Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para obter uma introdução ao projeto de parâmetro de comparação de segurança de nuvem da Microsoft, incluindo conceitos importantes, diretrizes de implementação e terminologia, consulte a introdução do parâmetro de comparação de segurança de nuvem da Microsoft.
O parâmetro de comparação de segurança de nuvem da Microsoft v2 (versão prévia) fornece diretrizes aprimoradas focadas no Azure com domínios de segurança expandidos e detalhes abrangentes de implementação técnica. Essa versão baseia-se na base do parâmetro de comparação de segurança na nuvem da Microsoft com controles de segurança refinados, diretrizes de segurança de IA e mapeamentos expandidos do Azure Policy.
Características principais
Observação
O parâmetro de comparação de segurança de nuvem da Microsoft v2 (versão prévia) agora está disponível. Explore esta versão e forneça comentários para nos ajudar a melhorá-la. Para perguntas ou comentários, envie um email para nós.benchmarkfeedback@microsoft.com
Para obter informações sobre a versão anterior, consulte Visão geral do microsoft cloud security benchmark v1.
O parâmetro de comparação de segurança de nuvem da Microsoft v2 (versão prévia) inclui:
Segurança de Inteligência Artificial – Um novo domínio de segurança com sete recomendações que abrangem a segurança da plataforma de IA, a segurança do aplicativo de IA e o monitoramento de segurança de IA para lidar com ameaças e riscos em implantações de inteligência artificial.
Mapeamentos abrangentes do Azure Policy – mais de 420 definições internas do Azure Policy para ajudá-lo a medir e monitorar sua postura de segurança no Azure usando o Azure Policy e o Defender para Nuvem.
Diretrizes baseadas em risco e ameaças - Diretrizes abrangentes com exemplos de implementação técnica granular e referências detalhadas para ajudá-lo a entender os riscos e ameaças de segurança que cada controle de segurança reduz e como implementar os controles de segurança em seu ambiente do Azure.
Domínios de segurança
| Domínio de segurança | Descrição |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controles para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS. |
| Gerenciamento de Identidade (IM) | O Gerenciamento de Identidade abrange controles para estabelecer uma identidade segura e controles de acesso usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso Privilegiado (PA) | O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido. |
| Proteção de Dados (DP) | A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados. |
| Gerenciamento de Ativos (AM) | O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre seus recursos, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, controle e correto). |
| Registro em log e detecção de ameaças (LT) | O registro em log e a detecção de ameaças abrangem controles para detectar ameaças em ambientes de nuvem e permitem a habilitação, coleta e armazenamento de logs de auditoria para serviços na nuvem. Isso inclui habilitar processos de detecção, investigação e correção com controles que geram alertas de alta qualidade, utilizando a detecção nativa de ameaças nos serviços de nuvem. Ele também inclui coletar logs com um serviço de monitoramento de nuvem, centralizar a análise de segurança com um SIEM, sincronização de tempo e retenção de log. |
| Resposta a incidentes (IR) | A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure (como o Microsoft Defender para Nuvem e Sentinel) e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Posturas e Vulnerabilidades) | O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos de nuvem. |
| Segurança de Endpoint (ES) | A Segurança do Ponto de Extremidade aborda controles em resposta e detecção de ponto de extremidade, incluindo uso de EDR (detecção de ponto de extremidade e resposta) e serviço antimalware para pontos de extremidade em ambientes de nuvem. |
| Backup e recuperação (BR) | O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Segurança de DevOps (DS) | A Segurança do DevOps abrange os controles relacionados à engenharia de segurança e operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como teste de segurança de aplicativo estático, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança em todo o processo de DevOps. Ele também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| IA (Segurança de Inteligência Artificial) | A Segurança de Inteligência Artificial abrange controles para garantir o desenvolvimento seguro, a implantação e a operação de modelos e serviços de IA, incluindo segurança da plataforma de IA, segurança do aplicativo de IA e monitoramento de segurança de IA. |
Estrutura de controle de segurança no microsoft cloud security benchmark v2 (versão prévia)
Cada controle de segurança no parâmetro de comparação inclui as seguintes seções:
- ID: um identificador exclusivo para cada controle de segurança, consistindo em uma abreviação de domínio e número (por exemplo, AI-1 para controle de Segurança de Inteligência Artificial 1, DP-1 para controle de Proteção de Dados 1, NS-2 para controle de Segurança de Rede 2). Essa ID é usada em toda a documentação para fazer referência a controles de segurança específicos.
- Azure Policy: links para definições de política internas do Azure que você pode usar para medir e impor o controle de segurança. Observe que nem todos os controles de segurança incluem um link do Azure Policy, pois alguns controles de segurança fornecem diretrizes para cenários ou configurações que a automação do Azure Policy não pode impor.
- Princípio de segurança: descrição de alto nível do controle de segurança no nível independente da tecnologia, explicando o "o quê" e "por quê" do controle de segurança.
- Risco a ser mitigado: os riscos e ameaças de segurança específicos que o controle de segurança pretende resolver.
- MITRE ATT&CK: as táticas, técnicas e procedimentos (TTPs) MITRE ATT&CK relevantes para os riscos de segurança. Saiba mais em https://attack.mitre.org/.
- Diretrizes de implementação: diretrizes técnicas específicas do Azure organizadas em subsseções numeradas (por exemplo, NS-1.1, NS-1.2) explicando como implementar o controle de segurança usando recursos e serviços do Azure.
- Exemplo de implementação: cenário prático do mundo real demonstrando como implementar o controle de segurança, incluindo o desafio, a abordagem da solução e o resultado.
- Nível de criticidade: indica a importância relativa do controle de segurança para a postura de segurança. Os valores possíveis são "Obrigatório" (essencial para segurança básica), "Recomendado" (importante para segurança melhorada) ou "Desejável" (benéfico para cenários de segurança avançados).
-
Mapeamento de controle: mapeamentos para os padrões e estruturas de segurança do setor, incluindo:
- NIST SP 800-53 Rev.5: IDs de controle de segurança NIST SP 800-53 r5
- PCI-DSS v4: IDs de requisito do PCI-DSS v4
- CIS Controls v8.1: CIS Controls v8.1 IDs
- NIST CSF v2.0: IDs de função e categoria do NIST Cybersecurity Framework v2.0
- ISO 27001:2022: IDs de controle de segurança ISO/IEC 27001:2022
- SOC 2: Critérios de serviços confiáveis do SOC 2
Os mapeamentos de controle de segurança entre o MCSB e os parâmetros de comparação do setor (como CIS, NIST, PCI, ISO e outros) só indicam que você pode usar recursos específicos do Azure para atender totalmente ou parcialmente a um requisito de controle de segurança definido nesses parâmetros de comparação do setor. Essa implementação não necessariamente se traduz na conformidade total dos controles de segurança correspondentes nesses parâmetros de comparação do setor.
Damos as boas-vindas aos seus comentários detalhados e à participação ativa no esforço do Microsoft Cloud Security Benchmark v2 (versão prévia). Se você quiser fornecer entrada direta, envie um email para nós em benchmarkfeedback@microsoft.com.
Próximas etapas
- Examine a introdução do parâmetro de comparação de segurança de nuvem da Microsoft para obter conceitos gerais do MCSB e diretrizes de implementação
- Explorar os domínios de segurança começando com a segurança de rede
- Saiba mais sobre os conceitos básicos de segurança do Azure