Controle de segurança: governança e estratégia

Governança e estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-1: alinhar funções e responsabilidades da organização

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Diretrizes gerais: defina e comunique uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize a prestação de contas clara para decisões de segurança, instrua todos sobre o modelo de responsabilidade compartilhada e instrua as equipes técnicas sobre tecnologia para proteger a nuvem.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-2: definir e implementar estratégia de segmentação/separação de tarefas da empresa

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Diretrizes gerais: estabeleça uma estratégia de toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.

Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de habilitação da operação diária dos sistemas que precisam se comunicar entre si e acessar dados.

Garanta que a estratégia de segmentação seja implementada de maneira consistente na carga de trabalho, incluindo segurança de rede, modelos de identidade e acesso e modelos de permissão/acesso de aplicativos e controles de processos humanos.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-3: definir e implementar estratégia de proteção de dados

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Diretrizes gerais: estabeleça uma estratégia de toda a empresa para proteção de dados em seu ambiente de nuvem:

  • Defina e aplique o padrão de proteção e classificação de dados de acordo com o padrão de gerenciamento de dados corporativos e a conformidade regulatória para ditar os controles de segurança necessários para cada nível de classificação de dados.
  • Configure sua hierarquia de gerenciamento de recursos de nuvem alinhada à estratégia de segmentação corporativa. A estratégia de segmentação corporativa também deve ser informada pela localização de sistemas e dados confidenciais e comercialmente críticos.
  • Defina e aplique os princípios de confiança zero aplicáveis em seu ambiente de nuvem para evitar a implementação de confiança com base na localização da rede dentro de um perímetro. Em vez disso, use declarações de confiança de dispositivo e usuário para bloquear o acesso a dados e recursos.
  • Acompanhe e minimize o volume de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir a superfície de ataque e o custo de proteção de dados. Considere técnicas como hash unidirecional, truncamento e geração de tokens na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais em seu formato original.
  • Verifique se você tem uma estratégia completa de controle do ciclo de vida para fornecer garantia de segurança dos dados e das chaves de acesso.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-4: definir e implementar estratégia de segurança de rede

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Diretrizes gerais: estabeleça uma estratégia de segurança de rede de nuvem como parte da estratégia de segurança geral da sua organização para o controle de acesso. Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • Projete um modelo de gerenciamento de rede centralizado/descentralizado e responsabilidade de segurança para implantar e manter recursos de rede.
  • Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação corporativa.
  • Uma estratégia de entrada e saída e borda da Internet.
  • Uma estratégia de interconectividade local e de nuvem híbrida.
  • Uma estratégia de monitoramento e registro de rede.
  • Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência).

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-5: definir e implementar estratégia de gerenciamento de postura de segurança

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Diretrizes gerais: estabeleça uma política, um procedimento e um padrão para garantir que o gerenciamento de configuração de segurança e o gerenciamento de vulnerabilidades estejam em vigor em seu mandato de segurança na nuvem.

O gerenciamento de configuração de segurança na nuvem deve incluir as seguintes áreas:

  • Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem, como o portal/console da Web, o painel de gerenciamento e controle e os recursos em execução nos serviços IaaS, PaaS e SaaS.
  • Garanta que as linhas de base de segurança abordem os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
  • Use ferramentas para medir, auditar e aplicar continuamente a configuração para evitar que a configuração se desvie da linha de base.
  • Desenvolva uma cadência para se manter atualizado com os recursos de segurança, por exemplo, assinar as atualizações de serviço.
  • Utilize um mecanismo de verificação de conformidade ou integridade de segurança (como Classificação de Segurança, Painel de Conformidade no Microsoft Defender para Nuvem) para examinar regularmente a postura de configuração de segurança e corrigir as lacunas identificadas.

O gerenciamento de vulnerabilidades na nuvem deve incluir os seguintes aspectos de segurança:

  • Avalie e corrija regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos de nuvem, sistemas operacionais e componentes de aplicativo.
  • Use uma abordagem baseada em riscos para priorizar a avaliação e a correção.
  • Assine os avisos e blogs de consultoria de segurança do CSPM relevantes para receber as atualizações de segurança mais recentes.
  • Verifique se a avaliação e a correção de vulnerabilidades (como agenda, escopo e técnicas) atendem aos requisitos de conformidade para sua organização.dule, escopo e técnicas) atendem aos requisitos de conformidade regular para sua organização.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-6: definir e implementar estratégia de identidade e acesso privilegiado

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Diretrizes gerais: estabeleça uma identidade de nuvem e uma abordagem de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização. Essa estratégia deve incluir orientação, política e padrões documentados para os seguintes aspectos:

  • Sistema centralizado de identidade e autenticação (como Azure AD) e sua interconectividade com outros sistemas de identidade internos e externos
  • Governança de acesso e identidade privilegiada (como solicitação de acesso, revisão e aprovação)
  • Contas privilegiadas em situação de emergência (quebra de janela)
  • Métodos de autenticação forte (autenticação sem senha e autenticação multifator) em diferentes casos de uso e condições.
  • Proteger o acesso por operações administrativas por meio do portal da Web/console, linha de comando e API.

Para casos de exceção, em que um sistema corporativo não é usado, verifique se os controles de segurança adequados estão em vigor para gerenciamento de identidade, autenticação e acesso e regidos. Essas exceções devem ser aprovadas e revisadas periodicamente pela equipe empresarial. Essas exceções normalmente ocorrem em casos como:

  • Uso de um sistema de autenticação e identidade não corporativo designado, como sistemas de terceiros baseados em nuvem (pode apresentar riscos desconhecidos)
  • Usuários privilegiados autenticados localmente e/ou usam métodos de autenticação não fortes

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-7: definir e implementar log, detecção de ameaças e estratégia de resposta a incidentes

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Diretrizes gerais: estabeleça uma estratégia de registro em log, detecção de ameaças e resposta a incidentes para detectar e corrigir ameaças rapidamente e atender aos requisitos de conformidade. A equipe de operações de segurança (SecOps/SOC) deve priorizar alertas de alta qualidade e experiências perfeitas para que possam se concentrar nas ameaças em vez da integração de logs e etapas manuais. Essa estratégia deve incluir políticas, procedimentos e padrões documentados para os seguintes aspectos:

  • A função e as responsabilidades da organização de SecOps (operações de segurança)
  • Um plano de resposta a incidentes bem definido e testado regularmente e um processo de tratamento alinhado com o NIST SP 800-61 (Guia de Tratamento de Incidentes de Segurança do Computador) ou outras estruturas do setor.
  • Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas interessadas.
  • Simule eventos de segurança esperados e inesperados em seu ambiente de nuvem para entender a eficácia de sua preparação. Itera no resultado da simulação para melhorar a escala da postura de resposta, reduzir o tempo para valor e reduzir ainda mais o risco.
  • Preferência de usar recursos XDR (detecção e resposta estendidas), como recursos do Azure Defender, para detectar ameaças em várias áreas.
  • Uso da funcionalidade nativa de nuvem (por exemplo, como Microsoft Defender para Nuvem) e plataformas de terceiros para tratamento de incidentes, como registro em log e detecção de ameaças, perícia e correção e erradicação de ataques.
  • Prepare os runbooks necessários, manual e automatizado, para garantir respostas confiáveis e consistentes.
  • Defina os principais cenários (como detecção de ameaças, resposta a incidentes e conformidade) e configure a captura e retenção de logs para atender aos requisitos do cenário.
  • Visibilidade centralizada de informações de correlação e sobre ameaças, usando SIEM, capacidade nativa de detecção de ameaças na nuvem e outras fontes.
  • Atividades pós-incidente, como lições aprendidas e retenção de evidências.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-8: definir e implementar estratégia de backup e recuperação

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Diretrizes gerais: estabeleça uma estratégia de backup e recuperação para sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados nos seguintes aspectos:

  • Definições de RTO (Objetivo de Tempo de Recuperação) e RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios e requisitos de conformidade regulatória.
  • Design de redundância (incluindo backup, restauração e replicação) em seus aplicativos e infraestrutura, tanto na nuvem quanto no local. Considere a recuperação regional, os pares de regiões, a recuperação entre regiões e o local de armazenamento externo como parte de sua estratégia.
  • Proteção de backup contra acesso não autorizado e moderação usando controles como controle de acesso a dados, criptografia e segurança de rede.
  • Uso de backup e recuperação para mitigar os riscos de ameaças emergentes, como ataques de ransomware. Além disso, proteja os dados de backup e recuperação em si desses ataques.
  • Monitoramento dos dados e operações de backup e recuperação para fins de auditoria e alerta.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-9: definir e implementar estratégia de segurança do ponto de extremidade

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Diretrizes gerais: estabeleça uma estratégia de segurança de ponto de extremidade de nuvem que inclua os seguintes aspectos: – Implante a detecção e a resposta do ponto de extremidade e a funcionalidade antimalware em seu ponto de extremidade e integre-se à solução de detecção de ameaças e SIEM e ao processo de operações de segurança.

  • Siga o Microsoft Cloud Security Benchmark para garantir que as configurações de segurança relacionadas ao ponto de extremidade em outras áreas (como segurança de rede, gerenciamento de vulnerabilidades de postura, identidade e acesso privilegiado e detecções de registro em log e ameaças) também estejam em vigor para fornecer uma proteção de defesa em profundidade para seu ponto de extremidade.
  • Priorize a segurança do ponto de extremidade em seu ambiente de produção, mas verifique se ambientes de não produção (como ambiente de teste e build usado no processo de DevOps) também são protegidos e monitorados, pois esses ambientes também podem ser usados para introduzir malware e vulnerabilidades no ambiente de produção.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

GS-10: definir e implementar estratégia de segurança DevOps

ID(s) de Controles CIS v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Diretrizes gerais: determine os controles de segurança como parte do padrão de engenharia e operação do DevOps da organização. Defina os objetivos de segurança, os requisitos de controle e as especificações de ferramentas de acordo com os padrões de segurança da empresa e de nuvem em sua organização.

Incentive o uso do DevOps como um modelo operacional essencial em sua organização para seus benefícios na identificação rápida e correção de vulnerabilidades usando diferentes tipos de automações (como infraestrutura como provisionamento de código e verificação automatizada de SAST e DAST) em todo o fluxo de trabalho de CI/CD. Essa abordagem de "shift left" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes em seu pipeline de implantação, implantando efetivamente proteções de segurança no ambiente com antecedência para evitar surpresas de segurança de última hora ao implantar uma carga de trabalho em produção.

Ao mudar os controles de segurança para as fases de pré-implantação, implemente os verificadores de integridade de segurança para garantir que os controles sejam implantados e aplicados em todo o processo de DevOps. Essa tecnologia pode incluir modelos de implantação de recursos (como o modelo do ARM do Azure) para definir proteções na IaC (infraestrutura como código), provisionamento de recursos e auditoria para restringir quais serviços ou configurações podem ser provisionados no ambiente.

Para os controles de segurança em tempo de execução de sua carga de trabalho, siga o Microsoft Cloud Security Benchmark para projetar e implementar controles eficazes, como identidade e acesso privilegiado, segurança de rede, segurança de ponto de extremidade e proteção de dados dentro de seus aplicativos e serviços de carga de trabalho.

Implementação e contexto adicional:

GS-11: definir e implementar a estratégia de segurança de várias nuvens

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
N/D N/D N/D

Diretrizes gerais: verifique se uma estratégia de várias nuvens está definida na governança de nuvem e segurança, no gerenciamento de riscos e no processo de operação, que deve incluir os seguintes aspectos:

  • Adoção de várias nuvens: para organizações que operam infraestrutura de várias nuvens e educam sua organização para garantir que as equipes entendam a diferença de recursos entre as plataformas de nuvem e a pilha de tecnologia. Criar, implantar e/ou migrar soluções portáteis. Permitir a facilidade de movimentação entre plataformas de nuvem com o bloqueio mínimo do fornecedor ao utilizar recursos nativos de nuvem adequadamente para o resultado ideal da adoção da nuvem.
  • Operações de nuvem e segurança: simplifique as operações de segurança para dar suporte às soluções em cada nuvem, por meio de um conjunto central de processos de governança e gerenciamento que compartilham processos de operações comuns, independentemente de onde a solução é implantada e operada.
  • Pilha de ferramentas e tecnologia: escolha as ferramentas apropriadas que dão suporte ao ambiente de várias nuvens para ajudar a estabelecer plataformas de gerenciamento unificadas e centralizadas que podem incluir todos os domínios de segurança discutidos neste parâmetro de comparação de segurança.

Implementação e contexto adicional: