Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança do Azure, incluindo varredura de vulnerabilidades, testes de penetração e correção, bem como rastreamento, relatórios e correção de configuração de segurança nos recursos do Azure.
PV-1: Definir e estabelecer configurações seguras
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Princípio de Segurança: Defina as linhas de base de configuração segura para diferentes tipos de recursos na nuvem. Como alternativa, use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ser compatível por padrão após a implantação.
Orientação do Azure: Use o Benchmark de Segurança do Azure e a linha de base do serviço para definir sua linha de base de configuração para cada oferta ou serviço do Azure. Consulte a arquitetura de referência do Azure e a arquitetura da zona de aterrissagem do Cloud Adoption Framework para entender os controles e configurações de segurança críticos que podem ser necessários nos recursos do Azure.
Use o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles RBAC do Azure e políticas, em uma única definição de blueprint.
Implementação e contexto adicional:
- Ilustração da implementação de Guardrails na Enterprise Scale Landing Zone
- Trabalhando com políticas de segurança no Microsoft Defender for Cloud
- Tutorial: Criar e gerenciar políticas para impor a conformidade
- Azure Blueprints
Partes interessadas na segurança do cliente (Saiba mais):
PV-2: Auditar e impor configurações seguras
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Princípio de Segurança: Monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração.
Orientação do Azure: Use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos.
Use a Política do Azure com as regras [negar] e [implantar se não existir] para impor uma configuração segura nos recursos do Azure.
Para auditoria e imposição de configuração de recursos não suportadas pela Política do Azure, talvez seja necessário escrever seus próprios scripts ou usar ferramentas de terceiros para implementar a auditoria e a imposição da configuração.
Implementação e contexto adicional:
- Compreender os efeitos da Política do Azure
- Criar e gerenciar políticas para impor a conformidade
- Obter dados de conformidade dos recursos do Azure
Partes interessadas na segurança do cliente (Saiba mais):
PV-3: Definir e estabelecer configurações seguras para recursos de computação
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Princípio de Segurança: Defina as linhas de base de configuração segura para seus recursos de computação, como VMs e contêineres. Use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação do recurso de computação para que o ambiente possa ser compatível por padrão após a implantação. Como alternativa, use uma imagem pré-configurada para criar a linha de base de configuração desejada no modelo de imagem de recurso de computação.
Orientação do Azure: Use a linha de base recomendada do sistema operacional do Azure (para Windows e Linux) como uma referência para definir sua linha de base de configuração de recursos de computação.
Além disso, você pode usar a imagem de VM personalizada ou a imagem de contêiner com a configuração de convidado da Política do Azure e a Configuração do Estado de Automação do Azure para estabelecer a configuração de segurança desejada.
Implementação e contexto adicional:
- Linha de base de configuração de segurança do sistema operacional Linux
- Linha de base de configuração de segurança do sistema operacional Windows
- Recomendação de configuração de segurança para recursos de computação
- Visão geral da configuração do estado de automação do Azure
Partes interessadas na segurança do cliente (Saiba mais):
PV-4: Auditar e impor configurações seguras para recursos de computação
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Princípio de Segurança: Monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida em seus recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implante uma configuração em recursos de computação.
Orientação do Azure: Use o Microsoft Defender for Cloud e o agente de configuração convidado da Política do Azure para avaliar e corrigir regularmente desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou Configuração do Estado de Automação do Azure para manter a configuração de segurança do sistema operacional. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado de Automação do Azure podem ajudar a atender e manter os requisitos de segurança.
Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.
Implementação e contexto adicional:
- Como implementar as recomendações de avaliação de vulnerabilidades do Microsoft Defender for Cloud
- Como criar uma máquina virtual do Azure a partir de um modelo ARM
- Visão geral da Configuração do Estado de Automação do Azure
- Criar uma máquina virtual do Windows no portal do Azure
- Segurança de contêineres no Microsoft Defender for Cloud
Partes interessadas na segurança do cliente (Saiba mais):
PV-5: Realizar avaliações de vulnerabilidade
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Princípio de Segurança: Execute a avaliação de vulnerabilidades para seus recursos de nuvem em todos os níveis em um cronograma fixo ou sob demanda. Acompanhe e compare os resultados da verificação para verificar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços do Azure, rede, Web, sistemas operacionais, configurações incorretas e assim por diante.
Esteja ciente dos riscos potenciais associados ao acesso privilegiado usado pelos scanners de vulnerabilidade. Siga as práticas recomendadas de segurança de acesso privilegiado para proteger todas as contas administrativas usadas para a verificação.
Orientação do Azure: Siga as recomendações do Microsoft Defender for Cloud para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. O Microsoft Defender for Cloud tem um verificador de vulnerabilidades integrado para verificação de máquinas virtuais. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos da Web)
Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidades sugeridas pelo Microsoft Defender for Cloud, você pode girar para o portal da solução de verificação selecionada para exibir dados históricos de verificação.
Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere a implementação da metodologia de provisionamento JIT (Just In Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.
Observação: os serviços do Azure Defender (incluindo o Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS) incorporam determinados recursos de avaliação de vulnerabilidade. Os alertas gerados pelos serviços do Azure Defender devem ser monitorados e revisados juntamente com o resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender for Cloud.
Nota: Certifique-se de configurar as notificações por e-mail no Microsoft Defender para a Cloud.
Implementação e contexto adicional:
- Como implementar as recomendações de avaliação de vulnerabilidades do Microsoft Defender for Cloud
- Verificador de vulnerabilidades integrado para máquinas virtuais
- Avaliação de vulnerabilidade do SQL
- Exportando resultados da verificação de vulnerabilidades do Microsoft Defender for Cloud
Partes interessadas na segurança do cliente (Saiba mais):
PV-6: Corrige vulnerabilidades de forma rápida e automática
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: CORREÇÃO DE FALHAS | 6.1, 6.2, 6.5, 11.2 |
Princípio de Segurança: Implemente rápida e automaticamente patches e atualizações para corrigir vulnerabilidades nos seus recursos na nuvem. Use a abordagem baseada em risco apropriada para priorizar a correção das vulnerabilidades. Por exemplo, as vulnerabilidades mais graves num ativo de valor mais elevado devem ser abordadas com maior prioridade.
Orientação do Azure: Use o Azure Automation Update Management ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.
Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o System Center Updates Publisher for Configuration Manager.
Priorize quais atualizações implantar primeiro usando um programa comum de pontuação de risco (como o Common Vulnerability Scoring System) ou as classificações de risco padrão fornecidas pela sua ferramenta de verificação de terceiros e adapte-as ao seu ambiente. Você também deve considerar quais aplicativos apresentam um alto risco de segurança e quais exigem alto tempo de atividade.
Implementação e contexto adicional:
- Como configurar o Gerenciamento de Atualização para máquinas virtuais no Azure
- Gerenciar atualizações e patches para suas VMs do Azure
Partes interessadas na segurança do cliente (Saiba mais):
PV-7: Conduzir operações regulares da equipe vermelha
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Princípio de Segurança: Simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações da equipe vermelha e os testes de penetração complementam a abordagem tradicional de varredura de vulnerabilidades para descobrir riscos.
Siga as práticas recomendadas do setor para projetar, preparar e conduzir esse tipo de teste para garantir que ele não cause danos ou interrupções ao seu ambiente. Isso deve sempre incluir discutir o escopo e as restrições do teste com as partes interessadas relevantes e os proprietários de recursos.
Orientação do Azure: Conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.
Siga as Regras de Engajamento do Microsoft Cloud Penetration Testing para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft e a execução do Red Teaming e de testes de penetração ao vivo em sites na infraestrutura, serviços e aplicações de nuvem geridos pela Microsoft.
Implementação e contexto adicional:
- Teste de penetração no Azure
- Regras de Engajamento para Testes de Penetração
- Agrupamento Vermelho na Nuvem da Microsoft
- Guia Técnico de Testes e Avaliação de Segurança da Informação
Partes interessadas na segurança do cliente (Saiba mais):