Visão geral dos controles de segurança do Azure (v2)
O parâmetro de comparação de segurança do Azure (ASB) fornece recomendações e melhores práticas prescritivas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.
Esse parâmetro de comparação faz parte de um conjunto de diretrizes de segurança holísticas que também incluem:
- Estrutura de adoção de nuvem – orientação sobre segurança, incluindo estratégia, funções e responsabilidades, as 10 melhores práticas de segurançae implementação de referênciado Azure.
- Estrutura de Well-Architected do Azure – diretrizes sobre como proteger suas cargas de trabalho no Azure.
- Práticas recomendadas de segurança da Microsoft – recomendações com exemplos no Azure.
O benchmark de segurança do Azure concentra-se em áreas de controle centradas na nuvem. Esses controles são consistentes com benchmarks de segurança conhecidos, como os descritos pelos controles do CIS (Center for Internet Security) versão 7,1 e do NIST (National Institute of Standards and Technology) SP 800-53. Os seguintes controles são usados no Azure Security Benchmark:
| Domínios de controle ASB | Descrição |
|---|---|
| NS (Segurança de rede) | A segurança de rede abrange controles para proteger e proteger redes do Azure, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS. |
| IM (Gerenciamento de Identidades) | O Identity Management abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Active Directory, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| PA (Acesso Privilegiado) | O acesso privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos do Azure, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido. |
| DP (Proteção de Dados) | A proteção de dados aborda o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizado, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando o controle de acesso, a criptografia e o registro em log no Azure. |
| AM (Gerenciamento de Ativos) | O gerenciamento de ativos abrange controles para garantir a visibilidade e a governança da segurança sobre os recursos do Azure, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, acompanhamento e correto). |
| LT (Registro em Log e Detecção de Ameaças) | O registro em log e a detecção de ameaças abrangem controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para serviços do Azure, incluindo a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure; ele também inclui a coleta de logs com Azure Monitor, centralização da análise de segurança com o Azure Sentinel, sincronização de tempo e retenção de log. |
| IR (Resposta a Incidentes) | A resposta a incidentes aborda controles no ciclo de vida de resposta a incidentes - preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como a central de segurança do Azure e o Sentinel para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Postura e Vulnerabilidades) | A postura e o gerenciamento de vulnerabilidades concentram-se em controles para avaliar e melhorar a postura de segurança do Azure, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos do Azure. |
| ES (Segurança de Ponto de Extremidade) | O Endpoint Security aborda controles em resposta e detecção de ponto de extremidade, incluindo o uso de EDR (detecção de ponto de extremidade e resposta) e serviço antimalware para pontos de extremidade em ambientes do Azure. |
| BR (Backup e Recuperação) | O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração em diferentes camadas de serviço sejam executados, validados e protegidos. |
| GS (Governança e Estratégia) | Governança e estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Recomendações do Azure Security Benchmark
Cada recomendação inclui as seguintes informações:
- ID do Azure: a ID de parâmetro de comparação de segurança do Azure que corresponde à recomendação.
- Os controles do CIS v 7.1 ID (s) : os controles CIS Controls v7.1 que correspondem a essa recomendação.
- ID(s) do NIST SP 800-53 R4: o(s) controle(s) NIST SP 800-53 R4 (moderado) que corresponde(m) a essa recomendação.
- Detalhes: a lógica para a recomendação e os links para orientação sobre como implementá-la. Se a recomendação for compatível com a Central de Segurança do Azure, essas informações também serão listadas.
- Responsabilidade: tanto o cliente ou o provedor de serviços (ou ambos) são responsáveis por implementar essa recomendação. As responsabilidades de segurança são compartilhadas na nuvem pública. Alguns controles de segurança só estão disponíveis para o provedor de serviços de nuvem e, portanto, o provedor é responsável por lidar com eles. Estas são observações gerais – para alguns serviços individuais, a responsabilidade será diferente da listada no Azure Security Benchmark. Essas diferenças são descritas nas recomendações de linha de base do serviço individual.
- Participantes de segurança do cliente: as funções de segurança na organização cliente que podem ser responsáveis, responsáveis ou consultados pelo respectivo controle. Ele pode ser diferente da organização para a organização, dependendo da estrutura da organização de segurança de sua empresa, e das funções e responsabilidades que você configurou relacionadas à segurança do Azure.
Observação
Os mapeamentos de controle entre o ASB e os benchmarks do setor (como NIST e CIS) indicam apenas que um recurso específico do Azure pode ser usado para resolver de forma completa ou parcial um requisito de controle definido no NIST ou no CIS. Você deve estar ciente de que essa implementação não é necessariamente traduzida para a conformidade total do controle correspondente no CIS ou NIST.
Agradecemos seus comentários detalhados e sua participação ativa no esforço do Azure Security Benchmark. Se você quiser fornecer a entrada direta da equipe do Azure Security Benchmark, preencha o formulário em https://aka.ms/AzSecBenchmark
Baixar
Você pode baixar o benchmark de segurança do Azure no formato de planilha.
Próximas etapas
- Veja o primeiro controle de segurança: Segurança de rede
- Leia a Introdução ao Azure Security Benchmark
- Aprenda os Conceitos básicos de segurança do Azure