Recomendações para estabelecer uma linha de base de segurança

Aplica-se à recomendação da lista de verificação do Azure Well-Architected Framework Security:

SE:01	Estabeleça uma linha de base de segurança alinhada com os requisitos de conformidade, as normas do setor e as recomendações da plataforma. Meça regularmente a arquitetura e as operações da carga de trabalho na linha de base para manter ou melhorar a sua postura de segurança ao longo do tempo.

Este guia descreve as recomendações para estabelecer uma linha de base de segurança. Uma linha de base de segurança é um documento que especifica os requisitos mínimos de segurança e expectativas da sua organização em várias áreas. Uma boa linha de base de segurança ajuda-o:

• Mantenha os seus dados e sistemas seguros.
• Cumprir os requisitos regulamentares.
• Minimizar o risco de supervisão.
• Reduza a probabilidade de violações e efeitos comerciais subsequentes.

As linhas de base de segurança devem ser publicadas amplamente em toda a sua organização para que todos os intervenientes estejam cientes das expectativas.

Este guia fornece recomendações sobre a definição de uma linha de base de segurança baseada em fatores internos e externos. Os fatores internos incluem requisitos empresariais, riscos e avaliação de ativos. Os fatores externos incluem referências do setor e normas regulamentares.

Definições

Termo	Definição
Linha de base	O nível mínimo de acessibilidades de segurança que uma carga de trabalho tem de ter para evitar ser explorada.
Referência	Um padrão que significa a postura de segurança que a organização aspira. É avaliado, medido e melhorado ao longo do tempo.
Controlos	Controlos técnicos ou operacionais na carga de trabalho que ajudam a evitar ataques e a aumentar os custos do atacante.
Requisitos regulamentares	Um conjunto de requisitos empresariais, impulsionados pelas normas do setor, que as leis e as autoridades impõem.

Principais estratégias de design

Uma linha de base de segurança é um documento estruturado que define um conjunto de critérios e capacidades de segurança que a carga de trabalho tem de cumprir para aumentar a segurança. Numa forma mais madura, pode expandir uma linha de base para incluir um conjunto de políticas que utiliza para definir proteções.

A linha de base deve ser considerada a norma para medir a sua postura de segurança. O objetivo deve ser sempre a realização total, mantendo um âmbito amplo.

A linha de base de segurança nunca deve ser um esforço ad hoc. As normas do setor, a conformidade (interna ou externa) ou os requisitos regulamentares, os requisitos regionais e as referências da plataforma cloud são os principais fatores para a linha de base. Os exemplos incluem Controlos do Centro de Segurança da Internet (CIS), Instituto Nacional de Normas e Tecnologia (NIST) e padrões orientados para a plataforma, como referência de segurança na cloud da Microsoft (MCSB). Todas estas normas são consideradas um ponto de partida para a linha de base. Crie a base ao incorporar requisitos de segurança a partir dos requisitos empresariais.

Para obter ligações para os recursos anteriores, veja Ligações relacionadas.

Crie a linha de base ao obter consenso entre os líderes empresariais e técnicos. A linha de base não deve ser restrita a controlos técnicos. Deve também incluir os aspetos operacionais da gestão e manutenção da postura de segurança. Assim, o documento de linha de base também serve como o compromisso da organização em investir na segurança da carga de trabalho. O documento de linha de base de segurança deve ser amplamente distribuído na sua organização para garantir que existe uma consciencialização sobre a postura de segurança da carga de trabalho.

À medida que a carga de trabalho cresce e o ecossistema evolui, é vital manter a linha de base sincronizada com as alterações para garantir que os controlos fundamentais ainda são eficazes.

Criar uma linha de base é um processo metódico. Seguem-se algumas recomendações sobre o processo:

• Inventário de ativos. Identifique os intervenientes dos recursos de carga de trabalho e os objetivos de segurança desses recursos. No inventário de ativos, classifique por requisitos de segurança e criticidade. Para obter informações sobre recursos de dados, veja Recomendações sobre classificação de dados.

• Avaliação de riscos. Identificar potenciais riscos associados a cada recurso e priorizá-los.

• Requisitos de conformidade. Base qualquer regulamentação ou conformidade para esses recursos e aplique as melhores práticas do setor.

• Padrões de configuração. Defina e documente configurações e definições de segurança específicas para cada recurso. Se possível, templatize ou encontre uma forma repetida e automatizada de aplicar as definições de forma consistente em todo o ambiente.

• Controlo de acesso e autenticação. Especifique os requisitos de controlo de acesso baseado em funções (RBAC) e autenticação multifator (MFA). Documente o que significa acesso suficiente ao nível do recurso. Comece sempre com o princípio do menor privilégio.

• Gestão de patches. Aplique as versões mais recentes em todos os tipos de recursos para fortalecer contra ataques.

• Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos intervenientes relevantes.

• Imposição e responsabilidade. Estabeleça mecanismos de imposição claros e consequências para a não conformidade com a linha de base de segurança. Responsabilize as pessoas e as equipas pela manutenção dos padrões de segurança.

• Monitorização contínua. Avalie a eficácia da linha de base de segurança através da observabilidade e melhore as horas extraordinárias.

Composição de uma linha de base

Seguem-se algumas categorias comuns que devem fazer parte de uma linha de base. A lista seguinte não é exaustiva. Destina-se a ser uma descrição geral do âmbito do documento.

Conformidade regulamentar

Uma carga de trabalho pode estar sujeita à conformidade regulamentar para segmentos específicos do setor, pode haver algumas restrições geográficas e assim sucessivamente. É fundamental compreender os requisitos, conforme indicado nas especificações regulamentares, porque estes influenciam as escolhas de design e, em alguns casos, têm de ser incluídos na arquitetura.

A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulamentares. Tire partido das ferramentas fornecidas pela plataforma, como Microsoft Defender para a Cloud, que podem identificar áreas de não conformidade. Trabalhe com a equipa de conformidade da organização para garantir que todos os requisitos são cumpridos e mantidos.

Componentes de arquitetura

A linha de base precisa de recomendações prescritivas para os principais componentes da carga de trabalho. Normalmente, estes incluem controlos técnicos para redes, identidade, computação e dados. Faça referência às linhas de base de segurança fornecidas pela plataforma e adicione os controlos em falta à arquitetura.

Veja Exemplo.

Processos de desenvolvimento

A linha de base tem de ter recomendações sobre:

• Classificação do sistema.
• O conjunto aprovado de tipos de recursos.
• Controlar os recursos.
• Impor políticas para utilizar ou configurar recursos.

A equipa de desenvolvimento tem de ter uma compreensão clara do âmbito das verificações de segurança. Por exemplo, a modelação de ameaças é um requisito para garantir que as potenciais ameaças são identificadas no código e nos pipelines de implementação. Seja específico sobre as verificações estáticas e a análise de vulnerabilidades no pipeline e a regularidade com que a equipa precisa para realizar essas análises.

Para obter mais informações, veja Recomendações sobre a análise de ameaças.

O processo de desenvolvimento também deve definir normas sobre várias metodologias de teste e a sua cadência. Para obter mais informações, veja Recomendações sobre testes de segurança.

Operações

A linha de base tem de definir normas sobre a utilização de capacidades de deteção de ameaças e o aumento de alertas sobre atividades anómalas que indiquem incidentes reais. A deteção de ameaças tem de incluir todas as camadas da carga de trabalho, incluindo todos os pontos finais acessíveis a partir de redes hostis.

A linha de base deve incluir recomendações para configurar processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e quais desses processos podem ser automatizados para agilizar a deteção e análise. Por exemplo, veja Descrição geral das linhas de base de segurança do Azure.

A resposta a incidentes também deve incluir um plano de recuperação e os requisitos para esse plano, tais como recursos para fazer e proteger regularmente cópias de segurança.

Pode desenvolver planos de violação de dados com as normas e recomendações do setor fornecidas pela plataforma. Em seguida, a equipa tem um plano abrangente a seguir quando for detetada uma falha de segurança. Além disso, contacte a sua organização para ver se existe cobertura através da cibersegurança.

Formação

Desenvolva e mantenha um programa de formação de segurança para garantir que a equipa de carga de trabalho está equipada com as competências adequadas para suportar os objetivos e requisitos de segurança. A equipa precisa de formação de segurança fundamental, mas utilize o que puder da sua organização para suportar funções especializadas. A conformidade e participação na formação de segurança baseada em funções em exercícios fazem parte da linha de base de segurança.

Utilizar a linha de base

Utilize a linha de base para impulsionar iniciativas, tais como:

• Preparação para decisões de design. Crie a linha de base de segurança e publique-a antes de iniciar o processo de conceção da arquitetura. Certifique-se de que os membros da equipa estão plenamente cientes das expectativas da sua organização mais cedo, o que evita um trabalho dispendioso causado pela falta de clareza. Pode utilizar critérios de linha de base como requisitos de carga de trabalho que a organização se comprometeu e conceber e validar controlos em relação a essas restrições.

• Meça a sua estrutura. Classificar as decisões atuais em relação à linha de base atual. A linha de base define limiares reais para critérios. Documente quaisquer desvios que sejam diferidos ou considerados aceitáveis a longo prazo.

• Melhorias na unidade. Embora a linha de base defina objetivos alcançáveis, existem sempre lacunas. Priorize as lacunas no seu backlog e remediar com base na atribuição de prioridades.

• Controle o seu progresso em relação à linha de base. A monitorização contínua das medidas de segurança relativamente a uma linha de base definida é essencial. A análise de tendências é uma boa forma de rever o progresso da segurança ao longo do tempo e pode revelar desvios consistentes da linha de base. Utilize a automatização o máximo possível, solicitando dados de várias origens, internas e externas, para resolver problemas atuais e preparar-se para ameaças futuras.

• Definir proteções. Sempre que possível, os critérios de linha de base têm de ter proteções. As proteções impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e fatores externos. Os fatores internos incluem requisitos empresariais, riscos e avaliação de ativos. Os fatores externos incluem referências, normas regulamentares e ambiente de ameaças. Os proteções ajudam a minimizar o risco de supervisão inadvertida e multas punitivas por incumprimento.

Explore Azure Policy para opções personalizadas ou utilize iniciativas incorporadas, como referências CIS ou Referência de Segurança do Azure para impor configurações de segurança e requisitos de conformidade. Considere criar políticas e iniciativas do Azure a partir de linhas de base.

Avaliar a linha de base regularmente

Melhore continuamente as normas de segurança de forma incremental em relação ao estado ideal para garantir a redução contínua do risco. Realize revisões periódicas para garantir que o sistema está atualizado e em conformidade com influências externas. Qualquer alteração à linha de base tem de ser formal, acordada e enviada através de processos de gestão de alterações adequados.

Meça o sistema em relação à nova linha de base e dê prioridade às remediações com base na sua relevância e efeito na carga de trabalho.

Certifique-se de que a postura de segurança não se degrada ao longo do tempo ao instituir a auditoria e monitorizar a conformidade com as normas organizacionais.

Facilitação do Azure

A referência de segurança da cloud da Microsoft (MCSB) é uma arquitetura de melhores práticas de segurança abrangente que pode utilizar como ponto de partida para a linha de base de segurança. Utilize-o juntamente com outros recursos que fornecem entrada para a linha de base.

Para obter mais informações, veja Introdução à referência de segurança da cloud da Microsoft.

Utilize o dashboard de conformidade regulamentar Microsoft Defender para Cloud (MDC) para controlar essas linhas de base e ser alertado se for detetado um padrão fora de uma linha de base. Para obter mais informações, veja Personalizar o conjunto de normas no dashboard de conformidade regulamentar.

Outras funcionalidades que ajudam a estabelecer e melhorar a linha de base:

• Criar políticas de segurança personalizadas do Azure

• Compreender políticas, iniciativas e recomendações de segurança

• Verificações de conformidade regulamentar

Exemplo

Este diagrama lógico mostra uma linha de base de segurança de exemplo para componentes de arquitetura que abrangem rede, infraestrutura, ponto final, aplicação, dados e identidade para demonstrar como um ambiente de TI comum pode ser protegido de forma segura. Outros guias de recomendação baseiam-se neste exemplo.

Infraestrutura

Um ambiente de TI comum, com uma camada no local com recursos básicos.

Serviços de Segurança do Azure

Serviços e funcionalidades de segurança do Azure pelos tipos de recursos que protegem.

Serviços de monitorização de segurança do Azure

Os serviços de monitorização disponíveis no Azure que vão além de serviços de monitorização simples, incluindo a gestão de eventos de informações de segurança (SIEM) e soluções de resposta automatizada de orquestração de segurança (SOAR) e Microsoft Defender para a Cloud.

Ameaças

Esta camada traz uma recomendação e um lembrete de que as ameaças podem ser mapeadas de acordo com as preocupações da sua organização relativamente a ameaças, independentemente da metodologia ou matriz semelhante a Mitre Attack Matrix ou cadeia cyber kill.

Alinhamento organizacional

Cloud Adoption Framework fornece orientações para as equipas centrais sobre como estabelecer uma linha de base com um modelo sugerido:

• Descrição geral da disciplina de Linha de Base de Segurança

• Modelo da disciplina de Linha de Base de Segurança

Ligações relacionadas

• Conformidade da Microsoft

• Descrição geral das linhas de base de segurança do Azure

• O que é a resposta a incidentes? Plano e passos

• Referências de Segurança do Azure

Ligações da comunidade

• CIS Microsoft Azure Foundations Benchmark

• Arquitetura de cibersegurança | NIST

Lista de verificação de segurança

Veja o conjunto completo de recomendações.

Lista de verificação de segurança