Parâmetros da Center for Internet Security (CIS)

Sobre os Parâmetros da CIS

O Centro de segurança na Internet é uma entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e manter soluções de práticas recomendadas para a defesa cibernética". Ela recorre à experiência de profissionais de segurança cibernética e de TI de instituições governamentais, empresariais e acadêmicas de todo o mundo. Para desenvolver padrões e práticas recomendadas, inclusive as imagens protegidas, os controles e os parâmetros da CIS, eles seguem um modelo de tomada de decisão por consenso.

Os parâmetros da CIS são práticas recomendadas e linhas de base de configuração para a configuração de um sistema com segurança. Cada uma das recomendações de diretrizes faz referência a um ou mais controles de CIS criados para ajudar as organizações a melhorar os recursos de defesa cibernética. Os controles da CIS fazem o mapeamento para muitas estruturas regulatórias e padrões estabelecidos, o que inclui a Estrutura de Segurança Cibernética (CSF) do NIST e o NIST SP 800-53, a série de padrões ISO 27000, PCI DSS, HIPAA e outros.

Cada parâmetro passa por duas fases de análise de consenso. A primeira acontece durante o desenvolvimento inicial, quando os especialistas se reúnem para discutir, criar e testar os rascunhos de trabalho até alcançar um consenso em relação ao parâmetro. Durante a segunda fase, após a publicação do parâmetro, a equipe de consenso analisa o feedback da comunidade da internet para incorporá-lo ao parâmetro.

Os parâmetros da CIS oferecem dois níveis de configurações de segurança:

  • Nível 1 recomenda os requisitos básicos de segurança que podem ser configurados em qualquer sistema e devem causar poucas ou nenhuma interrupção do serviço ou redução de funcionalidade.
  • Nível 2 recomenda configurações de segurança para ambientes que exigem mais segurança, o que pode resultar na redução da funcionalidade.

Imagens protegidas da CIS são imagens de máquinas virtuais configuradas com segurança com base em Parâmetros da CIS protegidos para um perfil de parâmetro da CIS de Nível 1 ou de Nível 2. A Proteção é um processo que ajuda a garantir a segurança contra acessos não autorizados, negação de serviço e outras ameaças cibernéticas, com a limitação de possíveis fraquezas que tornam os sistemas vulneráveis a ataques cibernéticos.

Microsoft e os Parâmetros da CIS

A Center for Internet Security (CIS) publicou os parâmetros para produtos e serviços da Microsoft, o que inclui os Parâmetros do Microsoft Azure e do Microsoft 365 Foundations, o Parâmetro do Windows 10 e o Parâmetro do Windows Server 2016. O CIS Microsoft Azure Foundations Benchmark destina-se a clientes que planejam desenvolver, implantar, avaliar ou proteger soluções que incorporam o Azure. O documento fornece diretrizes prescritivas para estabelecer uma configuração de linha de base segura para o Azure.

Os parâmetros da CIS são reconhecidos internacionalmente como padrões de segurança para a proteção de sistemas de TI e de dados contra ataques cibernéticos. Usados por milhares de empresas, eles oferecem orientações prescritivas para estabelecer uma configuração de linha de base segura. Administradores de sistemas e de aplicativos, especialistas de segurança e outros desenvolvedores de soluções que usam os produtos e serviços da Microsoft podem usar essas práticas recomendadas para avaliar e melhorar a segurança dos aplicativos.

Como todos os parâmetros da CIS, os parâmetros da Microsoft foram criados usando um processo de análise de consenso baseado em contribuições de especialistas de diferentes áreas de conhecimentos, incluindo desenvolvimento de software, auditoria e conformidade, pesquisa em segurança, operações, governo e legislação. A Microsoft contribuiu de forma integral com os esforços da CIS. Por exemplo, o Office 365 foi testado em relação aos serviços listados e o Parâmetro do Microsoft 365 Foundations engloba uma série de recomendações para a definição das políticas de segurança apropriadas, abrangendo conta e autenticação, gerenciamento de dados, permissões de aplicativos, armazenamento e outras áreas da política de segurança.

Além dos parâmetros de comparação para produtos e serviços da Microsoft, a CIS publicou as Imagens Protegidas da CIS no Azure configurado para atender aos parâmetros de comparação da CIS e disponível no Microsoft Azure Marketplace. Essas imagens incluem as imagens protegidas por CIS para Windows Server 2016 e Windows Server 2019, bem como muitas versões do Linux. Todas as imagens protegidas por CIS que estão disponíveis no Azure Marketplace são certificadas para serem executadas no Microsoft Azure. Conforme afirmado pelo CIS, "eles foram previamente testados para preparação e compatibilidade com a nuvem pública do Microsoft Azure, a Microsoft Cloud Platform hospedada por provedores de serviços por meio da Cloud OS Network e implantações locais da nuvem privada Windows Server Hyper-V gerenciadas pelos clientes".

AsImagens protegidas da CIS são imagens de máquinas virtuais configuradas com segurança com base em Parâmetros de comparação da CIS protegidos por um perfil de parâmetro de comparação da CIS de Nível 1 ou de Nível 2. A Proteção é um processo que ajuda a garantir a segurança contra acessos não autorizados, negação de serviço e outras ameaças cibernéticas, com a limitação de possíveis fraquezas que tornam os sistemas vulneráveis a ataques cibernéticos. As imagens protegidas por CIS estão disponíveis no Azure e Azure Governamental.

Para obter assistência adicional ao cliente, a Microsoft fornece Azure Blueprints, que é um serviço que ajuda você a implantar e atualizar ambientes de nuvem de maneira repetível usando artefatos combináveis, como modelos do Azure Resource Manager para provisionar recursos, controles de acesso baseados em função e políticas. Os recursos provisionados por Azure Blueprints aderem aos padrões e requisitos de conformidade de uma organização. A meta abrangente do Azure Blueprints é ajudar a automatizar a conformidade e o gerenciamento de riscos de segurança cibernética em ambientes de nuvem. Para ajudá-lo a implantar um conjunto principal de políticas para qualquer arquitetura baseada no Azure que deve implementar recomendações da CIS Azure Foundations Benchmark, a Microsoft publicou o Azure Blueprint para CIS Microsoft Azure Foundations Benchmark. Quando atribuídos a uma arquitetura, os recursos são avaliados pelo Azure Policy para testar a conformidade com as definições de política atribuídas.

Plataformas e serviços em nuvem no escopo da Microsoft

Auditorias, relatórios e certificados

Obtenha a lista completa de parâmetros da CIS para produtos e serviços da Microsoft.

Como implementar

Perguntas frequentes

As seguintes configurações de Parâmetros da CIS garantirão a segurança dos meus aplicativos?

Os parâmetros da CIS determinam o nível básico de segurança para todos que estiverem adotando produtos e serviços da Microsoft no escopo. No entanto, eles não devem ser considerados como uma lista exaustiva de todas as configurações e arquitetura de segurança possíveis, mas como ponto de partida. É preciso avaliar a situação específica, as cargas de trabalho e as exigências de conformidade de cada organização e personalizar o ambiente conforme apropriado.

Com que frequência os Parâmetros da CIS são atualizados?

A versão dos Parâmetros da CIS muda de acordo com a comunidade de profissionais de TI que a desenvolveu e com o cronograma da versão da tecnologia que o parâmetro suporta. A CIS distribui relatórios mensais, anunciando novos parâmetros e atualizações de parâmetros existentes. Para recebê-los, cadastre-se no CIS Workbench (é gratuito) e marque Receber o boletim informativo em seu perfil.

Quem contribuiu para o desenvolvimento dos Parâmetros da CIS da Microsoft?

A CIS observa que seus “Parâmetros são desenvolvidos através dos generosos esforços voluntários de especialistas no assunto, fornecedores de tecnologia, membros públicos e privados da comunidade do CIS Benchmark e da equipe de desenvolvimento do Parâmetro da CIS”. Por exemplo, você verá uma lista de colaboradores do Azure em Parâmetros do Microsoft Azure Foundations da CIS v1.0.0 já disponíveis.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos