Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O MCSB (Microsoft Cloud Security Benchmark) fornece melhores práticas e recomendações prescritivas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure e em seu ambiente de várias nuvens. Este parâmetro de comparação se concentra em áreas de controle centradas na nuvem com a entrada de um conjunto de diretrizes holísticas de segurança da Microsoft e do setor que inclui:
- Cloud Adoption Framework: diretrizes sobre segurança, incluindo estratégia, funções e responsabilidades, práticas recomendadas de segurança do Azure Top 10 e implementação de referência.
- Azure Well-Architected Framework: diretrizes sobre como proteger suas cargas de trabalho no Azure.
- O Workshop do Diretor de Segurança da Informação (CISO): Diretrizes do programa e estratégias de referência para acelerar a modernização de segurança usando princípios de Confiança Zero.
- Outros padrões e estrutura de práticas recomendadas de segurança dos provedores de serviços de nuvem e do setor: exemplos incluem o Amazon Web Services (AWS) Well-Architected Framework, controles do Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e Payment Card Industry Data Security Standard (PCI-DSS).
Novidades no parâmetro de comparação de segurança de nuvem da Microsoft v1
Observação
O parâmetro de comparação de segurança de nuvem da Microsoft é o sucessor do ASB (Azure Security Benchmark), que foi renomeado em outubro de 2022.
O suporte do Google Cloud Platform no MCSB agora está disponível como um recurso de visualização, tanto nas diretrizes de parâmetro de comparação do MCSB quanto no Microsoft Defender para Nuvem.
Veja as novidades no parâmetro de comparação de segurança de nuvem da Microsoft v1:
Estrutura abrangente de segurança de várias nuvens: as organizações geralmente precisam criar um padrão de segurança interno para reconciliar controles de segurança em várias plataformas de nuvem para atender aos requisitos de segurança e conformidade em cada uma delas. Isso geralmente exige que as equipes de segurança repitam a mesma implementação, monitoramento e avaliação nos diferentes ambientes de nuvem (geralmente para diferentes padrões de conformidade). Isso cria sobrecarga, custo e esforço desnecessários. Para resolver essa preocupação, aprimoramos o ASB para MCSB para ajudá-lo a trabalhar rapidamente com diferentes nuvens:
- Fornecendo uma única estrutura de controle para atender facilmente aos controles de segurança entre nuvens
- Fornecendo experiência consistente do usuário para monitorar e impor o benchmark de segurança de várias nuvens no Defender para Nuvem
- Mantendo-se alinhado com padrões do setor (por exemplo, CIS, NIST, PCI)
Monitoramento de controle automatizado para AWS no Microsoft Defender para Nuvem: você pode usar o Painel de Conformidade Regulatória do Microsoft Defender para Nuvem para monitorar seu ambiente do AWS em relação ao MCSB, assim como você monitora seu ambiente do Azure. Desenvolvemos aproximadamente 180 verificações do AWS para as novas diretrizes de segurança do AWS no MCSB, permitindo que você monitore seu ambiente e recursos do AWS no Microsoft Defender para Nuvem.
Uma atualização dos princípios de segurança e diretrizes existentes do Azure: também atualizamos alguns dos princípios de segurança e diretrizes de segurança existentes do Azure durante essa atualização para que você possa se manter atualizado com os recursos e funcionalidades mais recentes do Azure.
Controles
| Domínios de controle | Description |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controles para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS. |
| Gerenciamento de Identidade (IM) | O Gerenciamento de Identidades abrange controles para estabelecer controles de acesso e identidade segura usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e princípios de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso Privilegiado (PA) | O Privileged Access abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma série de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidas. |
| Proteção de Dados (DP) | A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados. |
| Gerenciamento de Ativos (AM) | O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança da segurança sobre os recursos, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, rastreamento e correção). |
| Registro em log e detecção de ameaças (LT) | O registro em log e detecção de ameaças abrange controles para detectar ameaças na nuvem e habilitar, coletar e armazenar logs de auditoria para serviços de nuvem, incluindo habilitar processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços de nuvem; ele também inclui coletar logs com um serviço de monitoramento de nuvem, centralizar a análise de segurança com um SIEM, sincronização de tempo e retenção de log. |
| Resposta a incidentes (IR) | A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure (como o Microsoft Defender para Nuvem e Sentinel) e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Posturas e Vulnerabilidades) | O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos de nuvem. |
| Segurança de Endpoint (ES) | O Endpoint Security abrange controles na detecção e resposta de ponto de extremidade, incluindo o uso de EDR (detecção e resposta de ponto de extremidade) e serviço antimalware para pontos de extremidade em ambientes de nuvem. |
| BR (Backup e Recuperação) | O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Segurança de DevOps (DS) | A Segurança do DevOps abrange os controles relacionados à engenharia de segurança e operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como teste de segurança de aplicativo estático, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança em todo o processo de DevOps; ele também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| Governança e estratégia (GS) | A governança e a estratégia fornecem diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Recomendações no parâmetro de comparação de segurança na nuvem da Microsoft
Cada recomendação inclui as seguintes informações:
- ID: O ID do benchmark que corresponde à recomendação.
- IDs do CIS Controls v8: Os controles CIS v8 que correspondem à recomendação.
- Controles CIS v7.1 ID(s): os controles cis v7.1 que correspondem à recomendação (não disponível na Web devido ao motivo da formatação).
- Identificadores PCI-DSS v3.2.1: os identificadores PCI-DSS v3.2.1 que correspondem à recomendação.
- IDs NIST SP 800-53 r4: os controles NIST SP 800-53 r4 (Moderado e Alto) correspondem a essa recomendação.
- Princípio de Segurança: a recomendação se concentrou no "o quê", explicando o controle no nível independente da tecnologia.
- Diretrizes do Azure: a recomendação se concentrou no "como", explicando os recursos técnicos do Azure e os conceitos básicos de implementação.
- Diretrizes da AWS: a recomendação se concentrou no "como", explicando os recursos técnicos e as noções básicas de implementação da AWS.
- Implementação e contexto adicional: os detalhes de implementação e outros contextos relevantes que se vinculam aos artigos de documentação da oferta de serviço do Azure e do AWS.
- Stakeholders de Segurança do Cliente: as funções de segurança na organização do cliente que podem ser responsáveis, responsabilizadas ou consultadas para o respectivo controle. Pode ser diferente de organização para organização, dependendo da estrutura da organização de segurança da sua empresa e das funções e responsabilidades que você configurou relacionadas à segurança do Azure.
Os mapeamentos de controle entre o MCSB e os parâmetros de comparação do setor (como CIS, NIST e PCI) indicam apenas que um recurso específico do Azure pode ser usado para atender totalmente ou parcialmente a um requisito de controle definido nesses parâmetros de comparação do setor. Você deve estar ciente de que essa implementação não necessariamente se traduz na conformidade total dos controles correspondentes nesses parâmetros de comparação do setor.
Damos as boas-vindas aos seus comentários detalhados e à participação ativa no esforço de benchmark de segurança na nuvem da Microsoft. Se você quiser fornecer entrada direta, envie um email para nós em benchmarkfeedback@microsoft.com.
Baixar
Você pode baixar a cópia offline do Benchmark e da linha de base no formato de planilha.
Próximas etapas
- Consulte o primeiro controle de segurança: segurança de rede
- Ler a introdução do parâmetro de comparação de segurança de nuvem da Microsoft
- Conheça os conceitos básicos de segurança do Azure