Recomendações para estabelecer uma linha de base de segurança

Aplica-se à recomendação da lista de verificação do Azure Well-Architected Framework Security:

SE:01 Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, padrões do setor e recomendações de plataforma. Meça regularmente sua arquitetura e operações de carga de trabalho em relação à linha de base para manter ou melhorar sua postura de segurança ao longo do tempo.

Este guia descreve as recomendações para estabelecer uma linha de base de segurança. Uma linha de base de segurança é um documento que especifica os requisitos e expectativas mínimos de segurança da sua organização em uma variedade de áreas. Uma boa linha de base de segurança ajuda você a:

  • Mantenha seus dados e sistemas seguros.
  • Cumpra os requisitos regulamentares.
  • Minimize o risco de supervisão.
  • Reduza a probabilidade de violações e efeitos comerciais subsequentes.

As linhas de base de segurança devem ser publicadas amplamente em toda a organização para que todas as partes interessadas estejam cientes das expectativas.

Este guia fornece recomendações sobre como definir uma linha de base de segurança baseada em fatores internos e externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Fatores externos incluem benchmarks do setor e padrões regulatórios.

Definições

Termo Definição
Linha de base O nível mínimo de recursos de segurança que uma carga de trabalho deve ter para evitar ser explorada.
Parâmetro de comparação Um padrão que significa a postura de segurança que a organização aspira. É avaliado, medido e melhorado ao longo do tempo.
Controls Controles técnicos ou operacionais na carga de trabalho que ajudam a evitar ataques e aumentar os custos do invasor.
Requisitos regulatórios Um conjunto de requisitos de negócios, orientados pelos padrões do setor, que as leis e autoridades impõem.

Principais estratégias de design

Uma linha de base de segurança é um documento estruturado que define um conjunto de critérios e recursos de segurança que a carga de trabalho deve atender para aumentar a segurança. Em uma forma mais madura, você pode estender uma linha de base para incluir um conjunto de políticas que você usa para definir proteções.

A linha de base deve ser considerada o padrão para medir sua postura de segurança. O objetivo deve ser sempre a realização total, mantendo um escopo amplo.

Sua linha de base de segurança nunca deve ser um esforço ad hoc. Padrões do setor, conformidade (interna ou externa) ou requisitos regulatórios, requisitos regionais e benchmarks de plataforma de nuvem são os principais impulsionadores da linha de base. Os exemplos incluem o Center for Internet Security (CIS) Controls, o National Institute of Standards and Technology (NIST) e padrões orientados por plataforma, como o Microsoft Cloud Security Benchmark (MCSB). Todos esses padrões são considerados um ponto de partida para sua linha de base. Construa a base incorporando os requisitos de segurança dos requisitos de negócios.

Para obter links para os ativos anteriores, consulte Links relacionados.

Crie a linha de base obtendo consenso entre os líderes técnicos e de negócios. A linha de base não deve ser restrita a controles técnicos. Deve também incluir os aspetos operacionais da gestão e manutenção da postura de segurança. Portanto, o documento de linha de base também serve como o compromisso da organização com o investimento em segurança da carga de trabalho. O documento de linha de base de segurança deve ser amplamente distribuído em sua organização para garantir que haja reconhecimento sobre a postura de segurança da carga de trabalho.

À medida que a carga de trabalho cresce e o ecossistema evolui, é vital manter sua linha de base em sincronia com as mudanças para garantir que os controles fundamentais ainda sejam eficazes.

Criar uma linha de base é um processo metódico. Aqui estão algumas recomendações sobre o processo:

  • Inventário de ativos. Identifique as partes interessadas dos ativos de carga de trabalho e os objetivos de segurança para esses ativos. No inventário de ativos, classifique por requisitos de segurança e criticidade. Para obter informações sobre ativos de dados, consulte Recomendações sobre classificação de dados.

  • Avaliação de risco. Identifique os riscos potenciais associados a cada ativo e priorize-os.

  • Requisitos de conformidade. Defina a linha de base de qualquer regulamentação ou conformidade para esses ativos e aplique as melhores práticas do setor.

  • Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, modele ou encontre uma maneira automatizada e repetível de aplicar as configurações de forma consistente em todo o ambiente.

  • Controle de acesso e autenticação. Especifique os requisitos de RBAC (controle de acesso baseado em função) e MFA (autenticação multifator). Documente o que significa acesso suficiente no nível do ativo. Sempre comece com o princípio do menor privilégio.

  • Gerenciamento de patch. Aplique as versões mais recentes em todos os tipos de recursos para fortalecer contra ataques.

  • Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes às partes interessadas relevantes.

  • Aplicação e prestação de contas. Estabeleça mecanismos claros de aplicação e consequências para a não conformidade com a linha de base de segurança. Responsabilize indivíduos e equipes pela manutenção dos padrões de segurança.

  • Monitoramento contínuo. Avalie a eficácia da linha de base de segurança por meio da observabilidade e faça melhorias ao longo do tempo.

Definir a linha de base

Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista a seguir não é exaustiva. Destina-se a ser uma visão geral do escopo do documento.

Conformidade regulatória

Uma carga de trabalho pode estar sujeita à conformidade regulatória para segmentos específicos do setor, pode haver algumas restrições geográficas e assim por diante. É fundamental entender os requisitos fornecidos nas especificações regulatórias, pois eles influenciam as escolhas de design e, em alguns casos, devem ser incluídos na arquitetura.

A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulamentares. Aproveite as ferramentas fornecidas pela plataforma, como o Microsoft Defender para Nuvem, que podem identificar áreas de não conformidade. Trabalhe com a equipe de conformidade da organização para garantir que todos os requisitos sejam atendidos e mantidos.

Componentes de arquitetura

A linha de base precisa de recomendações prescritivas para os principais componentes da carga de trabalho. Isso geralmente inclui controles técnicos para rede, identidade, computação e dados. Faça referência às linhas de base de segurança fornecidas pela plataforma e adicione os controles ausentes à arquitetura.

Consulte o exemplo.

Processos de desenvolvimento

A linha de base deve ter recomendações sobre:

  • Classificação do sistema.
  • O conjunto aprovado de tipos de recursos.
  • Rastreando os recursos.
  • Impor políticas para usar ou configurar recursos.

A equipe de desenvolvimento precisa ter uma compreensão clara do escopo das verificações de segurança. Por exemplo, a modelagem de ameaças é um requisito para garantir que as ameaças potenciais sejam identificadas no código e nos pipelines de implantação. Seja específico sobre verificações estáticas e verificações de vulnerabilidades em seu pipeline e com que frequência a equipe precisa realizar essas verificações.

Para obter mais informações, consulte Recomendações sobre análise de ameaças.

O processo de desenvolvimento também deve estabelecer padrões para várias metodologias de teste e sua cadência. Para obter mais informações, consulte Recomendações sobre testes de segurança.

Operações

A linha de base deve definir padrões sobre o uso de recursos de detecção de ameaças e gerar alertas sobre atividades anômalas que indicam incidentes reais. A detecção de ameaças precisa incluir todas as camadas da carga de trabalho, incluindo todos os endpoints que podem ser acessados de redes hostis.

A linha de base deve incluir recomendações para a configuração de processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e quais desses processos podem ser automatizados para agilizar a detecção e a análise. Para obter exemplos, consulte Visão geral das linhas de base de segurança do Azure.

A resposta a incidentes também deve incluir um plano de recuperação e os requisitos para esse plano, como recursos para fazer e proteger backups regularmente.

Você desenvolve planos de violação de dados usando padrões e recomendações do setor fornecidos pela plataforma. A equipe então tem um plano abrangente a seguir quando uma violação é descoberta. Além disso, verifique com sua organização se há cobertura por meio de seguro cibernético.

Treinamento

Desenvolver e manter um programa de treinamento de segurança para garantir que a equipe de carga de trabalho esteja equipada com as habilidades apropriadas para apoiar as metas e requisitos de segurança. A equipe precisa do treinamento fundamental de segurança, mas use o que puder da sua organização para dar suporte a funções especializadas. A conformidade do treinamento de segurança baseado em funções e a participação em simulações fazem parte de sua linha de base de segurança.

Aplicar a linha de base

Use a linha de base para impulsionar iniciativas, como:

  • Preparação para decisões de design. Crie a linha de base de segurança e publique-a antes de iniciar o processo de design da arquitetura. Certifique-se de que os membros da equipe estejam totalmente cientes das expectativas de sua organização com antecedência, o que evita retrabalho dispendioso causado pela falta de clareza. Você pode usar critérios de linha de base como requisitos de carga de trabalho com os quais a organização se comprometeu e projetar e validar controles em relação a essas restrições.

  • Meça seu design. Classifique as decisões atuais em relação à linha de base atual. A linha de base define limites reais para os critérios. Documente quaisquer desvios que sejam adiados ou considerados aceitáveis a longo prazo.

  • Impulsione melhorias. Embora a linha de base estabeleça metas alcançáveis, sempre há lacunas. Priorize as lacunas em sua lista de pendências e corrija com base na priorização.

  • Acompanhe seu progresso em relação à linha de base. O monitoramento contínuo das medidas de segurança em relação a uma linha de base definida é essencial. A análise de tendências é uma boa maneira de revisar o progresso da segurança ao longo do tempo e pode revelar desvios consistentes da linha de base. Use a automação o máximo possível, extraindo dados de várias fontes, internas e externas, para resolver problemas atuais e se preparar para ameaças futuras.

  • Defina guarda-corpos. Sempre que possível, seus critérios de linha de base devem ter proteções. As proteções impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Os fatores externos incluem benchmarks, padrões regulatórios e ambiente de ameaças. As proteções ajudam a minimizar o risco de supervisão inadvertida e multas punitivas por não conformidade.

Explore o Azure Policy para obter opções personalizadas ou use iniciativas internas, como CIS benchmarks ou Azure Security Benchmark, para impor configurações de segurança e requisitos de conformidade. Considere criar políticas e iniciativas do Azure fora das linhas de base.

Avalie a linha de base regularmente

Melhore continuamente os padrões de segurança de forma incremental em direção ao estado ideal para garantir a redução contínua dos riscos. Realize revisões periódicas para garantir que o sistema esteja atualizado e em conformidade com influências externas. Qualquer alteração na linha de base deve ser formal, acordada e enviada por meio de processos adequados de gerenciamento de mudanças.

Meça o sistema em relação à nova linha de base e priorize as correções com base em sua relevância e efeito na carga de trabalho.

Certifique-se de que a postura de segurança não se degrade com o tempo, instituindo auditoria e monitorando a conformidade com os padrões organizacionais.

Facilitação do Azure

O Microsoft Cloud Security Benchmark (MCSB) é uma estrutura abrangente de práticas recomendadas de segurança que você pode usar como ponto de partida para sua linha de base de segurança. Use-o junto com outros recursos que fornecem informações para sua linha de base.

Para obter mais informações, consulte Introdução ao parâmetro de comparação de segurança de nuvem da Microsoft.

Use o painel de conformidade regulatória do Microsoft Defender para Nuvem (MDC) para acompanhar essas linhas de base e ser alertado se um padrão fora de uma linha de base for detectado. Para obter mais informações, consulte o Personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Outras características que ajudam a estabelecer e melhorar a linha de base:

Exemplo

Este diagrama lógico mostra um exemplo de linha de base de segurança para componentes arquitetônicos que abrangem rede, infraestrutura, endpoint, aplicativo, dados e identidade para demonstrar como um ambiente de TI comum pode ser protegido com segurança. Outros guias de recomendação se baseiam neste exemplo.

Diagrama que mostra um exemplo do ambiente de TI de linha de base de segurança de uma organização com componentes de arquitetura.

Infraestrutura

Um ambiente de TI comum, com uma camada local com recursos básicos.

Serviços de segurança do Azure

Serviços e recursos de segurança do Azure pelos tipos de recursos que eles protegem.

Serviços de monitoramento de segurança do Azure

Os serviços de monitoramento disponíveis no Azure que vão além dos simples serviços de monitoramento, incluindo soluções de SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança) e Microsoft Defender para Nuvem.

Ameaças

Essa camada traz uma recomendação e um lembrete de que as ameaças podem ser mapeadas de acordo com as preocupações da sua organização em relação às ameaças, independentemente da metodologia ou matriz Mitre Attack Matrix ou Cyber Kill chain.

Lista de verificação de segurança

Consulte o conjunto completo de recomendações.