Controle de Segurança v3: Governança e estratégia
Governança e estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.
GS-1: alinhar funções e responsabilidades da organização
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Diretrizes do Azure: defina e comunique uma estratégia clara para funções e responsabilidades na sua organização de segurança. Priorize o fornecimento de responsabilidade clara por decisões de segurança, educando todos no modelo de responsabilidade compartilhada e instrua equipes técnicas sobre a tecnologia usada para proteger a nuvem.
Implementação e contexto adicional:
- Melhor prática de segurança do Azure 1 – Pessoas: educar as equipes na jornada de segurança na nuvem
- Melhor prática de segurança do Azure 2 – Pessoas: educar as equipes na tecnologia de segurança na nuvem
- Melhor prática de segurança do Azure 3 – Processo: atribuir responsabilidade por decisões de segurança na nuvem
Stakeholders da segurança do cliente (Saiba mais):
GS-2: definir e implementar estratégia de segmentação/separação de tarefas da empresa
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Diretrizes do Azure: estabeleça uma estratégia de toda a empresa para segmentar o acesso aos ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.
Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de habilitação da operação diária dos sistemas que precisam se comunicar entre si e acessar dados.
Garanta que a estratégia de segmentação seja implementada de maneira consistente na carga de trabalho, incluindo segurança de rede, modelos de identidade e acesso e modelos de permissão/acesso de aplicativos e controles de processos humanos.
Implementação e contexto adicional:
- Segurança no Microsoft Cloud Adoption Framework para Azure − Segmentação: separar para proteger
- Segurança no Microsoft Cloud Adoption Framework para Azure − Arquitetura: estabelecer uma única estratégia de segurança unificada
Stakeholders da segurança do cliente (Saiba mais):
GS-3: definir e implementar estratégia de proteção de dados
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Diretrizes do Azure: estabeleça uma estratégia de nível empresarial para proteção de dados no Azure:
- Defina e aplique o padrão de proteção e classificação de dados de acordo com o padrão de gerenciamento de dados corporativos e a conformidade regulatória para ditar os controles de segurança necessários para cada nível de classificação de dados.
- Configure sua hierarquia de gerenciamento de recursos de nuvem alinhada à estratégia de segmentação corporativa. A estratégia de segmentação corporativa também deve ser informada pela localização de sistemas e dados confidenciais e comercialmente críticos.
- Defina e aplique os princípios de confiança zero aplicáveis em seu ambiente de nuvem para evitar a implementação de confiança com base na localização da rede dentro de um perímetro. Em vez disso, use declarações de confiança de dispositivo e usuário para bloquear o acesso a dados e recursos.
- Acompanhe e minimize o volume de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir o custo da superfície de ataque e da proteção de dados. Considere técnicas como hash unidirecional, truncamento e geração de tokens na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais em seu formato original.
- Verifique se você tem uma estratégia completa de controle do ciclo de vida para fornecer garantia de segurança dos dados e das chaves de acesso.
Implementação e contexto adicional:
- Azure Security Benchmark – Proteção de dados
- Cloud Adoption Framework – Melhores práticas de segurança e criptografia de dados do Azure
- Conceitos básicos de segurança do Azure – Segurança, criptografia e armazenamento de dados do Azure
Stakeholders da segurança do cliente (Saiba mais):
GS-4: definir e implementar estratégia de segurança de rede
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Diretrizes do Azure: estabeleça uma estratégia de segurança de rede do Azure como parte da estratégia de segurança geral da sua organização para controle de acesso. Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
- Projete um modelo de gerenciamento de rede centralizado/descentralizado e responsabilidade de segurança para implantar e manter recursos de rede.
- Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação corporativa.
- Uma estratégia de entrada e saída e borda da Internet.
- Uma estratégia de interconectividade local e de nuvem híbrida.
- Uma estratégia de monitoramento e registro de rede.
- Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência).
Implementação e contexto adicional:
- Melhor prática de segurança do Azure 11 – Arquitetura. Uma estratégia de segurança unificada
- Azure Security Benchmark – Segurança de rede
- Visão geral da segurança de rede do Azure
- Estratégia de arquitetura de rede corporativa
Stakeholders da segurança do cliente (Saiba mais):
GS-5: definir e implementar estratégia de gerenciamento de postura de segurança
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Diretrizes do Azure: estabeleça uma política, procedimento e padrão para garantir que o gerenciamento de configuração de segurança e o gerenciamento de vulnerabilidades estejam em vigor em suas obrigações de segurança de nuvem.
O gerenciamento de configuração de segurança no Azure deve incluir as seguintes áreas:
- Defina as linhas de base de configuração segura para diferentes tipos de recursos na nuvem, como o portal do Azure, plano de gerenciamento e controle e recursos executados nos serviços IaaS, PaaS e SaaS.
- Garanta que as linhas de base de segurança abordem os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
- Use ferramentas para medir, auditar e aplicar continuamente a configuração para evitar que a configuração se desvie da linha de base.
- Desenvolva uma cadência para manter a atualização com os recursos de segurança do Azure, por exemplo, assine as atualizações de serviço.
- Utilize a pontuação segura no Azure Defender para Nuvem para examinar regularmente a postura de configuração de segurança do Azure e corrigir as lacunas identificadas.
O gerenciamento de vulnerabilidades no Azure deve incluir os seguintes aspectos de segurança:
- Avalie e corrija regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos do Azure, sistemas operacionais e componentes de aplicativos.
- Use uma abordagem baseada em riscos para priorizar a avaliação e a correção.
- Assine os avisos e Blogs relevantes de consultoria de segurança da Microsoft/Azure para receber as atualizações de segurança mais recentes sobre o Azure.
- Verifique se a avaliação de vulnerabilidades e a correção (como agendamento, escopo e técnicas) atendem aos requisitos de conformidade regularmente para sua organização.
Implementação e contexto adicional:
- Azure Security Benchmark – Gerenciamento de postura e vulnerabilidade
- Melhor prática de segurança do Azure 9 − Estabeleça o gerenciamento da postura de segurança
Stakeholders da segurança do cliente (Saiba mais):
GS-6: definir e implementar estratégia de identidade e acesso privilegiado
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Diretrizes do Azure: estabeleça uma identidade do Azure e uma abordagem de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização. Essa estratégia deve incluir orientação, política e padrões documentados para os seguintes aspectos:
- Sistema centralizado de identidade e autenticação (Azure AD) e sua interconectividade com outros sistemas de identidade internos e externos
- Governança de acesso e identidade privilegiada (como solicitação de acesso, revisão e aprovação)
- Contas privilegiadas em situação de emergência (quebra de janela)
- Métodos de autenticação forte (autenticação sem senha e autenticação multifator) em diferentes casos de uso e condições
- Proteja o acesso por operações administrativas por meio portal do Azure, CLI e API.
Para casos de exceção, em que um sistema empresarial não é usado, verifique se os controles de segurança adequados estão em uso para gerenciamento de identidade, autenticação e acesso e governança. Essas exceções devem ser aprovadas e revisadas periodicamente pela equipe empresarial. Essas exceções normalmente ocorrem em casos como:
- Uso de um sistema de autenticação e identidade não corporativo designado, como sistemas de terceiros baseados em nuvem (pode apresentar riscos desconhecidos)
- Usuários privilegiados autenticados localmente e/ou usam métodos de autenticação não fortes
Implementação e contexto adicional:
- Azure Security Benchmark – Gerenciamento de identidades
- Azure Security Benchmark – Acesso privilegiado
- Melhor prática de segurança do Azure 11 – Arquitetura. Uma estratégia de segurança unificada
- Visão geral da segurança de gerenciamento de identidade do Azure
Stakeholders da segurança do cliente (Saiba mais):
GS-7: definir e implementar log, detecção de ameaças e estratégia de resposta a incidentes
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Diretrizes do Azure: estabeleça uma estratégia de registro, detecção de ameaças e resposta a incidentes para detectar e remediar ameaças rapidamente e atender aos requisitos de conformidade. A equipe de operações de segurança (SecOps/SOC) deve priorizar alertas de alta qualidade e experiências perfeitas para que possam se concentrar nas ameaças em vez da integração de logs e etapas manuais.
Essa estratégia deve incluir políticas, procedimentos e padrões documentados para os seguintes aspectos:
- A função e as responsabilidades da organização de SecOps (operações de segurança)
- Um plano de resposta a incidentes bem definido e testado regularmente e um processo de tratamento alinhado com o NIST ou outras estruturas do setor.
- Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas interessadas.
- Preferência no uso de recursos de XDR (detecção e resposta estendidas), como recursos do Azure Defender, para detectar ameaças nas várias áreas.
- Uso do recurso nativo do Azure (por exemplo, como Microsoft Defender para Nuvem) e plataformas de terceiros para tratamento de incidentes, como registro em log e detecção de ameaças, análise forense e correção e erradicação de ataques.
- Defina os principais cenários (como detecção de ameaças, resposta a incidentes e conformidade) e configure a captura e retenção de logs para atender aos requisitos do cenário.
- Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, recurso nativo de detecção de ameaças do Azure e outras fontes.
- Atividades pós-incidente, como lições aprendidas e retenção de evidências.
Implementação e contexto adicional:
- Azure Security Benchmark – Log e detecção de ameaças
- Azure Security Benchmark – Resposta a incidentes
- Melhor prática de segurança do Azure 4 – Processo. Atualizar processos de resposta a incidentes para a nuvem
- Guia de log, de decisão de relatórios e do Adoption Framework do Azure
- Escala empresarial, gerenciamento e monitoramento do Azure
Stakeholders da segurança do cliente (Saiba mais):
GS-8: definir e implementar estratégia de backup e recuperação
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
11,1 | CP-1, CP-9, CP-10 | 3.4 |
Diretrizes do Azure: estabeleça uma estratégia de backup e recuperação do Azure para sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados nos seguintes aspectos:
- Definições de RTO (Objetivo de Tempo de Recuperação) e RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios e requisitos de conformidade regulatória.
- Design de redundância (incluindo backup, restauração e replicação) em seus aplicativos e infraestrutura, tanto na nuvem quanto no local. Considere a recuperação regional, os pares de regiões, a recuperação entre regiões e o local de armazenamento externo como parte de sua estratégia.
- Proteção de backup contra acesso não autorizado e moderação usando controles como controle de acesso a dados, criptografia e segurança de rede.
- Uso de backup e recuperação para reduzir os riscos de ameaças emergentes, como ataques de ransomware. Além disso, proteja os dados de backup e recuperação em si desses ataques.
- Monitoramento dos dados e operações de backup e recuperação para fins de auditoria e alerta.
Implementação e contexto adicional:
- Azure Security Benchmark - Backup e recuperação
- Azure Well - Architecture Framework - backup e recuperação de desastre para aplicativos do Azure
- Estrutura de adoção do Azure − continuidade dos negócios e recuperação de desastres
- Plano de backup e restauração para proteger contra ransomware
Stakeholders da segurança do cliente (Saiba mais):
GS-9: definir e implementar estratégia de segurança do ponto de extremidade
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Diretrizes do Azure: estabeleça uma estratégia de segurança de ponto de extremidade na nuvem que inclui os seguintes aspectos:
- Implante o recurso de detecção e resposta de ponto de extremidade e antimalware em seu ponto de extremidade e integre-o à detecção de ameaças e à solução SIEM e ao processo de operações de segurança.
- Siga o Azure Security Benchmark para garantir que as configurações de segurança relacionadas ao ponto de extremidade em outras áreas respectivas (como segurança de rede, gerenciamento de vulnerabilidades da postura, identidade e acesso privilegiado e registro em log e detecções de ameaças) também estejam em vigor para fornecer uma proteção de defesa em profundidade para o seu ponto de extremidade.
- Priorize a segurança do ponto de extremidade em seu ambiente de produção, mas garanta que os ambientes de não produção (como o ambiente de teste e compilação usado no processo de DevOps) também sejam protegidos e monitorados, pois esses ambientes também podem ser usados para introduzir malware e vulnerabilidades na produção.
Implementação e contexto adicional:
- Azure Security Benchmark − Segurança de ponto de extremidade
- Práticas recomendadas para segurança de ponto de extremidade no Azure
Stakeholders da segurança do cliente (Saiba mais):
GS-10: definir e implementar estratégia de segurança DevOps
ID(s) de Controles CIS v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Diretrizes do Azure: carta de ordem dos controles de segurança como parte do padrão de engenharia e operação DevOps da organização. Defina os objetivos de segurança, os requisitos de controle e as especificações de ferramentas de acordo com os padrões de segurança da empresa e de nuvem em sua organização.
Incentive o uso do DevOps como um modelo operacional essencial em sua organização para seus benefícios na identificação rápida e correção de vulnerabilidades usando diferentes tipos de automações (como infraestrutura como provisionamento de código e verificação automatizada de SAST e DAST) em todo o fluxo de trabalho de CI/CD. Essa abordagem de "shift left" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes em seu pipeline de implantação, implantando efetivamente os verificadores de integridade de segurança no ambiente com antecedência para evitar surpresas de segurança de último minuto ao implantar uma carga de trabalho em produção.
Ao mudar os controles de segurança para as fases de pré-implantação, implemente os verificadores de integridade de segurança para garantir que os controles sejam implantados e aplicados em todo o processo de DevOps. Essa tecnologia pode incluir modelos do Azure ARM para definir os verificadores de integridade no IaC (infraestrutura como código), provisionamento de recursos e Azure Policy para auditar e restringir quais serviços ou configurações podem ser provisionados no ambiente.
Para os controles de segurança em tempo de execução de sua carga de trabalho, siga o Azure Security Benchmark para projetar e implementar os controles efetivos, como identidade e acesso privilegiado, segurança de rede, segurança de ponto de extremidade e proteção de dados dentro de seus aplicativos e serviços de carga de trabalho.
Implementação e contexto adicional:
- Azure Security Benchmark − Segurança DevOps
- Secure DevOps
- Cloud Adoption Framework − Controles DevSecOps
Stakeholders da segurança do cliente (Saiba mais):