Arquitetura de segurança
Introdução
A prática de arquitetura de segurança tem como objetivo garantir a segurança dos componentes e tecnologias envolvidos no design arquitetônico do software. O design de arquitetura segura concentra-se na seleção e combinação dos componentes que formam a base da solução, priorizando suas propriedades de segurança. Já a gestão de tecnologia avalia a segurança das tecnologias de suporte utilizadas ao longo do desenvolvimento, implantação e operações, como pilhas de desenvolvimento, ferramentas de implantação, sistemas operacionais e outras ferramentas relacionadas.
Modelo
Incorpore a consideração de orientações proativas de segurança no processo de design de software.
As equipes são treinadas no uso de princípios básicos de segurança durante o design.
Identifique riscos por meio da detalhamento de tecnologias, frameworks e integrações na solução geral.
Oriente o processo de design de software para serviços conhecidos de segurança e padrões seguros por padrão.
Estabeleça padrões de design comuns e soluções de segurança para adoção.
Padronize tecnologias e frameworks a serem usados em todas as aplicações.
Controle formalmente o processo de design de software e valide a utilização de componentes seguros nos designs.
Arquiteturas de referência são utilizadas e continuamente avaliadas para adoção e adequação.
Padronize tecnologias e frameworks a serem usados em todas as aplicações.
Como implementar?
Segurança de arquitetura:
Identifique os ativos críticos: Identifique os ativos de informação e sistemas críticos para sua organização e priorize sua proteção na arquitetura de segurança.
Segmente a rede: Divida sua infraestrutura de rede em zonas de segurança, criando segmentação para reduzir o impacto potencial de um ataque.
Adote princípios de defesa em profundidade: Implemente camadas múltiplas de controles de segurança em toda a arquitetura, de modo que uma falha em uma camada não comprometa a segurança do sistema.
Utilize criptografia adequada: Identifique os pontos críticos em que a criptografia é necessária, como na transferência de dados confidenciais, e adote algoritmos e protocolos criptográficos seguros.
Implemente controle de acesso adequado: Utilize mecanismos de autenticação e autorização para controlar o acesso aos recursos, com base em papéis, permissões e contexto do usuário.
Considere a resiliência: Projete a arquitetura para ser resiliente a falhas, tanto em termos de disponibilidade quanto de recuperação de desastres. Considere estratégias de redundância, backups e planos de continuidade de negócios.
Seleção de tecnologias:
Avalie a segurança das tecnologias: Considere a postura de segurança das tecnologias que você planeja adotar. Verifique se elas possuem um histórico de segurança sólido, são atualizadas regularmente e têm uma comunidade de suporte ativa.
Analise as vulnerabilidades conhecidas: Realize uma avaliação das vulnerabilidades conhecidas das tecnologias em consideração, buscando informações sobre falhas de segurança anteriores e como elas foram tratadas.
Realize avaliações de risco: Avalie os riscos associados às tecnologias consideradas, levando em consideração os ativos que serão protegidos, a exposição a ameaças conhecidas e a confiabilidade das soluções propostas.
Considere o suporte à segurança: Verifique se as tecnologias possuem recursos embutidos de segurança, como mecanismos de autenticação, criptografia, registro de auditoria e monitoramento.
Considere a integração com ferramentas de segurança: Avalie a compatibilidade das tecnologias com ferramentas de segurança existentes ou planejadas, como scanners de vulnerabilidade, sistemas de detecção de intrusões e ferramentas de monitoramento de segurança.
Last updated