A realização de uma avaliação de segurança é a primeira etapa para entender as vulnerabilidades em sua infraestrutura. Uma avaliação de segurança faz parte de uma auditoria de segurança, que analisa os sistemas e as práticas, incluindo a conformidade de segurança.

Uma avaliação de segurança geralmente se refere à verificação da infraestrutura física da sua organização (firewalls, redes, hardware e assim por diante) para identificar vulnerabilidades e falhas. Uma avaliação de segurança não é o mesmo que uma auditoria de segurança. Uma auditoria de segurança inclui não apenas uma revisão da infraestrutura física, mas também outras áreas, como políticas e procedimentos operacionais padrão, incluindo conformidade de segurança. Depois de realizar a auditoria, você poderá decidir sobre as etapas para solucionar os problemas no sistema.

Você pode fazer estas perguntas gerais ao se preparar para realizar uma auditoria de segurança:

  1. Nossa organização está obrigada a aderir a um regulamento de conformidade? Em caso afirmativo, qual(is)?
  2. Qual é o nosso intervalo de auditoria?
  3. Qual é o nosso intervalo de autoavaliação interna?
  4. Temos acesso aos resultados de auditorias anteriores e os visualizamos?
  5. Usamos uma empresa de auditoria terceirizada para nos ajudar a nos preparar para uma auditoria? Em caso afirmativo, qual é o nível de conforto deles com a virtualização?
  6. Executamos verificações de vulnerabilidades nos sistemas e aplicativos? Quando e com que frequência?
  7. Quais são nossas políticas internas de segurança cibernética?
  8. Seu log de auditoria está configurado de acordo com suas necessidades? Consulte Auditoria de login vSphere.

Na ausência de orientação ou orientação específica sobre por onde começar, você pode começar a proteger seu ambiente vSphere:

  • Mantendo seu ambiente atualizado com os patches de software e firmware mais recentes
  • Manter um bom gerenciamento e higiene de senhas para todas as contas
  • Revisando recomendações de segurança aprovadas pelo fornecedor
  • Consultando os Guias de Configuração de Segurança do VMware (consulte O que é o vSphere Guia de Configuração de Segurança)
  • Usando orientação prontamente disponível e comprovada de estruturas de políticas, como NIST, ISO e assim por diante
  • Seguindo as orientações das estruturas de conformidade regulatória, como PCI, DISA e FedRAMP