Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para uma introdução ao projeto Microsoft Cloud Security Benchmark, incluindo conceitos-chave, orientações de implementação e terminologia, consulte a introdução do Microsoft Cloud Security Benchmark.
O benchmark de segurança na cloud da Microsoft v2 (pré-visualização) oferece orientações aprimoradas focadas no Azure, com domínios de segurança alargados e detalhes técnicos abrangentes de implementação. Esta versão baseia-se na base do benchmark de segurança na cloud da Microsoft com controlos de segurança refinados, orientações de segurança por IA e mapeamentos expandidos da Azure Policy.
Principais características
Observação
O Microsoft Cloud Security Benchmark v2 (pré-visualização) já está disponível. Explore esta versão e dê feedback para nos ajudar a melhorá-la. Para quaisquer perguntas ou comentários, envie-nos um email para benchmarkfeedback@microsoft.com.
Para informações sobre a versão anterior, consulte Visão Geral do benchmark de segurança na cloud Microsoft v1.
O benchmark de segurança da Microsoft na nuvem v2 (pré-visualização) inclui:
Segurança por Inteligência Artificial - Um novo domínio de segurança com sete recomendações que abrangem a segurança das plataformas de IA, segurança de aplicações de IA e monitorização da segurança da IA para enfrentar ameaças e riscos nas implementações de inteligência artificial.
Mapeamentos Abrangentes da Azure Policy - Mais de 420 definições integradas da Azure Policy para o ajudar a medir e monitorizar a sua postura de segurança no Azure, utilizando o Azure Policy e o Defender for Cloud.
Orientação baseada em risco e ameaças - Diretrizes abrangentes com exemplos técnicos detalhados de implementação e referências detalhadas para o ajudar a compreender os riscos e ameaças de segurança que cada controlo de segurança mitiga, bem como implementar os controlos de segurança no seu ambiente Azure.
Domínios de segurança
| Domínio de segurança | Descrição |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo a segurança de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a segurança do DNS. |
| Gerenciamento de identidade (IM) | A Gestão de Identidade abrange controlos para estabelecer uma identidade segura e controlos de acesso através da utilização de sistemas de gestão de identidade e acessos, incluindo o uso de login único, autenticações fortes, identidades geridas (e principais de serviço) para aplicações, acesso condicional e monitorização de anomalias na conta. |
| Acesso privilegiado (PA) | O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos. |
| Proteção de dados (PD) | A Proteção de Dados cobre o controlo da proteção de dados em repouso, em trânsito e através de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorizar ativos de dados sensíveis através do controlo de acesso, encriptação, gestão de chaves e gestão de certificados. |
| Gestão de Ativos (AM) | O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre seus recursos, incluindo recomendações sobre permissões para o pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, rastreamento e correção). |
| Registo e Deteção de Ameaças (LT) | Registos e Deteção de Ameaças abrange controlos para detetar ameaças na cloud, bem como ativar, recolher e armazenar registos de auditoria para serviços cloud, incluindo a habilitação de processos de deteção, investigação e remediação com controlos para gerar alertas de alta qualidade com deteção nativa de ameaças em serviços cloud. Inclui também a recolha de registos com um serviço de monitorização na cloud, a centralização da análise de segurança com um SIEM, a sincronização de tempo e a retenção de registos. |
| Resposta a incidentes (RI) | A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como o Microsoft Defender for Cloud e o Sentinel) e/ou outros serviços na nuvem para automatizar o processo de resposta a incidentes. |
| Gestão de Postura e Vulnerabilidade (PV) | O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo varredura de vulnerabilidades, testes de penetração e remediação, bem como rastreamento, relatórios e correção de configuração de segurança em recursos de nuvem. |
| Segurança de Endpoint (ES) | O Endpoint Security abrange controles em deteção e resposta de endpoints, incluindo o uso de EDR (endpoint detection and response) e serviço antimalware para endpoints em ambientes de nuvem. |
| Backup e recuperação (BR) | O Backup and Recovery abrange controles para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Segurança de DevOps (DS) | DevOps Security abrange os controlos relacionados com a engenharia de segurança e operações nos processos DevOps, incluindo a implementação de verificações críticas de segurança (como testes estáticos de segurança de aplicações, gestão de vulnerabilidades) antes da fase de implementação para garantir a segurança ao longo de todo o processo DevOps. Inclui também tópicos comuns como modelação de ameaças e segurança do fornecimento de software. |
| Segurança da Inteligência Artificial (IA) | A Segurança da Inteligência Artificial abrange controlos para garantir o desenvolvimento, a implementação e a operação seguros de modelos e serviços de IA, incluindo a segurança das plataformas de IA, a segurança de aplicações de IA e a monitorização da segurança de IA. |
Estrutura de controlo de segurança na Microsoft cloud security benchmark v2 (pré-visualização)
Cada controlo de segurança no benchmark inclui as seguintes secções:
- ID: Um identificador único para cada controlo de segurança, consistindo numa abreviatura de domínio e número (por exemplo, AI-1 para controlo de Segurança de Inteligência Artificial 1, DP-1 para controlo de Proteção de Dados 1, NS-2 para controlo de Segurança de Rede 2). Este ID é utilizado em toda a documentação para referenciar controlos de segurança específicos.
- Política Azure: Links para definições de políticas incorporadas no Azure que pode usar para medir e aplicar o controlo de segurança. Note que nem todos os controlos de segurança incluem um link Azure Policy, pois alguns controlos de segurança fornecem orientações para cenários ou configurações que a automação Azure Policy não consegue aplicar.
- Princípio de segurança: Descrição de alto nível do controlo de segurança ao nível agnóstico em relação à tecnologia, explicando o "quê" e o "porquê" do controlo de segurança.
- Risco a mitigar: Os riscos e ameaças de segurança específicos que o controlo de segurança pretende abordar.
- MITRE ATT&CK: As táticas, técnicas e procedimentos MITRE ATT&CK (TTPs) relevantes para os riscos de segurança. Saiba mais em https://attack.mitre.org/.
- Orientação de implementação: Orientação técnica detalhada específica do Azure organizada em subsecções numeradas (por exemplo, NS-1.1, NS-1.2) explicando como implementar o controlo de segurança usando funcionalidades e serviços do Azure.
- Exemplo de implementação: Cenário prático do mundo real que demonstra como implementar o controlo de segurança, incluindo o desafio, a abordagem da solução e o resultado.
- Nível de criticidade: Indica a importância relativa do controlo de segurança para a postura de segurança. Os valores possíveis são "Indispensável" (essencial para a segurança base), "Deve ter" (importante para maior segurança) ou "Bom de ter" (benéfico para cenários avançados de segurança).
-
Mapeamento de Controlo: Mapeamentos a padrões e quadros de segurança da indústria, incluindo:
- NIST SP 800-53 Rev.5: IDs de controlo de segurança NIST SP 800-53 r5
- PCI-DSS v4: IDs de requisitos PCI-DSS v4
- Controlos CIS v8.1: IDs de Controlos CIS v8.1
- NIST CSF v2.0: IDs de funções e categorias do NIST Cybersecurity Framework v2.0
- ISO 27001:2022: IDs de controlo de segurança ISO/IEC 27001:2022
- SOC 2: Critérios SOC 2 para Serviços Fiduciários
Os mapeamentos de controlo de segurança entre o MCSB e benchmarks da indústria (como CIS, NIST, PCI, ISO e outros) indicam apenas que pode usar funcionalidades específicas do Azure para responder total ou parcialmente a um requisito de controlo de segurança definido nestes benchmarks do setor. Tal implementação não se traduz necessariamente na total conformidade dos respetivos controlos de segurança nestes benchmarks da indústria.
Agradecemos o seu feedback detalhado e participação ativa no esforço Microsoft Cloud Security Benchmark v2 (preview). Se quiser dar uma opinião direta, envie-nos um email para benchmarkfeedback@microsoft.com.
Próximos passos
- Consulte a introdução da Microsoft Cloud Security Benchmark para conceitos gerais do MCSB e orientações de implementação
- Explore os domínios de segurança começando pela segurança de rede
- Saiba mais sobre Azure Security Fundamentals