Partilhar via

Controlo de Segurança: Gestão de Posturas e Vulnerabilidades

O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo varredura de vulnerabilidades, testes de penetração e remediação, bem como rastreamento, relatórios e correção de configuração de segurança em recursos de nuvem.

PV-1: Definir e estabelecer configurações seguras

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Princípio de segurança: defina as linhas de base de configuração de segurança para diferentes tipos de recursos na nuvem. Como alternativa, use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ser compatível por padrão após a implantação.

Orientação do Azure: use o Microsoft Cloud Security Benchmark e a linha de base do serviço para definir sua linha de base de configuração para cada oferta ou serviço do Azure respetivo. Consulte a arquitetura de referência do Azure e a arquitetura da zona de aterrissagem do Cloud Adoption Framework para entender os controles e configurações de segurança críticos que podem ser necessários nos recursos do Azure.

Use a zona de aterrissagem do Azure (e Blueprints) para acelerar a implantação da carga de trabalho configurando a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles RBAC do Azure e Política do Azure.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o Microsoft Cloud Security Benchmark - orientação para várias nuvens para AWS e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço da AWS. Consulte o pilar de segurança e outros pilares no AWS Well-Architectured Framework para entender os controles e configurações de segurança críticos que podem ser necessários nos recursos da AWS.

Use modelos do AWS CloudFormation e regras do AWS Config na definição da zona de aterrissagem da AWS para automatizar a implantação e a configuração de serviços e ambientes de aplicativos.

Implementação da AWS e contexto adicional:

Orientação GCP: Use o Microsoft Cloud Security Benchmark – orientação multinuvem para GCP e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço GCP respetivo. Consulte os pilares em implantações, plantas de fundação e design de zona de aterrissagem do Google Cloud.

Use os módulos de blueprints Terraform para o Google Cloud e use o Google Cloud Deployment Manager nativo para automatizar a implantação e a configuração de serviços e ambientes de aplicativos.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-2: Auditar e impor configurações seguras

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Princípio de segurança: Monitorar e alertar continuamente quando houver um desvio da linha de base de configuração definida. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração.

Orientação do Azure: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos.

Use as regras da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.

Para auditoria e imposição de configuração de recursos não suportadas pela Política do Azure, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição da configuração.

Implementação do Azure e contexto adicional:

Orientação da AWS: use regras do AWS Config para auditar configurações de seus recursos da AWS. E você pode optar por resolver o desvio de configuração usando o AWS Systems Manager Automation associado à regra do AWS Config. Use o Amazon CloudWatch para criar alertas quando houver um desvio de configuração detetado nos recursos.

Para auditoria e imposição de configuração de recursos não suportadas pelo AWS Config, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição da configuração.

Você também pode monitorar centralmente o desvio de configuração integrando sua conta da AWS ao Microsoft Defender for Cloud.

Implementação da AWS e contexto adicional:

Orientação do GCP: use o Centro de Comando do Google Cloud Security para configurar o GCP. Use o Google Cloud Monitoring no Operations Suite para criar alertas quando houver desvio de configuração detetado nos recursos.

Para governar suas organizações, use a Política Organizacional para centralizar e controlar programaticamente os recursos de nuvem da sua organização. Como administrador de políticas da organização, você poderá configurar restrições em toda a hierarquia de recursos.

Para auditoria e imposição de configuração de recursos não suportadas pela Política da Organização, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição da configuração.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-3: Definir e estabelecer configurações seguras para recursos de computação

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: defina as linhas de base de configuração segura para seus recursos de computação, como VMs e contêineres. Use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação do recurso de computação para que o ambiente possa ser compatível por padrão após a implantação. Como alternativa, use uma imagem pré-configurada para criar a linha de base de configuração desejada no modelo de imagem de recurso de computação.

Orientação do Azure: use as linhas de base de segurança do sistema operacional recomendadas do Azure (para Windows e Linux) como uma referência para definir sua linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada (usando o Azure Image Builder) ou uma imagem de contêiner com a Configuração de Máquina de Gerenciamento Automático do Azure (anteriormente chamada Configuração de Convidado de Política do Azure) e a Configuração de Estado de Automação do Azure para estabelecer a configuração de segurança desejada.

Implementação do Azure e contexto adicional:

Orientação da AWS: use imagens de máquina da AWS (AMI) do EC2 de fontes confiáveis no mercado como referência para definir sua linha de base de configuração do EC2.

Além disso, você pode usar o EC2 Image Builder para criar um modelo AMI personalizado com um agente do Systems Manager para estabelecer a configuração de segurança desejada. Observação: o agente do AWS Systems Manager é pré-instalado em algumas imagens de máquina da Amazon (AMIs) fornecidas pela AWS.

Para aplicativos de carga de trabalho executados em suas instâncias do EC2, AWS Lambda ou ambiente de contêineres, você pode usar o AWS System Manager AppConfig para estabelecer a linha de base de configuração desejada.

Implementação da AWS e contexto adicional:

  • Habilitar o de Configuração do Estado de Automação do Azure

Orientação do GCP: use as linhas de base de segurança do sistema operacional recomendadas pelo Google Cloud (para Windows e Linux) como referência para definir sua linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada usando o Packer Image Builder ou uma imagem de contêiner com a imagem de contêiner do Google Cloud Build para estabelecer a linha de base de configuração desejada.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-4: Auditar e impor configurações seguras para recursos de computação

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida em seus recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração em recursos de computação.

Orientação do Azure: use o Microsoft Defender for Cloud e a Configuração de Máquina de Gerenciamento Automático do Azure (anteriormente chamada de Configuração de Convidado de Política do Azure) para avaliar e corrigir regularmente desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou Configuração do Estado de Automação do Azure para manter a configuração de segurança do sistema operacional. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado de Automação do Azure podem ajudar a atender e manter os requisitos de segurança. Use o Controle de Alterações e o Inventário na Automação do Azure para controlar alterações em máquinas virtuais hospedadas no Azure, no local e em outros ambientes de nuvem para ajudá-lo a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Instale o agente de Atestado de Convidado em máquinas virtuais para monitorar a integridade da inicialização em máquinas virtuais confidenciais.

Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o recurso State Manager do AWS System Manager para avaliar e corrigir regularmente desvios de configuração em suas instâncias do EC2. Além disso, você pode usar modelos do CloudFormation, imagens personalizadas do sistema operacional para manter a configuração de segurança do sistema operacional. Os modelos AMI em conjunto com o Systems Manager podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o desvio de configuração do sistema operacional por meio da Configuração do Estado de Automação do Azure e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integre sua conta da AWS ao Microsoft Defender for Cloud
  • Usar o Azure Arc para servidores para conectar suas instâncias do EC2 ao Microsoft Defender for Cloud

Para aplicativos de carga de trabalho executados em suas instâncias do EC2, AWS Lambda ou ambiente de contêineres, você pode usar o AWS System Manager AppConfig para auditar e impor a linha de base de configuração desejada.

Observação: as AMIs publicadas pela Amazon Web Services no AWS Marketplace são gerenciadas e mantidas pela Amazon Web Services.

Implementação da AWS e contexto adicional:

Orientação do GCP: use o VM Manager e o Google Cloud Security Command Center para avaliar e corrigir regularmente o desvio de configuração de suas instâncias do Compute Engine, contêineres e contratos sem servidor. Além disso, você pode usar modelos de VM do Deployment Manager, imagens personalizadas do sistema operacional para manter a configuração de segurança do sistema operacional. Os modelos de VM do Deployment Manager em conjunto com o VM Manager podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o desvio de configuração do sistema operacional por meio da Configuração do Estado de Automação do Azure e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integre seu projeto GCP ao Microsoft Defender for Cloud
  • Usar o Azure Arc para servidores para conectar suas instâncias de VM do GCP ao Microsoft Defender for Cloud

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-5: Realizar avaliações de vulnerabilidade

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Princípio de segurança: realize a avaliação de vulnerabilidades para seus recursos de nuvem em todos os níveis em um cronograma fixo ou sob demanda. Acompanhe e compare os resultados da verificação para verificar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços do Azure, rede, Web, sistemas operacionais, configurações incorretas e assim por diante.

Esteja ciente dos riscos potenciais associados ao acesso privilegiado usado pelos scanners de vulnerabilidade. Siga as práticas recomendadas de segurança de acesso privilegiado para proteger todas as contas administrativas usadas para a verificação.

Orientação do Azure: siga as recomendações do Microsoft Defender for Cloud para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. O Microsoft Defender for Cloud tem um verificador de vulnerabilidades integrado para máquinas virtuais. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos da Web)

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidades sugeridas pelo Microsoft Defender for Cloud, você pode girar para o portal da solução de verificação selecionada para exibir dados históricos de verificação.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere a implementação da metodologia de provisionamento JIT (Just In Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Observação: os serviços do Microsoft Defender (incluindo o Defender para servidores, contêineres, Serviço de Aplicativo, Banco de Dados e DNS) incorporam determinados recursos de avaliação de vulnerabilidade. Os alertas gerados pelos serviços do Azure Defender devem ser monitorados e revisados juntamente com o resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender for Cloud.

Nota: Certifique-se de configurar notificações por e-mail no Microsoft Defender for Cloud.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o Amazon Inspetor para verificar suas instâncias do Amazon EC2 e imagens de contêiner residentes no Amazon Elastic Container Registry (Amazon ECR) em busca de vulnerabilidades de software e exposição não intencional à rede. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos da Web)

Consulte o controle ES-1, "Use Endpoint Detection and Response (EDR)", para integrar sua conta da AWS ao Microsoft Defender for Cloud e implantar o Microsoft Defender para servidores (com o Microsoft Defender for Endpoint integrado) em suas instâncias do EC2. O Microsoft Defender para servidores fornece um recurso nativo de gerenciamento de ameaças e vulnerabilidades para suas VMs. O resultado da verificação de vulnerabilidades será consolidado no painel do Microsoft Defender for Cloud.

Acompanhe o status das descobertas de vulnerabilidade para garantir que elas sejam adequadamente corrigidas ou suprimidas se forem consideradas falsos positivos.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere a implementação de uma metodologia de provisionamento temporário para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Implementação da AWS e contexto adicional:

Orientação do GCP: siga as recomendações do Microsoft Defender for Cloud e/ou do Google Cloud Security Command Center para executar avaliações de vulnerabilidades em suas instâncias do Compute Engine. O Security Command Center tem avaliações de vulnerabilidades incorporadas em dispositivos e aplicações de rede (por exemplo, Web Security Scanner)

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidades sugeridas pelo Security Command Center, você pode girar para o portal da solução de verificação selecionada para exibir dados históricos de verificação.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-6: Corrige vulnerabilidades de forma rápida e automática

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORREÇÃO DE FALHAS 6.1, 6.2, 6.5, 11.2

Princípio de segurança: implante rápida e automaticamente patches e atualizações para corrigir vulnerabilidades em seus recursos de nuvem. Use a abordagem baseada em risco apropriada para priorizar a correção de vulnerabilidades. Por exemplo, as vulnerabilidades mais graves num ativo de valor mais elevado devem ser abordadas com maior prioridade.

Orientação do Azure: use o Azure Automation Update Management ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.

Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o AWS Systems Manager - Patch Manager para garantir que as atualizações de segurança mais recentes sejam instaladas em seus sistemas operacionais e aplicativos. O Patch Manager suporta linhas de base de patches para permitir que você defina uma lista de patches aprovados e rejeitados para seus sistemas.

Você também pode usar o Azure Automation Update Management para gerenciar centralmente os patches e atualizações de suas instâncias Windows e Linux do AWS EC2.

Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação da AWS e contexto adicional:

Orientação do GCP: use o gerenciamento de patches do sistema operacional Google Cloud VM Manager ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e configurado para atualizar automaticamente.

Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o Microsoft System Center Updates Publisher para gerenciamento de configuração.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

PV-7: Conduzir operações regulares da equipe vermelha

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Princípio de segurança: simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações da equipe vermelha e os testes de penetração complementam a abordagem tradicional de varredura de vulnerabilidades para descobrir riscos.

Siga as práticas recomendadas do setor para projetar, preparar e conduzir esse tipo de teste para garantir que ele não cause danos ou interrupções ao seu ambiente. Isso deve sempre incluir discutir o escopo e as restrições do teste com as partes interessadas relevantes e os proprietários de recursos.

Orientação do Azure: conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.

Siga as Regras de Engajamento do Microsoft Cloud Penetration Testing para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft e a execução do Red Teaming e de testes de penetração ao vivo em sites na infraestrutura, serviços e aplicações de nuvem geridos pela Microsoft.

Implementação do Azure e contexto adicional:

Orientação da AWS: conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos da AWS e garanta a correção de todas as descobertas críticas de segurança.

Siga a política de suporte ao cliente da AWS para testes de penetração para garantir que seus testes de penetração não violem as políticas da AWS.

Implementação da AWS e contexto adicional:

Orientação do GCP: conforme necessário, realize testes de penetração ou atividades da equipe vermelha em seu recurso GCP e garanta a correção de todas as descobertas críticas de segurança.

Siga a Política de Suporte ao Cliente do GCP para Testes de Penetração para garantir que seus testes de penetração não violem as políticas do GCP.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

  • Last updated on