Compartilhar via

Controle de Segurança V2: Gerenciamento de Posturas e Vulnerabilidades

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

O Gerenciamento de Posturas e Vulnerabilidades concentra-se em controles para avaliar e melhorar a postura de segurança do Azure. Isso inclui verificação de vulnerabilidades, teste de penetração e correção, bem como controle de configuração de segurança, relatório e correção em recursos do Azure.

Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Postura e Gerenciamento de Vulnerabilidades

PV-1: estabelecer configurações seguras para serviços do Azure

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-1 5.1 CM-2, CM-6

Defina os guardrails de segurança para as equipes de infraestrutura e DevOps, facilitando a configuração segura dos serviços do Azure que eles usam.

Inicie a configuração de segurança dos serviços do Azure com as linhas de base de serviço no Azure Security Benchmark e personalize conforme necessário para sua organização.

Use a Central de Segurança do Azure para configurar o Azure Policy para auditar e impor configurações de seus recursos do Azure.

Você pode usar o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles do RBAC do Azure e políticas, em uma única definição de blueprint.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-2: manter configurações seguras para serviços do Azure

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-2 5.2 CM-2, CM-6

Use a Central de Segurança do Azure para monitorar sua linha de base de configuração e usar a regra do Azure Policy [negar] e [implantar se não existir] para impor a configuração segura em recursos de computação do Azure, incluindo VMs, contêineres e outros.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-3: estabelecer configurações seguras para recursos de computação

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-3 5.1 CM-2, CM-6

Use a Central de Segurança do Azure e o Azure Policy para estabelecer configurações seguras em todos os recursos de computação, incluindo VMs, contêineres e outras, além disso, você pode usar imagens personalizadas do sistema operacional ou a Configuração de Estado de Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigida pela sua organização.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-4: manter configurações seguras para recursos de computação

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-4 5.2 CM-2, CM-6

Use a Central de Segurança do Azure e o Azure Policy para avaliar e corrigir regularmente os riscos de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou a Configuração de Estado de Automação do Azure para manter a configuração de segurança do sistema operacional exigido pela sua organização. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança.

Além disso, observe que as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

A Central de Segurança do Azure também pode verificar vulnerabilidades em imagens de contêiner e executar o monitoramento contínuo da configuração do Docker em contêineres, com base no CIS Docker Benchmark. Você pode usar a página de recomendações da Central de Segurança do Azure para exibir recomendações e corrigir problemas.

Responsabilidade: Compartilhado

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-5: armazenar com segurança imagens personalizadas do sistema operacional e do contêiner

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-5 5.3 CM-2, CM-6

Use o RBAC (controle de acesso baseado em função) do Azure para garantir que somente usuários autorizados possam acessar suas imagens personalizadas. Use uma Galeria de Imagens Compartilhadas do Azure para compartilhar suas imagens para diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Armazene imagens de contêiner no Registro de Contêiner do Azure e use o RBAC do Azure para garantir que somente usuários autorizados tenham acesso.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-6: executar avaliações de vulnerabilidade de software

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Siga as recomendações da Central de Segurança do Azure para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. A Central de Segurança do Azure tem um verificador de vulnerabilidade interno para verificar máquinas virtuais.

Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos Web. Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar a metodologia de provisionamento JIT (Just-In-Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pela Central de Segurança do Azure, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-7: corrigir vulnerabilidades de software de forma rápida e automática

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-7 3.7 CA-2, RA-5, SI-2

Implantar rapidamente atualizações de software para corrigir vulnerabilidades de software em sistemas operacionais e aplicativos.

Use um programa de pontuação de risco comum (como o Common Vulnerability Score System) ou as classificações de risco padrão fornecidas pela ferramenta de verificação de terceiros e adapte-se ao seu ambiente, levando em conta quais aplicativos apresentam um alto risco de segurança e quais exigem tempo de atividade alto.

Use o Gerenciamento de Atualizações de Automação do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para ser atualizado automaticamente.

Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o System Center Updates Publisher for Configuration Manager.

Responsabilidade: Cliente

Partes Interessadas de Segurança do Cliente (Saiba mais):

PV-8: Realizar simulação de ataque regular

Azure ID ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
PV-8 20 CA-8, CA-2, RA-5

Conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança. Siga as Regras de Participação de Testes de Penetração na Nuvem da Microsoft para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia e a execução do Red Teaming da Microsoft e testes de penetração em sites ativos contra a infraestrutura de nuvem, serviços e aplicativos gerenciados pela Microsoft.

Responsabilidade: Compartilhado

Partes Interessadas de Segurança do Cliente (Saiba mais):