetivos de aprendizagem


Neste módulo, você aprenderá como executar as seguintes tarefas:

  • Aprenda a usar a proteção de profundidade para manter sua arquitetura segura.
  • Aprenda a proteger identidades.
  • Descubra quais tecnologias estão disponíveis para proteger sua infraestrutura do Azure.
  • Descubra como e onde usar a criptografia para proteger seus dados.
  • Aprenda a proteger arquiteturas no nível da rede.
  • Aprenda a usar as diretrizes de segurança do aplicativo para integrar medidas de segurança ao seu aplicativo.

Proteção de profundidade


Não há cura para todas as ameaças e uma solução para todos os problemas. Suponha que a Lamna Healthcare tenha perdido de vista a segurança. Ficou claro que essa área deveria ser focada. Os funcionários da Lamna não sabem por onde começar e se é apenas possível comprar uma solução para garantir um ambiente seguro. Eles têm certeza de que precisam de uma abordagem holística, mas não sabem o que é. Aqui, discutiremos em detalhes os principais conceitos de proteção de profundidade, identificaremos as principais tecnologias e abordagens de segurança para dar suporte à estratégia de profundidade de defesa e falaremos sobre como usar esses conceitos no desenvolvimento da arquitetura de serviço do Azure.

Abordagem de segurança em camadas


A defesa profunda é uma estratégia que usa vários mecanismos para retardar um ataque que visa obter acesso não autorizado a informações. Cada nível fornece proteção; portanto, se um invasor ultrapassar um nível, o próximo nível evitará uma penetração adicional. A Microsoft está adotando uma abordagem em camadas da segurança nos data centers físicos e nos serviços do Azure. O objetivo da proteção profunda é garantir a segurança das informações e impedir o roubo de dados por pessoas que não têm permissão para acessá-las. Os princípios gerais usados ​​para determinar o status de segurança são confidencialidade, integridade e disponibilidade, comumente conhecidos como CIA (confidencialidade, integridade, disponibilidade).

  • Confidencialidade é o princípio dos privilégios mínimos. O acesso às informações está disponível apenas para pessoas que recebem permissão explícita. Essas informações incluem proteção por senha do usuário, certificados de acesso remoto e conteúdo de mensagens de email.
  • Integridade - Prevenção de alterações não autorizadas nos dados inativos ou transmitidos. A abordagem geral usada na transferência de dados é que uma impressão digital exclusiva é criada para o remetente usando um algoritmo de hash unidirecional. O hash é enviado ao destinatário junto com os dados. O hash dos dados é recalculado e comparado pelo destinatário com o original, para que os dados não sejam perdidos e não tenham sofrido alterações durante a transferência.
  • Disponibilidade - garantindo que os serviços estejam disponíveis para usuários autorizados. Os ataques de negação de serviço são a causa mais comum de perda de acessibilidade do usuário. Além disso, no caso de desastres naturais, os sistemas são projetados para evitar um único ponto de falha e implantar várias instâncias do aplicativo em locais geograficamente remotos.

Níveis de segurança


A proteção de profundidade pode ser representada como vários anéis concêntricos, no centro dos quais estão os dados. Cada anel adiciona uma camada extra de segurança aos dados. Essa abordagem elimina a dependência de um nível de proteção, diminui a velocidade do ataque e fornece alertas com dados de telemetria para que você possa executar ações - manual ou automaticamente. Vamos olhar para cada um dos níveis.



Dados


Quase sempre, os invasores buscam dados:

  • que são armazenados no banco de dados;
  • que são armazenados em disco em máquinas virtuais;
  • que são armazenados em um aplicativo SaaS, como o Office 365;
  • que são armazenados no armazenamento em nuvem.

Os responsáveis ​​pelo armazenamento de dados e controle de acesso são obrigados a fornecer proteção adequada. Os requisitos regulamentares geralmente exigem controles e procedimentos específicos para garantir confidencialidade, integridade e acessibilidade dos dados.

Aplicações


  • Verifique se os aplicativos estão protegidos e livres de vulnerabilidades.
  • Mantenha segredos confidenciais de aplicativos em mídia segura
  • Tornar a segurança um requisito para todos os aplicativos.

Ao integrar a segurança no ciclo de vida de desenvolvimento de aplicativos, você pode reduzir o número de vulnerabilidades no código. Incentive todas as equipes de desenvolvimento a garantir a segurança do aplicativo por padrão. Os requisitos de segurança devem ser imutáveis.

Serviços de computação


  • Proteger o acesso a máquinas virtuais
  • Implemente a proteção de terminal e aplique todas as correções em tempo hábil

Programas maliciosos, falta de patches e proteção inadequada dos sistemas tornam seu ambiente vulnerável a ataques. Esse nível foi projetado para garantir a segurança de seus recursos de computação, e você tem os controles certos para minimizar os problemas de segurança.

Rede


  • Limitar interações entre recursos por meio de controles de segmentação e acesso
  • Definir proibição padrão
  • Limite o tráfego de entrada e saída da Internet sempre que possível
  • Conecte-se com segurança a redes locais

O objetivo deste nível é limitar as conexões de rede em recursos e usar apenas as conexões mais necessárias. Separe os recursos e use controles no nível da rede para restringir a comunicação apenas entre os componentes necessários. Ao limitar a troca de dados, você reduz os riscos de se deslocar nos computadores da sua rede.

Perímetro


  • Use a proteção de negação de serviço distribuída (DDoS) para filtrar ataques em larga escala antes que eles levem à negação de serviço para usuários finais
  • Use firewalls de perímetro para detectar alertas de rede e receber alertas

Ao longo do perímetro da rede, é necessária proteção contra ataques à rede em recursos. Identificar esses ataques, eliminar seu impacto e alertá-los são elementos importantes da segurança da rede.

Políticas e acesso


  • Gerenciar acesso à infraestrutura, gerenciar mudanças
  • Use logon único e autenticação multifator
  • Verifique se há eventos e alterações

O nível de políticas e acesso visa garantir a segurança das identidades, controlando a oferta de acesso apenas às pessoas que precisam, além de registrar alterações.

Segurança física


  • Garantir a segurança física dos edifícios e controlar o acesso aos equipamentos de computação em um data center é a primeira linha de defesa.

A segurança física inclui medidas para limitar o acesso físico aos recursos. Ele garante que os invasores não superem o restante dos níveis e protege os dados contra perda e roubo.

Cada camada pode executar uma ou várias tarefas de acordo com o modelo Confidencialidade, Integridade e Acesso.



Responsabilidade compartilhada


Os ambientes de computação estão migrando dos datacenters gerenciados pelos clientes para os datacenters baseados na nuvem, e a responsabilidade está mudando junto com eles. A segurança agora é uma responsabilidade compartilhada de provedores e clientes de serviços em nuvem.



Melhoria Contínua


A imagem das ameaças está mudando em tempo real e em larga escala, portanto a arquitetura de segurança nunca é perfeita. A Microsoft e nossos clientes precisam responder a essas ameaças de maneira inteligente, rápida e correta.

A Central de Segurança do Azure fornece aos clientes recursos de gerenciamento de segurança unificado e proteção avançada contra ameaças para reconhecer e responder a eventos de segurança no ambiente local e no Azure. Por sua vez, os clientes do Azure devem revisar e desenvolver constantemente sua arquitetura de segurança.

Proteção de Profundidade na Lamna Healthcare


A Lamna Healthcare vem implantando ativamente a proteção em profundidade em todos os departamentos de TI. Como a organização é responsável por grandes volumes de dados médicos confidenciais, entende que uma abordagem integrada será a melhor opção.

Para proteger os dados corporativos, um grupo de trabalho virtual foi criado na empresa, composto por representantes de cada departamento de TI e departamento de segurança. A tarefa do grupo é familiarizar engenheiros e arquitetos com vulnerabilidades e métodos para sua eliminação, além de fornecer suporte de informações para trabalhar com projetos na organização.

Naturalmente, esse trabalho nunca será feito até o fim. Portanto, para manter o nível de proteção necessário, a empresa planeja revisar regularmente políticas, procedimentos, aspectos técnicos e arquitetura, em uma constante busca de maneiras de aumentar a segurança.

Sumário


Examinamos o que é a defesa em profundidade, quais são os níveis e qual é a tarefa de cada nível. Essa estratégia de segurança na arquitetura garante uma abordagem integrada para proteger todo o ambiente, em vez de um único nível ou tecnologia.

Outras peças


Para concluir este treinamento gratuito, siga o link . Lá você encontrará estas partes:

  • 1. Introdução
  • Proteção de profundidade
  • Gerenciamento de identidade
  • Proteção de infraestrutura
  • Criptografia
  • Segurança de rede
  • Sumário
  • Cinco principais recursos de segurança a serem considerados antes da implantação.
  • Gerenciar segredos em aplicativos de servidor com o Azure Key Vault
  • Protegendo recursos do Azure com acesso condicional

Source: https://habr.com/ru/post/pt428447/

More articles:


All Articles