Introdução ao parâmetro de comparação de segurança de nuvem da Microsoft

Observação

O parâmetro de comparação de segurança da nuvem da Microsoft é o sucessor do ASB (Azure Security Benchmark), que foi renomeado em outubro de 2022.

Novos serviços e recursos são lançados diariamente nas plataformas de provedores de serviços de nuvem e do Azure, os desenvolvedores estão publicando rapidamente novos aplicativos de nuvem criados nesses serviços e os invasores estão constantemente buscando novas maneiras de explorar recursos configurados incorretamente. A nuvem se move rapidamente, os desenvolvedores se movem rapidamente e os invasores também se movem rapidamente. Como acompanhar e se certificar de que as implantações na nuvem estão protegidas? Como as práticas de segurança para sistemas de nuvem são diferentes dos sistemas locais e diferentes entre provedores de serviços de nuvem? Como você monitora sua carga de trabalho quanto à consistência em várias plataformas de nuvem?

A Microsoft descobriu que o uso de parâmetros de comparação de segurança pode ajudar você a proteger rapidamente as implantações em nuvem. Uma estrutura abrangente de melhores práticas de segurança dos provedores de serviços de nuvem pode fornecer um ponto de partida para selecionar definições de configuração de segurança específicas no seu ambiente de nuvem, em vários provedores de serviços e permitir que você monitore essas configurações usando um só painel de controle.

O MCSB (Microsoft Cloud Security Benchmark) inclui uma coleção de recomendações de segurança de alto impacto que você pode usar para ajudar a proteger seus serviços de nuvem em um ambiente de nuvem única ou de várias nuvens. As recomendações do MCSB incluem dois aspectos principais:

  • Controles de segurança: essas recomendações geralmente são aplicáveis em suas cargas de trabalho de nuvem. Cada recomendação identifica uma lista de stakeholders que, geralmente, estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
  • Linhas de base de serviço: elas aplicam os controles a serviços de nuvem individuais para fornecer recomendações sobre a configuração de segurança desse serviço específico. Atualmente, só temos linhas de base de serviço disponíveis para o Azure.

Implementar o parâmetro de comparação de segurança da nuvem da Microsoft

  • Planeje sua implementação do MCSB lendo a documentação dos controles corporativos e das linhas de base específicas do serviço para planejar sua estrutura de controle e como ela será mapeada para as diretrizes como os Controles do CIS (Center for Internet Security), o NIST (National Institute of Standards and Technology) e a estrutura PCI-DSS (Payment Card Industry Data Security Standard).
  • Monitore sua conformidade com o MCSB status (e outros conjuntos de controle) usando o Microsoft Defender for Cloud – Regulatory Compliance Dashboard para seu ambiente de várias nuvens. .
  • Estabeleça verificadores de integridade para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos da sua organização) usando recursos como o Azure Blueprints, o Azure Policy ou as tecnologias equivalentes de outras plataformas de nuvem.

Casos de uso comuns

O parâmetro de comparação de segurança de nuvem da Microsoft geralmente pode ser usado para enfrentar desafios comuns para clientes ou parceiros de serviço que são:

  • Novo no Azure (e em outras grandes plataformas de nuvem, como a AWS) e procurando práticas recomendadas de segurança para garantir uma implantação segura de serviços de nuvem e sua própria carga de trabalho de aplicativo.
  • Procurando melhorar a postura de segurança das implantações de nuvem existentes para priorizar os principais riscos e mitigações.
  • Usando ambientes de várias nuvens (como o Azure e a AWS) e enfrentando desafios para alinhar o monitoramento e a avaliação do controle de segurança usando um único painel de vidro.
  • Avaliar os recursos/funcionalidades de segurança do Azure (e outras plataformas de nuvem principais, como a AWS) antes de integrar/aprovar um(s) serviço(s) no catálogo de serviços de nuvem.
  • Ter que atender aos requisitos de conformidade em setores altamente regulamentados, como governo, finanças e saúde. Esses clientes precisam garantir suas configurações de serviço do Azure e de outras nuvens para atender à especificação de segurança definida na estrutura, como CIS, NIST ou PCI. O MCSB fornece uma abordagem eficiente com os controles já pré-mapeados para esses parâmetros de comparação do setor.

Terminologia

Os termos "controle" e "linha de base" geralmente são usados na documentação de benchmark de segurança de nuvem da Microsoft. É importante entender como o MCSB usa esses termos.

Termo Descrição Exemplo
Control Um controle é uma descrição de alto nível de um recurso ou uma atividade que precisa ser resolvida e não é específica para uma tecnologia ou implementação. A Proteção de Dados é uma das famílias de controles de segurança. A Proteção de Dados contém ações específicas que devem ser abordadas para ajudar a garantir que os dados estejam protegidos.
Linha de base Uma linha de base é a implementação do controle nos serviços individuais do Azure. Cada organização determina a recomendação do parâmetro de comparação, e as configurações correspondentes são necessárias no Azure. Observação: atualmente, só temos linhas de base de serviço disponíveis para o Azure. A empresa Contoso busca habilitar os recursos de segurança do SQL do Azure seguindo a configuração recomendada na linha de base de segurança do SQL do Azure.

Damos as boas-vindas aos seus comentários sobre o parâmetro de comparação de segurança de nuvem da Microsoft! Incentivamos você a fornecer comentários na área abaixo. Se você preferir compartilhar sua entrada de forma mais privada com a equipe de segurança de nuvem da Microsoft, envie um email para nós em benchmarkfeedback@microsoft.com.