Security Control V2: governança e estratégia
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
Governança e estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.
GS-1: definir a estratégia de proteção de dados e gerenciamento de ativos
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-1 | 2, 13 | SC, AC |
documente e comunique uma estratégia clara para o monitoramento contínuo e a proteção de sistemas e dados. Priorize a descoberta, a avaliação, a proteção e o monitoramento de sistemas e dados comercialmente críticos.
Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
Padrão de classificação de dados de acordo com os riscos de negócios
Visibilidade da organização de segurança dos riscos e do inventário de ativos
Aprovação da organização de segurança dos serviços do Azure para uso
Segurança de ativos por meio do ciclo de vida
Estratégia de controle de acesso obrigatório de acordo com a classificação de dados organizacionais
Uso de funcionalidades nativas e de terceiros de proteção de dados do Azure
Requisitos de criptografia de dados para casos de uso em trânsito e em repouso
Padrões de criptografia apropriados
Para saber mais, consulte as referências a seguir:
Recomendação da arquitetura de segurança do Azure – Armazenamento, dados e criptografia
Conceitos básicos de segurança do Azure – Segurança, criptografia e armazenamento de dados do Azure
Cloud Adoption Framework – Melhores práticas de segurança e criptografia de dados do Azure
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-2: definir uma estratégia de segmentação corporativa
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-2 | 4, 9, 16 | AC, CA, SC |
estabeleça uma estratégia de toda a empresa para segmentar o acesso aos ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.
Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de habilitação da operação diária dos sistemas que precisam se comunicar entre si e acessar dados.
Garanta que a estratégia de segmentação seja implementada de maneira consistente nos tipos de controle, incluindo segurança de rede, modelos de identidade e acesso, além de modelos de acesso/permissão de aplicativo e controles de processos humanos.
Diretrizes sobre a estratégia de segmentação no Azure (vídeo)
Diretrizes sobre a estratégia de segmentação no Azure (documento)
Alinhar a segmentação de rede com a estratégia de segmentação corporativa
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-3: definir uma estratégia de gerenciamento de postura de segurança
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-3 | 20, 3, 5 | RA, CM, SC |
Meça e atenue continuamente os riscos para seus ativos individuais e o ambiente no qual eles estão hospedados. Priorize os ativos de alto valor e as superfícies de ataque altamente expostas, como aplicativos publicados, pontos de entrada e saída de rede, pontos de extremidade de usuário e administrador etc.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-4: alinhar funções e responsabilidades da organização
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-4 | N/D | PL, PM |
Documente e comunique uma estratégia clara para funções e responsabilidades na sua organização de segurança. Priorize o fornecimento de responsabilidade clara por decisões de segurança, educando todos no modelo de responsabilidade compartilhada e instrua equipes técnicas sobre a tecnologia usada para proteger a nuvem.
Melhor prática de segurança do Azure 1 – Pessoas: educar as equipes na jornada de segurança na nuvem
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-5: definir uma estratégia de segurança de rede
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-5 | 9 | CA, SC |
Estabeleça uma abordagem de segurança de rede do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.
Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
Gerenciamento de rede centralizado e responsabilidade pela segurança
Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação corporativa
Estratégia de correção em diferentes cenários de ameaças e ataques
Estratégia de entrada e saída e borda da Internet
Estratégia de interconectividade local e de nuvem híbrida
Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência)
Para saber mais, consulte as referências a seguir:
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-6: definir uma estratégia de identidade e acesso privilegiado
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-6 | 16, 4 | AC, AU, SC |
Estabeleça abordagens de identidade e acesso privilegiado do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.
Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
Um sistema de identidade e autenticação centralizado e a interconectividade dele com outros sistemas de identidade internos e externos
Métodos de autenticação forte em diferentes casos de uso e condições
Proteção de usuários altamente privilegiados
Monitoramento e tratamento de atividades de usuário de anomalias
Processo de revisão de acesso e reconciliação e identidade do usuário
Para saber mais, consulte as referências a seguir:
Melhor prática de segurança do Azure 11 – Arquitetura. Uma estratégia de segurança unificada
Visão geral da segurança de gerenciamento de identidade do Azure
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-7: definir uma estratégia de log e resposta a ameaças
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-7 | 19 | IR, AU, RA, SC |
estabeleça uma estratégia de log e resposta a ameaças para detectar e corrigir as ameaças rapidamente, atendendo aos requisitos de conformidade. Priorize o fornecimento de alertas de alta qualidade e experiências integradas aos analistas, de modo que possam se concentrar nas ameaças em vez da integração e de etapas manuais.
Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
A função e as responsabilidades da organização de SecOps (operações de segurança)
Um processo de resposta a incidentes bem definido, alinhando-se ao NIST ou a outra estrutura do setor
Captura e retenção de log para dar suporte às necessidades de conformidade, detecção de ameaças e resposta a incidentes
Visibilidade centralizada das ameaças e informações de correlação sobre elas por meio do SIEM, de funcionalidades nativas do Azure e de outras fontes
Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas interessadas
Uso de plataformas nativas e de terceiros do Azure para tratamento de incidentes, como log e detecção de ameaças, análise forense, além de correção e erradicação de ataques
Processos para tratamento de incidentes e atividades pós-incidente, como lições aprendidas e retenção de evidências
Para saber mais, consulte as referências a seguir:
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
GS-8: definir a estratégia de backup e recuperação
ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
---|---|---|
GS-8 | 10 | CP |
Estabeleça uma estratégia de backup e recuperação do Azure para sua organização.
Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:
As definições de RTO (objetivo de tempo de recuperação) e RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios
Design de redundância em sua configuração de infraestrutura e aplicativos
Proteção de backup usando controle de acesso e criptografia de dados
Para saber mais, consulte as referências a seguir:
Azure Well - Architecture Framework - backup e recuperação de desastre para aplicativos do Azure
Estrutura de adoção do Azure - continuidade dos negócios e recuperação de desastre
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):