5 Melhores práticas para proteger o Microsoft Azure

Microsoft Azure

A adoção do armazenamento de dados em nuvem levou a uma grande mudança no gerenciamento de segurança de aplicativos. Ao contrário do armazenamento local, onde o foco está mais na segurança do perímetro, as implantações em nuvem exigem uma abordagem mais holística e integrada. Garantir a visibilidade da postura de segurança de seus aplicativos, componentes e do framework de identificação, manter um padrão mínimo de configuração de segurança (baseline) para todos os recursos da nuvem e permitir o monitoramento contínuo para detectar quaisquer alterações são etapas essenciais para proteger seus aplicativos na nuvem.

Diante da evolução das ameaças, este deve ser um processo contínuo. Deve começar na fase de design inicial, mesmo antes de você implantar seu primeiro recurso e, de preferência, deve ser integrado ao ciclo de vida do aplicativo por meio do DevSecOps.

Nesta postagem, com base na postagem original de John Grange da OpsCompass, exploramos cinco práticas recomendadas para proteger cargas de trabalho implantadas no Azure, uma das plataformas de nuvem mais populares para SMBs e empresas. Também discutimos como a visibilidade em tempo real dos recursos da nuvem e seu status de configuração podem fornecer inteligência aprofundada que é crítica para a conformidade da nuvem.

Melhores práticas de segurança para Azure

Gerenciar a segurança de vários aplicativos implantados em vários ambientes de nuvem é complicado e pode se tornar um projeto em si. Mas seguir as práticas recomendadas discutidas abaixo pode manter seus aplicativos seguros no Azure com um mínimo de esforço. Esses incluem:

  1. Garantindo a visibilidade de painel único em seus recursos do Azure e gerenciando sua postura de segurança.
  1. Habilitando a identidade como um perímetro de segurança para proteger o plano de dados e o plano de controle da nuvem.
  1. Aproveitando ferramentas que quantificam sua postura de segurança por meio de uma pontuação de segurança acionável.
  1. Seguir os benchmarks de configuração segura fornecidos por estruturas como NIST e CIS para aprimorar ainda mais sua postura de segurança na nuvem.
  1. Monitorar seus recursos do Azure para desvios de configuração para evitar que invasores explorem vulnerabilidades conhecidas.

Você pode implementar essas práticas de segurança por meio de serviços / ferramentas nativos no Azure, que podem ser ampliados com soluções de terceiros conforme necessário. Vamos revisar cada uma dessas práticas recomendadas de segurança com mais detalhes.

1. Habilitando Visibilidade de Painel Único

O Azure defende uma abordagem de segurança de defesa em profundidade em camadas, na qual os controles de segurança necessários são implementados desde a camada de base da infraestrutura até o código do aplicativo. Visibilidade de painel único em seus ativos e seu status de segurança é fundamental aqui, pois fornece uma visão panorâmica de sua postura geral de segurança na nuvem em todas essas camadas diferentes. Isso permite que você identifique os pontos fracos em seu ambiente e execute ações corretivas.

A Central de Segurança do Azure integra todos os recursos por meio da descoberta automatizada de ativos de nuvem e fornece uma visão de painel de seu status de segurança. Ele também aponta quaisquer lacunas e oferece recomendações de remediação para a segurança da linha de base. Isso significa que as equipes de segurança em nuvem não precisam se aprofundar em cada recurso de forma independente para identificar falhas de segurança. Com implantações grandes e complexas, identificar problemas pode ser particularmente desafiador. A Central de Segurança do Azure fornece visibilidade de painel único para resolver isso.

As implantações multicloud, no entanto, ainda podem exigir ferramentas de gerenciamento de postura de segurança na nuvem. Essas ferramentas oferecem uma visão unificada de todos os seus recursos e fornecem percepções sobre o estado de segurança em implantações heterogêneas.

2. Protegendo o Perímetro de Identidade

O Azure usa o controle de acesso baseado em função (RBAC) para o acesso ao plano de controle, com direitos administrativos concedidos aos usuários com base nas funções atribuídas. Seguindo o princípio de privilégio mínimo (PoLP), os usuários receberão apenas as permissões mínimas necessárias para executar ações autorizadas. Além disso, você pode restringir o acesso apenas pelo período de tempo necessário para concluir a tarefa com ferramentas como acesso Just-in-Time (JIT) para VMs ou Assinatura de acesso compartilhado para armazenamento. Também é importante habilitar a autenticação multifator para todos os usuários privilegiados.

Proteger o perímetro de identidade usando uma abordagem de Zero Trust também é essencial, pois permite auditar continuamente o acesso aos recursos para identificar comprometimento de identidades e acessos internos não autorizados . Além disso, o registro do uso de direitos de acesso entre recursos pode ajudá-lo a identificar padrões de acesso incomuns que podem indicar uma infiltração.

Além das identidades humanas, as identidades não humanas na nuvem também podem acessar seus recursos e fazer alterações na configuração. Isso pode incluir identidades sendo usadas por ferramentas DevOps. Os logs de auditoria do Azure AD ajudam você a controlar as atividades de acesso do usuário, como provisionamento e atualizações de recursos, e sinalizar qualquer entrada de usuário suspeita.

Por último, ferramentas que podem identificar e alertar sobre ameaças internas e desvios de configuração devido ao acesso não autorizado podem ajudá-lo a tomar ações corretivas. A Clavis possui soluções como a ferramenta de Gerenciamento de Eventos e Informações de Segurança – Octopus SIEM, clique aqui e confira os detalhes.

3. Gerenciando Postura de Segurança

Quanto mais quantificável for sua postura de segurança, mais fácil será gerenciá-la. A Central de Segurança do Azure avalia suas configurações de segurança de recursos em relação aos padrões de referência recomendados e fornece uma pontuação de segurança com base nisso. Depois de corrigir as vulnerabilidades identificadas, sua pontuação de segurança deve melhorar. Essa abordagem baseada em pontuação classifica as descobertas com base na gravidade e permite priorizar as recomendações críticas. Algumas das recomendações também vêm com opções de correção automática.

As implantações multicloud requerem ferramentas de gerenciamento de painel único que são capazes de avaliar as alterações de configuração em diferentes ambientes para fornecer uma pontuação de segurança.

4. Adotando Benchmarks de configuração segura

Dependendo do setor, as organizações podem estar sujeitas a padrões de conformidade como CIS, NIST, PCI DSS e FedRAMPP para suas implantações em nuvem. Nesses casos, você deve conduzir auditorias de segurança periódicas e publicar os resultados para demonstrar a conformidade. Isso garante aos clientes que seus aplicativos e dados são protegidos por controles definidos pelos padrões de conformidade.

A estrutura do Center for Internet Security (CIS) fornece um conjunto de controles e benchmarks com diretrizes prescritivas para a implementação de práticas recomendadas cibernéticas e reforço de segurança. O Microsoft Azure Foundations Benchmark versão 1.2.0, amplamente adotado por organizações líderes para garantir a segurança no Azure, é a versão mais recente das diretrizes desenvolvidas por uma comunidade de profissionais de segurança e especialistas cibernéticos.

A estrutura do NIST também fornece diretrizes para o gerenciamento de riscos de segurança cibernética dentro das organizações. Seu componente principal descreve cinco funções de alto nível para alcançar os resultados de segurança cibernética desejados:

– Identificar;

– Proteger;

– Detectar;

– Responder; e

– Recuperar.

À medida que os requisitos de conformidade se tornam mais rigorosos, com novas regulamentações sendo adicionadas regularmente, garantir a conformidade está se tornando uma tarefa cada vez mais complexa. Existem, no entanto, ferramentas disponíveis que monitoram seus ativos de nuvem em relação à estrutura de conformidade e fornecem uma pontuação de conformidade. Essas ferramentas também oferecem relatórios de avaliação automatizados que identificam os controles que estão faltando em sua organização e ajudam a corrigi-los. A Central de Segurança do Azure, por exemplo, oferece uma pontuação de conformidade regulamentar pronta para uso.

Para implementações multicloud, você pode aproveitar as ferramentas que fornecem uma pontuação normalizada, pontuação normalizada e painel consolidado que cobre todos os seus ambientes heterogêneos.

5. Evitando configurações incorretas

Erros de configuração são um dos principais problemas que tornam suas implantações em nuvem vulneráveis. A segurança deve, portanto, ser construída no início do ciclo de vida de desenvolvimento, adotando uma abordagem de segurança como código por meio do DevOps, em que a segurança é incorporada ao código. Isso se aplica a implantações de infraestrutura como código (IaC) e de aplicativo.

Mesmo assim, sempre existe a chance de erro humano. Um relatório de segurança em nuvem do Gartner previu que até 2025, 99% das falhas de segurança em nuvem seriam culpa do cliente. Independentemente de as implantações serem feitas manualmente ou por meio do Terraform, modelo ARM, CLI ou portal, manter um olhar atento sobre desvios de configuração e configurações incorretas é fundamental. Você deve garantir que haja processos ou ferramentas à sua disposição para monitorar continuamente sua configuração de nuvem para permitir a visibilidade e identificar possíveis riscos. Mitigá-los a tempo evitará muitos contratempos de segurança.

Posts relacionados: NIST – Estrutura de Gerenciamento de Risco / CIS Controls Version 8 chegará em maio de 2021 e Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento

Informações obtidas/adaptadas de https://cloudsecurityalliance.org/blog/2021/03/25/5-best-practices-for-securing-microsoft-azure/