Controlo de Segurança v3: Postura e gestão de vulnerabilidade
A Gestão de Postura e Vulnerabilidade centra-se nos controlos para avaliar e melhorar a postura de segurança do Azure, incluindo a digitalização de vulnerabilidades, testes de penetração e reparação, bem como rastreio de configuração de segurança, reporte e correção nos recursos do Azure.
PV-1: Definir e estabelecer configurações seguras
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Princípio de segurança: Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem. Em alternativa, utilize ferramentas de gestão de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implementação do recurso, para que o ambiente possa ser compatível por defeito após a implementação.
Orientação Azure: Utilize o Benchmark de Segurança Azure e a linha de base de serviço para definir a sua linha de base de configuração para cada oferta ou serviço Azure respetivo. Consulte a arquitetura de referência Azure e Cloud Adoption Framework arquitetura da zona de aterragem para entender os controlos críticos de segurança e configurações que podem necessitar através dos recursos de Azure.
Utilize plantas Azure para automatizar a implementação e configuração de ambientes de serviços e aplicações, incluindo modelos de Resource Manager Azure, controlos e políticas do Azure RBAC, numa única definição de planta.
Implementação e contexto adicional:
- Ilustração da implementação de Guardrails na Zona de Aterragem da Escala Empresarial
- Trabalhar com políticas de segurança em Microsoft Defender para a Cloud
- Tutorial: Criar e gerir políticas para impor o cumprimento
- Azure Blueprints
Stakeholders de Segurança do Cliente (Saiba mais):
PV-2: Auditoria e aplicação de configurações seguras
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Princípio de segurança: Monitorize e alerte continuamente quando houver um desvio da linha de base de configuração definida. Aplique a configuração desejada de acordo com a configuração de base, negando a configuração não conforme ou implantando uma configuração.
Orientação Azure: Utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos Azure. Utilize o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos.
Use Azure Policy [negar] e [implementar se não existir] regra para impor a configuração segura em todos os recursos do Azure.
Para a auditoria e execução de configuração de recursos não suportadas por Azure Policy, poderá ter de escrever os seus próprios scripts ou utilizar ferramentas de terceiros para implementar a auditoria e aplicação da configuração.
Implementação e contexto adicional:
- Compreender os efeitos Azure Policy
- Criar e gerir políticas para impor a conformidade
- Obtenha dados de conformidade dos recursos da Azure
Stakeholders de Segurança do Cliente (Saiba mais):
PV-3: Definir e estabelecer configurações seguras para recursos computacional
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de segurança: Defina as linhas de base de configuração seguras para os seus recursos de cálculo, tais como VMs e contentores. Utilize ferramentas de gestão de configuração para estabelecer a linha de base de configuração automaticamente antes ou durante a implementação do recurso computacional para que o ambiente possa ser compatível por padrão após a implementação. Em alternativa, utilize uma imagem pré-configurada para construir a linha de base de configuração desejada no modelo de imagem de recursos computacional.
Orientação Azure: Utilize a linha de base recomendada do sistema operativo Azure (tanto para Windows como para o Linux) como referência para definir a sua linha de base de configuração de recursos computacional.
Além disso, pode utilizar a imagem vm personalizada ou a imagem do recipiente com Azure Policy configuração do hóspede e Automatização do Azure State Configuration para estabelecer a configuração de segurança desejada.
Implementação e contexto adicional:
- Linha de base de configuração de segurança Linux OS
- Windows linha de base de configuração de segurança do SO
- Recomendação de configuração de segurança para recursos computacional
- Visão geral Automatização do Azure State Configuration
Stakeholders de Segurança do Cliente (Saiba mais):
PV-4: Auditoria e aplicação de configurações seguras para recursos computatórios
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2,2 |
Princípio de segurança: Monitorize e alerte continuamente quando houver um desvio da linha de base de configuração definida nos seus recursos de computação. Impor a configuração desejada de acordo com a configuração de base, negando a configuração não conforme ou implantando uma configuração nos recursos computacional.
Orientação Azure: Utilize Microsoft Defender para a Cloud e Azure Policy agente de configuração de hóspedes para avaliar e remediar regularmente desvios de configuração nos seus recursos de computação Azure, incluindo VMs, contentores e outros. Além disso, pode utilizar modelos de Resource Manager Azure, imagens personalizadas do sistema operativo ou Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo. Os modelos de VM da Microsoft em conjunto com Automatização do Azure State Configuration podem ajudar a cumprir e manter os requisitos de segurança.
Nota: Azure Marketplace imagens VM publicadas pela Microsoft são geridas e mantidas pela Microsoft.
Implementação e contexto adicional:
- Como implementar recomendações de avaliação de vulnerabilidade Microsoft Defender para a Cloud
- Como criar uma máquina virtual Azure a partir de um modelo ARM
- Visão geral Automatização do Azure State Configuration
- Crie uma máquina virtual Windows no portal do Azure
- Segurança dos contentores no Microsoft Defender para Cloud
Stakeholders de Segurança do Cliente (Saiba mais):
PV-5: Realizar avaliações de vulnerabilidade
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Princípio de segurança: Realize uma avaliação de vulnerabilidades para os seus recursos em nuvem em todos os níveis num horário fixo ou a pedido. Rastreie e compare os resultados da verificação para verificar se as vulnerabilidades são remediadas. A avaliação deve incluir todo o tipo de vulnerabilidades, tais como vulnerabilidades em serviços Azure, rede, web, sistemas operativos, configurações erradas, e assim por diante.
Esteja atento aos riscos potenciais associados ao acesso privilegiado utilizado pelos scanners de vulnerabilidade. Siga as melhores práticas de segurança de acesso privilegiada para garantir quaisquer contas administrativas utilizadas para a digitalização.
Orientação Azure: Siga as recomendações da Microsoft Defender para a Cloud para a realização de avaliações de vulnerabilidade nas suas máquinas virtuais Azure, imagens de contentores e servidores SQL. Microsoft Defender para a Cloud tem um scanner de vulnerabilidade incorporado para a varredura de máquinas virtuais. Utilize uma solução de terceiros para realizar avaliações de vulnerabilidade em dispositivos e aplicações de rede (por exemplo, aplicações web)
A análise da exportação resulta em intervalos consistentes e compara os resultados com os exames anteriores para verificar se as vulnerabilidades foram remediadas. Ao utilizar gestão de vulnerabilidade recomendações sugeridas por Microsoft Defender para a Cloud, pode entrar no portal da solução de digitalização selecionada para visualizar dados históricos de digitalização.
Ao realizar exames remotos, não utilize uma única conta administrativa perpétua. Considere implementar metodologia de provisionamento de JIT (Just In Time) para a conta de digitalização. As credenciais para a conta de digitalização devem ser protegidas, monitorizadas e utilizadas apenas para a verificação de vulnerabilidades.
Nota: Os serviços do Azure Defender (incluindo o Defender para servidor, registo de contentores, Serviço de Aplicações, SQL e DNS) incorporam certas capacidades de avaliação de vulnerabilidade. Os alertas gerados pelos serviços Azure Defender devem ser monitorizados e revistos juntamente com o resultado de Microsoft Defender para a Cloud ferramenta de digitalização de vulnerabilidades.
Nota: Certifique-se de que as notificações de email de configuração em Microsoft Defender para a Cloud.
Implementação e contexto adicional:
- Como implementar recomendações de avaliação de vulnerabilidade Microsoft Defender para a Cloud
- Scanner integrado de vulnerabilidade para máquinas virtuais
- SQL avaliação da vulnerabilidade
- Exportação de Microsoft Defender para a Cloud resultados do scan de vulnerabilidade da Microsoft Defender para a Cloud
Stakeholders de Segurança do Cliente (Saiba mais):
PV-6: Rápida e automaticamente remediar vulnerabilidades
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: REPARAÇÃO DE FALHAS | 6.1, 6.2, 6.5, 11.2 |
Princípio de segurança: Implementar patches e atualizações de forma rápida e automática para remediar vulnerabilidades nos seus recursos na nuvem. Utilize a abordagem adequada baseada no risco para priorizar a reparação das vulnerabilidades. Por exemplo, vulnerabilidades mais graves num ativo de maior valor devem ser tratadas como uma prioridade maior.
Orientação Azure: Utilize Automatização do Azure Gestão de Atualização ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes são instaladas nos seus VMs Windows e Linux. Para Windows VMs, certifique-se de Windows Update foi ativado e programado para atualizar automaticamente.
Para software de terceiros, utilize uma solução de gestão de patch de terceiros ou System Center Atualizações Publisher para Configuration Manager.
Priorize quais as atualizações a implementar primeiro utilizando um programa comum de pontuação de risco (como o Common Vulnerability Scoring System) ou as classificações de risco padrão fornecidas pela ferramenta de digitalização de terceiros e alfaiataria ao seu ambiente. Deve também considerar quais as aplicações que apresentam um elevado risco de segurança e quais as que necessitam de tempo elevado.
Implementação e contexto adicional:
- Como configurar a Gestão de Atualização para máquinas virtuais em Azure
- Gerir atualizações e patches para os seus VMs Azure
Stakeholders de Segurança do Cliente (Saiba mais):
PV-7: Realizar operações regulares da equipa vermelha
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Princípio de segurança: Simular ataques no mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações da equipa vermelha e os testes de penetração complementam a abordagem tradicional de digitalização da vulnerabilidade para descobrir riscos.
Siga as melhores práticas da indústria para conceber, preparar e realizar este tipo de testes para garantir que não causará danos ou perturbações ao seu ambiente. Isto deve incluir sempre a discussão do âmbito de teste e dos constrangimentos com as partes interessadas relevantes e os proprietários de recursos.
Orientação Azure: Conforme necessário, realize testes de penetração ou atividades da equipa vermelha nos seus recursos Azure e garanta a reparação de todas as conclusões críticas de segurança.
Para ter a certeza de que os seus testes de penetração não infringem as políticas da Microsoft, siga as Regras de Interação para Testes de Penetração da Microsoft Cloud. Utilize a estratégia e a execução de "Equipas de Ataque" e os testes de penetração no local em direto da Microsoft na infraestrutura, nos serviços e nas aplicações cloud geridas pela Microsoft.
Implementação e contexto adicional:
- Testes de Penetração no Azure
- Regras de Interação para os Testes de Penetração
- "Equipa de Ataque" da Microsoft Cloud
- Guia Técnico para Testes e Avaliação de Segurança da Informação
Stakeholders de Segurança do Cliente (Saiba mais):