Controlo de Segurança v3: Governação e estratégia
A governação e a estratégia fornecem orientações para assegurar uma estratégia de segurança coerente e uma abordagem de governação documentada para orientar e manter a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na nuvem, estratégia técnica unificada e apoio a políticas e normas.
GS-1: Alinhar papéis de organização, responsabilidades e responsabilidades
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Orientação Azure: Certifique-se de que define e comunica uma estratégia clara para funções e responsabilidades na sua organização de segurança. Estabeleça prioridades ao indicar de forma clara a responsabilização quanto às decisões de segurança, explicando o modelo de responsabilização partilhada a todos e explicando às equipas técnicas a tecnologia para proteger a cloud.
Implementação e contexto adicional:
- Melhor Prática de Segurança do Azure 1 – Pessoas: Explicar às Equipas o Percurso da Segurança da Cloud
- Melhor Prática de Segurança do Azure 2 – Pessoas: Explicar às Equipas a Tecnologia de Segurança da Cloud
- Melhor Prática de Segurança do Azure 3 – Processo: Atribuir Responsabilização Quanto às Decisões de Segurança da Cloud
Stakeholders de Segurança do Cliente (Saiba mais):
GS-2: Definir e implementar a estratégia de segmentação/separação de direitos
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Orientação Azure: Estabeleça uma estratégia em toda a empresa para segmentar o acesso a ativos utilizando uma combinação de identidade, rede, aplicação, subscrição, grupo de gestão e outros controlos.
Equilibre cuidadosamente a necessidade de separação da segurança com a necessidade de permitir o funcionamento diário dos sistemas que têm de comunicar entre si e aceder a dados.
Certifique-se de que a estratégia de segmentação é implementada de forma consistente na carga de trabalho, incluindo modelos de segurança de rede, identidade e acesso, e modelos de permissão/acesso de aplicações e controlos de processos humanos.
Implementação e contexto adicional:
- Segurança na Microsoft Cloud Adoption Framework para Azure - Segmentação: Separado para proteger
- Segurança na Microsoft Cloud Adoption Framework para a Azure - Arquitetura: estabelecer uma única estratégia de segurança unificada
Stakeholders de Segurança do Cliente (Saiba mais):
GS-3: Definir e implementar estratégia de proteção de dados
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Orientação Azure: Estabelecer uma estratégia para a proteção de dados em Azure:
- Definir e aplicar a norma de classificação e proteção de dados de acordo com a norma de gestão de dados da empresa e a conformidade regulamentar para ditar os controlos de segurança necessários para cada nível da classificação de dados.
- Configurar a sua hierarquia de gestão de recursos em nuvem alinhada com a estratégia de segmentação da empresa. A estratégia de segmentação da empresa também deve ter conhecimento da localização dos dados confidenciais e dos sistemas críticos para a empresa.
- Defina e aplique os princípios de confiança zero aplicáveis no seu ambiente de nuvem para evitar a implementação de confiança com base na localização da rede dentro de um perímetro. Em vez disso, utilize o dispositivo e a confiança do utilizador reivindica para o acesso a dados e recursos.
- Rastrear e minimizar a pegada de dados sensível (armazenamento, transmissão e processamento) em toda a empresa para reduzir o custo de superfície de ataque e proteção de dados. Considere técnicas como o hashing unidirecionais, a truncação e a tokenização na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados sensíveis na sua forma original.
- Certifique-se de que tem uma estratégia completa de controlo do ciclo de vida para fornecer garantias de segurança dos dados e chaves de acesso.
Implementação e contexto adicional:
- Referência de Segurança do Azure - Proteção de dados
- Cloud Adoption Framework - Melhores práticas de segurança e encriptação de dados do Azure
- Noções Básicas da Segurança do Azure - Segurança, encriptação e armazenamento de dados do Azure
Stakeholders de Segurança do Cliente (Saiba mais):
GS-4: Definir e implementar estratégia de segurança de rede
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure Guidance: Estabeleça uma estratégia de segurança da rede Azure como parte da estratégia global de segurança da sua organização para o controlo de acessos. Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
- Conceber uma responsabilidade centralizada/descentralizada de gestão e segurança modelo para implantar e manter os recursos de rede.
- Uma segmentação de rede virtual modelo alinhada com a estratégia de segmentação da empresa.
- Uma estratégia de borda da Internet e de entrada e saída.
- Uma estratégia híbrida de interconectividade em nuvem e no local.
- Uma estratégia de monitorização e registo de rede.
- Um artefacto de segurança de rede atualizado (tais como diagramas de rede, arquitetura de rede de referência).
Implementação e contexto adicional:
- Azure Security Best Practice 11 - Arquitetura. Estratégia de segurança unificada única
- Referência de Segurança do Azure - Segurança de Rede
- Descrição geral da segurança de rede do Azure
- Estratégia de arquitetura da rede empresarial
Stakeholders de Segurança do Cliente (Saiba mais):
GS-5: Definir e implementar estratégia de gestão da postura de segurança
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Orientação Azure: Estabeleça uma política, procedimento e padrão para garantir que a gestão da configuração de segurança e gestão de vulnerabilidade estão em vigor no seu mandato de segurança na nuvem.
A gestão da configuração de segurança em Azure deve incluir as seguintes áreas:
- Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem, tais como o plano de portal do Azure, gestão e controlo, e recursos em execução nos serviços IaaS, PaaS e SaaS.
- Assegurar que as linhas de base de segurança abordam os riscos em diferentes áreas de controlo, tais como segurança de rede, gestão de identidade, acesso privilegiado, proteção de dados, assim por diante.
- Utilize ferramentas para medir, auditar e impor continuamente a configuração para evitar que a configuração se desvie da linha de base.
- Desenvolva uma cadência para manter a atualização com as funcionalidades de segurança Azure, por exemplo, subscreva as atualizações do serviço.
- Utilize a Pontuação Segura em Azure Defender para a Cloud para rever regularmente a postura de configuração de segurança do Azure e remediar as lacunas identificadas.
Os gestão de vulnerabilidade em Azure devem incluir os seguintes aspetos de segurança:
- Regularmente, avalie e remediar vulnerabilidades em todos os tipos de recursos em nuvem, tais como serviços nativos Azure, sistemas operativos e componentes de aplicação.
- Utilize uma abordagem baseada no risco para priorizar a avaliação e a reparação.
- Subscreva os avisos e blogs de segurança relevantes da Microsoft/Azure para receber as últimas atualizações de segurança sobre o Azure.
- Garantir que a avaliação e reparação da vulnerabilidade (como horário, âmbito e técnicas) cumprem os requisitos de conformidade regulares para a sua organização.
Implementação e contexto adicional:
- Referência de Segurança do Azure - Gestão da postura e das vulnerabilidades
- Azure Security Best Practice 9 - Estabelecer gestão da postura de segurança
Stakeholders de Segurança do Cliente (Saiba mais):
GS-6: Definir e implementar estratégia de identidade e acesso privilegiado
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure Guidance: Estabeleça uma abordagem de identidade azul e acesso privilegiado como parte da estratégia global de controlo de acesso à segurança da sua organização. Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes aspetos:
- Sistema centralizado de identidade e autenticação (Azure AD) e a sua interconectividade com outros sistemas de identidade interna e externa
- Identidade privilegiada e governação de acesso (como pedido de acesso, revisão e aprovação)
- Contas privilegiadas em situação de emergência (rutura de vidro)
- Métodos de autenticação forte (autenticação sem palavra-passe e autenticação multifactor) em diferentes casos e condições de utilização
- Acesso seguro através de operações administrativas através de portal do Azure, CLI e API.
Para casos de exceção, em que um sistema empresarial não é utilizado, certifique-se de que existem controlos de segurança adequados para a gestão de identidade, autenticação e acesso e governação. Estas exceções devem ser aprovadas e revistas periodicamente pela equipa da empresa. Estas exceções são normalmente em casos como:
- Utilização de um sistema de identidade e autenticação não designado por empresas, como sistemas de terceiros baseados na nuvem (pode introduzir riscos desconhecidos)
- Utilizadores privilegiados autenticados localmente e/ou utilizam métodos de autenticação não-fortes
Implementação e contexto adicional:
- Referência de Segurança do Azure - Gestão de identidades
- Referência de Segurança do Azure - Acesso privilegiado
- Azure Security Best Practice 11 - Arquitetura. Estratégia de segurança unificada única
- Descrição geral da segurança da gestão de identidades do Azure
Stakeholders de Segurança do Cliente (Saiba mais):
GS-7: Definir e implementar a estratégia de registo de madeira, deteção de ameaças e resposta a incidentes
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Orientação Azure: Estabeleça uma estratégia de registo, deteção de ameaças e resposta a incidentes para detetar e corrigir rapidamente ameaças e cumprir os requisitos de conformidade. A equipa de operações de segurança (SecOps /SOC) deve priorizar alertas de alta qualidade e experiências sem emenda para que possam concentrar-se em ameaças em vez de registar integração e passos manuais.
Esta estratégia deve incluir políticas, procedimentos e normas documentados para os seguintes aspetos:
- O papel e as responsabilidades da organização das operações de segurança (SecOps)
- Um plano de resposta a incidentes bem definido e regularmente testado e um processo de manuseamento alinhado com o NIST ou outros quadros da indústria.
- Plano de comunicação e notificação com os seus clientes, fornecedores e partes públicas de interesse.
- Preferência de usar capacidades de deteção e resposta alargadas (XDR) como as capacidades do Azure Defender para detetar ameaças nas várias áreas.
- Utilização da capacidade nativa do Azure (por exemplo, como Microsoft Defender para a Cloud) e de plataformas de terceiros para o manuseamento de incidentes, tais como deteção de registos e ameaças, perícia e remediação e erradicação de ataques.
- Defina cenários-chave (como deteção de ameaças, resposta a incidentes e conformidade) e crie a captura e retenção de registos para satisfazer os requisitos do cenário.
- Visibilidade centralizada e correlação de informações sobre ameaças, usando SIEM, capacidade nativa de deteção de ameaças Azure, e outras fontes.
- Atividades pós-incidente, tais como lições aprendidas e retenção de provas.
Implementação e contexto adicional:
- Referência de Segurança do Azure - Registos e deteção de ameaças
- Referência de Segurança do Azure - Resposta a incidentes
- Azure Security Best Practice 4 - Processo. Atualizar processos de resposta a incidentes para cloud
- Azure Adoption Framework, registos e guia de decisão de relatórios
- Escala, gestão e monitorização empresarial do Azure
Stakeholders de Segurança do Cliente (Saiba mais):
GS-8: Definir e implementar estratégia de backup e recuperação
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Azure Guidance: Estabeleça uma estratégia de backup e recuperação da Azure para a sua organização. Esta estratégia deve incluir orientações, políticas e normas documentadas nos seguintes aspetos:
- Definições de objetivo de tempo de recuperação (RTO) e ponto de recuperação (RPO) de acordo com os objetivos de resiliência do seu negócio e requisitos de conformidade regulamentar.
- Design de redundância (incluindo backup, restauro e replicação) nas suas aplicações e infraestruturas tanto em nuvem como no local. Considere os pares regionais, regionais, recuperação inter-regional e local de armazenamento fora do local como parte da sua estratégia.
- Proteção de cópias de segurança contra acesso e temperamento não autorizados usando controlos como controlo de acesso a dados, encriptação e segurança da rede.
- Uso de backup e recuperação para mitigar os riscos de ameaças emergentes, como ataques de ransomware. E também proteger os dados de backup e recuperação destes ataques.
- Monitorização dos dados de backup e recuperação e operações para fins de auditoria e alerta.
Implementação e contexto adicional:
- Azure Security Benchmark - Backup e recuperação
- Quadro Well-Architecture Azure - recuperação de Backup e desastres para aplicações do Azure
- Azure Adoção Estrutura-negócio continuidade e recuperação de desastres
- Backup e restaurar plano para proteger contra ransomware
Stakeholders de Segurança do Cliente (Saiba mais):
GS-9: Definir e implementar estratégia de segurança de ponto final
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Orientação Azure: Estabeleça uma estratégia de segurança no ponto final da nuvem que inclua os seguintes aspetos:
- Coloque a capacidade de deteção e resposta de pontos finais e antimalware no seu ponto final e integre-se com o processo de deteção de ameaças e solução SIEM e operações de segurança.
- Siga o Azure Security Benchmark para garantir definições de segurança relacionadas com pontos finais noutras áreas respetivas (tais como segurança de rede, postura gestão de vulnerabilidade, identidade e acesso privilegiado, e deteção de registos e ameaças) para fornecer uma proteção aprofundada para o seu ponto final.
- Priorize a segurança do ponto final no seu ambiente de produção, mas garanta que os ambientes de não produção (como o ambiente de teste e construção utilizado no processo DevOps) também são protegidos e monitorizados, uma vez que estes ambientes também podem ser usados para introduzir o malware e as vulnerabilidades na produção.
Implementação e contexto adicional:
- Azure Security Benchmark - Segurança endpoint
- Melhores práticas para a segurança no ponto final em Azure
Stakeholders de Segurança do Cliente (Saiba mais):
GS-10: Definir e implementar estratégia de segurança de DevOps
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure Guidance: Mandatar os controlos de segurança como parte do padrão de engenharia e operação de DevOps da organização. Defina os objetivos de segurança, os requisitos de controlo e as especificações de ferramentas de acordo com os padrões de segurança da empresa e da nuvem na sua organização.
Incentivar a utilização de DevOps como um modelo operativo essencial na sua organização pelos seus benefícios na identificação e reparação rápida de vulnerabilidades utilizando diferentes tipos de automatizações (como infraestruturas como a prestação de códigos, e a verificação automatizada de SAST e DAST) ao longo do fluxo de trabalho CI/CD. Esta abordagem de "mudança à esquerda" também aumenta a visibilidade e a capacidade de impor controlos de segurança consistentes no seu oleoduto de implantação, efetivamente colocando os seguranças no ambiente com antecedência para evitar surpresas de segurança de última hora ao colocar uma carga de trabalho na produção.
Ao deslocar os controlos de segurança deixados para as fases de pré-implantação, implemente os seguranças para garantir que os controlos são implantados e aplicados durante todo o seu processo de DevOps. Esta tecnologia poderia incluir modelos Azure ARM para definir guarda-costas no IAC (infraestrutura como código), fornecimento de recursos e Azure Policy para auditar e restringir quais serviços ou configurações podem ser aprovisionados no ambiente.
Para os controlos de segurança em tempo de execução da sua carga de trabalho, siga o Benchmark de Segurança Azure para conceber e implementar os controlos eficazes, tais como identidade e acesso privilegiado, segurança da rede, segurança de ponto final e proteção de dados dentro das suas aplicações e serviços de carga de trabalho.
Implementação e contexto adicional:
- Azure Security Benchmark - Segurança DevOps
- Secure DevOps
- Cloud Adoption Framework - Controlos DevSecOps
Stakeholders de Segurança do Cliente (Saiba mais):