As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa de andar: operacionalização e amadurecimento
<a name="walk"></a>



![\[Ícone de uma pessoa andando\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/walk.png)


A etapa de andar se concentra na operacionalização. Durante essa etapa, sua organização precisa avaliar seu modelo operacional atual, determinar como ele deve ser adaptado para a nuvem, implementar essas mudanças e, em seguida, avaliar o progresso. Isso inclui a abordagem de habilidades, processos operacionais e tecnologia. Ajustar a implantação da nuvem e avaliar o progresso é vital durante toda a etapa de andar para validar o sucesso.

Confira abaixo as fases na etapa de andar:
+ [Operacionalizar](operationalize.md): como você prepara seu pessoal, sua tecnologia e seus processos para a nuvem?
+ [Amadurecer](mature.md): como você avalia o progresso e o sucesso?

# Operacionalizar: preparando sua organização para uma postura madura de segurança na nuvem
<a name="operationalize"></a>

Para avançar com o processo de implantação de cargas operacionais na nuvem, é importante focar o alinhamento de pessoas, os processos e a tecnologia. Isso é particularmente crucial no ambiente de nuvem porque os processos e as habilidades provavelmente diferem das operações on-premises. Nesta seção, você usa um framework para alinhar seu pessoal, processos e tecnologia e, em seguida, confirma que ele o ajudou a alcançar os resultados esperados.

## AWS Estrutura de adoção da nuvem
<a name="aws-cloud-adoption-framework"></a>

O [AWS Cloud Adoption Framework (AWS CAF)](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html) ajuda você a acelerar seus resultados comerciais por meio do uso Serviços da AWS e dos recursos inovadores. AWS O CAF identifica seis perspectivas organizacionais específicas que sustentam as transformações bem-sucedidas da nuvem: negócios, pessoas, governança, plataforma, segurança e operações. Cada perspectiva contém recursos que podem melhorar sua prontidão para a nuvem e ajudar você a acelerar sua jornada de transformação da nuvem.

A imagem a seguir mostra as seis perspectivas no AWS CAF e as capacidades em cada perspectiva. Para obter mais informações, consulte [Capacidades fundamentais](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/foundational-capabilities.html) em *An Overview of the AWS Cloud Adoption Framework*.



![\[As seis perspectivas no AWS CAF e as perspectivas em cada uma.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/CAF-capabilities.png)


## Resultados esperados
<a name="expected-outcomes"></a>

Ao usar o AWS CAF para alinhar seu pessoal, seus processos e sua tecnologia, você pode esperar alcançar os seguintes resultados:
+ **DevSecOps pipeline e processo** — A implementação de um DevOps pipeline com ferramentas de segurança integradas pode ajudá-lo a implantar com mais segurança a infraestrutura como código (IaC). Você pode implementar verificação de código e verificações de segurança no processo de pipeline, como [cfn\$1nag](https://github.com/cdklabs/cdk-nag#readme) (GitHub), que é um analisador de código estático de código aberto.
+ **Gerenciamento de marcação e ativos**: as tags podem ajudar você a gerenciar recursos na nuvem de forma mais eficiente e consistente. Para obter mais informações, consulte [Marcar seus recursos do AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). É importante desenvolver uma estratégia dinâmica de gerenciamento de ativos que possa se adaptar à natureza em constante mudança da nuvem. [AWS Systems Manager Inventory](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-inventory.html) ajuda você a atribuir tags para que você possa pesquisar, gerenciar e identificar rapidamente seus recursos.
+ **Monitoramento e integração de detetives** — É crucial estabelecer um método para enviar alertas da nuvem para centros de operações de segurança (SOCs) e sistemas de gerenciamento de eventos e informações de segurança (SIEM) locais. GuardDutyA [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) é um serviço contínuo de monitoramento de segurança que analisa e processa registros para identificar atividades inesperadas e potencialmente não autorizadas em seu AWS ambiente. Ele também se integra a muitas ferramentas de terceiros.
+ **Programa e plano de resposta a incidentes na nuvem**: é importante garantir que a equipe responsável por lidar com os alertas na nuvem esteja familiarizada com o processo de ingestão desses alertas e saiba como responder aos alertas na nuvem, em comparação com os alertas on-premises. Para melhorar as capacidades de resposta a incidentes, treine a equipe para usar o Amazon Detective na análise de logs. O [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) ajuda a analisar, investigar e identificar a causa raiz de descobertas de segurança ou atividades suspeitas. O Amazon Detective deve fazer parte de um plano de resposta a incidentes.
+ **Gerenciamento de vulnerabilidades na nuvem**: o processo de gerenciamento de vulnerabilidades na nuvem difere dos ambientes on-premises. Além do gerenciamento tradicional de vulnerabilidades, você também deve avaliar a camada de código da infraestrutura. O [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) é um serviço automatizado de gerenciamento de vulnerabilidades que avalia continuamente seus recursos em busca de vulnerabilidades e exposição não intencional da rede.
+ **Gerenciamento da postura na nuvem**: o gerenciamento da postura na nuvem, conforme descrito na seção [Avaliar](assess.md), é um aspecto importante da segurança na nuvem. Você pode usar AWS Security Hub CSPM para automatizar as verificações de melhores práticas de segurança e avaliar sua postura geral na nuvem em todos os seus. Contas da AWS
+ **Treinamento em segurança na nuvem**: é essencial fornecer treinamento adequado aos funcionários para que eles se tornem proficientes em segurança na nuvem. Isso inclui fornecer acesso a recursos e alocar tempo para que os funcionários adquiram o conhecimento e as habilidades necessárias. AWS fornece muitos recursos de treinamento para aprimorar e educar, como o [AWS Skill](https://skillbuilder.aws/) Builder.

# Amadurecer: ajuste e avaliação de processos, ferramentas e riscos
<a name="mature"></a>

Na fase madura do modelo de segurança na nuvem, o foco está no alinhamento das equipes de segurança com os recursos de segurança do AWS Cloud Adoption Framework (AWS CAF) e na instituição de processos ágeis. Esse alinhamento ajuda equipes especializadas a acelerar a inovação em curtos intervalos, além de incorporar roteiros e planejamento de longo prazo. A fase de maturidade enfatiza a colaboração com as operações de TI e o aperfeiçoamento de competências especializadas e aprofundadas em nuvem. Cada recurso de segurança implementa ferramentas e processos essenciais para aumentar a eficiência e o impacto, acompanhados pelo desenvolvimento de métricas e mecanismos de relatórios para avaliar as mudanças incrementais e o impacto geral.

**Topics**
+ [

# Ajustar e avaliar processos
](tune-and-measure-processes.md)
+ [

# Ferramentas de ajuste e avaliação
](tune-and-measure-tools.md)
+ [

# Ajustar e avaliar o risco
](tune-and-measure-risk.md)
+ [

# Analise exemplos de casos de uso na fase de maturidade
](review-examples.md)

# Ajustar e avaliar processos
<a name="tune-and-measure-processes"></a>

A [abordagem ágil](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html) oferece mais flexibilidade e inovação, além de ajudar você a testar e implementar novas ideias rapidamente. Divida suas equipes de segurança em funções especializadas, como agentes de resposta a incidentes e gerentes de vulnerabilidades. As funções devem estar alinhadas às categorias na imagem a seguir, que correspondem aos recursos do AWS Cloud Adoption Framework (AWS CAF). A abordagem ágil incentiva as equipes a pensar grande, inventar, simplificar e identificar possíveis lacunas na segurança. Isso resulta na criação de um backlog de histórias de usuários ou roteiros para futuras melhorias.

Um processo ágil permite soluções mais dinâmicas e adaptáveis, em vez de depender apenas dos recursos de uma ferramenta específica. *Antecipar-se à falha* é uma filosofia que usa testes frequentes e incrementais para reduzir o ciclo de vida do desenvolvimento, além de ser uma parte essencial de uma abordagem ágil. Faça uma alteração, teste-a e decida se deseja continuar com a abordagem atual ou mudar para uma alternativa. Se as equipes trabalharem nesse ciclo, isso ajudará sua organização a se manter atualizada com a natureza acelerada da nuvem. O treinamento focado também é crucial, e você deve fornecer treinamento específico para um domínio específico da segurança na nuvem.



![\[Crie funções especializadas que correspondam às capacidades do AWS CAF no pilar de segurança.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**nota**  
Essa imagem não contém os recursos de garantia de segurança e governança de segurança no AWS CAF. Este guia se concentra em operações de segurança, e a garantia e a governança da segurança estão fora do escopo deste guia. Para obter mais informações sobre garantia de segurança, consulte [AWS re:Inforce 2023 - Scaling](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ) compliance with on. AWS Control Tower YouTube

Em sua organização, use uma abordagem ágil que a ajude a acompanhar o rápido desenvolvimento e as mudanças na nuvem. Veja a seguir algumas maneiras de começar a experimentar e iterar em seu ambiente de nuvem:
+ Especialize-se nas categorias definidas no AWS CAF, conforme mostrado na imagem anterior.
+ Para ser mais dinâmico, concentre-se na inovação em vez de nas operações.
+ Mova-se rapidamente em sprints, permitindo que as pessoas testem, antecipem-se à falha, implementem rapidamente e continuem com esse ciclo para acompanhar os negócios.
+ Para apoiar operações contínuas, sempre que possível, alinhe processos para ambientes on-premises e baseados em nuvem.
+ Para ajudar as pessoas a se aprofundar e se concentrar em uma área, forneça treinamento focado em vez de um treinamento amplo.
+ Incentive as pessoas a pensar grande, a investigar os “e se” e a criar backlogs (como roteiros ou lacunas).

# Ferramentas de ajuste e avaliação
<a name="tune-and-measure-tools"></a>

Depois de estabelecer equipes especializadas para diferentes domínios de segurança, alinhe as equipes entre si. O [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) pode ajudar você a conseguir isso. O Security Hub CSPM fornece um painel centralizado e unificado para monitorar o progresso em relação às estruturas. Ele também integra aos serviços AWS de segurança muitas ferramentas de terceiros.

O National Institute of Standards and Technology (NIST) [Cybersecurity Framework](https://www.nist.gov/cyberframework) no site do NIST é composto por cinco funções: identificar, proteger, detectar, responder e recuperar. A imagem a seguir mostra como você pode usar diferentes Serviços da AWS durante cada função e, em seguida, configurar esses serviços para enviar suas descobertas ao Security Hub CSPM para relatórios consolidados. Se você optar por usar outras ferramentas, poderá usar a API CSPM do Security Hub, AWS Command Line Interface (AWS CLI) e o AWS Security Finding Format (ASFF) para criar integrações personalizadas. Para obter mais informações sobre as integrações do CSPM do Security Hub com outros serviços, consulte Integrações de [produtos na](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) documentação do CSPM do AWS Security Hub CSPM Security Hub.



![\[Ferramentas de segurança que se integram com AWS Security Hub CSPM\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


O Security Hub CSPM se integra a todos esses serviços e ferramentas e fornece o seguinte:
+ Fornece um painel unificado que mostra atualizações e ajuda as equipes a fazer iterações no local
+ [Integra-se automaticamente com serviços AWS de segurança, como [Amazon Macie, Amazon](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) e [ GuardDutyAmazon Detective](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ Oferece suporte à integração com ferramentas de terceiros, como o [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) e o [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)
+ Oferece suporte a integrações personalizadas com ferramentas, como a API CSPM do Security Hub e o AWS Security Finding Format (ASFF) AWS CLI

# Ajustar e avaliar o risco
<a name="tune-and-measure-risk"></a>

Durante a fase madura da etapa de caminhada, você pode usar AWS Security Hub CSPM para ajustar e medir continuamente os riscos de segurança. O Security Hub CSPM avalia continuamente a postura de segurança de uma organização e toma medidas para remediar os problemas identificados. O Security Hub CSPM centraliza e prioriza as descobertas de segurança de todos os serviços e parceiros Contas da AWS terceirizados suportados. Ele também ajuda você a analisar as tendências de segurança e a identificar os problemas de segurança de maior prioridade.

O Security Hub CSPM executa centenas de verificações de segurança e as classifica com base no risco para seu ambiente. AWS Você pode ver sua pontuação em relação aos controles de segurança em um painel unificado no console CSPM do Security Hub. Para obter mais informações, consulte [Determinando pontuações de segurança](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html) na documentação do CSPM do Security Hub. Por meio desse painel, a DevSecOps função pode identificar rapidamente quaisquer verificações que falharam, a gravidade do problema de segurança Região da AWS e quais recursos foram afetados. Uma vez identificada, a DevSecOps equipe pode priorizar e corrigir o problema. À medida que os problemas são corrigidos, o Security Hub CSPM atualiza automaticamente o estado.

# Analise exemplos de casos de uso na fase de maturidade
<a name="review-examples"></a>

Confira a seguir exemplos da etapa de maturidade. Esses exemplos se aprofundam nos modelos, nas ferramentas e nos processos para diferentes objetivos de negócios, em um nível prático.

## Amadurecer: exemplo de detecção de ameaças
<a name="mature-threat-detection-example"></a>

**Resultado de negócios para controles de detecção:** aumente a visibilidade e a velocidade de detecção de incidentes na nuvem para reduzir os riscos e possibilitar o uso e o desenvolvimento acelerados dos recursos da nuvem.

**Ferramenta:** o [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws) (GitHub) é uma ferramenta de código aberto que ajuda você a ativar o registro em log no meio de um incidente de segurança. Ele pode aumentar rapidamente sua visibilidade sobre um incidente.

**Exemplo de caso de uso:** considere o caso de uso de conta única descrito no diagrama a seguir. Há eventos que exigem uma investigação mais aprofundada. Você não tem certeza se o registro em log está habilitado. Nesse caso, o melhor curso de ação é realizar um dry run com o Assisted Log Enabler para ver quais serviços estão ativados ou desativados. Assisted Log Enablerverifica AWS CloudTrail trilhas, registros de consultas de DNS, registros de fluxo de VPC e outros registros. Se eles não estiverem habilitados, Assisted Log Enabler habilite-os. Assisted Log Enablerpode verificar e ativar o registro em todos Regiões da AWS.

Você também pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade. Depois de concluir a simulação, fechar o evento e resolver o problema, você percebe que não precisa mais desse nível de registro em log. Você pode limpar rapidamente a implantação para interromper o registro em log. Esse recurso permite que você use o Assisted Log Enabler como uma ferramenta de triagem.



![\[Use o Assisted Log Enabler para ver quais serviços têm o registro em log habilitado ou desabilitado\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Confira abaixo os principais recursos do Assisted Log Enabler for AWS:
+ É possível executá-lo em um ambiente de conta única ou de várias contas.
+ Você pode usá-lo para estabelecer uma linha de base para fazer login em seu ambiente.
+ Você pode usar o recurso de simulação para verificar o estado atual e determinar quais serviços têm o registro em log habilitado.
+ É possível selecionar para quais serviços você deseja habilitar o registro em log.
+ Você pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade, para seu caso de uso.

## Amadurecer: exemplo do IAM
<a name="mature-iam-example"></a>

**Resultado de negócios do IAM:** automatize a visibilidade e avalie as práticas recomendadas para reduzir continuamente os riscos, permitir conexões externas seguras e provisionar rapidamente novos usuários e ambientes

**Ferramenta:** o [AWS Identity and Access Management Access Analyzer (analisador de acesso do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) ajuda a identificar recursos que são compartilhados com uma entidade externa, valida as políticas do IAM em relação à gramática e às práticas recomendadas e gera políticas do IAM com base no histórico de atividades de acesso. É altamente recomendável que você habilite o analisador de acesso do IAM nos níveis da conta e da organização.

**Benefícios do serviço:** o analisador de acesso do IAM fornece um vasto conjunto de descobertas relevantes. Ele ajuda a identificar os recursos da sua organização e as contas que são compartilhados com entidades externas. Ele pode detectar recursos como um bucket público do S3, um AWS KMS key compartilhado com outra conta ou uma função compartilhada com uma conta externa, oferecendo excelente visibilidade na identificação de recursos que não estão sob o controle da sua organização. Ele não apenas valida as políticas do IAM, mas também pode gerá-las para você.