Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Governança e Estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança em nuvem, estratégia técnica unificada e políticas e padrões de suporte.
GS-1: Alinhar funções, responsabilidades e responsabilidades da organização
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Orientação geral: certifique-se de definir e comunicar uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize fornecer responsabilidade clara pelas decisões de segurança, eduque todos sobre o modelo de responsabilidade compartilhada e eduque as equipes técnicas sobre tecnologia para proteger a nuvem.
Implementação e contexto adicional:
- Prática recomendada de segurança do Azure 1 – Pessoas: Eduque as equipes sobre a jornada de segurança na nuvem
- Prática recomendada de segurança do Azure 2 - Pessoas: Educar equipes sobre a tecnologia de segurança na nuvem
- Prática recomendada de segurança do Azure 3 - Processo: atribuir responsabilidade por decisões de segurança na nuvem
Intervenientes na segurança do cliente (Saiba mais):
GS-2: Definir e implementar a estratégia de segmentação/separação de funções da empresa
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Orientação geral: estabeleça uma estratégia em toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.
Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de permitir a operação diária dos sistemas que precisam se comunicar entre si e acessar dados.
Certifique-se de que a estratégia de segmentação seja implementada de forma consistente na carga de trabalho, incluindo segurança de rede, modelos de identidade e acesso, modelos de permissão/acesso a aplicativos e controles de processos humanos.
Implementação e contexto adicional:
- Segurança no Microsoft Cloud Adoption Framework for Azure - Segmentação: separar para proteger
- Segurança no Microsoft Cloud Adoption Framework for Azure - Arquitetura: estabeleça uma única estratégia de segurança unificada
Intervenientes na segurança do cliente (Saiba mais):
GS-3: Definir e implementar estratégia de proteção de dados
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Orientação geral: estabeleça uma estratégia em toda a empresa para a proteção de dados em seu ambiente de nuvem:
- Defina e aplique o padrão de classificação e proteção de dados de acordo com o padrão de gerenciamento de dados corporativos e a conformidade regulatória para ditar os controles de segurança necessários para cada nível da classificação de dados.
- Configure sua hierarquia de gerenciamento de recursos de nuvem alinhada à estratégia de segmentação corporativa. A estratégia de segmentação empresarial também deve ser informada pela localização de dados e sistemas sensíveis ou críticos para os negócios.
- Defina e aplique os princípios de confiança zero aplicáveis em seu ambiente de nuvem para evitar a implementação de confiança com base no local da rede dentro de um perímetro. Em vez disso, use declarações de confiança de dispositivo e usuário para bloquear o acesso a dados e recursos.
- Rastreie e minimize a pegada de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir a superfície de ataque e o custo de proteção de dados. Considere técnicas como hash unidirecional, truncamento e tokenização na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais em sua forma original.
- Certifique-se de ter uma estratégia de controle de ciclo de vida completo para fornecer garantia de segurança dos dados e chaves de acesso.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Proteção de dados
- Cloud Adoption Framework - Práticas recomendadas de criptografia e segurança de dados do Azure
- Fundamentos de Segurança do Azure - Segurança, criptografia e armazenamento de dados do Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-4: Definir e implementar estratégia de segurança de rede
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Orientação geral: estabeleça uma estratégia de segurança de rede na nuvem como parte da estratégia geral de segurança da sua organização para controle de acesso. Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
- Projete um modelo centralizado/descentralizado de gerenciamento de rede e responsabilidade de segurança para implantar e manter recursos de rede.
- Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial.
- Uma estratégia de entrada e saída na Internet.
- Uma nuvem híbrida e uma estratégia de interconectividade local.
- Uma estratégia de monitoramento e registro de rede.
- Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência).
Implementação e contexto adicional:
- Prática recomendada de segurança do Azure 11 - Arquitetura. Estratégia única de segurança unificada
- Benchmark de segurança na nuvem da Microsoft - Segurança de rede
- Visão geral da segurança de rede do Azure
- Estratégia de arquitetura de rede corporativa
Intervenientes na segurança do cliente (Saiba mais):
GS-5: Definir e implementar estratégia de gestão de postura de segurança
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Orientação geral: estabeleça uma política, procedimento e padrão para garantir que o gerenciamento de configuração de segurança e o gerenciamento de vulnerabilidades estejam em vigor em seu mandato de segurança na nuvem.
O gerenciamento de configuração de segurança na nuvem deve incluir as seguintes áreas:
- Defina as linhas de base de configuração segura para diferentes tipos de recursos na nuvem, como o portal/console da Web, o plano de gerenciamento e controle e os recursos executados nos serviços IaaS, PaaS e SaaS.
- Garantir que as linhas de base de segurança abordem os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
- Use ferramentas para medir, auditar e impor continuamente a configuração para evitar que a configuração se desvie da linha de base.
- Desenvolva uma cadência para se manter atualizado com os recursos de segurança, por exemplo, assine as atualizações do serviço.
- Utilize um mecanismo de verificação de integridade ou conformidade de segurança (como Secure Score, Painel de Conformidade no Microsoft Defender for Cloud) para revisar regularmente a postura de configuração de segurança e corrigir as lacunas identificadas.
A gestão de vulnerabilidades na nuvem deve incluir os seguintes aspetos de segurança:
- Avalie e corrija regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos da nuvem, sistemas operacionais e componentes de aplicativos.
- Use uma abordagem baseada no risco para priorizar a avaliação e a remediação.
- Assine os avisos e blogs de consultoria de segurança relevantes do CSPM para receber as atualizações de segurança mais recentes.
- Garantir que a avaliação e a correção de vulnerabilidades (como cronograma, escopo e técnicas) atendam aos requisitos de conformidade para sua organização.dule, escopo e técnicas) atendam aos requisitos de conformidade regulares para sua organização.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Postura e gerenciamento de vulnerabilidades
- Prática recomendada de segurança do Azure 9 - Estabelecer gerenciamento de postura de segurança
Intervenientes na segurança do cliente (Saiba mais):
GS-6: Definir e implementar identidade e estratégia de acesso privilegiado
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Orientação geral: estabeleça uma identidade na nuvem e uma abordagem de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização. Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes aspetos:
- Sistema centralizado de identidade e autenticação (como o Azure AD) e sua interconectividade com outros sistemas de identidade internos e externos
- Identidade privilegiada e governança de acesso (como solicitação de acesso, revisão e aprovação)
- Contas privilegiadas em situação de emergência (quebra-vidro)
- Métodos de autenticação forte (autenticação sem senha e autenticação multifator) em diferentes casos e condições de uso.
- Acesso seguro por operações administrativas através de portal web/console, linha de comando e API.
Para casos de exceção, quando um sistema corporativo não é usado, certifique-se de que os controles de segurança adequados estejam em vigor para gerenciamento de identidade, autenticação e acesso, e sejam controlados. Essas exceções devem ser aprovadas e revisadas periodicamente pela equipe da empresa. Estas exceções ocorrem normalmente em casos como:
- Utilização de um sistema de autenticação e identidade designado não empresarial, como sistemas de terceiros baseados na nuvem (pode introduzir riscos desconhecidos)
- Usuários privilegiados autenticados localmente e/ou usam métodos de autenticação não fortes
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Gerenciamento de identidades
- Benchmark de segurança na nuvem da Microsoft - Acesso privilegiado
- Prática recomendada de segurança do Azure 11 - Arquitetura. Estratégia única de segurança unificada
- Visão geral da segurança do gerenciamento de identidades do Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-7: Definir e implementar a estratégia de registro, deteção de ameaças e resposta a incidentes
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Orientação geral: estabeleça uma estratégia de registro, deteção de ameaças e resposta a incidentes para detetar e remediar ameaças rapidamente e atender aos requisitos de conformidade. A equipe de operações de segurança (SecOps / SOC) deve priorizar alertas de alta qualidade e experiências perfeitas para que possam se concentrar em ameaças, em vez de integração de logs e etapas manuais. Esta estratégia deve incluir políticas, procedimentos e normas documentados para os seguintes aspetos:
- O papel e as responsabilidades da organização de operações de segurança (SecOps)
- Um plano de resposta a incidentes bem definido e testado regularmente e um processo de tratamento alinhado com o NIST SP 800-61 (Computer Security Incident Handling Guide) ou outras estruturas do setor.
- Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas de interesse.
- Simule eventos de segurança esperados e inesperados em seu ambiente de nuvem para entender a eficácia de sua preparação. Itere o resultado da sua simulação para melhorar a escala da sua postura de resposta, reduzir o tempo de valorização e reduzir ainda mais o risco.
- Preferência de usar recursos de deteção e resposta estendida (XDR), como os recursos do Azure Defender, para detetar ameaças em várias áreas.
- Uso de recursos nativos da nuvem (por exemplo, como Microsoft Defender for Cloud) e plataformas de terceiros para tratamento de incidentes, como registro em log e deteção de ameaças, perícia forense e remediação e erradicação de ataques.
- Prepare os runbooks necessários, manuais e automatizados, para garantir respostas confiáveis e consistentes.
- Defina cenários-chave (como deteção de ameaças, resposta a incidentes e conformidade) e configure a captura e retenção de logs para atender aos requisitos do cenário.
- Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, capacidade nativa de deteção de ameaças na nuvem e outras fontes.
- Atividades pós-incidente, como lições aprendidas e retenção de evidências.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Registro em log e deteção de ameaças
- Benchmark de segurança na nuvem da Microsoft - Resposta a incidentes
- Azure Security Best Practice 4 - Processo. Atualizar processos de resposta a incidentes para a nuvem
- Azure Adoption Framework, registro em log e guia de decisão de relatórios
- Escala, gerenciamento e monitoramento empresarial do Azure
- NIST SP 800-61 Guia de Tratamento de Incidentes de Segurança Informática
Intervenientes na segurança do cliente (Saiba mais):
GS-8: Definir e implementar estratégia de backup e recuperação
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Orientação geral: estabeleça uma estratégia de backup e recuperação para sua organização. Esta estratégia deve incluir orientações, políticas e normas documentadas nos seguintes aspetos:
- Definições de RTO (Recovery Time Objetive, objetivo de tempo de recuperação) e RPO (Recovery Point Objetive, objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios e requisitos de conformidade normativa.
- Design de redundância (incluindo backup, restauração e replicação) em seus aplicativos e infraestrutura na nuvem e no local. Considere localizações regionais, pares de regiões, recuperação entre regiões e local de armazenamento externo como parte da sua estratégia.
- Proteção do backup contra acesso não autorizado e adulteração usando mecanismos como o controlo de acesso aos dados, criptografia e segurança de rede.
- Uso de backup e recuperação para mitigar os riscos de ameaças emergentes, como ataques de ransomware. E também proteger os próprios dados de backup e recuperação contra esses ataques.
- Monitoramento dos dados e operações de backup e recuperação para fins de auditoria e alerta.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Backup e recuperação Azure Well-Architecture Framework - Backup e recuperação de desastres para aplicativos do Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework-continuidade de negócios e recuperação de desastres
- Plano de backup e restauração para proteção contra ransomware
Intervenientes na segurança do cliente (Saiba mais):
GS-9: Definir e implementar estratégia de segurança de endpoint
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Orientação geral: Estabeleça uma estratégia de segurança de endpoint na nuvem que inclua os seguintes aspetos:- Implante a capacidade de deteção e resposta de endpoint e antimalware em seu endpoint e integre-se à solução de deteção de ameaças e SIEM e ao processo de operações de segurança.
- Siga o Microsoft Cloud Security Benchmark para garantir que as configurações de segurança relacionadas ao endpoint em outras áreas respetivas (como segurança de rede, postura, gerenciamento de vulnerabilidades, identidade e acesso privilegiado e registro e deteções de ameaças) também estejam em vigor para fornecer uma proteção de defesa profunda para seu endpoint.
- Priorize a segurança do endpoint em seu ambiente de produção, mas garanta que os ambientes não produtivos (como o ambiente de teste e compilação usado no processo de DevOps) também sejam protegidos e monitorados, pois esses ambientes também podem ser usados para introduzir malware e vulnerabilidades no ambiente de produção.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Segurança de endpoint
- Melhores práticas para segurança de endpoints no Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-10: Definir e implementar a estratégia de segurança DevOps
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Orientação geral: Exigir os controles de segurança como parte do padrão de engenharia e operação de DevOps da organização. Defina os objetivos de segurança, os requisitos de controle e as especificações de ferramentas de acordo com os padrões de segurança corporativos e de nuvem em sua organização.
Incentive o uso do DevOps como um modelo operacional essencial em sua organização por seus benefícios na rápida identificação e correção de vulnerabilidades usando diferentes tipos de automações (como infraestrutura como provisionamento de código e varredura automatizada de SAST e DAST) em todo o fluxo de trabalho de CI/CD. Essa abordagem de "deslocamento para a esquerda" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes em seu pipeline de implantação, implantando efetivamente guarda-corpos de segurança no ambiente com antecedência para evitar surpresas de segurança de última hora ao implantar uma carga de trabalho na produção.
Ao deslocar os controles de segurança para as fases de pré-implantação, implemente guarda-corpos de segurança para garantir que os controles sejam implantados e aplicados durante todo o processo de DevOps. Essa tecnologia pode incluir modelos de implantação de recursos (como o modelo ARM do Azure) para definir guardrails no IaC (infraestrutura como código), provisionamento de recursos e auditoria para restringir quais serviços ou configurações podem ser provisionados no ambiente.
Para os controles de segurança em tempo de execução de sua carga de trabalho, siga o Microsoft Cloud Security Benchmark para projetar e implementar controles eficazes, como identidade e acesso privilegiado, segurança de rede, segurança de ponto de extremidade e proteção de dados dentro de seus aplicativos e serviços de carga de trabalho.
Implementação e contexto adicional:
- Benchmark de segurança na nuvem da Microsoft - Segurança de DevOps
- DevOps seguro
- Cloud Adoption Framework - Controles DevSecOpsOrientação geralPartes interessadas na segurança do cliente (Saiba mais)**:
- Todas as partes interessadas
GS-11: Definir e implementar estratégia de segurança multinuvem
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | N/A | N/A |
Orientação geral: Certifique-se de que uma estratégia multinuvem seja definida em sua governança de nuvem e segurança, gerenciamento de riscos e processo de operação, que deve incluir os seguintes aspetos:
- Adoção de várias nuvens: para organizações que operam infraestrutura multinuvem e eduque sua organização para garantir que as equipes entendam a diferença de recursos entre as plataformas de nuvem e a pilha de tecnologia. Crie, implante e/ou migre soluções que sejam portáteis. Permita a facilidade de movimento entre plataformas de nuvem com o mínimo de bloqueio do fornecedor enquanto utiliza recursos nativos da nuvem adequadamente para o resultado ideal da adoção da nuvem.
- Operações de nuvem e segurança: simplifique as operações de segurança para dar suporte às soluções em cada nuvem, por meio de um conjunto central de processos de governança e gerenciamento que compartilham processos de operações comuns, independentemente de onde a solução é implantada e operada.
- Pilha de ferramentas e tecnologia: escolha as ferramentas apropriadas que suportam o ambiente multinuvem para ajudar a estabelecer plataformas de gerenciamento unificadas e centralizadas que podem incluir todos os domínios de segurança discutidos neste benchmark de segurança.
Implementação e contexto adicional:
- Azure híbrido e multinuvem
- Documentação híbrida e multinuvem do Azure
- de comparação de serviços da AWS para o Azure
- Azure para profissionais da AWS