Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Gerenciamento de Posturas e Vulnerabilidades se concentra em controles para avaliar e melhorar a postura de segurança do Azure, incluindo verificação de vulnerabilidades, teste de penetração e correção, bem como acompanhamento de configuração de segurança, relatórios e correção em recursos do Azure.
PV-1: .definir e estabelecer configurações seguras
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Princípio de Segurança: Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem. Como alternativa, use as ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ser compatível por padrão após a implantação.
Diretrizes do Azure: Use o Azure Security Benchmark e a linha de base de serviço para definir sua linha de base de configuração para cada oferta ou serviço do Azure. Consulte a arquitetura de referência do Azure e a arquitetura da zona de destino do Cloud Adoption Framework para entender os controles de segurança críticos e as configurações que podem ser necessárias nos recursos do Azure.
Use o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativo, incluindo modelos do Azure Resource Manager, controles do RBAC do Azure e políticas, em uma única definição de blueprint.
Implementação e contexto adicional:
- Ilustração da implementação de regras de proteção na Zona de Pouso em Escala Empresarial
- Trabalhando com políticas de segurança no Microsoft Defender para Nuvem
- Tutorial: Criar e gerenciar políticas para impor a conformidade
- Azure Blueprints
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-2: auditar e impor configurações seguras
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Princípio de Segurança: Monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração.
Diretrizes do Azure: Use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detectado nos recursos.
Use a regra [negar] e [implantar se não existir] do Azure Policy para impor a configuração segura nos recursos do Azure.
Para auditorias e imposição da configuração de recursos que não são suportadas pelo Azure Policy, talvez seja necessário escrever seus próprios scripts ou usar ferramentas de terceiros para implementar a auditoria e a imposição da configuração.
Implementação e contexto adicional:
- Entender os efeitos do Azure Policy
- Criar e gerenciar políticas para impor a conformidade
- Obter dados de conformidade dos recursos do Azure
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-3: definir e estabelecer configurações seguras para recursos de computação
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de Segurança: Defina as linhas de base de configuração seguras para seus recursos de computação, como VMs e contêineres. Use ferramentas de gerenciamento de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implantação de recursos de computação para que o ambiente possa ser compatível por padrão após a implantação. Como alternativa, use uma imagem pré-configurada para criar a linha de base de configuração desejada no modelo de imagem de recurso de computação.
Diretrizes do Azure: Use a linha de base do sistema operacional recomendada do Azure (para Windows e Linux) como um parâmetro de comparação para definir a linha de base de configuração de recursos de computação.
Além disso, você pode usar imagem de VM personalizada ou imagem de contêiner com a configuração de convidado do Azure Policy e a Configuração de Estado de Automação do Azure para estabelecer a configuração de segurança desejada.
Implementação e contexto adicional:
- Linha de base de configuração de segurança do sistema operacional Linux
- Linha de base de configuração de segurança do sistema operacional Windows
- Recomendação de configuração de segurança para recursos de computação
- Visão geral da Configuração de Estado da Automação do Azure
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-4: auditar e impor configurações seguras para recursos de computação
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de Segurança: Monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida em seus recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração em recursos de computação.
Diretrizes do Azure: Use o agente de configuração convidado do Microsoft Defender para Nuvem e do Azure Policy para avaliar e corrigir regularmente os desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou a Configuração de Estado de Automação do Azure para manter a configuração de segurança do sistema operacional. Os modelos de VM da Microsoft em conjunto com a Configuração de Estado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança.
Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.
Implementação e contexto adicional:
- Como implementar recomendações de avaliação de vulnerabilidade do Microsoft Defender para Nuvem
- Como criar uma máquina virtual do Azure a partir de um modelo do ARM
- Visão geral da Configuração de Estado da Automação do Azure
- Criar uma máquina virtual do Windows no portal do Azure
- Segurança de contêiner no Microsoft Defender para Nuvem
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-5: executar avaliações de vulnerabilidade
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Princípio de Segurança: Execute a avaliação de vulnerabilidades para seus recursos de nuvem em todas as camadas em um agendamento fixo ou sob demanda. Acompanhe e compare os resultados da verificação para verificar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços do Azure, rede, Web, sistemas operacionais, configurações incorretas e assim por diante.
Lembre-se dos riscos potenciais associados ao acesso privilegiado usado pelos scanners de vulnerabilidade. Siga as práticas recomendadas de segurança de acesso privilegiado para proteger as contas administrativas usadas para a verificação.
Diretrizes do Azure: Siga as recomendações do Microsoft Defender para Nuvem para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL. O Microsoft Defender para Nuvem tem um verificador de vulnerabilidades interno para verificação de máquina virtual. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos Web)
Exporte os resultados da verificação em intervalos consistentes e compare os resultados com verificações anteriores para verificar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pelo Microsoft Defender para Nuvem, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.
Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar a metodologia de provisionamento JIT (Just-In-Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.
Observação: os serviços do Azure Defender (incluindo o Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS) inseriram determinadas funcionalidades de avaliação de vulnerabilidade. Os alertas gerados dos serviços do Azure Defender devem ser monitorados e revisados junto com o resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender para Nuvem.
Observação: verifique se as notificações de email de instalação estão no Microsoft Defender para Nuvem.
Implementação e contexto adicional:
- Como implementar recomendações de avaliação de vulnerabilidade do Microsoft Defender para Nuvem
- Verificador de vulnerabilidade integrado para máquinas virtuais
- de avaliação de vulnerabilidade do SQL
- Exportando os resultados da verificação de vulnerabilidades do Microsoft Defender para Nuvem
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-6: corrigir vulnerabilidades de forma rápida e automática
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: CORREÇÃO DE FALHA | 6.1, 6.2, 6.5, 11.2 |
Princípio de Segurança: Implante rapidamente e automaticamente patches e atualizações para corrigir vulnerabilidades em seus recursos de nuvem. Use a abordagem apropriada baseada em risco para priorizar a correção das vulnerabilidades. Por exemplo, vulnerabilidades mais graves em um ativo de valor mais alto devem ser tratadas como uma prioridade mais alta.
Diretrizes do Azure: Use o Gerenciamento de Atualizações de Automação do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para ser atualizado automaticamente.
Para software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o System Center Updates Publisher for Configuration Manager.
Priorize quais atualizações serão implantadas primeiro usando um programa de pontuação de risco comum (como o Common Vulnerability Score System) ou as classificações de risco padrão fornecidas pela ferramenta de verificação de terceiros e adaptá-la ao seu ambiente. Você também deve considerar quais aplicativos apresentam um alto risco de segurança e quais exigem alto tempo de atividade.
Implementação e contexto adicional:
- Como configurar o Gerenciamento de Atualizações para máquinas virtuais no Azure
- Gerenciar atualizações e patches para suas VMs do Azure
Partes Interessadas em Segurança do Cliente (Saiba mais):
PV-7: conduzir operações regulares de equipe vermelha
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Princípio de Segurança: Simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações de equipe vermelha e os testes de penetração complementam a abordagem tradicional de verificação de vulnerabilidades para descobrir riscos.
Siga as práticas recomendadas do setor para projetar, preparar e realizar esse tipo de teste para garantir que ele não causará danos ou interrupções em seu ambiente. Isso sempre deve incluir a discussão de escopo de teste e restrições com stakeholders relevantes e proprietários de recursos.
Diretrizes do Azure: Conforme necessário, realize testes de penetração ou atividades de equipe vermelhas em seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança.
Siga as Regras de Participação de Testes de Penetração na Nuvem da Microsoft para garantir que seus testes de penetração não violem as políticas da Microsoft. Use a estratégia e a execução do Red Teaming da Microsoft e testes de penetração em sites ativos contra a infraestrutura de nuvem, serviços e aplicativos gerenciados pela Microsoft.
Implementação e contexto adicional:
- Teste de penetração no Azure
- Regras de engajamento para testes de penetração
- Microsoft Cloud Red Teaming
- Guia técnico para teste e avaliação de segurança da informação
Partes Interessadas em Segurança do Cliente (Saiba mais):