Compartilhar via

Controle de Segurança v3: Governança e estratégia

Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-1: alinhar funções e responsabilidades da organização

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Diretrizes do Azure: verifique se você define e comunica uma estratégia clara para funções e responsabilidades em sua organização de segurança. Priorize a prestação de contas clara para decisões de segurança, educando todos sobre o modelo de responsabilidade compartilhada e eduque as equipes técnicas sobre tecnologia para proteger a nuvem.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-2: definir e implementar estratégia de segmentação/separação de tarefas da empresa

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Diretrizes do Azure: estabeleça uma estratégia de toda a empresa para segmentar o acesso a ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.

Balancee cuidadosamente a necessidade de separação de segurança com a necessidade de habilitar a operação diária dos sistemas que precisam se comunicar entre si e acessar dados.

Verifique se a estratégia de segmentação é implementada consistentemente na carga de trabalho, incluindo segurança de rede, modelos de identidade e acesso e modelos de permissão/acesso do aplicativo e controles de processo humano.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-3: definir e implementar estratégia de proteção de dados

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Diretrizes do Azure: estabeleça uma estratégia de toda a empresa para proteção de dados no Azure:

  • Defina e aplique o padrão de classificação e proteção de dados de acordo com o padrão de gerenciamento de dados corporativo e a conformidade regulatória para ditar os controles de segurança necessários para cada nível da classificação de dados.
  • Configure sua hierarquia de gerenciamento de recursos de nuvem alinhada à estratégia de segmentação empresarial. A estratégia de segmentação empresarial também deve ser informada pela localização de sistemas e dados confidenciais ou comercialmente críticos.
  • Defina e aplique os princípios de confiança zero aplicáveis em seu ambiente de nuvem para evitar a implementação de confiança com base no local da rede dentro de um perímetro. Em vez disso, use declarações de confiança do dispositivo e do usuário para bloquear o acesso a dados e recursos.
  • Acompanhe e minimize o volume de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir o custo da superfície de ataque e da proteção de dados. Considere técnicas como hash unidirecional, truncamento e tokenização na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais em sua forma original.
  • Verifique se você tem uma estratégia de controle de ciclo de vida completa para fornecer garantia de segurança dos dados e das chaves de acesso.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-4: definir e implementar estratégia de segurança de rede

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Diretrizes do Azure: estabeleça uma estratégia de segurança de rede do Azure como parte da estratégia de segurança geral da sua organização para o controle de acesso. Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes elementos:

  • Crie um modelo de responsabilidade de segurança e gerenciamento de rede centralizado/descentralizado para implantar e manter recursos de rede.
  • Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial.
  • Uma estratégia de entrada e saída da Internet.
  • Uma estratégia de interconectividade de nuvem híbrida e local.
  • Uma estratégia de monitoramento e registro em log de rede.
  • Artefatos de segurança de rede atualizados up-to(como diagramas de rede, arquitetura de rede de referência).

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-5: definir e implementar estratégia de gerenciamento de postura de segurança

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Diretrizes do Azure: estabeleça uma política, um procedimento e um padrão para garantir que o gerenciamento de configurações de segurança e o gerenciamento de vulnerabilidades estejam em vigor em seu mandato de segurança na nuvem.

O gerenciamento de configuração de segurança no Azure deve incluir as seguintes áreas:

  • Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem, como o portal do Azure, o plano de gerenciamento e controle e os recursos em execução nos serviços IaaS, PaaS e SaaS.
  • Verifique se as linhas de base de segurança abordam os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
  • Use ferramentas para medir, auditar e impor continuamente a configuração para impedir que a configuração se desvie da linha de base.
  • Desenvolva uma cadência para manter a atualização com os recursos de segurança do Azure, por exemplo, assine as atualizações de serviço.
  • Utilize a Pontuação Segura no Azure Defender para Nuvem para examinar regularmente a postura de configuração de segurança do Azure e corrigir as lacunas identificadas.

O gerenciamento de vulnerabilidades no Azure deve incluir os seguintes aspectos de segurança:

  • Avalie e corrija regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos do Azure, sistemas operacionais e componentes de aplicativos.
  • Use uma abordagem baseada em risco para priorizar a avaliação e a correção.
  • Assine os avisos e blogs de consultoria de segurança relevantes da Microsoft/Azure para receber as atualizações de segurança mais recentes sobre o Azure.
  • Verifique se a avaliação e a correção de vulnerabilidades (como agendamento, escopo e técnicas) atendem aos requisitos de conformidade regular para sua organização.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-6: definir e implementar estratégia de identidade e acesso privilegiado

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Diretrizes do Azure: estabeleça uma identidade do Azure e uma abordagem de acesso privilegiado como parte da estratégia geral de controle de acesso de segurança da sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados para os seguintes aspectos:

  • Sistema centralizado de identidade e autenticação (Azure AD) e sua interconectividade com outros sistemas de identidade internos e externos
  • Identidade privilegiada e governança de acesso (como solicitação de acesso, revisão e aprovação)
  • Contas privilegiadas em situação de emergência (quebra-vidro)
  • Métodos de autenticação forte (autenticação sem senha e autenticação multifator) em diferentes casos de uso e condições
  • Proteger o acesso por operações administrativas por meio do portal do Azure, da CLI e da API.

Para casos de exceção, em que um sistema empresarial não é usado, verifique se os controles de segurança adequados estão em vigor para gerenciamento de identidade, autenticação e acesso e governança. Essas exceções devem ser aprovadas e revisadas periodicamente pela equipe corporativa. Essas exceções geralmente são em casos como:

  • Uso de um sistema de autenticação e identidade não empresarial designado, como sistemas de terceiros baseados em nuvem (podem introduzir riscos desconhecidos)
  • Usuários privilegiados autenticados localmente e/ou usam métodos de autenticação não fortes

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-7: definir e implementar log, detecção de ameaças e estratégia de resposta a incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Diretrizes do Azure: estabeleça uma estratégia de registro em log, detecção de ameaças e resposta a incidentes para detectar e corrigir rapidamente ameaças e atender aos requisitos de conformidade. A equipe de operações de segurança (SecOps/SOC) deve priorizar alertas de alta qualidade e experiências perfeitas para que possam se concentrar em ameaças em vez de integração de logs e etapas manuais.

Essa estratégia deve incluir política, procedimento e padrões documentados para os seguintes aspectos:

  • A função e as responsabilidades da organização de operações de segurança (SecOps)
  • Um plano de resposta a incidentes bem definido e regularmente testado e um processo de tratamento alinhado com nist ou outras estruturas do setor.
  • Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas de interesse.
  • Preferência de usar recursos XDR (detecção e resposta estendidas), como recursos do Azure Defender, para detectar ameaças em várias áreas.
  • Uso da funcionalidade nativa do Azure (por exemplo, como o Microsoft Defender para Nuvem) e plataformas de terceiros para tratamento de incidentes, como registro em log e detecção de ameaças, perícia e correção e erradicação de ataques.
  • Defina os principais cenários (como detecção de ameaças, resposta a incidentes e conformidade) e configure a captura e a retenção de log para atender aos requisitos de cenário.
  • Visibilidade centralizada e informações de correlação sobre ameaças, usando SIEM, funcionalidade nativa de detecção de ameaças do Azure e outras fontes.
  • Atividades pós-incidente, como lições aprendidas e retenção de evidências.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-8: definir e implementar estratégia de backup e recuperação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Diretrizes do Azure: estabeleça uma estratégia de backup e recuperação do Azure para sua organização. Essa estratégia deve incluir diretrizes, políticas e padrões documentados nos seguintes aspectos:

  • RTO (objetivo de tempo de recuperação) e definições de RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios e requisitos de conformidade regulatória.
  • Design de redundância (incluindo backup, restauração e replicação) em seus aplicativos e infraestrutura para nuvem e local. Considere regiões, pares de regiões, recuperação entre regiões e locais de armazenamento fora do local como parte de sua estratégia.
  • Proteção do backup contra acesso não autorizado e alterações, com o uso de controles como controle de acesso a dados, criptografia e segurança de rede.
  • Uso de backup e recuperação para atenuar os riscos de ameaças emergentes, como ataque de ransomware. Além disso, proteja os próprios dados de backup e recuperação desses ataques.
  • Monitorando os dados e as operações de backup e recuperação para fins de auditoria e alertas.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-9: definir e implementar estratégia de segurança do ponto de extremidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Diretrizes do Azure: estabeleça uma estratégia de segurança de ponto de extremidade de nuvem que inclui os seguintes aspectos:

  • Implemente a capacidade de detecção e resposta a ameaças no dispositivo e antimalware no seu dispositivo e integre-as à solução SIEM e ao processo de operações de segurança e detecção de ameaças.
  • Siga o Azure Security Benchmark para garantir que as configurações de segurança relacionadas ao ponto de extremidade em outras áreas (como segurança de rede, gerenciamento de vulnerabilidades de postura, acesso privilegiado e registro em log e detecções de ameaças) também estejam em vigor para fornecer uma proteção de defesa detalhada para seu ponto de extremidade.
  • Priorize a segurança do ponto de extremidade em seu ambiente de produção, mas verifique se os ambientes de não produção (como o ambiente de teste e build usado no processo de DevOps) também são protegidos e monitorados, pois esses ambientes também podem ser usados para introduzir o malware e as vulnerabilidades na produção.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):

GS-10: definir e implementar estratégia de segurança DevOps

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Diretrizes do Azure: obrigar os controles de segurança como parte do padrão de engenharia e operação do DevOps da organização. Defina os objetivos de segurança, os requisitos de controle e as especificações de ferramentas de acordo com os padrões de segurança corporativa e de nuvem em sua organização.

Incentive o uso do DevOps como um modelo operacional essencial em sua organização para obter seus benefícios na identificação e correção rápida de vulnerabilidades usando diferentes tipos de automações (como infraestrutura como provisionamento de código e verificação sast e DAST automatizada) em todo o fluxo de trabalho de CI/CD. Essa abordagem "shift left" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes em seu pipeline de entrega, implementando barreiras de segurança no ambiente de forma antecipada para evitar surpresas de segurança de última hora ao colocar uma carga de trabalho em produção.

Ao transferir os controles de segurança para as fases de pré-implantação, implemente os guardrails de segurança para garantir que os controles sejam implantados e aplicados em todo o processo de DevOps. Essa tecnologia pode incluir modelos do ARM do Azure para definir guardrails na IaC (infraestrutura como código), provisionamento de recursos e Azure Policy para auditar e restringir quais serviços ou configurações podem ser provisionados no ambiente.

Para os controles de segurança em tempo de execução da carga de trabalho, siga o Azure Security Benchmark para projetar e implementar controles eficazes, como identidade e acesso privilegiado, segurança de rede, segurança de ponto de extremidade e proteção de dados nos aplicativos e serviços da sua carga de trabalho.

Implementação e contexto adicional:

Partes Interessadas na Segurança do Cliente (Saiba mais):