Compartilhar via


Controle de Segurança: Gerenciamento de posturas e vulnerabilidades

O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos de nuvem.

PV-1: .definir e estabelecer configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Princípio de segurança: defina as linhas de base de configuração de segurança para diferentes tipos de recursos na nuvem. Como alternativa, use as ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ser compatível por padrão após a implantação.


Diretrizes do Azure: use o Microsoft Cloud Security Benchmark e a linha de base de serviço para definir sua linha de base de configuração para cada oferta ou serviço do Azure. Consulte a arquitetura de referência do Azure e a arquitetura da zona de destino do Cloud Adoption Framework para entender os controles de segurança críticos e as configurações que podem ser necessárias nos recursos do Azure.

Use uma zona de destino do Azure (e Blueprints) para acelerar a implantação de cargas de trabalho configurando serviços e ambientes de aplicativos, incluindo os modelos do Azure Resource Manager, controles Azure RBAC e Azure Policy.

Implementação do Azure e contexto adicional:


Diretrizes da AWS: use o Microsoft Cloud Security Benchmark – diretrizes de várias nuvens para a AWS e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço da AWS respectiva. Consulte o pilar de segurança e outros pilares no AWS Well-Architectured Framework para entender os controles de segurança críticos e as configurações que podem ser necessárias nos recursos da AWS.

Use modelos de CloudFormation do AWS e regras de configuração do AWS na definição da zona de destino da AWS para automatizar a implantação e a configuração de serviços e ambientes de aplicativo.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: use o Microsoft Cloud Security Benchmark – diretrizes de várias nuvens para GCP e outras entradas para definir sua linha de base de configuração para cada oferta ou serviço GCP respectivo. Consulte os pilares nos blueprints básicos de implantações do Google Cloud e no projeto da zona de aterrissagem.

Use módulos de blueprints do Terraform para o Google Cloud e use o Google Cloud Deployment Manager nativo para automatizar a implantação e a configuração de serviços e ambientes de aplicativos.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-2: auditar e impor configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração.


Diretrizes do Azure: use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detectado nos recursos.

Use as regras [deny] e [deploy if not exist] do Azure Policy para impor a configuração segura em recursos do Azure.

Para auditoria e imposição de configuração de recursos não suportadas pelo Azure Policy, talvez seja necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Implementação do Azure e contexto adicional:


Diretrizes da AWS: use as regras de configuração da AWS para auditar as configurações dos recursos da AWS. E você pode optar por resolver o descompasso de configuração usando a Automação do AWS Systems Manager associada à regra de Configuração do AWS. Use o Amazon CloudWatch para criar alertas quando houver um desvio de configuração detectado nos recursos.

Para auditoria e aplicação de configuração de recursos não suportadas pelo AWS Config, pode ser necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a aplicação de configuração.

Você também pode monitorar centralmente a deriva da sua configuração integrando sua conta da AWS ao Microsoft Defender para Nuvem.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: use o Centro de Comandos do Google Cloud Security para configurar o GCP. Use o Google Cloud Monitoring no Operations Suite para criar alertas quando houver desvio de configuração detectado nos recursos.

Para governar suas organizações, use a Política Organizacional para centralizar e controlar programaticamente os recursos de nuvem da sua organização. Como administrador de política de organização, você poderá configurar restrições em toda a hierarquia de recursos.

Para auditoria e imposição de configuração de recursos não suportadas pela Política de Organização, pode ser necessário escrever scripts personalizados ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-3: definir e estabelecer configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2,2

Princípio de segurança: defina as linhas de base de configuração seguras para seus recursos de computação, como VMs e contêineres. Use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos de computação para que o ambiente possa ser compatível por padrão após a implantação. Como alternativa, use uma imagem pré-configurada para criar a linha de base de configuração desejada no modelo de imagem de recurso de computação.


Diretrizes do Azure: use as linhas de base de segurança do sistema operacional recomendadas do Azure (para Windows e Linux) como um parâmetro de comparação para definir a linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada (usando o Construtor de Imagens do Azure) ou uma imagem de contêiner com a Configuração de Máquina de Gerenciamento Automatizado do Azure (anteriormente chamada de Configuração de Convidado do Azure Policy) e a Configuração de Estado de Automação do Azure para estabelecer a configuração de segurança desejada.

Implementação do Azure e contexto adicional:


Diretrizes do AWS: Use as AMIs (Imagens de Máquina da AWS EC2) de fontes confiáveis no marketplace como um parâmetro de comparação para definir sua linha de base de configuração do EC2.

Além disso, você pode usar o Construtor de Imagens EC2 para criar um modelo de AMI personalizado com um agente do Systems Manager para estabelecer a configuração de segurança desejada. Observação: o Agente do AWS Systems Manager é pré-instalado em algumas AMIs (Amazon Machine Images) fornecidas pela AWS.

Para aplicativos de carga de trabalho em execução em suas instâncias EC2, a Lambda do AWS ou o ambiente de contêineres, você pode usar o AppConfig do System Manager do AWS para estabelecer a linha de base de configuração desejada.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: use as linhas de base de segurança do sistema operacional recomendadas pelo Google Cloud (para Windows e Linux) como um parâmetro de comparação para definir a linha de base de configuração de recursos de computação.

Além disso, você pode usar uma imagem de VM personalizada usando o Packer Image Builder ou uma imagem de contêiner com a imagem de contêiner do Google Cloud Build para estabelecer a linha de base de configuração desejada.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-4: auditar e impor configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2,2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida em seus recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração em recursos de computação.


Diretrizes do Azure: use o Microsoft Defender para Nuvem e a Configuração de Máquina de Gerenciamento Automatizado do Azure (anteriormente chamada de Configuração de Convidado do Azure Policy) para avaliar e corrigir regularmente os desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou a Configuração de Estado de Automação do Azure para manter a configuração de segurança do sistema operacional. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança. Use o Controle de Alterações e Inventário na Automação do Azure para controlar as alterações em máquinas virtuais hospedadas no Azure, localmente e em outros ambientes de nuvem para ajudá-lo a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Instale o agente de atestado convidado em máquinas virtuais para monitorar a integridade da inicialização em máquinas virtuais confidenciais.

Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

Implementação do Azure e contexto adicional:


Diretrizes do AWS: use o recurso do Gerenciador de Estado do AWS System Manager para avaliar e corrigir regularmente os desvios de configuração em suas instâncias do EC2. Além disso, você pode usar modelos cloudformation, imagens personalizadas do sistema operacional para manter a configuração de segurança do sistema operacional. Os modelos de AMI em conjunto com o Systems Manager podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o descompasso de configuração do sistema operacional por meio da Configuração de Estado da Automação do Azure e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integrar sua conta do AWS no Microsoft Defender para Nuvem
  • Usar o Azure Arc para servidores para conectar suas instâncias EC2 ao Microsoft Defender para Nuvem

Para aplicativos de carga de trabalho em execução em suas instâncias EC2, ambiente lambda do AWS ou contêineres, você pode usar o AppConfig do System Manager do AWS para auditar e impor a linha de base de configuração desejada.

Observação: as AMIs publicadas pelo Amazon Web Services no AWS Marketplace são gerenciadas e mantidas pelo Amazon Web Services.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: use o Gerenciador de VMs e o Centro de Comandos do Google Cloud Security para avaliar e corrigir regularmente o desvio de configuração de suas instâncias, contêineres e contratos sem servidor do Mecanismo de Computação. Além disso, você pode usar modelos de VM do Deployment Manager, imagens personalizadas do sistema operacional para manter a configuração de segurança do sistema operacional. Modelos de VM do Deployment Manager em conjunto com o Gerenciador de VMs podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o descompasso de configuração do sistema operacional por meio da Configuração de Estado da Automação do Azure e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

  • Integrar seu projeto GCP ao Microsoft Defender para Nuvem
  • Usar o Azure Arc para servidores para conectar suas instâncias de VM GCP ao Microsoft Defender para Nuvem

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-5: executar avaliações de vulnerabilidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Princípio de segurança: execute a avaliação de vulnerabilidades para seus recursos de nuvem em todas as camadas em um agendamento fixo ou sob demanda. Acompanhe e compare os resultados da verificação para verificar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços do Azure, rede, Web, sistemas operacionais, configurações incorretas e assim por diante.

Lembre-se dos riscos potenciais associados ao acesso privilegiado usado pelos scanners de vulnerabilidade. Siga as práticas recomendadas de segurança de acesso privilegiado para proteger as contas administrativas usadas para a verificação.


Diretrizes do Azure: siga as recomendações do Microsoft Defender para Nuvem para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. O Microsoft Defender para Nuvem tem um verificador de vulnerabilidade interno para máquinas virtuais. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos Web)

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pelo Microsoft Defender para Nuvem, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar a metodologia de provisionamento JIT (Just-In-Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Observação: os serviços do Microsoft Defender (incluindo o Defender para servidores, contêineres, Serviço de Aplicativo, Banco de Dados e DNS) inserem determinadas funcionalidades de avaliação de vulnerabilidade. Os alertas gerados dos serviços do Azure Defender devem ser monitorados e revisados junto com o resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender para Nuvem.

Observação: verifique se você configurou notificações por email no Microsoft Defender para Nuvem.

Implementação do Azure e contexto adicional:


Diretrizes da AWS: use o Amazon Inspector para verificar suas instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon ECR (Registro de Contêiner Elástico da Amazon) em busca de vulnerabilidades de software e exposição de rede não intencional. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos Web)

Consulte o controle ES-1, "Usar EDR (Detecção e Resposta de Ponto de Extremidade)", para integrar sua conta do AWS no Microsoft Defender para Nuvem e implantar o Microsoft Defender para servidores (com o Microsoft Defender para Ponto de Extremidade integrado) em suas instâncias do EC2. O Microsoft Defender para servidores fornece uma funcionalidade nativa de gerenciamento de ameaças e vulnerabilidades para suas VMs. O resultado da verificação de vulnerabilidade será consolidado no painel do Microsoft Defender para Nuvem.

Acompanhe o status das descobertas de vulnerabilidade para garantir que elas sejam corrigidas ou suprimidas corretamente se forem consideradas falsas positivas.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar uma metodologia de provisionamento temporário para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: siga as recomendações do Microsoft Defender para Nuvem ou/e do Google Cloud Security Command Center para executar avaliações de vulnerabilidades em suas instâncias do Mecanismo de Computação. O Centro de Comandos de Segurança tem avaliações de vulnerabilidades internas em dispositivos e aplicativos de rede (por exemplo, Verificador de Segurança da Web)

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pela Central de Comandos de Segurança, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-6: corrigir vulnerabilidades de forma rápida e automática

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORREÇÃO DE FALHA 6.1, 6.2, 6.5, 11.2

Princípio de segurança: implante rapidamente e automaticamente patches e atualizações para corrigir vulnerabilidades em seus recursos de nuvem. Use a abordagem apropriada baseada em risco para priorizar a correção de vulnerabilidades. Por exemplo, vulnerabilidades mais graves em um ativo de valor mais alto devem ser tratadas como uma prioridade mais alta.


Diretrizes do Azure: use o Gerenciamento de Atualizações de Automação do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para ser atualizado automaticamente.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação do Azure e contexto adicional:


Diretrizes da AWS: use o AWS Systems Manager – Patch Manager para garantir que as atualizações de segurança mais recentes estejam instaladas em seus sistemas operacionais e aplicativos. O Gerenciador de Patch dá suporte a linhas de base de patch para permitir que você defina uma lista de patches aprovados e rejeitados para seus sistemas.

Você também pode usar o Gerenciamento de Atualizações de Automação do Azure para gerenciar centralmente os patches e atualizações de suas instâncias do Windows e linux do AWS EC2.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: use o gerenciamento de patch do sistema operacional do Gerenciador de VMs do Google Cloud ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas nas VMs do Windows e linux. Para a VM do Windows, verifique se o Windows Update foi habilitado e definido para ser atualizado automaticamente.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o Microsoft System Center Updates Publisher para gerenciamento de configuração.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):

PV-7: conduzir operações regulares de equipe vermelha

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Princípio de segurança: simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações de equipe vermelha e os testes de penetração complementam a abordagem tradicional de verificação de vulnerabilidades para descobrir riscos.

Siga as práticas recomendadas do setor para projetar, preparar e realizar esse tipo de teste para garantir que ele não causará danos ou interrupções em seu ambiente. Isso sempre deve incluir a discussão de escopo de teste e restrições com stakeholders relevantes e proprietários de recursos.


Diretrizes do Azure: conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.

Siga as Regras de Participação de Testes de Penetração na Nuvem da Microsoft para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia e a execução do Red Teaming da Microsoft e testes de penetração em sites ativos contra a infraestrutura de nuvem, serviços e aplicativos gerenciados pela Microsoft.

Implementação do Azure e contexto adicional:


Diretrizes da AWS: conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seus recursos da AWS e garanta a correção de todas as descobertas críticas de segurança.

Siga a Política de Suporte ao Cliente da AWS para Testes de Penetração para garantir que seus testes de penetração não violem as políticas da AWS.

Implementação do AWS e contexto adicional:


Diretrizes do GCP: conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seu recurso GCP e garanta a correção de todas as descobertas críticas de segurança.

Siga a Política de Suporte ao Cliente do GCP para Testes de Penetração para garantir que os testes de penetração não violem as políticas do GCP.

Implementação do GCP e contexto adicional:


Partes interessadas em segurança do cliente (Saiba mais):