Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.
GS-1: definir a estratégia de gerenciamento de ativos e proteção de dados
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Certifique-se de documentar e comunicar uma estratégia clara para monitoramento contínuo e proteção de sistemas e dados. Priorize a descoberta, a avaliação, a proteção e o monitoramento de dados e sistemas críticos aos negócios.
Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
Padrão de classificação de dados de acordo com os riscos de negócios
Visibilidade da organização de segurança sobre riscos e inventário de ativos
Aprovação da organização de segurança para o uso dos serviços do Azure
Segurança de ativos por meio de seu ciclo de vida
Estratégia de controle de acesso necessária de acordo com a classificação de dados organizacionais
Uso de recursos de proteção de dados nativos e de terceiros do Azure
Requisitos de criptografia de dados para casos de uso em trânsito e em repouso
Padrões criptográficos apropriados
Para obter mais informações, consulte as seguintes referências:
Recomendação de arquitetura de segurança do Azure – armazenamento, dados e criptografia
Conceitos básicos de segurança do Azure – segurança, criptografia e armazenamento de dados do Azure
Cloud Adoption Framework – Práticas recomendadas de criptografia e segurança de dados do Azure
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-2: Definir estratégia de segmentação empresarial
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Estabeleça uma estratégia de toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.
Balancee cuidadosamente a necessidade de separação de segurança com a necessidade de habilitar a operação diária dos sistemas que precisam se comunicar entre si e acessar dados.
Verifique se a estratégia de segmentação é implementada consistentemente entre tipos de controle, incluindo segurança de rede, modelos de identidade e acesso, além de modelos de permissão/acesso do aplicativo e controles de processo humano.
Diretrizes sobre a estratégia de segmentação no Azure (vídeo)
Diretrizes sobre a estratégia de segmentação no Azure (documento)
Alinhar a segmentação de rede com a estratégia de segmentação empresarial
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-3: Definir estratégia de gerenciamento de postura de segurança
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Medir e reduzir continuamente os riscos para seus ativos individuais e o ambiente em que eles estão hospedados. Priorize ativos de alto valor e superfícies de ataque altamente expostas, como aplicativos publicados, pontos de entrada e saída de rede, pontos de extremidade de usuário e administrador, etc.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-4: Alinhar papéis, responsabilidades e obrigações da organização
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-4 | Não aplicável | Projeto de Lei, Polícia Militar |
Certifique-se de documentar e comunicar uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize a prestação de contas clara para decisões de segurança, educando todos sobre o modelo de responsabilidade compartilhada e eduque as equipes técnicas sobre tecnologia para proteger a nuvem.
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-5: Definir estratégia de segurança de rede
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-5 | 9 | CA, SC |
Estabeleça uma abordagem de segurança de rede do Azure como parte da estratégia geral de controle de acesso à segurança da sua organização.
Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
Gerenciamento de rede centralizado e responsabilidade de segurança
Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial
Estratégia de correção em diferentes cenários de ameaça e ataque
Estratégia de borda da Internet e de entrada e saída
Estratégia de interconectividade de nuvem híbrida e local
Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência)
Para obter mais informações, consulte as seguintes referências:
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-6: Definir identidade e estratégia de acesso privilegiado
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Estabeleça uma identidade do Azure e abordagens de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização.
Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
Um sistema centralizado de identidade e autenticação e sua interconectividade com outros sistemas de identidade internos e externos
Métodos de autenticação fortes em diferentes casos e condições de uso
Proteção de usuários altamente privilegiados
Monitoramento e tratamento das atividades anômalas do usuário
Processo de revisão e reconciliação da identidade e acesso do usuário
Para obter mais informações, consulte as seguintes referências:
Prática recomendada de segurança do Azure 11 – Arquitetura. Estratégia de segurança unificada única
Visão geral da segurança de gerenciamento de identidades do Azure
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-7: Definir a estratégia de resposta a ameaças e registro em log
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Estabeleça uma estratégia de registro em log e resposta a ameaças para detectar e corrigir ameaças rapidamente ao atender aos requisitos de conformidade. Priorize fornecer aos analistas alertas de alta qualidade e experiências perfeitas para que eles possam se concentrar em ameaças em vez de integração e etapas manuais.
Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
A função e as responsabilidades da organização de operações de segurança (SecOps)
Um processo de resposta a incidentes bem definido alinhado ao NIST ou a outra estrutura do setor
Captura e retenção de log para dar suporte à detecção de ameaças, resposta a incidentes e necessidades de conformidade
Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, recursos nativos do Azure e outras fontes
Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas de interesse
Uso de plataformas nativas e de terceiros do Azure para tratamento de incidentes, como registro em log e detecção de ameaças, perícia e correção e erradicação de ataques
Processos para lidar com incidentes e atividades pós-incidente, como lições aprendidas e retenção de evidências
Para obter mais informações, consulte as seguintes referências:
Azure Security Benchmark – Registro de logs e detecção de ameaças
Guia de decisão sobre a Estrutura de Adoção do Azure, registro em log e relatórios
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):
GS-8: Definir estratégia de backup e recuperação
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| GS-8 | 10 | CP |
Estabeleça uma estratégia de backup e recuperação do Azure para sua organização.
Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
RTO (objetivo de tempo de recuperação) e definições de RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios
Design de redundância em seus aplicativos e configuração de infraestrutura
Proteção do backup usando controle de acesso e criptografia de dados
Para obter mais informações, consulte as seguintes referências:
Azure Well-Architecture Framework – Backup e recuperação de desastre para aplicativos do Azure
Azure Adoption Framework – continuidade dos negócios e recuperação de desastre
Responsabilidade: Cliente
Partes Interessadas em Segurança do Cliente (Saiba mais):