Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O ASB (Azure Security Benchmark) fornece melhores práticas e recomendações prescritivas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure. Esse parâmetro de comparação faz parte de um conjunto de diretrizes de segurança holísticas que também inclui:
- Cloud Adoption Framework: diretrizes sobre segurança, incluindo estratégia, funções e responsabilidades, práticas recomendadas de segurança do Azure Top 10 e implementação de referência.
- Azure Well-Architected Framework: diretrizes sobre como proteger suas cargas de trabalho no Azure.
- Práticas recomendadas de segurança da Microsoft: recomendações com exemplos no Azure.
- Arquiteturas de Referência de Segurança Cibernética da Microsoft (MCRA): diagramas visuais e diretrizes para componentes e relações de segurança
O Azure Security Benchmark se concentra em áreas de controle centradas na nuvem. Esses controles são consistentes com parâmetros de segurança conhecidos, como os descritos pelos Controles do Centro de Segurança da Internet (CIS), o National Institute of Standards and Technology (NIST) e o Payment Card Industry Data Security Standard (PCI-DSS).
Novidades no ASB v3
Veja as novidades no Azure Security Benchmark v3:
- Os mapeamentos para as estruturas de referência do setor PCI-DSS v3.2.1 e Controles CIS v8 são adicionados, além dos mapeamentos existentes para Controles CIS v7.1 e NIST SP800-53 Rev4.
- Refinar as diretrizes de controle para serem mais granulares e acionáveis, por exemplo, as diretrizes de segurança agora são divididas em duas partes separadas, Princípio de Segurança e Diretrizes do Azure. O Princípio de Segurança é o "o quê", explicando o controle no nível independente da tecnologia; As Diretrizes do Azure se concentram no "como", elaborando sobre os recursos técnicos relevantes e maneiras de implementar os controles no Azure.
- A adição de novos controles, por exemplo, DevOps Security como uma nova família de controle, que também inclui tópicos como modelagem de ameaças e segurança da cadeia de fornecedores de software. O gerenciamento de chaves e certificados foi introduzido para recomendar as práticas recomendadas de gerenciamento de chaves e certificados no Azure.
Controles
Os seguintes controles estão incluídos no Azure Security Benchmark v3:
| Domínios de controle do ASB | Descrição |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controles para proteger e proteger redes do Azure, incluindo proteger redes virtuais, estabelecer conexões privadas, prevenir e mitigar ataques externos e proteger o DNS. |
| Gerenciamento de Identidade (IM) | O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Active Directory, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso Privilegiado (PA) | O Privileged Access abrange controles para proteger o acesso privilegiado ao seu locatário e recursos do Azure, incluindo uma série de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidas. |
| Proteção de Dados (DP) | A proteção de dados abrange o controle da proteção de dados inativos, ativos e por meio de mecanismos de acesso autorizados, como descobrir, classificar, proteger e monitorar ativos de dados confidenciais com o controle de acesso, a criptografia e o gerenciamento de chaves e certificados no Azure. |
| Gerenciamento de Ativos (AM) | O Asset Asset Management abrange controles para garantir a visibilidade e a governança de segurança sobre os recursos do Azure, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, acompanhamento e correto). |
| Registro em log e detecção de ameaças (LT) | O registro em log e detecção de ameaças abrange controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para serviços do Azure, incluindo habilitar processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure; ele também inclui coletar logs com o Azure Monitor, centralizar a análise de segurança com o Azure Sentinel, a sincronização de tempo e a retenção de log. |
| Resposta a incidentes (IR) | A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como o Microsoft Defender para Nuvem e Sentinel, para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Posturas e Vulnerabilidades) | O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança do Azure, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos do Azure. |
| Segurança de Endpoint (ES) | A Segurança de Endpoints abrange controles na detecção e resposta de endpoints, incluindo o uso de EDR e serviço anti-malware para endpoints em ambientes do Azure. |
| Backup e recuperação (BR) | O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Segurança de DevOps (DS) | A Segurança do DevOps abrange os controles relacionados à engenharia de segurança e operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como teste de segurança de aplicativo estático, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança em todo o processo de DevOps; ele também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| Governança e estratégia (GS) | Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Recomendações de Referência de Segurança do Azure
Cada recomendação inclui as seguintes informações:
- ID do ASB: a ID do Azure Security Benchmark que corresponde à recomendação.
- IDs dos CIS Controls v8: Os controles do CIS Controls v8 que correspondem à recomendação.
- Controles CIS v7.1 ID(s): os Controles CIS v7.1 que correspondem à recomendação (não disponível na Web devido à formatação).
- PCI-DSS IDs v3.2.1: os controles PCI-DSS v3.2.1 que correspondem à recomendação.
- Identificadores NIST SP 800-53 r4: os controles NIST SP 800-53 r4 (Moderado e Alto) que correspondem a essa recomendação.
- Princípio de Segurança: a recomendação se concentrou no "o quê", explicando o controle no nível independente da tecnologia.
- Diretrizes do Azure: a recomendação se concentrou no "como", explicando os recursos técnicos do Azure e os conceitos básicos de implementação.
- Contexto de implementação e adição: os detalhes da implementação e outros contextos relevantes que se vinculam aos artigos de documentação da oferta do serviço do Azure.
- Partes Interessadas em Segurança do Cliente: as funções de segurança na organização do cliente que podem ser responsáveis, responsáveis, consultadas ou informadas para o respectivo controle. Pode ser diferente de organização para organização, dependendo da estrutura da organização de segurança da sua empresa e das funções e responsabilidades que você configurou relacionadas à segurança do Azure.
Observação
Os mapeamentos de controle entre o ASB e os parâmetros de comparação do setor (como CIS, NIST e PCI) indicam apenas que um recurso específico do Azure pode ser usado para atender totalmente ou parcialmente a um requisito de controle definido nesses parâmetros de comparação do setor. Você deve estar ciente de que essa implementação não necessariamente se traduz na conformidade total dos controles correspondentes nesses parâmetros de comparação do setor.
Damos as boas-vindas aos seus comentários detalhados e à participação ativa no esforço do Azure Security Benchmark. Se você quiser fornecer a entrada direta da equipe do Azure Security Benchmark, preencha o formulário em https://aka.ms/AzSecBenchmark
Baixar
Você pode baixar o Azure Security Benchmark no formato de planilha.
Próximas etapas
- Consulte o primeiro controle de segurança: segurança de rede
- Ler a introdução do Azure Security Benchmark
- Conheça os conceitos básicos de segurança do Azure