Vídeo: Como ativar OFFICE 2019 em menos de 1 minuto l Todas as versões l Sem Programas!! l JANEIRO 2020 (Novembro 2024)
A Microsoft anunciou uma variedade de produtos de segurança em sua conferência Ignite nesta semana, mas uma das coisas que se destacou foi a firme convicção de que a maneira como você administra suas operações de segurança é tão importante quanto os produtos que administra.
O diretor de segurança da informação da Microsoft, Bret Arsenault (na parte superior), foi enfático ao descrever o próprio ambiente de segurança da Microsoft e sua abordagem para gerenciar a segurança para si e para seus clientes. Ele disse que a empresa resolve enormes 20 bilhões de eventos de segurança por dia.
"Os usuários são minha primeira linha e minha última linha de defesa", disse Arsenault, e notou que a Microsoft tem 125.000 funcionários e 70.000 parceiros "com selo". Ele enfatizou o enorme desafio de gerenciar um ambiente tão amplo e diversificado, que inclui 32 versões de seus sistemas operacionais em uso, 500.000 ambientes Linux, a segunda maior base instalada de Macintosh em qualquer lugar (a Apple é a primeira) e o "N + 1" a seguir. versão do Windows. Ele disse que seu principal objetivo é proteger a empresa, não usar produtos da Microsoft.
Arsenault passou muito tempo em "oportunidade e risco" e explicou como o acesso sempre ativo, conjuntos de dados massivos, armazenamento baseado em nuvem e engenharia moderna criam muitas oportunidades e desafios significativos à segurança. Por exemplo, a soberania de dados é uma questão importante, porque a empresa possui 596 locais e a Arsenault deve considerar dados que possam transcender fronteiras. Ele disse que o dinheiro derivado do crime cibernético superou o dinheiro obtido no comércio ilegal de drogas. Ele também está preocupado com a cadeia de suprimentos e com a capacidade de qualquer empresa de protegê-la.
Arsenault observou que a mudança para a computação em nuvem significa que, embora a segurança da rede permaneça importante, ela não é suficiente e disse que "a identidade é o novo perímetro".
Arsenault compartilhou seus próprios princípios de liderança, dizendo que é importante ter objetivos simplificados. Seus três pontos principais: um líder precisa criar clareza, gerar energia e obter sucesso. Para maior clareza, ele disse que é importante "largar o lápis de engenharia e pegar um giz de cera" - em outras palavras, para simplificar as coisas para os usuários finais. Arsenault enfatizou que é importante não confundir uma mensagem que funcione para uma população de engenharia com o que funciona para a base de usuários em geral.
Para esse fim, ele descreveu sua estratégia como um banco de três pernas: gerenciamento de identidade, dados e telemetria e integridade do dispositivo.
Em outras palavras, disse Arsenault, para se conectar a qualquer um dos serviços, você precisa de uma identidade forte, verificada pela autenticação de múltiplos fatores. Se você tiver uma ótima identidade, ele ainda precisará garantir que o dispositivo do qual você está se conectando seja seguro. Com 20 bilhões de eventos por dia, ele precisa de ótima telemetria de dados para rastrear sistemas, aprimorá-los e protegê-los.
Passando do geral para o mais granular, Arsenault disse que identificou cinco pilares ou princípios principais como áreas de investimento este ano - gerenciamento de riscos, gerenciamento de identidades, integridade de dispositivos, dados e telemetria e proteção de informações - e, dentro desses pilares, ele se concentra em 27 serviços principais. Ele também listou 11 "épicos" - projetos de curto prazo com duração de 18 a 24 meses - que serão concluídos, falharão ou se tornarão os principais serviços futuros. Ele tem uma equipe relativamente pequena de nove ou dez pessoas que analisam a tecnologia emergente para ver o que pode ajudar a empresa com suas necessidades de segurança. A Microsoft tinha 80 fornecedores de segurança quando assumiu o cargo de CISO há 8 anos, acrescentou Arsenault.
Uma iniciativa importante nos últimos anos foi mover cargas de trabalho para o Azure. Arsenault disse que a empresa moveu 95% de suas cargas de trabalho. Em termos de processo, a primeira coisa a fazer é considerar os aplicativos e decidir se eles ainda precisam deles; de cerca de 2.000 aplicativos de linha de negócios, Arsenault disse que a Microsoft descobriu que poderia simplesmente eliminar 30%. A próxima coisa a fazer é encontrar aplicativos que possam ser convertidos em uma solução de software como serviço; isso funcionou para cerca de 15% dos aplicativos da Microsoft. Para os que restaram, o próximo passo foi virtualizar todos os aplicativos e pegar aplicativos novos ou simples e movê-los para a Plataforma como Serviço, fazendo um "aumento e mudança" nas ofertas de Infraestrutura como Serviço para a maioria dos outros.
Nesse processo, mais aplicativos foram movidos para a nuvem do que ele imaginaria (incluindo o sistema SAP da Microsoft), e ele sugeriu que as empresas mudassem para o PaaS mais cedo do que poderiam ter planejado.
É importante seguir em frente durante esse esforço, disse Arsenault, e continuar criando energia ao redor do projeto, pois os projetos geralmente param de progredir na metade do caminho. As pessoas costumam usar os 5% das cargas de trabalho que não serão movidas para a nuvem como uma desculpa para não fazer os outros 95%, e ele disse que você precisa criar um senso de urgência para que a mudança aconteça (como definir uma data para fechar um centro de dados).
Uma coisa que sua equipe criou foi um DevOps Toolkit para Azure projetado para monitorar 250 controles em vários aplicativos para garantir que tudo esteja funcionando. Arsenault disse que seu grupo disponibilizou isso via código aberto e acredita que esses princípios de gerenciamento corporativo serão incorporados ao Azure em cerca de 18 meses.
Arsenault concentrou parte de sua palestra em proteger administradores, que normalmente têm mais acesso a um sistema. Ele falou sobre reduzir o número de administradores permanentes; usando um sistema de identidade separado para conceder menos privilégios; e fazer com que eles executem tarefas de segurança apenas em uma "estação de trabalho administrativa segura", que ele descreveu como um "dispositivo super seguro", com uma imagem especial que nivela e reconstrói a máquina com freqüência e que é criada usando uma cadeia de suprimentos segura. Essas máquinas executam apenas o código do site e são altamente bloqueadas, com listas de permissões para determinar o que e onde elas podem se conectar. Para conexões com outros serviços, os administradores podem se conectar a máquinas virtuais.
Arsenault também falou sobre a importância de eliminar senhas. Ele já usa o aplicativo Authenticator da empresa há algum tempo e disse que é importante não "deixar o perfeito ser o inimigo do bem". Trata-se realmente de eliminar as solicitações, disse ele, e embora os usuários desse aplicativo não vejam senhas, eles ainda estão lá na superfície (embora em alguns anos, eles possam ser substituídos por certificados). Ele sugeriu que os profissionais de segurança nas empresas parassem de falar sobre MFA e, em vez disso, começassem a falar sobre a eliminação de senhas, com o objetivo de ver isso não como uma camada extra, mas como algo que facilita o acesso dos usuários.
- Microsoft decide não interromper as instalações do Firefox / Chrome Microsoft decide não interromper as instalações do Firefox / Chrome
- CEO da Microsoft impulsiona iniciativa de dados abertos, nova segurança na Ignite CEO da Microsoft impulsiona iniciativa de dados abertos, nova segurança na Ignite
- Dicas da Microsoft Nova IA, Segurança para Office, Microsoft 365 Dicas da Microsoft Nova Inteligência, Segurança para Office, Microsoft 365
O que realmente se destacou para mim na palestra de Arsenault foi que a maioria de suas idéias - simplificando suas ferramentas, movendo o que faz sentido para a nuvem, concentrando-se em identidade, controlando a contabilidade administrativa, movendo-se além das senhas tradicionais - não são novas nem controversas. O maior desafio, ao contrário, parece estar realmente implementando essas coisas de maneiras que não interferem no restante de sua área de TI e que são aceitáveis - ou até preferíveis - para seus usuários finais. Em um mundo com mais ameaças à segurança do que nunca, é crucial seguir em frente.
