Cloud

Protegendo o Azure

Usar o Azure para a computação em nuvem parece uma boa ideia porque é. Mas não necessariamente espere que todas as suas necessidades de segurança sejam atendidas, pois nunca serão em nenhuma nuvem =)

Um equívoco comum sobre o consumo de serviços de nuvem pública do Azure é que a Microsoft está cuidando de todos os aspectos de segurança. Embora isso seja parcialmente verdadeiro, como consumidor dos serviços de nuvem pública do Azure, você é responsável por alguns dos controles de segurança. O número e as áreas dos controles de segurança pelos quais você é responsável dependem do tipo de serviço de nuvem pública que você está consumindo, seja ele Software como Serviço (SaaS), Plataforma como Serviço (PaaS) ou Infraestrutura como um serviço (IaaS).

A Microsoft gerenciará a maioria dos controles de segurança dentro do SaaS, uma porção significativa dentro da PaaS, e uma pequena porção dentro da IaaS. Por outro lado, você precisará gerenciar a maioria dos controles dentro de IaaS, alguns dentro de PaaS e uma pequena parte dentro de SaaS. Parece confuso mas não é.

Os serviços de PaaS do Azure podem ser consumidos em dois modelos:

Multi-tenant, acessível por IP público. Rede virtual dedicada (v-net) integrada.
A PaaS de multilocação é hospedada em infraestrutura virtual compartilhada com outros clientes, enquanto a PaaS dedicada é provisionada em infraestrutura virtual dedicada para seu uso. Com o modelo integrado v-net dedicado, você é responsável por implementar mais controles de segurança, no entanto, como a solução não é acessível publicamente pela Internet, o monitoramento e a governança adequados fornecem um modelo de segurança aprimorado.

Ao proteger os datacenters do Azure, um desafio é garantir que você encontre o equilíbrio correto entre governança de TI corporativa, segurança e agilidade do desenvolvedor de linha de negócios. Uma abordagem para isso é ter padrões diferentes entre ambientes de produção e de não produção, para que os desenvolvedores tenham a liberdade de inovar em um ambiente com menos controles e, ao mesmo tempo, tenham a governança e os controles necessários no ambiente de produção.

Os seguintes pilares de segurança no Azure são áreas para se concentrar ao implementar seus controles de segurança.

Encriptação
A criptografia de dados em repouso e em trânsito garante que, se a rede ou os dados estiverem comprometidos, não será possível que um invasor tenha acesso ao conteúdo. As chaves de criptografia devem ser armazenadas em um Cofre de Chaves do Azure com o gerenciamento do ciclo de vida.

Identidade
Garantir que seu modelo operacional de destino corresponda ao seu design RBAC (controle de acesso baseado em função) e que exista um processo de segregação de tarefas reduzirá o risco.

Rede Definida por Software
Garantir que as cargas de trabalho de diferentes níveis de confiança sejam segregadas e que a visibilidade do tráfego seja fornecida aos centros de operações de segurança são alguns controles críticos.

Conformidade
As cargas de trabalho de IaaS devem ser hardenizadas para um padrão definido com aplicativos principais acordados e quaisquer desvios devem ser relatados e corrigidos.

Monitoramento e Relatórios
O monitoramento proativo dos controles de segurança é importante e, idealmente, a correção automática de quaisquer problemas deve ser o resultado desejado.

Disponibilidade
O design de disponibilidade é crítico para atender aos objetivos de tempo de recuperação para uma ampla variedade de eventos e garantir que os aplicativos continuem operando.

A seguir, uma lista mais abrangente de controles de segurança e as ferramentas / soluções disponíveis no Azure para atender aos controles.

Network Subscription and Network Segregation. Subnet and NSG Design, WAF & NGF Firewalls
Monitoring Log Analytics, Azure Monitor, Azure AD, Azure Security Centre, Azure Network Watcher
Virtual Machine Build Compliance Hardening Standards, ARM Templates, DSC Core Application Installation Process, Certification
Cryptography and Secret Management OS Disk Encryption, Key Vault
Vulnerability Scanning Qualys Scanning Appliance and Security Centre agent
System and Software Vulnerability Management SCCM, OMS Patching
Cloud Security Azure Platform and OS Logs sent to SIEM and SOC. OMS, ATA
Identity & Access Management Identity for Portal and Host Access, MFA, Jump Box Design
Malware Protection Deploy chosen Anti-Malware agent as part of the build process
User Access Rights Design RBAC model, Azure policy design, reduced elevated privilege use
Backup Encrypted Backups, data restore process
Availability Design, availability sets and zones and backup data center locations