CISA lança referência de segurança na nuvem

CISA lança referência de segurança na nuvem. O Cloud Security TRA foi desenvolvido para orientar a migração segura para a nuvem.

A Agência de Segurança Cibernética e Infraestrutura (CISA) publicou a segunda versão da  Arquitetura de Referência Técnica de Segurança em Nuvem (TRA) , que fortalece a orientação para cumprir um mandato fundamental sob a  Ordem Executiva (EO) 14028 do Presidente Biden  “Melhorar a segurança cibernética da nação”. 

O Cloud Services TRA foi desenvolvido para orientar a migração segura das agências para a nuvem, definindo e esclarecendo considerações para serviços compartilhados, migração para nuvem e gerenciamento de postura de segurança na nuvem. 

À medida que o Governo Federal, juntamente com organizações de todos os setores, continua migrando para a nuvem, é fundamental que os órgãos implementem medidas para protegê-la. O Cloud Security TRA, de coautoria da CISA, do United States Digital Service (USDS) e do Federal Risk and Authorization Management Program (FedRAMP), fornece orientação fundamental para uma organização usar a nuvem pública com mais segurança e melhorar a capacidade de o governo federal para identificar, detectar, proteger, responder e se recuperar de incidentes cibernéticos. 

Como agência de defesa cibernética do país, a CISA trabalha em colaboração com nossos parceiros interagências para implementar melhorias que tornam nossas agências civis federais mais resilientes às ameaças cibernéticas”, disse Eric Goldstein, diretor assistente executivo de segurança cibernética da CISA. “O Cloud Security TRA atualizado é um passo fundamental para a transição de cada agência para o ambiente de nuvem. A CISA e nossos parceiros continuarão a fornecer orientações especializadas, coerentes e oportunas para ajudar as agências a modernizar suas redes com segurança cibernética sólida e resiliência para proteger contra adversários cibernéticos em evolução. Embora o TRA tenha sido desenvolvido para agências federais, todas as organizações que usam ou migram para ambientes de nuvem devem revisar este documento e adotar as práticas nele aplicáveis ​​para gerenciar o risco organizacional com mais eficácia.”

Em consulta com o Escritório de Gestão e Orçamento, as três agências adjudicaram mais de 300 comentários públicos recebidos  em setembro de 2021 . Esse feedback ajudou a fortalecer ainda mais o Cloud Security TRA e a abordar totalmente uma série de considerações para a migração segura para a nuvem. Um resumo dos comentários recebidos, bem como uma Resposta aos Comentários (RTC), está disponível na  Resposta aos Comentários para Arquitetura de Referência Técnica de Segurança em Nuvem . 

Segundo o documento, o “objetivo da Arquitetura de Referência Técnica de Segurança em Nuvem é orientar as agências de forma coordenada e deliberada à medida que continuam a adotar a tecnologia de nuvem.” , Essa abordagem permitirá que o Governo e empresas identifiquem, detecte, proteja, responda e se recupere de incidentes cibernéticos, enquanto melhora a segurança cibernética em toda as empresas.

A Arquitetura de Referência Técnica de Segurança na Nuvem também ilustra as abordagens recomendadas para migração de nuvem e proteção de dados para coleta e geração de relatórios de dados da agência americana. A arquitetura de referência técnica destina-se a fornecer orientação às agências e empresas que adotam serviços de nuvem das seguintes maneiras:

  • Implantação de nuvem: fornece orientação para que as agências façam a transição segura para, implantem, integrem, mantenham e operem serviços de nuvem.
  • Soluções adaptáveis: fornece uma arquitetura flexível e amplamente aplicável que identifica recursos de nuvem e soluções independentes de fornecedor.
  • Arquiteturas Seguras: suporta o estabelecimento de ambientes em nuvem e infraestruturas, plataformas e serviços seguros para operações de agências.
  • Desenvolvimento, segurança e operações (DevSecOps): oferece suporte a um ciclo de engenharia e desenvolvimento seguro e dinâmico que prioriza o design, o desenvolvimento e a entrega de recursos por meio da criação, aprendizado e iteração de soluções à medida que as agências transitam e evoluem.
  • Zero Trust: oferece suporte às empresas que planejam adotar arquiteturas de zero trust.

A arquitetura de referência técnica é dividida em três seções principais:

  • Serviços Compartilhados: Esta seção abrange linhas de base padronizadas para avaliar a segurança dos serviços em nuvem.
  • Migração para a nuvem: esta seção descreve as estratégias e considerações da migração para a nuvem, incluindo explicações de cenários comuns de migração.
  • Cloud Security Posture Management: Esta seção define o Cloud Security Posture Management (CSPM) e enumera ferramentas de segurança relacionadas para monitoramento, desenvolvimento, integração, avaliação de risco e resposta a incidentes em ambientes de nuvem.

Embora cada seção principal abranja aspectos exclusivos da segurança na nuvem, elas compartilham sinergias comuns que dão suporte ao objetivo geral de modernizar a segurança da nuvem. Compreender os recursos dos serviços compartilhados e o delineamento das responsabilidades para gerenciar e proteger esses serviços é fundamental para a migração da nuvem das agências e o gerenciamento da postura de segurança. A migração para a nuvem pode ajudar as empresas a acompanhar o cenário tecnológico em evolução, melhorando suas operações e sua segurança. Por fim, os recursos de CSPM (Cloud Security Posture Management) permitirão que o governo e as empresas protejam dinamicamente seus recursos de nuvem em escala e em toda a infraestrutura.

O documento da CISA pode ser encontrado no link “Arquitetura de Referência Técnica de Segurança em Nuvem (TRA)

Fonte: Security Magazine & Arquitetura de Referência Técnica de Segurança em Nuvem (TRA)

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!