Controlo de Segurança: Gestão de posturas e vulnerabilidades
A Gestão de Posturas e Vulnerabilidades concentra-se em controlos para avaliar e melhorar a postura de segurança da cloud, incluindo análise de vulnerabilidades, testes de penetração e remediação, bem como controlo de configuração de segurança, relatórios e correção nos recursos da cloud.
PV-1: Definir e estabelecer configurações seguras
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Princípio de segurança: defina as linhas de base de configuração de segurança para diferentes tipos de recursos na cloud. Em alternativa, utilize as ferramentas de gestão de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implementação de recursos para que o ambiente possa estar em conformidade por predefinição após a implementação.
Orientação do Azure: utilize a Linha de Referência de Segurança da Microsoft Cloud e a linha de base do serviço para definir a linha de base de configuração para cada oferta ou serviço do Azure. Veja a arquitetura de referência do Azure e Cloud Adoption Framework arquitetura de zona de destino para compreender os controlos e configurações de segurança críticos que podem ser necessários nos recursos do Azure.
Utilize a zona de destino do Azure (e o Blueprints) para acelerar a implementação da carga de trabalho ao configurar a configuração de serviços e ambientes de aplicações, incluindo modelos de Resource Manager do Azure, controlos RBAC do Azure e Azure Policy.
Implementação do Azure e contexto adicional:
- Ilustração da implementação do Guardrails na Zona de Destino de Escala Empresarial
- Trabalhar com políticas de segurança no Microsoft Defender para a Cloud
- Tutorial: Criar e gerir políticas para impor a conformidade
- Azure Blueprints
Orientação do AWS: utilize o Microsoft Cloud Security Benchmark – documentação de orientação para várias cloud para o AWS e outras entradas para definir a linha de base de configuração para cada oferta ou serviço do AWS. Veja o pilar de segurança e outros pilares no AWS Well-Architectured Framework para compreender os controlos e configurações de segurança críticos que podem ser necessários nos recursos do AWS.
Utilize modelos de CloudFormation do AWS e regras de configuração do AWS na definição da zona de destino do AWS para automatizar a implementação e configuração de serviços e ambientes de aplicações.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize o Microsoft Cloud Security Benchmark – documentação de orientação para várias cloud para GCP e outras entradas para definir a linha de base de configuração para cada oferta ou serviço GCP. Veja os pilares nos esquemas de base de implementações do Google Cloud e a conceção da zona de destino.
Utilize módulos de esquemas do Terraform para o Google Cloud e utilize o Google Cloud Deployment Manager nativo para automatizar a implementação e configuração de serviços e ambientes de aplicações.
Implementação do GCP e contexto adicional:
- Design da zona de destino no Google Cloud. Esquemas e módulos do Terraform para o Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Esquema de bases de segurança
- Google Cloud Deployment Manager
Intervenientes na segurança do cliente (Saiba mais):
PV-2: Auditar e impor configurações seguras
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Princípio de segurança: monitorize e alerte continuamente quando existir um desvio da linha de base de configuração definida. Imponha a configuração pretendida de acordo com a configuração da linha de base ao negar a configuração não conforme ou ao implementar uma configuração.
Orientação do Azure: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos.
Utilize as regras Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.
Para auditoria e imposição de configuração de recursos não suportadas por Azure Policy, poderá ter de escrever scripts personalizados ou utilizar ferramentas de terceiros para implementar a auditoria de configuração e a imposição.
Implementação do Azure e contexto adicional:
- Compreender os efeitos do Azure Policy
- Criar e gerir políticas para impor a conformidade
- Obter dados de conformidade dos recursos do Azure
Orientação do AWS: utilize as regras de Configuração do AWS para auditar as configurações dos seus recursos do AWS. Além disso, pode optar por resolver o desfasamento da configuração com a Automatização do Gestor de Sistemas do AWS associada à regra de Configuração do AWS. Utilize o Amazon CloudWatch para criar alertas quando for detetado um desvio de configuração nos recursos.
Para auditoria e imposição de configuração de recursos não suportadas pela Configuração do AWS, poderá ter de escrever scripts personalizados ou utilizar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.
Também pode monitorizar centralmente a sua configuração desfasamento ao integrar a sua conta do AWS para Microsoft Defender para a Cloud.
Implementação do AWS e contexto adicional:
- Remediar Recursos do AWS Não Conformes por Regras de Configuração do AWS
- Detetar alterações de configuração não geridas em pilhas e recursos
- Pacote de Conformidade de Configuração do AWS
Orientação do GCP: utilize o Centro de Comandos do Google Cloud Security para configurar o GCP. Utilize o Google Cloud Monitoring no Operations Suite para criar alertas quando for detetado um desvio de configuração nos recursos.
Para governar as suas organizações, utilize a Política Organizacional para centralizar e controlar programaticamente os recursos da cloud da sua organização. Enquanto administrador da política da organização, poderá configurar restrições em toda a hierarquia de recursos.
Para auditoria e imposição de configuração de recursos não suportadas pela Política de Organização, poderá ter de escrever scripts personalizados ou utilizar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.
Implementação do GCP e contexto adicional:
- Introdução ao Serviço de Política da Organização.
- Centro de recursos de conformidade.
- Conjunto de operações da Google Cloud (anteriormente Stackdriver)
Intervenientes na segurança do cliente (Saiba mais):
PV-3: Definir e estabelecer configurações seguras para recursos de computação
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de segurança: defina as linhas de base de configuração seguras para os recursos de computação, como VMs e contentores. Utilize as ferramentas de gestão de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implementação de recursos de computação para que o ambiente possa estar em conformidade por predefinição após a implementação. Em alternativa, utilize uma imagem pré-configurada para criar a linha de base de configuração pretendida no modelo de imagem de recurso de computação.
Orientação do Azure: utilize as linhas de base de segurança recomendadas do sistema operativo do Azure (para Windows e Linux) como referência para definir a linha de base de configuração de recursos de computação.
Além disso, pode utilizar uma imagem de VM personalizada (com o Azure Image Builder) ou uma imagem de contentor com a Configuração da Máquina de Gestão Automática do Azure (anteriormente denominada Configuração de Convidado Azure Policy) e Automatização do Azure State Configuration para estabelecer a configuração de segurança pretendida.
Implementação do Azure e contexto adicional:
- Linha de base de configuração de segurança do SO Linux
- Linha de base de configuração de segurança do SO Windows
- Recomendação de configuração de segurança para recursos de computação
- Descrição Geral do Automatização do Azure State Configuration
Orientação do AWS: utilize o EC2 AWS Machine Images (AMI) a partir de origens fidedignas no marketplace como referência para definir a linha de base de configuração EC2.
Além disso, pode utilizar o EC2 Image Builder para criar um modelo de AMI personalizado com um agente do Systems Manager para estabelecer a configuração de segurança pretendida. Nota: o Agente do AWS Systems Manager está pré-instalado em algumas Imagens do Amazon Machine (AMIs) fornecidas pelo AWS.
Para aplicações de carga de trabalho em execução nas instâncias EC2, no AWS Lambda ou no ambiente de contentores, pode utilizar o AppConfig do AWS System Manager para estabelecer a linha de base de configuração pretendida.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize as linhas de base de segurança do sistema operativo recomendadas do Google Cloud (para Windows e Linux) como referência para definir a linha de base de configuração de recursos de computação.
Além disso, pode utilizar uma imagem de VM personalizada com o Packer Image Builder ou uma imagem de contentor com a imagem de contentor do Google Cloud Build para estabelecer a linha de base de configuração pretendida.
Implementação do GCP e contexto adicional:
- Imagens do Motor de Computação google.
- Melhores práticas de gestão de imagens
- Criar imagens de contentor.
- Criar imagens de VM com o Packer
Intervenientes na segurança do cliente (Saiba mais):
PV-4: Auditar e impor configurações seguras para recursos de computação
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de segurança: monitorize e alerte continuamente quando existe um desvio da linha de base de configuração definida nos seus recursos de computação. Imponha a configuração pretendida de acordo com a configuração da linha de base ao negar a configuração não conforme ou ao implementar uma configuração nos recursos de computação.
Orientação do Azure: utilize Microsoft Defender para a Cloud e o Azure Automanage Machine Configuration (anteriormente denominado configuração de convidado Azure Policy) para avaliar e remediar regularmente desvios de configuração nos seus recursos de computação do Azure, incluindo VMs, contentores e outros. Além disso, pode utilizar modelos de Resource Manager do Azure, imagens personalizadas do sistema operativo ou Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo. Os modelos de VM da Microsoft em conjunto com Automatização do Azure State Configuration podem ajudar a cumprir e a manter os requisitos de segurança. Utilize Registo de Alterações e Inventário no Automatização do Azure para controlar as alterações nas máquinas virtuais alojadas no Azure, no local e noutros ambientes na cloud para o ajudar a identificar problemas operacionais e ambientais com software gerido pelo Gestor de Pacotes de Distribuição. Instale o agente do Atestado convidado em máquinas virtuais para monitorizar a integridade do arranque em máquinas virtuais confidenciais.
Nota: Azure Marketplace imagens de VM publicadas pela Microsoft são geridas e mantidas pela Microsoft.
Implementação do Azure e contexto adicional:
- Como implementar Microsoft Defender para recomendações de avaliação de vulnerabilidades da Cloud
- Como criar uma máquina virtual do Azure a partir de um modelo do ARM
- descrição geral do Automatização do Azure State Configuration
- Criar uma máquina virtual do Windows no portal do Azure
- Segurança dos contentores no Microsoft Defender para Cloud
- descrição geral do Registo de Alterações e Inventário
- Atestado de convidado para VMs confidenciais
Orientação do AWS: utilize a funcionalidade State Manager do AWS System Manager para avaliar e remediar regularmente desvios de configuração nas instâncias do EC2. Além disso, pode utilizar modelos cloudFormation, imagens personalizadas do sistema operativo para manter a configuração de segurança do sistema operativo. Os modelos da AMI em conjunto com o Systems Manager podem ajudar a cumprir e a manter os requisitos de segurança.
Também pode monitorizar e gerir centralmente o desfasamento da configuração do sistema operativo através de Automatização do Azure State Configuration e integrar os recursos aplicáveis na governação de segurança do Azure com os seguintes métodos:
- Integrar a sua conta do AWS no Microsoft Defender para a Cloud
- Utilizar o Azure Arc para servidores para ligar as instâncias do EC2 ao Microsoft Defender para a Cloud
Para aplicações de carga de trabalho em execução nas instâncias do EC2, o AWS Lambda ou o ambiente de contentores, pode utilizar o AppConfig do AWS System Manager para auditar e impor a linha de base de configuração pretendida.
Nota: as AMIs publicadas pela Amazon Web Services no AWS Marketplace são geridas e mantidas pela Amazon Web Services.
Implementação do AWS e contexto adicional:
- Gestor de Estado do AWS System Manager
- Ligar as suas contas do AWS ao Microsoft Defender para a Cloud
- Ativar o State Configuration na Automatização do Azure
Orientação do GCP: utilize o VM Manager e o Centro de Comandos de Segurança do Google Cloud para avaliar e remediar regularmente o desvio de configuração das instâncias do Motor de Computação, Contentores e Contratos sem servidor. Além disso, pode utilizar modelos de VM do Gestor de Implementação, imagens personalizadas do sistema operativo para manter a configuração de segurança do sistema operativo. Os modelos de VMs do Gestor de Implementação em conjunto com o Gestor de VMs podem ajudar a cumprir e a manter os requisitos de segurança.
Também pode monitorizar e gerir centralmente o desfasamento da configuração do sistema operativo através de Automatização do Azure State Configuration e integrar os recursos aplicáveis na governação de segurança do Azure com os seguintes métodos:
- Integrar o projeto GCP no Microsoft Defender para a Cloud
- Utilizar o Azure Arc para servidores para ligar as instâncias de VM do GCP ao Microsoft Defender para a Cloud
Implementação do GCP e contexto adicional:
- Descrição geral do Centro de Comandos do Google Cloud.
- Google Cloud VM Manager
- Google Cloud Deployment Manager:
Intervenientes na segurança do cliente (Saiba mais):
PV-5: Realizar avaliações de vulnerabilidades
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Princípio de segurança: efetue uma avaliação de vulnerabilidades para os recursos da cloud em todos os escalões num agendamento fixo ou a pedido. Controle e compare os resultados da análise para verificar se as vulnerabilidades foram remediadas. A avaliação deve incluir todos os tipos de vulnerabilidades, tais como vulnerabilidades nos serviços do Azure, rede, Web, sistemas operativos, configurações incorretas, etc.
Tenha em atenção os potenciais riscos associados ao acesso privilegiado utilizado pelos detetores de vulnerabilidades. Siga a melhor prática de segurança de acesso privilegiado para proteger quaisquer contas administrativas utilizadas para a análise.
Orientação do Azure: siga as recomendações do Microsoft Defender para a Cloud para realizar avaliações de vulnerabilidades nas suas máquinas virtuais do Azure, imagens de contentor e servidores SQL. Microsoft Defender para a Cloud tem um detetor de vulnerabilidades incorporado para máquinas virtuais. Utilizar uma solução de terceiros para realizar avaliações de vulnerabilidades em dispositivos de rede e aplicações (por exemplo, aplicações Web)
Exporte os resultados da análise em intervalos consistentes e compare os resultados com as análises anteriores para verificar se as vulnerabilidades foram remediadas. Ao utilizar recomendações de gestão de vulnerabilidades sugeridas pelo Microsoft Defender para a Cloud, pode aceder ao portal da solução de análise selecionada para ver os dados de análise históricos.
Ao realizar análises remotas, não utilize uma única conta administrativa perpétua. Considere implementar a metodologia de aprovisionamento do JIT (Just In Time) para a conta de análise. As credenciais da conta de análise devem ser protegidas, monitorizadas e utilizadas apenas para análise de vulnerabilidades.
Nota: Microsoft Defender serviços (incluindo o Defender para servidores, contentores, Serviço de Aplicações, Base de Dados e DNS) incorporaram determinadas capacidades de avaliação de vulnerabilidades. Os alertas gerados a partir dos serviços do Azure Defender devem ser monitorizados e revistos em conjunto com o resultado do Microsoft Defender para a ferramenta de análise de vulnerabilidades da Cloud.
Nota: certifique-se de que configura notificações por e-mail no Microsoft Defender para a Cloud.
Implementação do Azure e contexto adicional:
- Como implementar Microsoft Defender para recomendações de avaliação de vulnerabilidades da Cloud
- Detetor de vulnerabilidades integrado para máquinas virtuais
- Avaliação de vulnerabilidades do SQL
- Exportar Microsoft Defender para os resultados da análise de vulnerabilidades da Cloud
Documentação de orientação do AWS: utilize o Amazon Inspector para analisar as suas instâncias do Amazon EC2 e imagens de contentor que residem no Amazon Elastic Container Registry (Amazon ECR) quanto a vulnerabilidades de software e exposição não intencional à rede. Utilizar uma solução de terceiros para realizar avaliações de vulnerabilidades em dispositivos de rede e aplicações (por exemplo, aplicações Web)
Veja o controlo ES-1, "Utilizar a Deteção e Resposta de Pontos Finais (EDR)", para integrar a sua conta do AWS no Microsoft Defender para a Cloud e implementar Microsoft Defender para servidores (com Microsoft Defender para Endpoint integrados) nas instâncias do EC2. Microsoft Defender para servidores fornece uma capacidade de Gestão de Vulnerabilidades e Ameaças nativa para as suas VMs. O resultado da análise de vulnerabilidades será consolidado no dashboard Microsoft Defender da Cloud.
Controle o estado dos resultados de vulnerabilidades para garantir que são corretamente remediados ou suprimidos se forem considerados falsos positivos.
Ao realizar análises remotas, não utilize uma única conta administrativa perpétua. Considere implementar uma metodologia de aprovisionamento temporário para a conta de análise. As credenciais da conta de análise devem ser protegidas, monitorizadas e utilizadas apenas para análise de vulnerabilidades.
Implementação do AWS e contexto adicional:
- Inspetor da Amazon
- Investigar os pontos fracos com a gestão de ameaças e vulnerabilidades do Microsoft Defender para Endpoint
Orientação do GCP: siga as recomendações do Microsoft Defender para o Centro de Comandos da Cloud ou/e do Google Cloud Security para realizar avaliações de vulnerabilidades nas instâncias do Motor de Computação. O Centro de Comandos de Segurança tem avaliações de vulnerabilidades incorporadas em dispositivos de rede e aplicações (por exemplo, Scanner de Segurança Web)
Exporte os resultados da análise em intervalos consistentes e compare os resultados com as análises anteriores para verificar se as vulnerabilidades foram remediadas. Ao utilizar recomendações de gestão de vulnerabilidades sugeridas pelo Centro de Comandos de Segurança, pode aceder ao portal da solução de análise selecionada para ver dados de análise históricos.
Implementação do GCP e contexto adicional:
- Descrição geral do Centro de Comandos do Google Cloud Security.Descrição geral do Scanner de Segurança Web
Intervenientes na segurança do cliente (Saiba mais):
PV-6: Remediar vulnerabilidades de forma rápida e automática
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: REMEDIAÇÃO DE FALHAS | 6.1, 6.2, 6.5, 11.2 |
Princípio de segurança: implemente rapidamente e automaticamente patches e atualizações para remediar vulnerabilidades nos recursos da cloud. Utilize a abordagem adequada baseada no risco para priorizar a remediação de vulnerabilidades. Por exemplo, as vulnerabilidades mais graves num recurso de valor mais elevado devem ser abordadas como uma prioridade mais elevada.
Orientação do Azure: utilize Automatização do Azure Gestão de Atualizações ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes estão instaladas nas VMs do Windows e linux. Para VMs do Windows, certifique-se de Windows Update foi ativada e definida para atualizar automaticamente.
Para software de terceiros, utilize uma solução de gestão de patches de terceiros ou o Microsoft System Center Atualizações Publisher para Configuration Manager.
Implementação do Azure e contexto adicional:
- Como configurar a Gestão de Atualizações para máquinas virtuais no Azure
- Gerir atualizações e patches para as VMs do Azure
Orientação do AWS: utilize o AWS Systems Manager – Gestor de Patches para garantir que as atualizações de segurança mais recentes estão instaladas nos seus sistemas operativos e aplicações. O Gestor de Patches suporta linhas de base de patches para lhe permitir definir uma lista de patches aprovados e rejeitados para os seus sistemas.
Também pode utilizar Automatização do Azure Gestão de Atualizações para gerir centralmente os patches e atualizações das instâncias do Windows e Linux do AWS EC2.
Para software de terceiros, utilize uma solução de gestão de patches de terceiros ou o Microsoft System Center Atualizações Publisher para Configuration Manager.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize a gestão de patches do SO do Google Cloud VM Manager ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes estão instaladas nas VMs do Windows e do Linux. Para garantir que a VM do Windows Windows Update foi ativada e definida para ser atualizada automaticamente.
Para software de terceiros, utilize uma solução de gestão de patches de terceiros ou o Microsoft System Center Atualizações Publisher para gestão de configuração.
Implementação do GCP e contexto adicional:
- Gestor de VMs.
- Gestão de patches do SO
- Google Kubernetes Engine (GKE). Aplicação de patches de segurança
Intervenientes na segurança do cliente (Saiba mais):
PV-7: Realizar operações regulares da equipa vermelha
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Princípio de segurança: simular ataques do mundo real para fornecer uma vista mais completa da vulnerabilidade da sua organização. As operações de equipa vermelhas e os testes de penetração complementam a abordagem tradicional de análise de vulnerabilidades para detetar riscos.
Siga as melhores práticas do setor para conceber, preparar e realizar este tipo de testes para garantir que não causará danos ou perturbações no seu ambiente. Isto deve incluir sempre discutir o âmbito de teste e as restrições com os intervenientes relevantes e os proprietários de recursos.
Orientação do Azure: conforme necessário, realize testes de penetração ou atividades de equipa vermelha nos seus recursos do Azure e garanta a remediação de todos os resultados críticos de segurança.
Para ter a certeza de que os seus testes de penetração não infringem as políticas da Microsoft, siga as Regras de Interação para Testes de Penetração da Microsoft Cloud. Utilize a estratégia e a execução de "Equipas de Ataque" e os testes de penetração no local em direto da Microsoft na infraestrutura, nos serviços e nas aplicações cloud geridas pela Microsoft.
Implementação do Azure e contexto adicional:
- Testes de Penetração no Azure
- Regras de Interação para os Testes de Penetração
- "Equipa de Ataque" da Microsoft Cloud
- Guia Técnico para Testes e Avaliação de Segurança de Informações
Orientação do AWS: conforme necessário, realize testes de penetração ou atividades de equipa vermelhas nos seus recursos do AWS e garanta a remediação de todos os resultados críticos de segurança.
Siga a Política de Suporte ao Cliente do AWS para Testes de Penetração para garantir que os testes de penetração não violam as políticas do AWS.
Implementação do AWS e contexto adicional:
Orientação do GCP: conforme necessário, realize testes de penetração ou atividades de equipa vermelhas no recurso do GCP e garanta a remediação de todos os resultados críticos de segurança.
Siga a Política de Suporte ao Cliente do GCP para Testes de Penetração para garantir que os testes de penetração não violam as políticas de GCP.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):