Controle de segurança: configuração segura
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
Estabeleça, implemente e gerencie ativamente (acompanhe, relate e corrija) a configuração de segurança dos recursos do Azure para impedir que os invasores explorem serviços e configurações vulneráveis.
7.1: Estabelecer configurações seguras para todos os recursos do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.1 | 5.1 | Cliente |
Use aliases do Azure Policy para criar políticas personalizadas para auditar ou impor a configuração de recursos do Azure. Você também pode usar as definições internas do Azure Policy.
Além disso, o Azure Resource Manager pode exportar o modelo no formato JSON (JavaScript Object Notation), que deve ser examinado para garantir que as configurações atendam/excedam os requisitos de segurança da sua organização.
Você também pode usar as recomendações da Central de Segurança do Azure como uma linha de base de configuração segura para recursos do Azure.
Tutorial: Criar e gerenciar políticas para impor a conformidade
Exportação de um ou de vários recursos para um modelo no portal do Azure
7.2: Estabelecer configurações seguras de sistema operacional
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.2 | 5.1 | Cliente |
Use as recomendações da Central de Segurança do Azure para manter as configurações de segurança em todos os recursos de computação. Adicionalmente, você pode usar imagens personalizadas do sistema operacional ou o State Configuration da Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigida pela sua organização.
Recomendações sobre como monitorar a Central de Segurança do Azure
Carregar um VHD e usá-lo para criar novas VMs do Windows no Azure
Criar uma VM Linux usando um disco personalizado com a CLI do Azure
7.3: Manter configurações seguras de recursos do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.3 | 5.2 | Cliente |
use o Azure Policy [negar] e [implantar se não existir] para impor configurações seguras em seus recursos do Azure. Além disso, você pode usar modelos do Azure Resource Manager para manter a configuração de segurança dos recursos do Azure exigidos pela sua organização.
7.4: Manter configurações seguras de sistema operacional
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.4 | 5.2 | Compartilhado |
Siga as recomendações da Central de Segurança do Azure sobre como executar avaliações de vulnerabilidade em seus recursos de computação do Azure. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou o State Configuration da Automação do Azure para manter a configuração de segurança do sistema operacional exigida pela sua organização. Os modelos de máquina virtual da Microsoft combinados com o Desired State Configuration da Automação do Azure podem ajudar a atender e a manter os requisitos de segurança.
Além disso, observe que as imagens de máquina virtual do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.
Como implementar as recomendações de avaliação de vulnerabilidade da Central de Segurança do Azure
Como criar uma Máquina Virtual do Azure com base em um modelo do Azure Resource Manager
Script de exemplo para carregar um VHD para o Azure e criar uma nova VM
7.5: Armazenar configuração de recursos do Azure com segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.5 | 5,3 | Cliente |
Use o Azure DevOps para armazenar e gerenciar código com segurança, como políticas personalizadas do Azure, modelos do Azure Resource Manager e scripts de Desired State Configuration. Para acessar os recursos que você gerencia no Azure DevOps, você pode conceder ou negar permissões a usuários específicos, a grupos de segurança internos ou a grupos definidos no Azure Active Directory (Azure AD), se integrado ao Azure DevOps, ou no Active Directory, se integrado ao TFS.
7.6: Armazene imagens personalizadas do sistema operacional com segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.6 | 5,3 | Cliente |
Se estiver usando imagens personalizadas, use o RBAC (controle de acesso baseado em função) do Azure para garantir que somente usuários autorizados possam acessar as imagens. Usando uma Galeria de Imagens Compartilhadas, é possível compartilhar suas imagens com diferentes usuários, entidades de serviço ou grupos do AD dentro de sua organização. Para imagens de contêiner, armazene-as no Registro de Contêiner do Azure e aproveite o RBAC do Azure para garantir que somente usuários autorizados possam acessar as imagens.
7.7: Implantar ferramentas de gerenciamento de configuração para recursos do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.7 | 5.4 | Cliente |
Defina e implemente configurações de segurança padrão para recursos do Azure com o Azure Policy. Use aliases do Azure Policy para criar políticas personalizadas para auditar ou aplicar a configuração de rede dos recursos do Azure. Você também pode usar as definições de política internas relacionadas aos seus recursos específicos. Além disso, você pode usar a Automação do Azure para implantar alterações de configuração.
7.8: Implantar ferramentas de gerenciamento de configuração para sistemas operacionais
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.8 | 5.4 | Cliente |
O State Configuration da Automação do Azure é um serviço de gerenciamento de configuração para nós de DSC (Desired State Configuration) em qualquer datacenter local ou na nuvem. Você pode, facilmente, integrar máquinas, atribuir a elas configurações declarativas e exibir relatórios que mostram a conformidade de cada computador com o estado desejado especificado.
7.9: Implementar o monitoramento automatizado de configuração para recursos do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.9 | 5.5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base em recursos do Azure. Além disso, use o Azure Policy para alertar e auditar configurações de recursos do Azure.
7.10: Implementar monitoramento automatizado de configuração para sistemas operacionais
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.10 | 5.5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base para configurações do SO e do Docker para contêineres.
7.11: Gerenciar segredos do Azure com segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.11 | 13.1 | Cliente |
Use as identidades gerenciadas para recursos do Azure em conjunto com o Azure Key Vault para simplificar e proteger o gerenciamento de segredos para seus aplicativos de nuvem.
7.12: Gerenciar identidades de maneira segura e automática
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.12 | 4.1 | Cliente |
Use identidades gerenciadas para fornecer aos serviços do Azure com uma identidade gerenciada automaticamente no Microsoft Azure AD. As identidades gerenciadas permitem que você se autentique em qualquer serviço que dê suporte à autenticação do Azure AD, incluindo o Key Vault, sem ter credenciais em seu código.
7.13: eliminar a exposição involuntária de credenciais
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
implemente o verificador de credenciais para identificar credenciais no código. O verificador de credenciais também encorajará a migração de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Próximas etapas
- Confira o próximo controle de segurança: Defesa contra malware