Controlo de Segurança V2: Gestão de Posturas e Vulnerabilidades

O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança do Azure. Isso inclui varredura de vulnerabilidade, teste de penetração e correção, bem como rastreamento de configuração de segurança, relatórios e correção nos recursos do Azure.

Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Gerenciamento de Postura e Vulnerabilidade

PV-1: Estabelecer configurações seguras para os serviços do Azure

Defina proteções de segurança para equipes de infraestrutura e DevOps facilitando a configuração segura dos serviços do Azure que eles usam.

Inicie sua configuração de segurança dos serviços do Azure com as linhas de base de serviço no Benchmark de Segurança do Azure e personalize conforme necessário para sua organização.

Use a Central de Segurança do Azure para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure.

Você pode usar o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles RBAC do Azure e políticas, em uma única definição de blueprint.

• Ilustração da implementação de guarda-corpos em zona de pouso em escala empresarial

• Trabalhar com políticas de segurança no Centro de Segurança do Azure

• Criar e gerenciar políticas para impor a conformidade

• Azure Blueprints

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-2: Sustentar configurações seguras para serviços do Azure

Use a Central de Segurança do Azure para monitorar sua linha de base de configuração e use a regra de Política do Azure [negar] e [implantar se não existir] para impor a configuração segura em todos os recursos de computação do Azure, incluindo VMs, contêineres e outros.

• Compreender os efeitos da Política do Azure

• Criar e gerenciar políticas para impor a conformidade

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-3: Estabeleça configurações seguras para recursos de computação

Use a Central de Segurança do Azure e a Política do Azure para estabelecer configurações seguras em todos os recursos de computação, incluindo VMs, contêineres e outros Além disso, você pode usar imagens personalizadas do sistema operacional ou a Configuração do Estado de Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigida pela sua organização.

• Como monitorar as recomendações da Central de Segurança do Azure

• Recomendações de segurança: um guia de referência

• Visão geral da Configuração do Estado de Automação do Azure

• Carregar um VHD e usá-lo para criar novas VMs do Windows no Azure

• Criar uma VM Linux a partir de um disco personalizado com a CLI do Azure

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-4: Sustente configurações seguras para recursos de computação

Use a Central de Segurança do Azure e a Política do Azure para avaliar e corrigir regularmente os riscos de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou a Configuração do Estado de Automação do Azure para manter a configuração de segurança do sistema operacional exigida pela sua organização. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado de Automação do Azure podem ajudar a atender e manter os requisitos de segurança.

Além disso, observe que as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

A Central de Segurança do Azure também pode verificar vulnerabilidades em imagens de contêiner e executar o monitoramento contínuo de sua configuração do Docker em contêineres, com base no CIS Docker Benchmark. Você pode usar a página de recomendações da Central de Segurança do Azure para exibir recomendações e corrigir problemas.

• Como implementar as recomendações de avaliação de vulnerabilidade da Central de Segurança do Azure

• Como criar uma máquina virtual do Azure a partir de um modelo ARM

• Visão geral da Configuração do Estado de Automação do Azure

• Criar uma máquina virtual do Windows no portal do Azure

• Informações sobre como baixar modelo para uma VM

• Script de exemplo para carregar um VHD no Azure e criar uma nova VM

• Segurança de contêiner na Central de Segurança do Azure

Responsabilidade: Partilhada

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-5: armazene com segurança imagens personalizadas do sistema operacional e do contêiner

Use o controle de acesso baseado em função do Azure (Azure RBAC) para garantir que apenas usuários autorizados possam acessar suas imagens personalizadas. Use uma Galeria de Imagens Compartilhadas do Azure para compartilhar suas imagens com diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Armazene imagens de contêiner no Registro de Contêiner do Azure e use o RBAC do Azure para garantir que apenas usuários autorizados tenham acesso.

• Compreender o Azure RBAC

• Compreender o RBAC do Azure para Registo de Contentores

• Como configurar o RBAC do Azure

• Visão geral da Galeria de Imagens Compartilhadas

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-6: Realizar avaliações de vulnerabilidade de software

Siga as recomendações da Central de Segurança do Azure para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. A Central de Segurança do Azure tem um verificador de vulnerabilidades interno para verificar máquinas virtuais.

Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos Web. Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere a implementação da metodologia de provisionamento JIT (Just In Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidades sugeridas pela Central de Segurança do Azure, você pode girar para o portal da solução de verificação selecionada para exibir dados históricos de verificação.

• Como implementar as recomendações de avaliação de vulnerabilidade da Central de Segurança do Azure

• Verificador de vulnerabilidades integrado para máquinas virtuais

• Exportando os resultados da verificação de vulnerabilidade da Central de Segurança do Azure

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-7: Corrija rápida e automaticamente vulnerabilidades de software

Implante rapidamente atualizações de software para corrigir vulnerabilidades de software em sistemas operacionais e aplicativos.

Use um programa comum de pontuação de risco (como o Common Vulnerability Scoring System) ou as classificações de risco padrão fornecidas pela sua ferramenta de verificação de terceiros e adapte-se ao seu ambiente, levando em consideração quais aplicativos apresentam um alto risco de segurança e quais exigem alto tempo de atividade.

Use o Azure Automation Update Management ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.

Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o System Center Updates Publisher for Configuration Manager.

• Como configurar o Gerenciamento de Atualização para máquinas virtuais no Azure

• Gerenciar atualizações e patches para suas VMs do Azure

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

PV-8: Realizar simulação de ataque regular

Conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança. Siga as Regras de Engajamento do Microsoft Cloud Penetration Testing para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft e a execução do Red Teaming e de testes de penetração ao vivo em sites na infraestrutura, serviços e aplicações de nuvem geridos pela Microsoft.

• Teste de penetração no Azure

• Regras de Engajamento para Testes de Penetração

• Agrupamento Vermelho na Nuvem da Microsoft

Responsabilidade: Partilhada

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão postural

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps