Seguir as melhores práticas de segurança em um cenário regulatório dinâmico e uma nuvem em constante evolução é um trabalho difícil e desafiador. Além disso, quanto mais complexa for a infraestrutura maior será a dificuldade para manter as configurações de segurança. Por isso, separamos neste post algumas das melhores práticas de segurança para nuvem Azure a fim de ajudar na implementação de uma estratégia abrangente e sustentável de segurança, lembrando que, assim como outros provedores, se aplica o modelo de responsabilidade compartilhada.
1. Utilizar o Azure Active Directory
Com o Azure Active Directory (Azure AD) é possível realizar configurações para controlar e gerenciar identidades de acesso a fim de mitigar os riscos de acessos indevidos e atividades maliciosas na conta.
Algumas das melhores práticas para o uso do Azure AD incluem:
- Habilitar as configurações de política de senha para utilizar senhas complexas;
- Habilitar o MFA para todos os usuários do Azure AD;
- Restringir as permissões de acordo com o princípio do privilégio mínimo;
- Evitar a criação de usuários convidados desnecessários;
- Limitar permissões de usuários convidados.
2. Utilizar os recursos do Azure Security Center
O Azure Security Center oferece recomendações e alertas para proteger os recursos do Azure.
Com o Security Center é possível fortalecer a postura de segurança dos data centers, proteger as cargas de trabalho contra ameaças e limitar a exposição a ataques de força bruta.
Algumas das melhores práticas para o uso do Security Center incluem:
- Habilitar todas recomendações do Security Center como de criptografia, firewall, atualizações, entre outros;
- Definir contato de segurança (e-mail e telefone) na política do Security Center para que a Microsoft entre em contato quando houver incidentes.
- Atualizar a camada de segurança gratuita do Azure para a camada Standard para obter opções de segurança aprimoradas. Isso tem um custo adicional, mas permite a detecção de ameaças em máquinas virtuais e bancos de dados.
3. Limitar acesso aos grupos de segurança de rede
Os grupos de segurança de rede do Azure contém regras que restringem o tráfego de rede de entrada e saída de diversos tipos de recursos do Azure.
Com os grupos de segurança é possível limitar os acessos para mitigar riscos de exposição a ataques de força bruta, ataques DoS (negação de serviço) e outras atividades maliciosas.
Algumas das melhores práticas para o uso dos grupos de segurança incluem:
- Configurar regras nos grupos de segurança de rede para restringir o acesso às portas 22 do SSH e 3389 do RDP;
- Configurar regras de firewalls para restringir o acesso aos bancos de dados SQL.
4. Habilitar armazenamento de logs
Os logs do Azure permitem realizar uma análise detalhada das atividades realizadas em uma assinatura para fins de auditorias de segurança e conformidade.
Algumas das melhores práticas para o uso de logs incluem:
- Habilitar o perfil de log em todas as assinaturas Azure;
- Habilitar o flow logs para obter informações sobre o tráfego de IP que entra e sai dos grupos de segurança de rede do Azure;
- Configurar um período de retenção dos logs de atividades do Azure de no mínimo 90 dias.
5. Utilizar alertas para monitoramento
Os logs de atividades ajudam a monitorar uma variedade de eventos relevantes à segurança.
A partir dos dados obtidos com os logs é possível configurar alertas para notificar as partes envolvidas sobre comportamentos que podem ser suspeitos, como alterações nas configurações de segurança.
Os alertas que podem ser criados incluem os seguintes eventos:
- Criar atribuição de política;
- Criar, atualizar ou excluir grupos de segurança de rede;
- Criar, atualizar ou excluir regras dos grupo de segurança de rede;
- Criar,atualizar ou excluir regras de firewall do SQL Server;
- Criar, atualizar ou excluir solução de segurança;
- Atualizar as políticas de segurança.
6. Proteger o Storage Account
O Storage Account é um ponto de acesso unificado para os tipos de armazenamento disponíveis no Azure como blobs, arquivos, filas, tabelas e discos.
Sempre que possível é necessário configurar cada Storage Account para usar criptografia dos dados no armazenamento de blobs e arquivos e transferência segura.
Outras melhores práticas para o uso do Storage Account incluem:
- Rotacionar chaves de acesso do Storage Account pelo menos a cada 90 dias;
- Habilitar a transferência segura para que todos os dados transferidos do Storage Account sejam criptografados com o protocolo HTTPS;
- Restringir o acesso público aos contêineres de blob.
7. Proteger as máquinas virtuais
As máquinas virtuais do Azure disponibilizam capacidade computacional escalonável para executar cargas de trabalho na nuvem.
Para proteger as informações contidas nas máquinas virtuais é importante seguir algumas das melhores práticas abaixo:
- Utilizar o sistema operacional e os patches de software mais recentes e executar a proteção do endpoint;
- Habilitar a criptografia de disco para criptografar arquivos em repouso no caso de comprometimento do armazenamento.
E conte com o CleanCloud Score
A jornada de conformidade na nuvem é uma tarefa complexa, são diversos aspectos para se atentar nos fluxos de coleta, tratamento e utilização de dados.
Por isso, conheça o CleanCloud Score e tenha de forma automática e periódica um assessment que verifica vulnerabilidades em nuvem Azure para seguir continuamente as melhores práticas de segurança e em conformidade com as principais regulações do mercado, incluindo a LGPD.
