Controle de segurança: gerenciamento de postura e vulnerabilidades

  • Artigo

O Gerenciamento de Postura e Vulnerabilidades concentra-se em controles para avaliar e melhorar a postura de segurança da nuvem, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos de nuvem.

PV-1: .definir e estabelecer configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1,1

Princípio de segurança: defina as linhas de base de configuração de segurança para diferentes tipos de recursos na nuvem. Alternativamente, use as ferramentas de gerenciamento de configuração para estabelecer a linha de base da configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ficar em conformidade, por padrão, após a implantação.

Diretrizes do Azure: use o Microsoft Cloud Security Benchmark e a linha de base de serviço para definir sua linha de base de configuração para cada oferta ou serviço do Azure respectivo. Consulte a arquitetura de referência do Azure e Cloud Adoption Framework arquitetura de zona de destino para entender os controles de segurança críticos e as configurações que podem ser necessárias nos recursos do Azure.

Use a zona de destino do Azure (e blueprints) para acelerar a implantação da carga de trabalho definindo a configuração de serviços e ambientes de aplicativo, incluindo modelos de Resource Manager do Azure, controles rbac do Azure e Azure Policy.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use o Microsoft Cloud Security Benchmark – diretrizes de várias nuvens para a AWS e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço da AWS respectivo. Consulte o pilar de segurança e outros pilares no AWS Well-Architectured Framework para entender os controles de segurança críticos e as configurações que podem ser necessárias nos recursos da AWS.

Use modelos de CloudFormation da AWS e regras de configuração do AWS na definição de zona de destino do AWS para automatizar a implantação e a configuração de serviços e ambientes de aplicativo.

Implementação da AWS e contexto adicional:

Diretrizes do GCP: use o Microsoft Cloud Security Benchmark – diretrizes de várias nuvens para GCP e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço GCP respectivo. Consulte os pilares nos blueprints básicos de implantações do Google Cloud e o design da zona de destino.

Use módulos de blueprints do Terraform para o Google Cloud e use o Google Cloud Deployment Manager nativo para automatizar a implantação e a configuração de serviços e ambientes de aplicativos.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-2: auditar e impor configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida. Imponha a configuração desejada de acordo com a configuração da linha de base negando a configuração fora de conformidade ou implantando uma configuração.

Diretrizes do Azure: use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e impor as configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos.

Use Azure Policy regras [negar] e [implantar se não existir] para impor a configuração segura entre os recursos do Azure.

Para auditoria e imposição de configuração de recursos sem suporte por Azure Policy, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use regras de configuração do AWS para auditar as configurações dos recursos da AWS. Você pode optar por resolver o descompasso de configuração usando a Systems Manager Automation do AWS associada à regra AWS Config. Use o Amazon CloudWatch para criar alertas quando um desvio da configuração for detectado nos recursos.

Para auditoria e imposição de configuração de recursos sem suporte pela Configuração do AWS, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Você também pode monitorar centralmente o descompasso de configuração integrando sua conta do AWS ao Microsoft Defender para Nuvem.

Implementação da AWS e contexto adicional:

Diretrizes do GCP: use o Centro de Comandos do Google Cloud Security para configurar o GCP. Use o Google Cloud Monitoring no Operations Suite para criar alertas quando houver desvio de configuração detectado nos recursos.

Para controlar suas organizações, use a Política Organizacional para centralizar e controlar programaticamente os recursos de nuvem da sua organização. Como administrador de política da organização, você poderá configurar restrições em toda a hierarquia de recursos.

Para auditoria e imposição de configuração de recursos sem suporte pela Política de Organização, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-3: definir e estabelecer configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: defina as linhas de base da configuração segura para seus recursos de computação, como VMs e contêineres. Use as ferramentas de gerenciamento de configuração para estabelecer a linha de base da configuração automaticamente antes ou durante a implantação de recursos de computação para que o ambiente possa ficar em conformidade, por padrão, após a implantação. Alternativamente, use uma imagem pré-configurada para criar a linha de base da configuração desejada no modelo de imagem do recurso de computação.

Diretrizes do Azure: use as linhas de base de segurança do sistema operacional recomendadas do Azure (para Windows e Linux) como um parâmetro de comparação para definir sua linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada (usando o Construtor de Imagens do Azure) ou uma imagem de contêiner com a Configuração do Computador de Gerenciamento Automatizado do Azure (anteriormente chamada Azure Policy Configuração de Convidado) e Automação do Azure State Configuration para estabelecer a configuração de segurança desejada.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use a AMI (Imagens de Computador) do EC2 AWS de fontes confiáveis no marketplace como um parâmetro de comparação para definir sua linha de base de configuração do EC2.

Além disso, você pode usar o Construtor de Imagens EC2 para criar um modelo de AMI personalizado com um agente do Systems Manager para estabelecer a configuração de segurança desejada. Observação: o agente do AWS Systems Manager é pré-instalado em algumas AMIs (Amazon Machine Images) fornecidas pela AWS.

Para aplicativos de carga de trabalho em execução em suas instâncias do EC2, o AWS Lambda ou o ambiente de contêineres, você pode usar o AWS System Manager AppConfig para estabelecer a linha de base de configuração desejada.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use as linhas de base de segurança do sistema operacional recomendadas do Google Cloud (para Windows e Linux) como um parâmetro de comparação para definir sua linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada usando o Packer Image Builder ou uma imagem de contêiner com a imagem de contêiner do Google Cloud Build para estabelecer a linha de base de configuração desejada.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-4: auditar e impor configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida nos recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração fora de conformidade ou implantando uma configuração nos recursos de computação.

Diretrizes do Azure: use Microsoft Defender para Cloud e Configuração de Máquina de Gerenciamento Automatizado do Azure (anteriormente chamada Azure Policy Configuração de Convidado) para avaliar e corrigir regularmente os desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens do sistema operacional personalizado ou o State Configuration da Automação do Azure para manter a configuração de segurança do sistema operacional Os modelos de VM da Microsoft junto a State Configuration da Automação do Azure podem auxiliar no cumprimento e na manutenção dos requisitos de segurança. Use Controle de Alterações e Inventário em Automação do Azure para acompanhar as alterações em máquinas virtuais hospedadas no Azure, no local e em outros ambientes de nuvem para ajudá-lo a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Instale o agente de Atestado de Convidado em máquinas virtuais para monitorar a integridade da inicialização em máquinas virtuais confidenciais.

Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: use o recurso AWS System Manager's State Manager para avaliar e corrigir regularmente desvios de configuração em suas instâncias do EC2. Além disso, você pode usar modelos CloudFormation, imagens do sistema operacional personalizadas para manter a configuração de segurança do sistema operacional. Modelos de AMI em conjunto com o Systems Manager pode auxiliar a atingir e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o descompasso de configuração do sistema operacional por meio de Automação do Azure State Configuration e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integrar sua conta do AWS ao Microsoft Defender para Nuvem
  • Usar o Azure Arc para servidores para conectar suas instâncias do EC2 ao Microsoft Defender para Nuvem

Para aplicativos de carga de trabalho em execução em suas instâncias do EC2, o AWS Lambda ou o ambiente de contêineres, você pode usar o AWS System Manager AppConfig para auditar e impor a linha de base de configuração desejada.

Observação: as AMIs publicadas pelo Amazon Web Services no AWS Marketplace são gerenciadas e mantidas pelo Amazon Web Services.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o Gerenciador de VMs e o Google Cloud Security Command Center para avaliar e corrigir regularmente o desvio de configuração de suas instâncias, contêineres e contratos sem servidor do Mecanismo de Computação. Além disso, você pode usar modelos de VM do Deployment Manager, imagens personalizadas do sistema operacional para manter a configuração de segurança do sistema operacional. Modelos de VM do Gerenciador de Implantação em conjunto com o Gerenciador de VMs podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o descompasso de configuração do sistema operacional por meio de Automação do Azure State Configuration e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integrar seu projeto GCP ao Microsoft Defender para Nuvem
  • Usar o Azure Arc para servidores para conectar suas instâncias de VM do GCP ao Microsoft Defender para Nuvem

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-5: realizar avaliações de vulnerabilidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Princípio de segurança: realize a avaliação de vulnerabilidades nos seus recursos de nuvem em todas as camadas segundo um agendamento fixo ou sob demanda. Acompanhe e compare os resultados de verificação para examinar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços, rede, Web, sistemas operacionais, configurações incorretas do Azure e assim por diante.

Não esqueça dos riscos potenciais associados ao acesso privilegiado usado pelos verificadores de vulnerabilidade. Siga a melhor prática de segurança de acesso privilegiado para proteger todas as contas administrativas usadas para a verificação.

Diretrizes do Azure: siga as recomendações do Microsoft Defender para Nuvem sobre como executar avaliações de vulnerabilidade nas máquinas virtuais, imagens de contêiner e servidores SQL do Azure. O Microsoft Defender para Nuvem tem um verificador de vulnerabilidades interno para máquinas virtuais. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos (por exemplo, aplicativos Web)

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar a recomendação de gerenciamento de vulnerabilidade sugerida pelo Microsoft Defender para Nuvem, você poderá dinamizar o portal da solução de verificação selecionada para exibir os dados históricos de verificação.

Ao realizar verificações remotas, não use uma conta administrativa perpétua individual. Considere implementar a metodologia de provisionamento JIT (just-in-time) para a conta de verificação. As credenciais para a conta de verificação devem ser protegidas, monitoradas e usadas somente para verificação de vulnerabilidade.

Observação: Microsoft Defender serviços (incluindo o Defender para servidores, contêineres, Serviço de Aplicativo, Banco de Dados e DNS) incorporaram determinados recursos de avaliação de vulnerabilidade. Os alertas gerados a partir dos serviços do Azure Defender devem ser monitorados e revisados junto ao resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender para Nuvem.

Observação: verifique se você configurou notificações por email no Microsoft Defender for Cloud.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: use o Amazon Inspector para verificar suas instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon ECR (Amazon Elastic Container Registry) em busca de vulnerabilidades de software e exposição de rede não intencional. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos (por exemplo, aplicativos Web)

Consulte o controle ES-1, "Usar detecção e resposta de ponto de extremidade (EDR)", para integrar sua conta do AWS em Microsoft Defender para Nuvem e implantar Microsoft Defender para servidores (com Microsoft Defender para Ponto de Extremidade integrado) em suas instâncias EC2. O Microsoft Defender para servidores fornece uma funcionalidade nativa de Gerenciamento de Ameaças e Vulnerabilidades para suas VMs. O resultado da verificação de vulnerabilidade será consolidado no Microsoft Defender do Cloud dashboard.

Acompanhe as status de descobertas de vulnerabilidade para garantir que elas sejam corretamente corrigidas ou suprimidas se forem consideradas falsas positivas.

Ao realizar verificações remotas, não use uma conta administrativa perpétua individual. Considere implementar uma metodologia de provisionamento temporária para a conta de verificação. As credenciais para a conta de verificação devem ser protegidas, monitoradas e usadas somente para verificação de vulnerabilidade.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: siga as recomendações do Microsoft Defender para Nuvem ou/e do Google Cloud Security Command Center para executar avaliações de vulnerabilidades em suas instâncias do Mecanismo de Computação. O Centro de Comandos de Segurança tem avaliações de vulnerabilidades internas em dispositivos e aplicativos de rede (por exemplo, Verificador de Segurança da Web)

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidades sugeridas pelo Centro de Comandos de Segurança, você pode dinamizar no portal da solução de verificação selecionada para exibir dados históricos de verificação.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-6: corrigir vulnerabilidades de forma rápida e automática

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: FLAW REMEDIATION 6.1, 6.2, 6.5, 11.2

Princípio de segurança: implante patches e atualizações de forma rápida e automática para corrigir vulnerabilidades em recursos de nuvem. Use a abordagem baseada em risco apropriada para priorizar a correção das vulnerabilidades. Por exemplo, vulnerabilidades mais graves em um ativo de maior valor devem ser resolvidas como uma prioridade mais alta.

Diretrizes do Azure: use Automação do Azure Gerenciamento de Atualizações ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Atualizações Publisher para Configuration Manager.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: use o AWS Systems Manager – Patch Manager para garantir que as atualizações de segurança mais recentes sejam instaladas nos sistemas operacionais e aplicativos. O Patch Manager dá suporte a linhas de base de patch para permitir que você defina uma lista de patches aprovados e rejeitados para os sistemas.

Você também pode usar o Gerenciamento de Atualizações da Automação do Azure para gerenciar centralmente os patches e atualizações de suas instâncias Windows e Linux do AWS EC2.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Atualizações Publisher para Configuration Manager.

Implementação da AWS e contexto adicional:

Diretrizes do GCP: use o gerenciamento de patch do sistema operacional do Gerenciador de VMs do Google Cloud ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas nas VMs do Windows e do Linux. Para as VMs do Windows, verifique se Windows Update foi habilitado e definido para ser atualizado automaticamente.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Atualizações Publisher para gerenciamento de configuração.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-7: conduzir operações regulares de equipe vermelha

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Princípio de segurança: simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade de sua organização. As operações de equipe vermelha e os testes de penetração complementam a abordagem tradicional de verificação de vulnerabilidade para descobrir riscos.

Siga as melhores práticas do setor para criar, preparar e conduzir esse tipo de teste para garantir que ele não cause danos ou interrupções em seu ambiente. O que sempre deve incluir a discussão do escopo de teste e as restrições com stakeholders relevantes e proprietários de recursos.

Diretrizes do Azure: conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do Azure e garanta a correção de todas as descobertas de segurança críticas.

Siga as Regras de Participação no Teste de Penetração do Microsoft Cloud para garantir que os testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft, a execução de Equipes Vermelhas e os testes de penetração de sites online na infraestrutura, nos serviços e nos aplicativos de nuvem gerenciados pela Microsoft.

Implementação do Azure e contexto adicional:

Diretrizes do AWS: conforme necessário, realize testes de penetração ou atividades de equipe vermelha em seus recursos do AWS e garanta a correção de todas as descobertas de segurança críticas.

Siga a Política de Suporte ao Cliente da AWS para testes de penetração para garantir que seus testes de penetração não violem as políticas da AWS.

Implementação da AWS e contexto adicional:

Diretrizes do GCP: conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seu recurso GCP e garanta a correção de todas as descobertas críticas de segurança.

Siga a Política de Suporte ao Cliente do GCP para testes de penetração para garantir que seus testes de penetração não violem as políticas do GCP.

Implementação do GCP e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):