Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
Estabeleça, implemente e gerencie ativamente (acompanhar, relatar, corrigir) a configuração de segurança dos recursos do Azure para impedir que os invasores explorem serviços e configurações vulneráveis.
7.1: Estabelecer configurações seguras para todos os recursos do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.1 | 5.1 | Cliente |
Use aliases do Azure Policy para criar políticas personalizadas para auditar ou impor a configuração dos recursos do Azure. Você também pode usar definições internas do Azure Policy.
Além disso, o Azure Resource Manager tem a capacidade de exportar o modelo em JSON (JavaScript Object Notation), que deve ser revisado para garantir que as configurações atendam/excedam os requisitos de segurança para sua organização.
Você também pode usar recomendações da Central de Segurança do Azure como uma linha de base de configuração segura para seus recursos do Azure.
Tutorial: Criar e gerenciar políticas para impor a conformidade
Exportação única e de vários recursos para um modelo no portal do Azure
7.2: Estabelecer configurações seguras de sistema operacional
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.2 | 5.1 | Cliente |
Use as recomendações da Central de Segurança do Azure para manter as configurações de segurança em todos os recursos de computação. Além disso, você pode usar imagens personalizadas do sistema operacional ou a configuração de Estado de Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigido pela sua organização.
Como monitorar as recomendações da Central de Segurança do Azure
Carregar um VHD e usá-lo para criar novas VMs do Windows no Azure
Criar uma VM linux de um disco personalizado com a CLI do Azure
7.3: Manter configurações seguras de recursos do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.3 | 5.2 | Cliente |
Use o Azure Policy [negar] e [implantar se não existir] para impor configurações seguras em seus recursos do Azure. Além disso, você pode usar modelos do Azure Resource Manager para manter a configuração de segurança dos recursos do Azure exigidos pela sua organização.
7.4: Manter configurações seguras de sistema operacional
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.4 | 5.2 | Compartilhado |
Siga as recomendações da Central de Segurança do Azure sobre como executar avaliações de vulnerabilidade em seus recursos de computação do Azure. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou configuração de Estado de Automação do Azure para manter a configuração de segurança do sistema operacional exigida pela sua organização. Os modelos de máquina virtual da Microsoft combinados com a Configuração de Estado Desejado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança.
Além disso, observe que as imagens de máquina virtual do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.
Como implementar recomendações de avaliação de vulnerabilidade da Central de Segurança do Azure
Como criar uma Máquina Virtual do Azure a partir de um modelo do Azure Resource Manager
Script de exemplo para carregar um VHD no Azure e criar uma nova VM
7.5: Armazenar configuração de recursos do Azure com segurança
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7,5 | 5.3 | Cliente |
Use o Azure DevOps para armazenar e gerenciar com segurança seu código, como políticas personalizadas do Azure, modelos do Azure Resource Manager e scripts de Configuração de Estado Desejado. Para acessar os recursos gerenciados no Azure DevOps, você pode conceder ou negar permissões a usuários específicos, grupos de segurança internos ou grupos definidos no Azure AD (Azure Active Directory) se integrados ao Azure DevOps ou ao Active Directory, se integrados ao TFS.
7.6: Armazenar com segurança imagens personalizadas do sistema operacional
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.6 | 5.3 | Cliente |
Se estiver usando imagens personalizadas, use o RBAC (controle de acesso baseado em função) do Azure para garantir que somente usuários autorizados possam acessar as imagens. Usando uma Galeria de Imagens Compartilhadas, você pode compartilhar suas imagens para diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Para imagens de contêiner, armazene-as no Registro de Contêiner do Azure e aproveite o RBAC do Azure para garantir que somente usuários autorizados possam acessar as imagens.
7.7: Implantar ferramentas de gerenciamento de configuração para recursos do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.7 | 5.4 | Cliente |
Defina e implemente configurações de segurança padrão para recursos do Azure usando o Azure Policy. Use aliases do Azure Policy para criar políticas personalizadas para auditar ou impor a configuração de rede dos recursos do Azure. Você também pode usar definições de política internas relacionadas aos recursos específicos. Além disso, você pode usar a Automação do Azure para implantar alterações de configuração.
7.8: Implantar ferramentas de gerenciamento de configuração para sistemas operacionais
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7,8 | 5.4 | Cliente |
Azure Automation State Configuration é um serviço de gerenciamento de configuração para nós de DSC (Configuração do Estado Desejado) em qualquer nuvem ou datacenter local. Você pode integrar facilmente computadores, atribuir-lhes configurações declarativas e exibir relatórios mostrando a conformidade de cada computador com o estado desejado especificado.
7.9: Implementar o monitoramento de configuração automatizado para recursos do Azure
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.9 | 5.5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base para seus Recursos do Azure. Além disso, use o Azure Policy para alertar e auditar as configurações de recursos do Azure.
7.10: Implementar o monitoramento de configuração automatizado para sistemas operacionais
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.10 | 5.5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base para o sistema operacional e as Configurações do Docker para contêineres.
7.11: Gerenciar segredos do Azure com segurança
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.11 | 13.1 | Cliente |
Use a Identidade de Serviço Gerenciada em conjunto com o Azure Key Vault para simplificar e proteger o gerenciamento de segredos para seus aplicativos de nuvem.
7.12: Gerenciar identidades de forma segura e automática
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.12 | 4.1 | Cliente |
Use identidades gerenciadas para fornecer aos serviços do Azure uma identidade gerenciada automaticamente no Azure AD. As Identidades Gerenciadas permitem que você se autentique em qualquer serviço que dê suporte à autenticação do Azure AD, incluindo o Key Vault, sem credenciais em seu código.
7.13: Eliminar a exposição não intencional de credenciais
| Azure ID | IDs de CIS | Responsabilidade |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
Implemente o Verificador de Credenciais para identificar credenciais dentro do código. O Verificador de Credenciais também incentivará a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Próximas etapas
- Consulte o próximo controle de segurança: defesa contra malware