Introdução à referência de segurança da cloud da Microsoft
Nota
O microsoft cloud security benchmark é o sucessor do Azure Security Benchmark (ASB), que foi renomeado em outubro de 2022.
Os novos serviços e funcionalidades são lançados diariamente nas plataformas do Azure e dos fornecedores de serviços cloud, os programadores publicam rapidamente novas aplicações na cloud criadas com base nestes serviços e os atacantes procuram constantemente novas formas de explorar recursos configurados incorretamente. A cloud move-se rapidamente, os programadores movem-se rapidamente e os atacantes também se movem rapidamente. Como se mantém e garante que as implementações na cloud estão seguras? Como é que as práticas de segurança para sistemas cloud diferem dos sistemas no local e são diferentes entre os fornecedores de serviços cloud? Como pode monitorizar a consistência da carga de trabalho em várias plataformas na cloud?
A Microsoft descobriu que a utilização de referências de segurança pode ajudá-lo a proteger rapidamente as implementações na cloud. Uma arquitetura de melhores práticas de segurança abrangente dos fornecedores de serviços cloud pode dar-lhe um ponto de partida para selecionar definições de configuração de segurança específicas no seu ambiente na cloud, em vários fornecedores de serviços e permitir-lhe monitorizar estas configurações com um único painel de vidro.
A referência de segurança da cloud da Microsoft (MCSB) inclui uma coleção de recomendações de segurança de alto impacto que pode utilizar para ajudar a proteger os seus serviços cloud num ambiente único ou multi-cloud. As recomendações do MCSB incluem dois aspetos fundamentais:
- Controlos de segurança: estas recomendações são geralmente aplicáveis nas cargas de trabalho na cloud. Cada recomendação identifica uma lista de intervenientes que normalmente estão envolvidos no planeamento, aprovação ou implementação da referência.
- Linhas de base do serviço: estes aplicam os controlos a serviços cloud individuais para fornecer recomendações sobre a configuração de segurança desse serviço específico. Atualmente, temos linhas de base de serviço disponíveis apenas para o Azure.
Implementar referência de segurança na cloud da Microsoft
- Planeie a implementação do MCSB ao rever a documentação dos controlos empresariais e linhas de base específicas do serviço para planear a sua estrutura de controlo e como mapeia para orientações como Controlos do Centro de Segurança da Internet (CIS), Instituto Nacional de Normas e Tecnologia (NIST) e a arquitetura PCI-DSS (Payment Card Industry Data Security Standard).
- Monitorize a conformidade com o estado do MCSB (e outros conjuntos de controlo) com o Microsoft Defender para Cloud – Dashboard de Conformidade Regulamentar para o seu ambiente multicloud. .
- Estabeleça proteções para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos na sua organização) com funcionalidades como o Azure Blueprints, Azure Policy ou as tecnologias equivalentes de outras plataformas na cloud.
Casos de Utilização Comuns
A referência de segurança da cloud da Microsoft pode ser frequentemente utilizada para enfrentar desafios comuns para clientes ou parceiros de serviços que são:
- Novo no Azure (e noutras grandes plataformas na cloud, como o AWS) e à procura de melhores práticas de segurança para garantir uma implementação segura dos serviços cloud e da sua própria carga de trabalho de aplicação.
- Procurar melhorar a postura de segurança das implementações na cloud existentes para priorizar os principais riscos e mitigações.
- Utilizar ambientes com várias clouds (como o Azure e o AWS) e enfrentar desafios no alinhamento da monitorização e avaliação do controlo de segurança com um único painel de vidro.
- Avaliar as funcionalidades/capacidades de segurança do Azure (e de outras grandes plataformas na cloud, como o AWS) antes de integrar/aprovar um(s) serviço(s) no catálogo de serviços cloud.
- Ter de cumprir os requisitos de conformidade em indústrias altamente reguladas, como administração pública, finanças e cuidados de saúde. Estes clientes precisam de garantir que as configurações de serviço do Azure e de outras clouds cumprem a especificação de segurança definida na arquitetura, como CIS, NIST ou PCI. O MCSB fornece uma abordagem eficiente com os controlos já pré-mapeados para estes testes de referência da indústria.
Terminologia
Os termos "controlo" e "linha de base" são frequentemente utilizados na documentação de referência de segurança da cloud da Microsoft. É importante compreender como o MCSB utiliza estes termos.
| Termo | Descrição | Exemplo |
|---|---|---|
| Controlar | Um controlo é uma descrição de alto nível de uma funcionalidade ou atividade que precisa de ser abordada e não é específica de uma tecnologia ou implementação. | A Proteção de Dados é uma das famílias de controlo de segurança. A Proteção de Dados contém ações específicas que têm de ser abordadas para ajudar a garantir que os dados estão protegidos. |
| Linha de base | Uma linha de base é a implementação do controlo nos serviços individuais do Azure. Cada organização dita uma recomendação de referência e as configurações correspondentes são necessárias no Azure. Nota: hoje temos linhas de base de serviço disponíveis apenas para o Azure. | A empresa Contoso procura ativar SQL do Azure funcionalidades de segurança ao seguir a configuração recomendada na linha de base de segurança SQL do Azure. |
Agradecemos o seu feedback sobre a referência de segurança na cloud da Microsoft! Recomendamos que forneça comentários na área de comentários abaixo. Se preferir partilhar os seus dados de forma mais privada com a equipa de segurança da cloud da Microsoft, envie-nos um e-mail para benchmarkfeedback@microsoft.com.