# Arquitetura de segurança

## Introdução

A prática de arquitetura de segurança tem como objetivo garantir a segurança dos componentes e tecnologias envolvidos no design arquitetônico do software. O design de arquitetura segura concentra-se na seleção e combinação dos componentes que formam a base da solução, priorizando suas propriedades de segurança. Já a gestão de tecnologia avalia a segurança das tecnologias de suporte utilizadas ao longo do desenvolvimento, implantação e operações, como pilhas de desenvolvimento, ferramentas de implantação, sistemas operacionais e outras ferramentas relacionadas.

## Modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th>Fluxo de design e arquitetura</th><th>Fluxo de gerenciamento de tecnologia</th></tr></thead><tbody><tr><td>1</td><td>Incorpore a consideração de orientações proativas de segurança no processo de design de software.</td><td>As equipes são treinadas no uso de princípios básicos de segurança durante o design.</td><td>Identifique riscos por meio da detalhamento de tecnologias, frameworks e integrações na solução geral.</td></tr><tr><td>2</td><td>Oriente o processo de design de software para serviços conhecidos de segurança e padrões seguros por padrão.</td><td>Estabeleça padrões de design comuns e soluções de segurança para adoção.</td><td>Padronize tecnologias e frameworks a serem usados em todas as aplicações.</td></tr><tr><td>3</td><td>Controle formalmente o processo de design de software e valide a utilização de componentes seguros nos designs.</td><td>Arquiteturas de referência são utilizadas e continuamente avaliadas para adoção e adequação.</td><td>Padronize tecnologias e frameworks a serem usados em todas as aplicações.</td></tr></tbody></table>

## Como implementar?

1. **Segurança de arquitetura:**
   * **Identifique os ativos críticos:** Identifique os ativos de informação e sistemas críticos para sua organização e priorize sua proteção na arquitetura de segurança.
   * **Segmente a rede:** Divida sua infraestrutura de rede em zonas de segurança, criando segmentação para reduzir o impacto potencial de um ataque.
   * **Adote princípios de defesa em profundidade:** Implemente camadas múltiplas de controles de segurança em toda a arquitetura, de modo que uma falha em uma camada não comprometa a segurança do sistema.
   * **Utilize criptografia adequada:** Identifique os pontos críticos em que a criptografia é necessária, como na transferência de dados confidenciais, e adote algoritmos e protocolos criptográficos seguros.
   * **Implemente controle de acesso adequado:** Utilize mecanismos de autenticação e autorização para controlar o acesso aos recursos, com base em papéis, permissões e contexto do usuário.
   * **Considere a resiliência:** Projete a arquitetura para ser resiliente a falhas, tanto em termos de disponibilidade quanto de recuperação de desastres. Considere estratégias de redundância, backups e planos de continuidade de negócios.
2. **Seleção de tecnologias:**
   * **Avalie a segurança das tecnologias:** Considere a postura de segurança das tecnologias que você planeja adotar. Verifique se elas possuem um histórico de segurança sólido, são atualizadas regularmente e têm uma comunidade de suporte ativa.
   * **Analise as vulnerabilidades conhecidas:** Realize uma avaliação das vulnerabilidades conhecidas das tecnologias em consideração, buscando informações sobre falhas de segurança anteriores e como elas foram tratadas.
   * **Realize avaliações de risco:** Avalie os riscos associados às tecnologias consideradas, levando em consideração os ativos que serão protegidos, a exposição a ameaças conhecidas e a confiabilidade das soluções propostas.
   * **Considere o suporte à segurança:** Verifique se as tecnologias possuem recursos embutidos de segurança, como mecanismos de autenticação, criptografia, registro de auditoria e monitoramento.
   * **Considere a integração com ferramentas de segurança:** Avalie a compatibilidade das tecnologias com ferramentas de segurança existentes ou planejadas, como scanners de vulnerabilidade, sistemas de detecção de intrusões e ferramentas de monitoramento de segurança.
Nível de maturidade	Descrição	Fluxo de design e arquitetura	Fluxo de gerenciamento de tecnologia
1	Incorpore a consideração de orientações proativas de segurança no processo de design de software.	As equipes são treinadas no uso de princípios básicos de segurança durante o design.	Identifique riscos por meio da detalhamento de tecnologias, frameworks e integrações na solução geral.
2	Oriente o processo de design de software para serviços conhecidos de segurança e padrões seguros por padrão.	Estabeleça padrões de design comuns e soluções de segurança para adoção.	Padronize tecnologias e frameworks a serem usados em todas as aplicações.
3	Controle formalmente o processo de design de software e valide a utilização de componentes seguros nos designs.	Arquiteturas de referência são utilizadas e continuamente avaliadas para adoção e adequação.	Padronize tecnologias e frameworks a serem usados em todas as aplicações.