Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.
GS-1: alinhar funções e responsabilidades da organização
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Diretrizes gerais: certifique-se de definir e comunicar uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize fornecer uma responsabilidade clara para decisões de segurança, eduque todos sobre o modelo de responsabilidade compartilhada e eduque as equipes técnicas sobre tecnologia para proteger a nuvem.
Implementação e contexto adicional:
- Prática recomendada de segurança do Azure 1 – Pessoas: Instruir equipes sobre jornada de segurança na nuvem
- Prática recomendada de segurança do Azure 2 – Pessoas: Educar equipes sobre tecnologia de segurança de nuvem
- Prática recomendada de segurança do Azure 3 – processo: atribuir responsabilidade para decisões de segurança na nuvem
Partes interessadas em segurança do cliente (Saiba mais):
GS-2: definir e implementar estratégia de segmentação/separação de tarefas da empresa
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Diretrizes gerais: estabeleça uma estratégia de toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.
Balancee cuidadosamente a necessidade de separação de segurança com a necessidade de habilitar a operação diária dos sistemas que precisam se comunicar entre si e acessar dados.
Verifique se a estratégia de segmentação é implementada consistentemente na carga de trabalho, incluindo segurança de rede, modelos de identidade e acesso e modelos de permissão/acesso do aplicativo e controles de processo humano.
Implementação e contexto adicional:
- Segurança no Microsoft Cloud Adoption Framework para Azure – Segmentação: separado para proteger
- Segurança no Microsoft Cloud Adoption Framework para Azure – Arquitetura: estabelecer uma única estratégia de segurança unificada
Partes interessadas em segurança do cliente (Saiba mais):
GS-3: definir e implementar estratégia de proteção de dados
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Diretrizes gerais: estabeleça uma estratégia de toda a empresa para proteção de dados em seu ambiente de nuvem:
- Defina e aplique o padrão de classificação e proteção de dados de acordo com o padrão de gerenciamento de dados corporativo e a conformidade regulatória para ditar os controles de segurança necessários para cada nível da classificação de dados.
- Configure sua hierarquia de gerenciamento de recursos de nuvem alinhada à estratégia de segmentação empresarial. A estratégia de segmentação empresarial também deve ser informada pela localização de sistemas e dados confidenciais ou comercialmente críticos.
- Defina e aplique os princípios de confiança zero aplicáveis em seu ambiente de nuvem para evitar a implementação de confiança com base no local da rede dentro de um perímetro. Em vez disso, use declarações de confiança do dispositivo e do usuário para bloquear o acesso a dados e recursos.
- Acompanhe e minimize o volume de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir a superfície de ataque e o custo de proteção de dados. Considere técnicas como hash unidirecional, truncamento e tokenização na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais em sua forma original.
- Verifique se você tem uma estratégia de controle de ciclo de vida completa para fornecer garantia de segurança dos dados e das chaves de acesso.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança de nuvem da Microsoft – Proteção de Dados
- Cloud Adoption Framework – Práticas recomendadas de criptografia e segurança de dados do Azure
- Conceitos básicos de segurança do Azure – segurança, criptografia e armazenamento de dados do Azure
Partes interessadas em segurança do cliente (Saiba mais):
GS-4: definir e implementar estratégia de segurança de rede
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Diretrizes gerais: estabeleça uma estratégia de segurança de rede de nuvem como parte da estratégia de segurança geral da sua organização para o controle de acesso. Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:
- Crie um modelo de responsabilidade de segurança e gerenciamento de rede centralizado/descentralizado para implantar e manter recursos de rede.
- Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial.
- Uma estratégia de entrada e saída da Internet.
- Uma estratégia de interconectividade de nuvem híbrida e local.
- Uma estratégia de monitoramento e registro em log de rede.
- Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência).
Implementação e contexto adicional:
- Prática recomendada de segurança do Azure 11 – Arquitetura. Estratégia de segurança unificada única
- Parâmetro de comparação de segurança de nuvem da Microsoft – Segurança de Rede
- Visão geral de segurança de rede do Azure
- Estratégia de arquitetura de rede empresarial
Partes interessadas em segurança do cliente (Saiba mais):
GS-5: definir e implementar estratégia de gerenciamento de postura de segurança
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Diretrizes gerais: estabeleça uma política, um procedimento e um padrão para garantir que o gerenciamento de configuração de segurança e o gerenciamento de vulnerabilidades estejam em vigor em seu mandato de segurança na nuvem.
O gerenciamento de configuração de segurança na nuvem deve incluir as seguintes áreas:
- Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem, como o portal/console da Web, o plano de gerenciamento e controle e os recursos em execução nos serviços IaaS, PaaS e SaaS.
- Verifique se as linhas de base de segurança abordam os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
- Use ferramentas para medir, auditar e impor continuamente a configuração para impedir que a configuração se desvie da linha de base.
- Desenvolva uma cadência para se manter atualizado com os recursos de segurança, por exemplo, assine as atualizações de serviço.
- Utilize um mecanismo de verificação de conformidade ou integridade de segurança (como Pontuação Segura, Painel de Conformidade no Microsoft Defender para Nuvem) para examinar regularmente a postura de configuração de segurança e corrigir as lacunas identificadas.
O gerenciamento de vulnerabilidades na nuvem deve incluir os seguintes aspectos de segurança:
- Avalie e corrija regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos de nuvem, sistemas operacionais e componentes de aplicativos.
- Use uma abordagem baseada em risco para priorizar a avaliação e a correção.
- Assine os avisos e blogs de consultoria de segurança do CSPM relevantes para receber as atualizações de segurança mais recentes.
- Verifique se a avaliação e a correção de vulnerabilidades (como agendamento, escopo e técnicas) atendem aos requisitos de conformidade para sua organização.dule, escopo e técnicas) atendem aos requisitos de conformidade regular para sua organização.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança de nuvem da Microsoft – Gerenciamento de postura e vulnerabilidades
- Prática recomendada de segurança do Azure 9 – Estabelecer o gerenciamento de postura de segurança
Partes interessadas em segurança do cliente (Saiba mais):
GS-6: definir e implementar estratégia de identidade e acesso privilegiado
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Diretrizes gerais: estabeleça uma identidade de nuvem e uma abordagem de acesso privilegiado como parte da estratégia geral de controle de acesso à segurança da sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes aspectos:
- Sistema centralizado de identidade e autenticação (como o Azure AD) e sua interconectividade com outros sistemas de identidade internos e externos
- Identidade privilegiada e governança de acesso (como solicitação de acesso, revisão e aprovação)
- Contas privilegiadas em situação de emergência (quebra-vidro)
- Métodos de autenticação forte (autenticação sem senha e autenticação multifator) em diferentes casos e condições de uso.
- Assegure o acesso às operações administrativas por meio do portal/console da web, linha de comando e API.
Para casos de exceção, em que um sistema empresarial não é usado, verifique se os controles de segurança adequados estão em vigor para gerenciamento de identidade, autenticação e acesso e regidos. Essas exceções devem ser aprovadas e revisadas periodicamente pela equipe corporativa. Essas exceções geralmente são em casos como:
- Uso de um sistema de autenticação e identidade não empresarial designado, como sistemas de terceiros baseados em nuvem (podem introduzir riscos desconhecidos)
- Usuários privilegiados autenticados localmente e/ou usam métodos de autenticação não fortes
Implementação e contexto adicional:
- Parâmetro de comparação de segurança de nuvem da Microsoft – Gerenciamento de identidades
- Parâmetro de comparação de segurança de nuvem da Microsoft – Acesso privilegiado
- Prática recomendada de segurança do Azure 11 – Arquitetura. Estratégia de segurança unificada única
- Visão geral da segurança de gerenciamento de identidades do Azure
Partes interessadas em segurança do cliente (Saiba mais):
GS-7: definir e implementar log, detecção de ameaças e estratégia de resposta a incidentes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Diretrizes gerais: estabeleça uma estratégia de registro em log, detecção de ameaças e resposta a incidentes para detectar e corrigir rapidamente ameaças e atender aos requisitos de conformidade. A equipe de operações de segurança (SecOps/SOC) deve priorizar alertas de alta qualidade e experiências perfeitas para que possam se concentrar em ameaças em vez de integração de logs e etapas manuais. Essa estratégia deve incluir política, procedimento e padrões documentados para os seguintes aspectos:
- A função e as responsabilidades da organização de operações de segurança (SecOps)
- Um plano de resposta a incidentes bem definido e regularmente testado e um processo de tratamento alinhado com o NIST SP 800-61 (Guia de Tratamento de Incidentes de Segurança do Computador) ou outras estruturas do setor.
- Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas de interesse.
- Simule eventos de segurança esperados e inesperados em seu ambiente de nuvem para entender a eficácia de sua preparação. Itere sobre o resultado da sua simulação para melhorar a escala da sua postura de resposta, reduzir o tempo para gerar valor e reduzir ainda mais o risco.
- Preferência de usar recursos XDR (detecção e resposta estendidas), como recursos do Azure Defender, para detectar ameaças em várias áreas.
- Uso da funcionalidade nativa de nuvem (por exemplo, como o Microsoft Defender para Nuvem) e plataformas de terceiros para tratamento de incidentes, como registro em log e detecção de ameaças, perícia e correção e erradicação de ataques.
- Prepare os runbooks necessários, tanto os manuais quanto os automatizados, para garantir respostas confiáveis e consistentes.
- Defina os principais cenários (como detecção de ameaças, resposta a incidentes e conformidade) e configure a captura e a retenção de log para atender aos requisitos de cenário.
- Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, capacidade de detecção de ameaças na nuvem nativa e outras fontes.
- Atividades pós-incidente, como lições aprendidas e retenção de evidências.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança de nuvem da Microsoft – Registro em log e detecção de ameaças
- Parâmetro de comparação de segurança de nuvem da Microsoft – Resposta a incidentes
- Prática recomendada de segurança do Azure 4 – processo. Atualizar processos de resposta a incidentes para nuvem
- Guia de decisão sobre a Estrutura de Adoção do Azure, registro em log e relatórios
- Escala, gerenciamento e monitoramento corporativos do Azure
- Guia de tratamento de incidentes de segurança do computador NIST SP 800-61
Partes interessadas em segurança do cliente (Saiba mais):
GS-8: definir e implementar estratégia de backup e recuperação
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Diretrizes gerais: estabeleça uma estratégia de backup e recuperação para sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados nos seguintes aspectos:
- RTO (objetivo de tempo de recuperação) e definições de RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios e requisitos de conformidade regulatória.
- Design de redundância (incluindo backup, restauração e replicação) em seus aplicativos e infraestrutura para nuvem e local. Considere regiões, pares de regiões, recuperação entre regiões e locais de armazenamento fora do local como parte de sua estratégia.
- Proteção do backup contra acesso não autorizado e alterações, com o uso de controles como controle de acesso a dados, criptografia e segurança de rede.
- Uso de backup e recuperação para atenuar os riscos de ameaças emergentes, como ataques de ransomware. Além disso, proteja os próprios dados de backup e recuperação desses ataques.
- Monitorando os dados e as operações de backup e recuperação para fins de auditoria e alertas.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança na nuvem da Microsoft – Backup e recuperação Azure Well-Architecture Framework – Backup e recuperação de desastre para aplicativos do Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Continuidade de negócios e recuperação de desastre do Azure Adoption Framework
- Plano de backup e restauração para proteger contra ransomware
Partes interessadas em segurança do cliente (Saiba mais):
GS-9: definir e implementar estratégia de segurança do ponto de extremidade
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Diretrizes gerais: estabeleça uma estratégia de segurança de ponto de extremidade de nuvem que inclua os seguintes aspectos:- Implante a detecção e a resposta do ponto de extremidade e a funcionalidade antimalware em seu ponto de extremidade e integre-se à detecção de ameaças e à solução SIEM e ao processo de operações de segurança.
- Siga o Microsoft Cloud Security Benchmark para garantir que as configurações de segurança relacionadas ao endpoint em outras áreas (como segurança de rede, gerenciamento de vulnerabilidades, identidade e acesso privilegiado, e registro e detecções de ameaças) também estejam em vigor para fornecer uma proteção em camadas para seu endpoint.
- Priorize a segurança do ponto de extremidade em seu ambiente de produção, mas verifique se ambientes de não produção (como ambiente de teste e build usado no processo de DevOps) também são protegidos e monitorados, pois esses ambientes também podem ser usados para introduzir malware e vulnerabilidades no ambiente de produção.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança de nuvem da Microsoft – Segurança de endpoint
- Práticas recomendadas para segurança de terminal no Azure
Partes interessadas em segurança do cliente (Saiba mais):
GS-10: definir e implementar estratégia de segurança DevOps
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Diretrizes gerais: exigir os controles de segurança como parte do padrão de engenharia e operação do DevOps da organização. Defina os objetivos de segurança, os requisitos de controle e as especificações de ferramentas de acordo com os padrões de segurança corporativa e de nuvem em sua organização.
Incentive o uso do DevOps como um modelo operacional essencial em sua organização para obter seus benefícios na identificação e correção rápida de vulnerabilidades usando diferentes tipos de automações (como infraestrutura como provisionamento de código e verificação sast e DAST automatizada) em todo o fluxo de trabalho de CI/CD. Essa abordagem "shift left" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes em seu pipeline de implantação, assim implantando efetivamente barreiras de segurança no ambiente de forma antecipada para evitar surpresas de segurança de última hora ao implantar uma aplicação em produção.
Ao transferir os controles de segurança para as fases de pré-implantação, implemente os guardrails de segurança para garantir que os controles sejam implantados e aplicados em todo o processo de DevOps. Essa tecnologia pode incluir modelos de implantação de recursos (como modelo do ARM do Azure) para definir guardrails na IaC (infraestrutura como código), provisionamento de recursos e auditoria para restringir quais serviços ou configurações podem ser provisionados no ambiente.
Para os controles de segurança em tempo de execução da carga de trabalho, siga o Microsoft Cloud Security Benchmark para projetar e implementar controles eficazes, como identidade e acesso privilegiado, segurança de rede, segurança de ponto de extremidade e proteção de dados dentro de seus aplicativos e serviços de carga de trabalho.
Implementação e contexto adicional:
- Parâmetro de comparação de segurança na nuvem da Microsoft – Segurança do DevOps
- DevOps seguro
- Cloud Adoption Framework – controles de DevSecOpsOrientações gerais os stakeholders de segurança do cliente (Saiba mais)**:
- Todas as partes interessadas
GS-11: Definir e implementar a estratégia de segurança de várias nuvens
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| Não aplicável | Não aplicável | Não aplicável |
Diretrizes gerais: verifique se uma estratégia de várias nuvens está definida em sua governança de nuvem e segurança, gerenciamento de riscos e processo de operação, que deve incluir os seguintes aspectos:
- Adoção de várias nuvens: para organizações que operam infraestrutura de várias nuvens e educam sua organização para garantir que as equipes entendam a diferença de recursos entre as plataformas de nuvem e a pilha de tecnologia. Crie, implante e/ou migre soluções portáteis. Permitir a facilidade de movimentação entre plataformas de nuvem com o bloqueio mínimo do fornecedor ao utilizar recursos nativos de nuvem adequadamente para o resultado ideal da adoção da nuvem.
- Operações de nuvem e segurança: simplifique as operações de segurança para dar suporte às soluções em cada nuvem, por meio de um conjunto central de processos de governança e gerenciamento que compartilham processos de operações comuns, independentemente de onde a solução é implantada e operada.
- Pilha de ferramentas e tecnologia: escolha as ferramentas apropriadas que dão suporte ao ambiente de várias nuvens para ajudar a estabelecer plataformas de gerenciamento unificadas e centralizadas, que podem incluir todos os domínios de segurança discutidos neste parâmetro de comparação de segurança.
Implementação e contexto adicional: