Controle de segurança v2: gerenciamento de vulnerabilidades e postura

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

O gerenciamento de vulnerabilidades e postura se concentra em controles para avaliar e melhorar a postura de segurança do Azure. Isso inclui verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção nos recursos do Azure.

Para ver as informações internas aplicáveis do Azure Policy, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: gerenciamento de vulnerabilidades e postura

PV-1: estabelecer configurações seguras para os serviços do Azure

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-1 5.1 CM-2, CM-6

Defina grades de proteção para equipes de infraestrutura e DevOps, facilitando a configuração segura dos serviços utilizados do Azure.

Inicie a configuração de segurança dos serviços do Azure com as linhas de base de serviço no Azure Security Benchmark e personalize conforme necessário para sua organização.

Use a Central de Segurança do Azure para configurar o Azure Policy para auditar e impor configurações dos seus recursos do Azure.

Use o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles do Azure RBAC e políticas em uma única definição de blueprint.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-2: manter configurações seguras para os serviços do Azure

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-2 5.2 CM-2, CM-6

Use a Central de Segurança do Azure para monitorar a linha de base de configuração e use a regra [negar] e [implantar se não houver] do Azure Policy para impor a configuração segura nos recursos de computação do Azure, incluindo VMs, contêineres e outros.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-3: Estabelecer configurações seguras para recursos de computação

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-3 5.1 CM-2, CM-6

Use a Central de Segurança do Azure e o Azure Policy para estabelecer configurações seguras em todos os recursos de computação, incluindo VMs, contêineres e outros. Além disso, você pode usar imagens personalizadas do sistema operacional ou o State Configuration da Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigido pela sua organização.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-4: manter configurações seguras para recursos de computação

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-4 5.2 CM-2, CM-6

Use a Central de Segurança do Azure e o Azure Policy para avaliar e corrigir regularmente os riscos de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos de Azure Resource Manager, imagens do sistema operacional personalizado ou o State Configuration da Automação do Azure para manter a configuração de segurança do sistema operacional que a sua organização exige. Os modelos de VM da Microsoft em conjunto com o State Configuration da Automação do Azure podem ajudar no atendimento e manutenção dos requisitos de segurança.

Além disso, observe que as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

A Central de Segurança do Azure também pode examinar vulnerabilidades na imagem de contêiner e executa o monitoramento contínuo da configuração do Docker em contêineres com base no CIS Docker Benchmark. Use a página de recomendações da Central de Segurança do Azure para exibir recomendações e corrigir problemas.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):

PV-5: armazenar com segurança imagens de contêiner e do sistema operacional personalizado

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-5 5,3 CM-2, CM-6

Use o RBAC (controle de acesso baseado em função) do Azure para garantir que somente usuários autorizados possam acessar suas imagens personalizadas. Use uma Galeria de Imagens Compartilhadas do Azure para compartilhar suas imagens com diferentes usuários, entidades de serviço ou grupos do AD na sua organização. Armazene imagens de contêiner no Registro de Contêiner do Azure e use o RBAC do Azure para garantir que somente usuários autorizados tenham acesso.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-6: executar avaliações de vulnerabilidade de software

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Siga as recomendações da Central de Segurança do Azure para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêineres e servidores SQL. A Central de Segurança do Azure tem um scanner de vulnerabilidades interno para verificar as máquinas virtuais.

Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos Web. Ao realizar verificações remotas, não use uma conta administrativa perpétua individual. Considere implementar a metodologia de provisionamento JIT (just-in-time) para a conta de verificação. As credenciais para a conta de verificação devem ser protegidas, monitoradas e usadas somente para verificação de vulnerabilidade.

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar as recomendações de gerenciamento de vulnerabilidade sugeridas pela Central de Segurança do Azure, você pode direcionar o portal da solução de verificação selecionada para exibir dados de verificação históricos.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-7: corrigir de maneira rápida e automática as vulnerabilidades de software

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-7 3.7 CA-2, RA-5, SI-2

implante atualizações de software rapidamente para corrigir vulnerabilidades de software em sistemas operacionais e aplicativos.

Use um programa comum de classificação de risco (como o Common Vulnerability Scoring System) ou as classificações de risco padrão fornecidas pela sua ferramenta de verificação de terceiros e personalize-as de acordo com o seu ambiente, levando em conta quais aplicativos apresentam um alto risco de segurança e quais exigem um tempo de atividade alto.

Use o Gerenciamento de Atualizações da Automação do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.

Para software de terceiros, use uma solução de gerenciamento de patches de terceiros ou o System Center Updates Publisher para o Configuration Manager.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

PV-8: realizar uma simulação de ataque regular

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-8 20 CA-8, CA-2, RA-5

conforme necessário, realize testes de penetração ou atividades de equipe vermelhas nos seus recursos do Azure e garanta a correção de todas as conclusões de segurança críticas. Siga as Regras de Participação no Teste de Penetração do Microsoft Cloud para garantir que os testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft, a execução de Equipes Vermelhas e os testes de penetração de sites online na infraestrutura, nos serviços e nos aplicativos de nuvem gerenciados pela Microsoft.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):