Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Benchmark de Segurança do Azure (ASB) fornece recomendações detalhadas e práticas recomendadas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.
Esta referência faz parte de um conjunto de orientações de segurança holísticas que também incluem:
- Cloud Adoption Framework – Orientação sobre segurança, incluindo estratégia, funções e responsabilidades, Top 10 Security Best Practices do Azure e implementação de referência.
- Azure Well-Architected Framework – Orientação sobre como proteger suas cargas de trabalho no Azure.
- Práticas recomendadas de segurança da Microsoft – recomendações com exemplos no Azure.
O Benchmark de Segurança do Azure concentra-se em áreas de controlo centradas na nuvem. Esses controles são consistentes com benchmarks de segurança bem conhecidos, como os descritos pelo Center for Internet Security (CIS) Controls Versão 7.1 e pelo National Institute of Standards and Technology (NIST) SP 800-53. Os seguintes controles estão incluídos no Benchmark de Segurança do Azure:
| Os domínios de controle ASB | Descrição |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controlos para proteger e proteger redes do Azure, incluindo a proteção de redes virtuais, o estabelecimento de ligações privadas, a prevenção e atenuação de ataques externos e a proteção do DNS. |
| Gerenciamento de identidade (IM) | O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Ative Directory, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso privilegiado (PA) | O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos do Azure, incluindo uma gama de controlos para proteger o seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos. |
| Proteção de dados (PD) | A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia e registro em log no Azure. |
| Gestão de Ativos (AM) | O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre os recursos do Azure, incluindo recomendações sobre permissões para pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, rastreamento e correção). |
| Registo e Deteção de Ameaças (LT) | O Registo e Deteção de Ameaças abrange controlos para detetar ameaças no Azure e ativar, recolher e armazenar registos de auditoria para serviços do Azure, incluindo a ativação de processos de deteção, investigação e correção com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas nos serviços do Azure; também inclui a recolha de registos com o Azure Monitor, a centralização da análise de segurança com o Azure Sentinel, a sincronização de horas e a retenção de registos. |
| Resposta a incidentes (RI) | A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure como o Centro de Segurança do Azure e o Sentinel para automatizar o processo de resposta a incidentes. |
| Gestão de Postura e Vulnerabilidade (PV) | O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança do Azure, incluindo varredura de vulnerabilidades, testes de penetração e correção, bem como rastreamento, relatórios e correção de configuração de segurança nos recursos do Azure. |
| Segurança de Endpoint (ES) | O Endpoint Security abrange controles em deteção e resposta de pontos de extremidade, incluindo o uso de EDR (deteção e resposta de pontos de extremidade) e serviço antimalware para pontos de extremidade em ambientes do Azure. |
| Backup e recuperação (BR) | O Backup and Recovery abrange controles para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Governação e Estratégia (SG) | Governança e Estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança em nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Recomendações de Benchmark de Segurança do Azure
Cada recomendação inclui as seguintes informações:
- Azure ID: A ID de Referência de Segurança do Azure que corresponde à recomendação.
- ID(s) dos Controlos CIS v7.1: O(s) controlo(s) dos Controlos CIS v7.1 que correspondem a esta recomendação.
- NIST SP 800-53 r4 ID(s): Controlo(s) (moderado) do NIST SP 800-53 r4 que correspondem a esta recomendação.
- Detalhes: A fundamentação da recomendação e links para orientações sobre como implementá-la. Se a recomendação for suportada pela Central de Segurança do Azure, essas informações também serão listadas.
- Responsabilidade: Se o cliente, o prestador de serviços ou ambos são responsáveis pela implementação desta recomendação. As responsabilidades de segurança são compartilhadas na nuvem pública. Alguns controlos de segurança só estão disponíveis para o prestador de serviços de computação em nuvem e, por conseguinte, o fornecedor é responsável por resolvê-los. Estas são observações gerais – para alguns serviços individuais, a responsabilidade será diferente da listada no Benchmark de Segurança do Azure. Essas diferenças são descritas nas recomendações de base para cada serviço.
- Stakeholders de Segurança do Cliente: As funções de segurança na organização do cliente que podem ser responsáveis, responsabilizados ou consultados pelo respetivo controlo. Pode ser diferente de organização para organização, dependendo da estrutura organizacional de segurança da sua empresa e das funções e responsabilidades configuradas relacionadas à segurança do Azure.
Observação
Os mapeamentos de controle entre ASB e benchmarks do setor (como NIST e CIS) indicam apenas que um recurso específico do Azure pode ser usado para atender total ou parcialmente a um requisito de controle definido no NIST ou no CIS. Deve estar ciente de que tal implementação não se traduz necessariamente na plena conformidade do controlo correspondente no SIA ou no NIST.
Agradecemos os seus comentários detalhados e a sua participação ativa no esforço de Benchmark de Segurança do Azure. Se você quiser fornecer a entrada direta da equipe do Azure Security Benchmark, preencha o formulário em https://aka.ms/AzSecBenchmark
Baixar
Você pode baixar o Benchmark de Segurança do Azure em formato de planilha.
Próximos passos
- Veja o primeiro controle de segurança: Segurança de rede
- Leia a Introdução ao Azure Security Benchmark
- Aprenda os fundamentos de segurança do Azure