Compartilhar via


Controle de segurança: configuração segura

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

Estabeleça, implemente e gerencie ativamente (acompanhar, relatar, corrigir) a configuração de segurança dos recursos do Azure para impedir que os invasores explorem serviços e configurações vulneráveis.

7.1: Estabelecer configurações seguras para todos os recursos do Azure

Azure ID IDs de CIS Responsabilidade
7.1 5.1 Cliente

Use aliases do Azure Policy para criar políticas personalizadas para auditar ou impor a configuração dos recursos do Azure. Você também pode usar definições internas do Azure Policy.

Além disso, o Azure Resource Manager tem a capacidade de exportar o modelo em JSON (JavaScript Object Notation), que deve ser revisado para garantir que as configurações atendam/excedam os requisitos de segurança para sua organização.

Você também pode usar recomendações da Central de Segurança do Azure como uma linha de base de configuração segura para seus recursos do Azure.

7.2: Estabelecer configurações seguras de sistema operacional

Azure ID IDs de CIS Responsabilidade
7.2 5.1 Cliente

Use as recomendações da Central de Segurança do Azure para manter as configurações de segurança em todos os recursos de computação. Além disso, você pode usar imagens personalizadas do sistema operacional ou a configuração de Estado de Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigido pela sua organização.

7.3: Manter configurações seguras de recursos do Azure

Azure ID IDs de CIS Responsabilidade
7.3 5.2 Cliente

Use o Azure Policy [negar] e [implantar se não existir] para impor configurações seguras em seus recursos do Azure. Além disso, você pode usar modelos do Azure Resource Manager para manter a configuração de segurança dos recursos do Azure exigidos pela sua organização.

7.4: Manter configurações seguras de sistema operacional

Azure ID IDs de CIS Responsabilidade
7.4 5.2 Compartilhado

Siga as recomendações da Central de Segurança do Azure sobre como executar avaliações de vulnerabilidade em seus recursos de computação do Azure. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou configuração de Estado de Automação do Azure para manter a configuração de segurança do sistema operacional exigida pela sua organização. Os modelos de máquina virtual da Microsoft combinados com a Configuração de Estado Desejado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança.

Além disso, observe que as imagens de máquina virtual do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

7.5: Armazenar configuração de recursos do Azure com segurança

Azure ID IDs de CIS Responsabilidade
7,5 5.3 Cliente

Use o Azure DevOps para armazenar e gerenciar com segurança seu código, como políticas personalizadas do Azure, modelos do Azure Resource Manager e scripts de Configuração de Estado Desejado. Para acessar os recursos gerenciados no Azure DevOps, você pode conceder ou negar permissões a usuários específicos, grupos de segurança internos ou grupos definidos no Azure AD (Azure Active Directory) se integrados ao Azure DevOps ou ao Active Directory, se integrados ao TFS.

7.6: Armazenar com segurança imagens personalizadas do sistema operacional

Azure ID IDs de CIS Responsabilidade
7.6 5.3 Cliente

Se estiver usando imagens personalizadas, use o RBAC (controle de acesso baseado em função) do Azure para garantir que somente usuários autorizados possam acessar as imagens. Usando uma Galeria de Imagens Compartilhadas, você pode compartilhar suas imagens para diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Para imagens de contêiner, armazene-as no Registro de Contêiner do Azure e aproveite o RBAC do Azure para garantir que somente usuários autorizados possam acessar as imagens.

7.7: Implantar ferramentas de gerenciamento de configuração para recursos do Azure

Azure ID IDs de CIS Responsabilidade
7.7 5.4 Cliente

Defina e implemente configurações de segurança padrão para recursos do Azure usando o Azure Policy. Use aliases do Azure Policy para criar políticas personalizadas para auditar ou impor a configuração de rede dos recursos do Azure. Você também pode usar definições de política internas relacionadas aos recursos específicos. Além disso, você pode usar a Automação do Azure para implantar alterações de configuração.

7.8: Implantar ferramentas de gerenciamento de configuração para sistemas operacionais

Azure ID IDs de CIS Responsabilidade
7,8 5.4 Cliente

Azure Automation State Configuration é um serviço de gerenciamento de configuração para nós de DSC (Configuração do Estado Desejado) em qualquer nuvem ou datacenter local. Você pode integrar facilmente computadores, atribuir-lhes configurações declarativas e exibir relatórios mostrando a conformidade de cada computador com o estado desejado especificado.

7.9: Implementar o monitoramento de configuração automatizado para recursos do Azure

Azure ID IDs de CIS Responsabilidade
7.9 5.5 Cliente

Use a Central de Segurança do Azure para executar verificações de linha de base para seus Recursos do Azure. Além disso, use o Azure Policy para alertar e auditar as configurações de recursos do Azure.

7.10: Implementar o monitoramento de configuração automatizado para sistemas operacionais

Azure ID IDs de CIS Responsabilidade
7.10 5.5 Cliente

Use a Central de Segurança do Azure para executar verificações de linha de base para o sistema operacional e as Configurações do Docker para contêineres.

7.11: Gerenciar segredos do Azure com segurança

Azure ID IDs de CIS Responsabilidade
7.11 13.1 Cliente

Use a Identidade de Serviço Gerenciada em conjunto com o Azure Key Vault para simplificar e proteger o gerenciamento de segredos para seus aplicativos de nuvem.

7.12: Gerenciar identidades de forma segura e automática

Azure ID IDs de CIS Responsabilidade
7.12 4.1 Cliente

Use identidades gerenciadas para fornecer aos serviços do Azure uma identidade gerenciada automaticamente no Azure AD. As Identidades Gerenciadas permitem que você se autentique em qualquer serviço que dê suporte à autenticação do Azure AD, incluindo o Key Vault, sem credenciais em seu código.

7.13: Eliminar a exposição não intencional de credenciais

Azure ID IDs de CIS Responsabilidade
7.13 18.1, 18.7 Cliente

Implemente o Verificador de Credenciais para identificar credenciais dentro do código. O Verificador de Credenciais também incentivará a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.

Próximas etapas