Partilhar via


Visão geral do benchmark de segurança na nuvem da Microsoft (v1)

O benchmark de segurança na nuvem da Microsoft (MCSB) fornece práticas recomendadas prescritivas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure e no seu ambiente multinuvem. Este benchmark se concentra em áreas de controle centradas na nuvem com informações de um conjunto de diretrizes holísticas de segurança da Microsoft e do setor que incluem:

O que há de novo no Microsoft Cloud Security Benchmark v1

Observação

O benchmark de segurança na nuvem da Microsoft é o sucessor do Azure Security Benchmark (ASB), que foi rebatizado em outubro de 2022.

O suporte do Google Cloud Platform no MCSB agora está disponível como um recurso de visualização nas diretrizes de benchmark do MCSB e no Microsoft Defender for Cloud.

Aqui está o que há de novo no benchmark de segurança na nuvem da Microsoft v1:

  1. Estrutura de segurança multinuvem abrangente: as organizações geralmente precisam criar um padrão de segurança interno para reconciliar os controles de segurança em várias plataformas de nuvem para atender aos requisitos de segurança e conformidade em cada uma delas. Isso geralmente exige que as equipes de segurança repitam a mesma implementação, monitoramento e avaliação em diferentes ambientes de nuvem (geralmente para diferentes padrões de conformidade). Isso cria despesas gerais, custos e esforços desnecessários. Para resolver essa preocupação, aprimoramos o ASB para MCSB para ajudá-lo a trabalhar rapidamente com diferentes nuvens:

    • Fornecendo uma estrutura de controle única para atender facilmente aos controles de segurança em nuvens
    • Fornecer uma experiência de usuário consistente para monitorar e aplicar a referência de segurança multinuvem no Defender for Cloud
    • Manter-se alinhado com os padrões da indústria (por exemplo, CIS, NIST, PCI)

    Mapeamento entre ASB e CIS Benchmark

  2. Monitoramento de controle automatizado para AWS no Microsoft Defender for Cloud: você pode usar o Painel de conformidade regulatória do Microsoft Defender for Cloud para monitorar seu ambiente da AWS em relação ao MCSB, assim como monitora seu ambiente do Azure. Desenvolvemos aproximadamente 180 verificações da AWS para a nova orientação de segurança da AWS no MCSB, permitindo que você monitore seu ambiente e recursos da AWS no Microsoft Defender for Cloud.

    Captura de ecrã da integração do MSCB no Microsoft Defender for Cloud

  3. Uma atualização das diretrizes e princípios de segurança existentes do Azure: também atualizamos algumas das diretrizes e princípios de segurança existentes do Azure durante esta atualização para que você possa se manter atualizado com os recursos e capacidades mais recentes do Azure.

Controlos

Domínios de Controlo Descrição
Segurança de rede (NS) A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo a proteção de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a proteção do DNS.
Gerenciamento de identidade (IM) O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.
Acesso privilegiado (PA) O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos.
Proteção de dados (PD) A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados.
Gestão de Ativos (AM) O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança de segurança sobre seus recursos, incluindo recomendações sobre permissões para o pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, rastreamento e correção).
Registo e Deteção de Ameaças (LT) O Registo e Deteção de Ameaças abrange controlos para detetar ameaças na nuvem e ativar, recolher e armazenar registos de auditoria para serviços na nuvem, incluindo a ativação de processos de deteção, investigação e correção com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas em serviços na nuvem; também inclui a coleta de logs com um serviço de monitoramento em nuvem, centralização da análise de segurança com um SIEM, sincronização de tempo e retenção de logs.
Resposta a incidentes (RI) A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como o Microsoft Defender for Cloud e o Sentinel) e/ou outros serviços na nuvem para automatizar o processo de resposta a incidentes.
Gestão de Postura e Vulnerabilidade (PV) O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo varredura de vulnerabilidades, testes de penetração e remediação, bem como rastreamento, relatórios e correção de configuração de segurança em recursos de nuvem.
Segurança de Endpoint (ES) O Endpoint Security abrange controles em deteção e resposta de endpoints, incluindo o uso de EDR (endpoint detection and response) e serviço antimalware para endpoints em ambientes de nuvem.
Backup e recuperação (BR) O Backup and Recovery abrange controles para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos.
Segurança de DevOps (DS) O DevOps Security abrange os controles relacionados à engenharia de segurança e às operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como testes de segurança de aplicativos estáticos, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança durante todo o processo de DevOps; Também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software.
Governação e Estratégia (SG) Governança e Estratégia fornece orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança em nuvem, estratégia técnica unificada e políticas e padrões de suporte.

Recomendações no benchmark de segurança na nuvem da Microsoft

Cada recomendação inclui as seguintes informações:

  • ID: O ID de referência que corresponde à recomendação.
  • CIS Controls v8 ID(s): Os controlos CIS Controls v8 que correspondem à recomendação.
  • ID(s) dos Controles CIS v7.1: Os controles CIS v7.1 que correspondem à recomendação (não disponíveis na Web devido ao motivo da formatação).
  • PCI-DSS v3.2.1 ID(s): Os controlos PCI-DSS v3.2.1 que correspondem à recomendação.
  • ID(s) NIST SP 800-53 r4: Os controlos NIST SP 800-53 r4 (Moderado e Alto) correspondem a esta recomendação.
  • Princípio de Segurança: A recomendação centrou-se no "quê", explicando o controlo a nível agnóstico da tecnologia.
  • Orientação do Azure: a recomendação se concentrou no "como", explicando os recursos técnicos e as noções básicas de implementação do Azure.
  • Orientação da AWS: a recomendação se concentrou no "como", explicando os recursos técnicos e os conceitos básicos de implementação da AWS.
  • Implementação e contexto adicional: os detalhes da implementação e outro contexto relevante que vincula aos artigos de documentação de oferta de serviços do Azure e da AWS.
  • Partes Interessadas em Segurança do Cliente: As funções de segurança na organização do cliente que podem ser responsáveis, accountáveis ou consultados para o respetivo controlo. Pode ser diferente de organização para organização, dependendo da estrutura organizacional de segurança da sua empresa e das funções e responsabilidades configuradas relacionadas à segurança do Azure.

Os mapeamentos de controle entre MCSB e benchmarks do setor (como CIS, NIST e PCI) indicam apenas que um recurso específico do Azure pode ser usado para atender total ou parcialmente a um requisito de controle definido nesses benchmarks do setor. Você deve estar ciente de que tal implementação não se traduz necessariamente na conformidade total do(s) controle(s) correspondente(s) nesses benchmarks do setor.

Agradecemos o seu feedback detalhado e a sua participação ativa no esforço de benchmark de segurança na nuvem da Microsoft. Se você gostaria de fornecer informações diretas, envie-nos um e-mail para benchmarkfeedback@microsoft.com.

Baixar

Você pode baixar a cópia offline do Benchmark e da linha de base no formato de planilha.

Próximos passos