Introdução à referência de segurança da cloud da Microsoft

Nota

O microsoft cloud security benchmark é o sucessor do Azure Security Benchmark (ASB), que foi renomeado em outubro de 2022.

Os novos serviços e funcionalidades são lançados diariamente nas plataformas do Azure e dos fornecedores de serviços cloud, os programadores publicam rapidamente novas aplicações na cloud criadas com base nestes serviços e os atacantes procuram constantemente novas formas de explorar recursos configurados incorretamente. A cloud move-se rapidamente, os programadores movem-se rapidamente e os atacantes também se movem rapidamente. Como se mantém e garante que as implementações na cloud estão seguras? Como é que as práticas de segurança para sistemas cloud diferem dos sistemas no local e são diferentes entre os fornecedores de serviços cloud? Como pode monitorizar a consistência da carga de trabalho em várias plataformas na cloud?

A Microsoft descobriu que a utilização de referências de segurança pode ajudá-lo a proteger rapidamente as implementações na cloud. Uma arquitetura de melhores práticas de segurança abrangente dos fornecedores de serviços cloud pode dar-lhe um ponto de partida para selecionar definições de configuração de segurança específicas no seu ambiente na cloud, em vários fornecedores de serviços e permitir-lhe monitorizar estas configurações com um único painel de vidro.

A referência de segurança da cloud da Microsoft (MCSB) inclui uma coleção de recomendações de segurança de alto impacto que pode utilizar para ajudar a proteger os seus serviços cloud num ambiente único ou multi-cloud. As recomendações do MCSB incluem dois aspetos fundamentais:

  • Controlos de segurança: estas recomendações são geralmente aplicáveis nas cargas de trabalho na cloud. Cada recomendação identifica uma lista de intervenientes que normalmente estão envolvidos no planeamento, aprovação ou implementação da referência.
  • Linhas de base do serviço: estes aplicam os controlos a serviços cloud individuais para fornecer recomendações sobre a configuração de segurança desse serviço específico. Atualmente, temos linhas de base de serviço disponíveis apenas para o Azure.

Implementar referência de segurança na cloud da Microsoft

  • Planeie a implementação do MCSB ao rever a documentação dos controlos empresariais e linhas de base específicas do serviço para planear a sua estrutura de controlo e como mapeia para orientações como Controlos do Centro de Segurança da Internet (CIS), Instituto Nacional de Normas e Tecnologia (NIST) e a arquitetura PCI-DSS (Payment Card Industry Data Security Standard).
  • Monitorize a conformidade com o estado do MCSB (e outros conjuntos de controlo) com o Microsoft Defender para Cloud – Dashboard de Conformidade Regulamentar para o seu ambiente multicloud. .
  • Estabeleça proteções para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos na sua organização) com funcionalidades como o Azure Blueprints, Azure Policy ou as tecnologias equivalentes de outras plataformas na cloud.

Casos de Utilização Comuns

A referência de segurança da cloud da Microsoft pode ser frequentemente utilizada para enfrentar desafios comuns para clientes ou parceiros de serviços que são:

  • Novo no Azure (e noutras grandes plataformas na cloud, como o AWS) e à procura de melhores práticas de segurança para garantir uma implementação segura dos serviços cloud e da sua própria carga de trabalho de aplicação.
  • Procurar melhorar a postura de segurança das implementações na cloud existentes para priorizar os principais riscos e mitigações.
  • Utilizar ambientes com várias clouds (como o Azure e o AWS) e enfrentar desafios no alinhamento da monitorização e avaliação do controlo de segurança com um único painel de vidro.
  • Avaliar as funcionalidades/capacidades de segurança do Azure (e de outras grandes plataformas na cloud, como o AWS) antes de integrar/aprovar um(s) serviço(s) no catálogo de serviços cloud.
  • Ter de cumprir os requisitos de conformidade em indústrias altamente reguladas, como administração pública, finanças e cuidados de saúde. Estes clientes precisam de garantir que as configurações de serviço do Azure e de outras clouds cumprem a especificação de segurança definida na arquitetura, como CIS, NIST ou PCI. O MCSB fornece uma abordagem eficiente com os controlos já pré-mapeados para estes testes de referência da indústria.

Terminologia

Os termos "controlo" e "linha de base" são frequentemente utilizados na documentação de referência de segurança da cloud da Microsoft. É importante compreender como o MCSB utiliza estes termos.

Termo Descrição Exemplo
Controlar Um controlo é uma descrição de alto nível de uma funcionalidade ou atividade que precisa de ser abordada e não é específica de uma tecnologia ou implementação. A Proteção de Dados é uma das famílias de controlo de segurança. A Proteção de Dados contém ações específicas que têm de ser abordadas para ajudar a garantir que os dados estão protegidos.
Linha de base Uma linha de base é a implementação do controlo nos serviços individuais do Azure. Cada organização dita uma recomendação de referência e as configurações correspondentes são necessárias no Azure. Nota: hoje temos linhas de base de serviço disponíveis apenas para o Azure. A empresa Contoso procura ativar SQL do Azure funcionalidades de segurança ao seguir a configuração recomendada na linha de base de segurança SQL do Azure.

Agradecemos o seu feedback sobre a referência de segurança na cloud da Microsoft! Recomendamos que forneça comentários na área de comentários abaixo. Se preferir partilhar os seus dados de forma mais privada com a equipa de segurança da cloud da Microsoft, envie-nos um e-mail para benchmarkfeedback@microsoft.com.