Partilhar via

Controlo de Segurança V2: Governação e Estratégia

Observação

O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.

Governança e Estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança em nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-1: Definir a estratégia de gestão de ativos e proteção de dados

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-1 2, 13 SC, CA

Certifique-se de documentar e comunicar uma estratégia clara para monitoramento contínuo e proteção de sistemas e dados. Priorize a deteção, avaliação, proteção e monitoramento de dados e sistemas críticos para os negócios.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:

  • Padrão de classificação de dados de acordo com os riscos do negócio

  • Visibilidade da organização de segurança sobre riscos e inventário de ativos

  • Aprovação dos serviços do Azure para o uso pela organização de segurança

  • Segurança dos ativos ao longo do seu ciclo de vida

  • Estratégia de controle de acesso necessária de acordo com a classificação de dados organizacionais

  • Uso de recursos de proteção de dados nativos do Azure e de terceiros

  • Requisitos de criptografia de dados para casos de uso em trânsito e em repouso

  • Padrões criptográficos apropriados

Para obter mais informações, veja as seguintes referências:

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-2: Definir estratégia de segmentação empresarial

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-2 4, 9, 16 AC, CA, SC

Estabeleça uma estratégia em toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.

Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de permitir a operação diária dos sistemas que precisam se comunicar entre si e acessar dados.

Certifique-se de que a estratégia de segmentação seja implementada de forma consistente em todos os tipos de controle, incluindo segurança de rede, modelos de identidade e acesso, modelos de permissão/acesso a aplicativos e controles de processos humanos.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-3: Definir a estratégia de gestão da postura de segurança

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-3 20, 3, 5 RA, CM, SC

Meça e mitigue continuamente os riscos para seus ativos individuais e o ambiente em que estão hospedados. Priorize ativos de alto valor e superfícies de ataque altamente expostas, como aplicativos publicados, pontos de entrada e saída de rede, endpoints de usuário e administrador, etc.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-4: Alinhar funções, responsabilidades e competências da organização

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-4 N/A PL, PM

Certifique-se de documentar e comunicar uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize fornecer responsabilidade clara pelas decisões de segurança, educando todos sobre o modelo de responsabilidade compartilhada e eduque as equipes técnicas sobre tecnologia para proteger a nuvem.

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-5: Definir estratégia de segurança de rede

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-5 9 CA, SC

Estabeleça uma abordagem de segurança de rede do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:

  • Gestão centralizada da rede e responsabilidade pela segurança

  • Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial

  • Estratégia de remediação em diferentes cenários de ameaça e ataque

  • Estratégia de entrada e saída na Internet

  • Nuvem híbrida e estratégia de interconectividade local

  • Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência)

Para obter mais informações, veja as seguintes referências:

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-6: Definir identidade e estratégia de acesso privilegiado

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-6 16, 4 AC, UA, SC

Estabeleça uma identidade do Azure e abordagens de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:

  • Um sistema centralizado de identidade e autenticação e sua interconectividade com outros sistemas de identidade internos e externos

  • Métodos de autenticação forte em diferentes casos de uso e condições

  • Proteção de utilizadores altamente privilegiados

  • Monitorização e tratamento de anomalias nas atividades do utilizador

  • Processo de revisão e reconciliação de identidade e acesso do usuário

Para obter mais informações, veja as seguintes referências:

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-7: Definir o registo de logs e a estratégia de resposta às ameaças

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-7 19 IR, AU, RA, SC

Estabeleça uma estratégia de registro e resposta a ameaças para detetar e remediar ameaças rapidamente e, ao mesmo tempo, atender aos requisitos de conformidade. Priorize o fornecimento aos analistas de alertas de alta qualidade e experiências perfeitas para que eles possam se concentrar em ameaças em vez de integração e etapas manuais.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:

  • O papel e as responsabilidades da organização de operações de segurança (SecOps)

  • Um processo de resposta a incidentes bem definido alinhado com o NIST ou outra estrutura do setor

  • Captura e retenção de logs para dar suporte à deteção de ameaças, resposta a incidentes e necessidades de conformidade

  • Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, recursos nativos do Azure e outras fontes

  • Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas de interesse

  • Uso de plataformas nativas e de terceiros do Azure para tratamento de incidentes, como registro em log e deteção de ameaças, perícia forense e correção e erradicação de ataques

  • Processos para lidar com incidentes e atividades pós-incidente, como lições aprendidas e retenção de evidências

Para obter mais informações, veja as seguintes referências:

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

GS-8: Definir estratégia de backup e recuperação

Azure ID Controles CIS v7.1 ID(s) NIST SP 800-53 r4 Identificador(es)
GS-8 10 CP

Estabeleça uma estratégia de backup e recuperação do Azure para sua organização.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:

  • Definições de RTO (Recovery Time Objetive, objetivo de tempo de recuperação) e RPO (Recovery Point Objetive, objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios

  • Design de redundância em seus aplicativos e configuração de infraestrutura

  • Proteção de backup usando controle de acesso e criptografia de dados

Para obter mais informações, veja as seguintes referências:

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

  • Last updated on