Controlo de Segurança: Gestão de ativos
A Gestão de Recursos abrange controlos para garantir a visibilidade e governação de segurança sobre os seus recursos, incluindo recomendações sobre permissões para pessoal de segurança, acesso de segurança ao inventário de recursos e gestão de aprovações de serviços e recursos (inventário, controlo e correto).
AM-1: Controlar o inventário de recursos e os seus riscos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2,4 |
Princípio de segurança: controle o inventário de recursos ao consultar e detetar todos os recursos da cloud. Organize logicamente os seus recursos ao identificar e agrupar os seus recursos com base na respetiva natureza de serviço, localização ou outras características. Certifique-se de que a sua organização de segurança tem acesso a um inventário de recursos atualizado continuamente.
Certifique-se de que a sua organização de segurança pode monitorizar os riscos para os recursos da cloud ao ter sempre informações de segurança e riscos agregados centralmente.
Orientação do Azure: a funcionalidade Microsoft Defender de inventário da Cloud e o Azure Resource Graph podem consultar e detetar todos os recursos nas suas subscrições, incluindo serviços, aplicações e recursos de rede do Azure. Organize logicamente os recursos de acordo com a taxonomia da sua organização com etiquetas, bem como outros metadados no Azure (Nome, Descrição e Categoria).
Confirme que as organizações de segurança têm acesso a um inventário de recursos atualizado continuamente no Azure. Muitas vezes, as equipas de segurança precisam deste inventário para avaliar a exposição potencial da sua organização a riscos emergentes e como um contributo para melhorias de segurança contínuas.
Certifique-se de que as organizações de segurança recebem permissões de Leitor de Segurança no seu inquilino e subscrições do Azure para que possam monitorizar riscos de segurança com Microsoft Defender para a Cloud. As permissões Leitor de Segurança podem ser aplicadas de um modo amplo em todo um inquilino (Grupo de Gestão Raiz) ou dentro de âmbitos, como grupos de gestão ou subscrições específicas.
Nota: para obter visibilidade para cargas de trabalho e serviços, poderão ser necessárias permissões adicionais.
Documentação de orientação do GCP: utilize o Inventário de Recursos do Google Cloud para fornecer serviços de inventário com base numa base de dados de série temporal. Esta base de dados mantém um histórico de cinco semanas de metadados de ativos do GCP. O serviço de exportação do Inventário de Recursos da Cloud permite-lhe exportar todos os metadados de recursos num determinado carimbo de data/hora ou exportar o histórico de alterações de eventos durante um período de tempo.
Além disso, o Centro de Comandos do Google Cloud Security suporta uma convenção de nomenclatura diferente. Os recursos são recursos do Google Cloud de uma organização. As funções IAM do Centro de Comandos de Segurança podem ser concedidas ao nível da organização, pasta ou projeto. A sua capacidade de ver, criar ou atualizar resultados, recursos e origens de segurança depende do nível ao qual lhe é concedido acesso.
Implementação do GCP e contexto adicional:
- Inventário de Recursos da Cloud
- Introdução ao Inventário de Recursos da Cloud
- Tipos de recursos suportados no Centro de Comandos de Segurança
Implementação do Azure e contexto adicional:
- Como criar consultas com o Explorador do Azure Resource Graph
- Microsoft Defender para a gestão do inventário de recursos da Cloud
- Para obter mais informações sobre a identificação de recursos, veja o guia de decisão de nomenclatura e identificação de recursos
- Descrição Geral da Função de Leitor de Segurança
Orientação do AWS: utilize a funcionalidade Inventário do AWS Systems Manager para consultar e detetar todos os recursos nas instâncias do EC2, incluindo detalhes ao nível da aplicação e ao nível do sistema operativo. Além disso, utilize Grupos de Recursos do AWS – Editor de Etiquetas para procurar inventários de recursos do AWS.
Organize logicamente os recursos de acordo com a taxonomia da sua organização com etiquetas, bem como outros metadados no AWS (Nome, Descrição e Categoria).
Confirme que as organizações de segurança têm acesso a um inventário de recursos atualizado continuamente no AWS. Muitas vezes, as equipas de segurança precisam deste inventário para avaliar a exposição potencial da sua organização a riscos emergentes e como um contributo para melhorias de segurança contínuas.
Nota: para obter visibilidade para cargas de trabalho e serviços, poderão ser necessárias permissões adicionais.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize o Serviço de Política da Organização do Google Cloud para auditar e restringir os serviços que os utilizadores podem aprovisionar no seu ambiente. Também pode utilizar a Monitorização da Cloud no Operations Suite e/ou na Política de Organização para criar regras para acionar alertas quando é detetado um serviço não aprovado.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-2: Utilizar apenas serviços aprovados
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Princípio de segurança: certifique-se de que apenas os serviços cloud aprovados podem ser utilizados ao auditar e restringir os serviços que os utilizadores podem aprovisionar no ambiente.
Orientação do Azure: utilize Azure Policy para auditar e restringir os serviços que os utilizadores podem aprovisionar no seu ambiente. Utilize o Azure Resource Graph para consultar e detetar recursos dentro das subscrições. Também pode utilizar o Azure Monitor para criar regras para acionar alertas quando um serviço não aprovado for detetado.
Implementação do Azure e contexto adicional:
- Configurar e gerir Azure Policy
- Como negar um tipo de recurso específico com Azure Policy
- Como criar consultas com o Explorador do Azure Resource Graph
Orientação do AWS: utilize a Configuração do AWS para auditar e restringir os serviços que os utilizadores podem aprovisionar no seu ambiente. Utilize os Grupos de Recursos do AWS para consultar e detetar recursos nas respetivas contas. Também pode utilizar o CloudWatch e/ou a Configuração do AWS para criar regras para acionar alertas quando é detetado um serviço não aprovado.
Implementação do AWS e contexto adicional:
Orientação do GCP: estabeleça ou atualize políticas/processos de segurança que abordam processos de gestão do ciclo de vida dos recursos para modificações de impacto potencialmente elevado. Estas modificações incluem alterações aos fornecedores de identidade e acesso, dados confidenciais, configuração de rede e avaliação de privilégios administrativos. Utilize o Centro de Comandos do Google Cloud Security e verifique o separador Conformidade para obter recursos em risco.
Além disso, utilize a Limpeza Automatizada dos Projetos google cloud não utilizados e o serviço Cloud Recommender para fornecer recomendações e informações sobre como utilizar recursos no Google Cloud. Estas recomendações e informações são por produto ou por serviço e são geradas com base em métodos heurísticos, machine learning e utilização atual de recursos.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-3: Garantir a segurança da gestão do ciclo de vida dos ativos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2,4 |
Princípio de segurança: certifique-se de que os atributos de segurança ou as configurações dos recursos são sempre atualizados durante o ciclo de vida do recurso.
Orientação do Azure: Estabeleça ou atualize políticas/processos de segurança que abordam processos de gestão do ciclo de vida de recursos para modificações de impacto potencialmente elevado. Estas modificações incluem alterações aos fornecedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégios administrativos.
Identifique e remova os recursos do Azure quando já não forem necessários.
Implementação do Azure e contexto adicional:
Orientação do AWS: Estabeleça ou atualize políticas/processos de segurança que abordam processos de gestão do ciclo de vida dos recursos para modificações de impacto potencialmente elevado. Estas modificações incluem alterações aos fornecedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégios administrativos.
Identifique e remova os recursos do AWS quando já não forem necessários.
Implementação do AWS e contexto adicional:
- Como devo proceder para procurar recursos ativos de que já não preciso na minha conta do AWS?
- Como devo proceder para terminar os recursos ativos de que já não preciso na minha conta do AWS?
Orientação do GCP: utilize a Gestão de Identidades e Acessos do Google Cloud (IAM) para restringir o acesso a recursos específicos. Pode especificar ações de permissão ou negação, bem como condições nas quais as ações são acionadas. Pode especificar uma condição ou métodos combinados de permissões ao nível do recurso, políticas baseadas em recursos, autorização baseada em etiquetas, credenciais temporárias ou funções ligadas ao serviço para ter controlos de acesso de controlo detalhados para os seus recursos.
Além disso, pode utilizar os Controlos de Serviço VPC para proteger contra ações acidentais ou direcionadas por entidades externas ou insiders, o que ajuda a minimizar os riscos injustificados de transferência de dados exfiltração dos serviços google Cloud. Pode utilizar os Controlos de Serviço VPC para criar perímetros que protejam os recursos e os dados dos serviços especificados explicitamente.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-4: Limitar o acesso à gestão de recursos
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | N/D |
Princípio de segurança: limite o acesso dos utilizadores às funcionalidades de gestão de recursos, para evitar modificações acidentais ou maliciosas dos recursos na sua cloud.
Orientação do Azure: o Azure Resource Manager é o serviço de implementação e gestão do Azure. Fornece uma camada de gestão que lhe permite criar, atualizar e eliminar recursos (recursos) no Azure. Utilize Azure AD Acesso Condicional para limitar a capacidade dos utilizadores de interagirem com o Azure Resource Manager ao configurar "Bloquear acesso" para a Aplicação "Gestão do Microsoft Azure".
Utilize o Controlo de Acesso Baseado em Funções do Azure (RBAC do Azure) para atribuir funções a identidades para controlar as respetivas permissões e acesso aos recursos do Azure. Por exemplo, um utilizador com apenas a função RBAC do Azure "Leitor" pode ver todos os recursos, mas não tem permissão para fazer alterações.
Utilize Bloqueios de Recursos para impedir eliminações ou modificações nos recursos. Os Bloqueios de Recursos também podem ser administrados através do Azure Blueprints.
Implementação do Azure e contexto adicional:
- Como configurar o Acesso Condicional para bloquear o acesso ao Gestor de Recursos do Azure
- Bloquear os seus recursos para proteger a infraestrutura
- Proteger novos recursos com bloqueios de recursos do Azure Blueprints
Orientação do AWS: utilize o IAM do AWS para restringir o acesso a um recurso específico. Pode especificar ações permitidas ou de negação, bem como as condições em que as ações são acionadas. Pode especificar uma condição ou combinar métodos de permissões ao nível do recurso, políticas baseadas em recursos, autorização baseada em etiquetas, credenciais temporárias ou funções ligadas ao serviço para ter um controlo detalhado de acesso aos seus recursos.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize o Google Cloud VM Manager para detetar as aplicações instaladas nas instâncias dos Motores de Computação. O inventário do SO e a gestão de configuração podem ser utilizados para garantir que o software não autorizado está impedido de ser executado em instâncias do Motor de Computação.
Também pode utilizar uma solução de terceiros para detetar e identificar software não aprovado.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
AM-5: Utilizar apenas aplicações aprovadas na máquina virtual
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Princípio de segurança: certifique-se de que apenas o software autorizado é executado ao criar uma lista de permissões e bloquear a execução do software não autorizado no seu ambiente.
Orientação do Azure: utilize Microsoft Defender para controlos de aplicações adaptáveis na cloud para detetar e gerar uma lista de permissões de aplicações. Também pode utilizar controlos de aplicação adaptáveis do ASC para garantir que apenas o software autorizado pode ser executado e que todo o software não autorizado está impedido de ser executado no Azure Máquinas Virtuais.
Utilize Automatização do Azure Registo de Alterações e Inventário para automatizar a recolha de informações de inventário das VMs do Windows e do Linux. As informações de nome do software, versão, publicador e hora de atualização estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, ative o diagnóstico ao nível do convidado e direcione os Registos de Eventos do Windows para uma área de trabalho do Log Analytics.
Consoante o tipo de scripts, pode utilizar configurações específicas do sistema operativo ou recursos de terceiros para limitar a capacidade dos utilizadores de executar scripts em recursos de computação do Azure.
Também pode utilizar uma solução de terceiros para detetar e identificar software não aprovado.
Implementação do Azure e contexto adicional:
- Como utilizar o Microsoft Defender para controlos de aplicações adaptáveis da Cloud
- Compreender Automatização do Azure Registo de Alterações e Inventário
- Como controlar a execução de scripts do PowerShell em ambientes windows
Orientação do AWS: utilize a funcionalidade Inventário do AWS Systems Manager para detetar as aplicações instaladas nas instâncias do EC2. Utilize as regras de Configuração do AWS para garantir que o software não autorizado está impedido de ser executado em instâncias EC2.
Também pode utilizar uma solução de terceiros para detetar e identificar software não aprovado.
Implementação do AWS e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):