Recomendações para estabelecer uma linha de base de segurança
Aplica-se à recomendação da lista de verificação de segurança do Azure Well-Architected Framework:
| SE:01 | Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Meça regularmente sua arquitetura de carga de trabalho e operações em relação à linha de base para manter ou melhorar sua postura de segurança ao longo do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança. Uma linha de base de segurança é um documento que especifica os requisitos mínimos de segurança e as expectativas da sua organização em uma variedade de áreas. Uma boa linha de base de segurança ajuda-o a:
- Mantenha os seus dados e sistemas seguros.
- Cumprir os requisitos regulamentares.
- Minimizar o risco de supervisão.
- Reduza a probabilidade de violações e subsequentes efeitos comerciais.
As linhas de base de segurança devem ser amplamente publicadas em toda a organização para que todas as partes interessadas estejam cientes das expectativas.
Este guia fornece recomendações sobre como definir uma linha de base de segurança baseada em fatores internos e externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Os fatores externos incluem referências do setor e normas regulamentares.
Definições
| Termo | Definição |
|---|---|
| Linha de base | O nível mínimo de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Referência | Um padrão que significa a postura de segurança que a organização aspira. É avaliado, medido e melhorado ao longo do tempo. |
| Controlos | Controles técnicos ou operacionais sobre a carga de trabalho que ajudam a prevenir ataques e aumentar os custos dos invasores. |
| Requisitos regulamentares | Um conjunto de requisitos de negócios, impulsionados pelos padrões da indústria, que as leis e autoridades impõem. |
Principais estratégias de design
Uma linha de base de segurança é um documento estruturado que define um conjunto de critérios de segurança e recursos que a carga de trabalho deve cumprir para aumentar a segurança. Em um formulário mais maduro, você pode estender uma linha de base para incluir um conjunto de políticas que você usa para definir guarda-corpos.
A linha de base deve ser considerada o padrão para medir a sua postura de segurança. O objetivo deve ser sempre a plena realização, mantendo um âmbito alargado.
Sua linha de base de segurança nunca deve ser um esforço ad hoc. Os padrões do setor, os requisitos de conformidade (internos ou externos) ou regulamentares, os requisitos regionais e os benchmarks da plataforma de nuvem são os principais impulsionadores da linha de base. Os exemplos incluem o Center for Internet Security (CIS) Controls, o National Institute of Standards and Technology (NIST) e padrões orientados por plataforma, como o Microsoft cloud security benchmark (MCSB). Todos esses padrões são considerados um ponto de partida para sua linha de base. Construa a base incorporando os requisitos de segurança dos requisitos de negócios.
Para obter links para os ativos anteriores, consulte Links relacionados.
Crie a linha de base obtendo consenso entre os líderes técnicos e de negócios. A linha de base não deve restringir-se aos controlos técnicos. Deve também incluir os aspetos operacionais da gestão e manutenção da postura de segurança. Assim, o documento de base também serve como o compromisso da organização com o investimento em segurança da carga de trabalho. O documento de linha de base de segurança deve ser distribuído amplamente em sua organização para garantir que haja conhecimento sobre a postura de segurança da carga de trabalho.
À medida que a carga de trabalho cresce e o ecossistema evolui, é vital manter sua linha de base sincronizada com as mudanças para garantir que os controles fundamentais ainda sejam eficazes.
Criar uma linha de base é um processo metódico. Aqui estão algumas recomendações sobre o processo:
Inventário de ativos. Identifique as partes interessadas dos ativos de carga de trabalho e os objetivos de segurança para esses ativos. No inventário de ativos, classifique por requisitos de segurança e criticidade. Para obter informações sobre ativos de dados, consulte Recomendações sobre classificação de dados.
Avaliação de riscos. Identifique os riscos potenciais associados a cada ativo e priorize-os.
Requisitos de conformidade. Faça uma linha de base de qualquer regulamentação ou conformidade para esses ativos e aplique as práticas recomendadas do setor.
Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada ativo. Se possível, crie modelos ou encontre uma maneira repetível e automatizada de aplicar as configurações de forma consistente em todo o ambiente.
Controlo de acessos e autenticação. Especifique os requisitos de controle de acesso baseado em função (RBAC) e autenticação multifator (MFA). Documente o que significa apenas acesso suficiente no nível do ativo. Comece sempre pelo princípio do menor privilégio.
Gestão de patches. Aplique as versões mais recentes em todos os tipos de recursos para fortalecer contra ataques.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunicar os detalhes às partes interessadas relevantes.
Aplicação e responsabilização. Estabelecer mecanismos de aplicação claros e consequências para o incumprimento da base de referência de segurança. Responsabilizar indivíduos e equipes pela manutenção dos padrões de segurança.
Monitorização contínua. Avalie a eficácia da linha de base de segurança através da observabilidade e faça melhorias ao longo do tempo.
Definir a linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista a seguir não é exaustiva. Pretende-se que seja uma visão geral do âmbito do documento.
Conformidade regulamentar
Uma carga de trabalho pode estar sujeita à conformidade regulatória para segmentos específicos do setor, pode haver algumas restrições geográficas e assim por diante. É fundamental entender os requisitos conforme dados nas especificações regulamentares, porque eles influenciam as escolhas de design e, em alguns casos, devem ser incluídos na arquitetura.
A base de referência deve incluir uma avaliação regular do volume de trabalho em relação aos requisitos regulamentares. Aproveite as ferramentas fornecidas pela plataforma, como o Microsoft Defender for Cloud, que podem identificar áreas de não conformidade. Trabalhe com a equipe de conformidade da organização para garantir que todos os requisitos sejam atendidos e mantidos.
Componentes da arquitetura
A linha de base necessita de recomendações prescritivas para os principais componentes da carga de trabalho. Estes geralmente incluem controles técnicos para rede, identidade, computação e dados. Faça referência às linhas de base de segurança fornecidas pela plataforma e adicione os controles ausentes à arquitetura.
Consulte o exemplo.
Processos de desenvolvimento
A linha de base deve conter recomendações sobre:
- Classificação do sistema.
- O conjunto aprovado de tipos de recursos.
- Acompanhamento dos recursos.
- Imposição de políticas para usar ou configurar recursos.
A equipe de desenvolvimento precisa ter uma compreensão clara do escopo das verificações de segurança. Por exemplo, a modelagem de ameaças é um requisito para garantir que ameaças potenciais sejam identificadas no código e nos pipelines de implantação. Seja específico sobre verificações estáticas e varreduras de vulnerabilidades em seu pipeline e com que frequência a equipe precisa executar essas varreduras.
Para obter mais informações, consulte Recomendações sobre análise de ameaças.
O processo de desenvolvimento deve também estabelecer normas sobre várias metodologias de ensaio e a sua cadência. Para obter mais informações, consulte Recomendações sobre testes de segurança.
Operações
A linha de base deve estabelecer normas sobre a utilização de capacidades de deteção de ameaças e a emissão de alertas sobre atividades anómalas que indiquem incidentes reais. A deteção de ameaças precisa incluir todas as camadas da carga de trabalho, incluindo todos os pontos de extremidade acessíveis a partir de redes hostis.
A linha de base deve incluir recomendações para a criação de processos de resposta a incidentes, incluindo a comunicação e um plano de recuperação, e quais desses processos podem ser automatizados para acelerar a deteção e a análise. Para obter exemplos, consulte Visão geral das linhas de base de segurança para o Azure.
A resposta a incidentes também deve incluir um plano de recuperação e os requisitos para esse plano, como recursos para fazer backups e protegê-los regularmente.
Você desenvolve planos de violação de dados usando os padrões do setor e as recomendações fornecidas pela plataforma. A equipe então tem um plano abrangente para seguir quando uma violação é descoberta. Além disso, verifique com sua organização se há cobertura por meio de seguro cibernético.
Formação
Desenvolver e manter um programa de treinamento de segurança para garantir que a equipe de carga de trabalho esteja equipada com as habilidades apropriadas para dar suporte às metas e requisitos de segurança. A equipe precisa de treinamento fundamental de segurança, mas use o que puder da sua organização para dar suporte a funções especializadas. O treinamento de segurança baseado em funções, a conformidade e a participação em exercícios fazem parte da sua linha de base de segurança.
Aplicar a linha de base
Use a linha de base para impulsionar iniciativas, como:
Preparação para decisões de projeto. Crie a linha de base de segurança e publique-a antes de iniciar o processo de design de arquitetura. Certifique-se de que os membros da equipe estejam totalmente cientes das expectativas da sua organização com antecedência, o que evita retrabalhos dispendiosos causados pela falta de clareza. Você pode usar critérios de linha de base como requisitos de carga de trabalho com os quais a organização se comprometeu e projetar e validar controles em relação a essas restrições.
Meça o seu design. Classifique as decisões atuais em relação à linha de base atual. A linha de base define limiares reais para os critérios. Documentar quaisquer desvios que sejam adiados ou considerados aceitáveis a longo prazo.
Impulsione melhorias. Embora a linha de base estabeleça metas atingíveis, há sempre lacunas. Priorize as lacunas em sua lista de pendências e corrija com base na priorização.
Acompanhe o seu progresso em relação à linha de base. É essencial uma monitorização contínua das medidas de segurança em relação a uma base de referência definida. A análise de tendências é uma boa maneira de analisar o progresso da segurança ao longo do tempo e pode revelar desvios consistentes da linha de base. Use a automação tanto quanto possível, extraindo dados de várias fontes, internas e externas, para resolver problemas atuais e se preparar para ameaças futuras.
Defina guarda-corpos. Sempre que possível, os seus critérios de base devem ter guarda-corpos. Os guarda-corpos impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Os fatores externos incluem parâmetros de referência, normas regulamentares e ambiente de ameaças. Os guarda-corpos ajudam a minimizar o risco de supervisão inadvertida e multas punitivas por não conformidade.
Explore a Política do Azure para obter opções personalizadas ou use iniciativas internas, como benchmarks CIS ou Azure Security Benchmark, para impor configurações de segurança e requisitos de conformidade. Considere a criação de Políticas e iniciativas do Azure a partir das linhas de base.
Avaliar a linha de base regularmente
Melhorar continuamente os padrões de segurança de forma incremental em direção ao estado ideal para garantir a redução contínua de riscos. Realizar revisões periódicas para garantir que o sistema esteja atualizado e em conformidade com as influências externas. Qualquer alteração à linha de base deve ser formal, acordada e enviada através de processos de gestão de alterações adequados.
Meça o sistema em relação à nova linha de base e priorize as correções com base em sua relevância e efeito na carga de trabalho.
Garantir que a postura de segurança não se degrade com o tempo, instituindo auditorias e monitorando a conformidade com os padrões organizacionais.
Facilitação do Azure
O Microsoft cloud security benchmark (MCSB) é uma estrutura abrangente de práticas recomendadas de segurança que você pode usar como ponto de partida para sua linha de base de segurança. Use-o junto com outros recursos que fornecem entrada para sua linha de base.
Para obter mais informações, consulte Introdução ao benchmark de segurança na nuvem da Microsoft.
Use o painel de conformidade regulatória do Microsoft Defender for Cloud (MDC) para acompanhar essas linhas de base e ser alertado se um padrão fora de uma linha de base for detetado. Para obter mais informações, consulte Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Outras características que ajudam a estabelecer e melhorar a linha de base:
Exemplo
Este diagrama lógico mostra um exemplo de linha de base de segurança para componentes de arquitetura que englobam rede, infraestrutura, ponto de extremidade, aplicativo, dados e identidade para demonstrar como um ambiente de TI comum pode ser protegido com segurança. Outros guias de recomendação baseiam-se neste exemplo.
Infraestruturas
Um ambiente de TI comum, com uma camada local com recursos básicos.
Serviços de Segurança do Azure
Serviços e recursos de segurança do Azure pelos tipos de recursos que protegem.
Serviços de monitoramento de segurança do Azure
Os serviços de monitoramento disponíveis no Azure que vão além de serviços simples de monitoramento, incluindo soluções de gerenciamento de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR) e Microsoft Defender for Cloud.
Ameaças
Esta camada traz uma recomendação e lembrete de que as ameaças podem ser mapeadas de acordo com as preocupações da sua organização em relação às ameaças, independentemente da metodologia ou matriz como Mitre Attack Matrix ou Cyber Kill chain.
Ligações relacionadas
Ligações da comunidade
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.