Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O ASB (Azure Security Benchmark) fornece melhores práticas e recomendações prescritivas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.
Esse parâmetro de comparação faz parte de um conjunto de diretrizes de segurança holísticas que também inclui:
- Cloud Adoption Framework – Diretrizes sobre segurança, incluindo estratégia, funções e responsabilidades, práticas recomendadas de segurança do Azure Top 10 e implementação de referência.
- Azure Well-Architected Framework – Diretrizes sobre como proteger suas cargas de trabalho no Azure.
- Práticas recomendadas de segurança da Microsoft – recomendações com exemplos no Azure.
O Azure Security Benchmark se concentra em áreas de controle centradas na nuvem. Esses controles são consistentes com parâmetros de comparação de segurança conhecidos, como os descritos pelos controles do Centro de Segurança da Internet (CIS) versão 7.1 e do National Institute of Standards and Technology (NIST) SP 800-53. Os seguintes controles estão incluídos no Azure Security Benchmark:
| Domínios de controle do ASB | Descrição |
|---|---|
| Segurança de rede (NS) | A segurança de rede abrange controles para proteger e proteger redes do Azure, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS. |
| Gerenciamento de Identidade (IM) | O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Active Directory, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso Privilegiado (PA) | O Privileged Access abrange controles para proteger o acesso privilegiado ao seu locatário e recursos do Azure, incluindo uma série de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidas. |
| Proteção de Dados (DP) | A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia e log no Azure. |
| Gerenciamento de Ativos (AM) | O Asset Management abrange controles para garantir a visibilidade e a governança de segurança sobre os recursos do Azure, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, acompanhamento e correto). |
| Registro em log e detecção de ameaças (LT) | O registro em log e detecção de ameaças abrange controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para serviços do Azure, incluindo habilitar processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure; ele também inclui coletar logs com o Azure Monitor, centralizar a análise de segurança com o Azure Sentinel, a sincronização de tempo e a retenção de log. |
| Resposta a incidentes (IR) | A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como a Central de Segurança do Azure e o Sentinel, para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Posturas e Vulnerabilidades) | O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança do Azure, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos do Azure. |
| Segurança de Endpoint (ES) | A Segurança de Endpoints abrange controles na detecção e resposta de endpoints, incluindo o uso de EDR e serviço anti-malware para endpoints em ambientes do Azure. |
| Backup e recuperação (BR) | O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Governança e estratégia (GS) | Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Recomendações de Referência de Segurança do Azure
Cada recomendação inclui as seguintes informações:
- ID do Azure: a ID do Azure Security Benchmark que corresponde à recomendação.
- Controles CIS v7.1 ID(s): os controles CIS v7.1 que correspondem a essa recomendação.
- IDs NIST SP 800-53 r4: controles NIST SP 800-53 r4 (moderados) que correspondem a essa recomendação.
- Detalhes: a lógica para a recomendação e links para diretrizes sobre como implementá-la. Se a recomendação for compatível com a Central de Segurança do Azure, essas informações também serão listadas.
- Responsabilidade: o cliente, o provedor de serviços ou ambos são responsáveis por implementar essa recomendação. As responsabilidades de segurança são compartilhadas na nuvem pública. Alguns controles de segurança só estão disponíveis para o provedor de serviços de nuvem e, portanto, o provedor é responsável por lidar com eles. Essas são observações gerais: para alguns serviços individuais, a responsabilidade será diferente da listada no Azure Security Benchmark. Essas diferenças são descritas nas recomendações de linha de base para o serviço individual.
- Stakeholders de Segurança do Cliente: as funções de segurança na organização do cliente que podem ser responsáveis, responsabilizáveis ou consultadas para o controle de segurança respectivo. Pode ser diferente de organização para organização, dependendo da estrutura da organização de segurança da sua empresa e das funções e responsabilidades que você configurou relacionadas à segurança do Azure.
Observação
Os mapeamentos de controle entre o ASB e os parâmetros de comparação do setor (como NIST e CIS) indicam apenas que um recurso específico do Azure pode ser usado para atender totalmente ou parcialmente a um requisito de controle definido em NIST ou CIS. Você deve estar ciente de que essa implementação não necessariamente se traduz na conformidade total do controle correspondente em CIS ou NIST.
Damos as boas-vindas aos seus comentários detalhados e à participação ativa no esforço do Azure Security Benchmark. Se você quiser fornecer a entrada direta da equipe do Azure Security Benchmark, preencha o formulário em https://aka.ms/AzSecBenchmark
Baixar
Você pode baixar o Azure Security Benchmark no formato de planilha.
Próximas etapas
- Consulte o primeiro controle de segurança: segurança de rede
- Ler a introdução do Azure Security Benchmark
- Conheça os conceitos básicos de segurança do Azure