Entender a linha de base de segurança da plataforma Azure
O grupo de segurança cibernética da Microsoft e o CIS (Center for Internet Security) desenvolveram melhores práticas para ajudar a estabelecer linhas de base de segurança para a plataforma Azure.
Inicialmente, a Microsoft estabeleceu uma parceria com o CIS para o desenvolvimento de uma VM (máquina virtual) do Azure protegida pronta para uso. Em seguida, uma iniciativa começou a criar um CIS Benchmark, um documento que detalha as melhores práticas do CIS, para os serviços e ferramentas de segurança do Azure a fim de facilitar a segurança e a conformidade para os aplicativos de clientes em execução nos serviços do Azure.
Dica
O CIS Microsoft Azure Foundations Security Benchmark v.1.3.0 fornece diretrizes prescritivas para estabelecer uma configuração de linha de base segura para o Azure. Esse guia foi testado em relação aos serviços do Azure listados a partir de fevereiro de 2021. O escopo desse parâmetro de comparação é estabelecer o nível básico de segurança para qualquer pessoa que adotar o Azure.
Criar uma linha de base de segurança de plataforma
Vários padrões de segurança podem ajudar os clientes do serviço de nuvem a ter segurança de carga de trabalho ao usar os serviços de nuvem. Os agrupamentos de tecnologia recomendados a seguir ajudam a criar cargas de trabalho seguras habilitadas para a nuvem. Essas recomendações não são uma lista completa de todas as possíveis configurações e arquiteturas de segurança. Essas recomendações de linha de base de segurança são um ponto de partida.
O CIS tem dois níveis de implementação e várias categorias de recomendações:
Nível 1 – configurações de segurança mínimas recomendadas
- Devem ser configuradas em todos os sistemas.
- Essas configurações devem causar pouca ou nenhuma interrupção de serviços e redução de funcionalidade.
Nível 2 – recomendações para ambientes altamente seguros
- Podem resultar em funcionalidade reduzida.
A seguinte tabela fornece as categorias e o número de recomendações feitas para cada categoria no CIS Microsoft Azure Foundations Security Benchmark v.1.3.0:
| Grupo de tecnologia | Descrição | Número de recomendações |
|---|---|---|
| IAM (Gerenciamento de Identidades e Acesso) | Recomendações relacionadas a políticas de IAM | 23 |
| Microsoft Defender para Nuvem | Recomendações relacionados à configuração e ao uso do Microsoft Defender para Nuvem | 19 |
| Contas de armazenamento | Recomendações para definir políticas de conta de armazenamento | 7 |
| Banco de Dados SQL do Azure | Recomendações para ajudar a proteger Bancos de Dados SQL do Azure | 8 |
| Monitoramento e registro em log | Recomendações para definir políticas de monitoramento e log para as assinaturas do Azure | 13 |
| Rede | Recomendações para ajudar a configurar com segurança as configurações e políticas de rede do Azure | 5 |
| VMs | Recomendações para definir políticas de segurança para os serviços de computação do Azure, especificamente as VMs | 6 |
| Outras | Recomendações sobre segurança geral e controles operacionais, incluindo aquelas relacionadas a bloqueios de recursos e ao Azure Key Vault | 3 |
| Total recomendadas | 84 |
Vamos explorar cada categoria mais detalhadamente.