Compartilhar via


Security Control V2: governança e estratégia

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

Governança e estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-1: definir a estratégia de proteção de dados e gerenciamento de ativos

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-1 2, 13 SC, AC

documente e comunique uma estratégia clara para o monitoramento contínuo e a proteção de sistemas e dados. Priorize a descoberta, a avaliação, a proteção e o monitoramento de sistemas e dados comercialmente críticos.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • Padrão de classificação de dados de acordo com os riscos de negócios

  • Visibilidade da organização de segurança dos riscos e do inventário de ativos

  • Aprovação da organização de segurança dos serviços do Azure para uso

  • Segurança de ativos por meio do ciclo de vida

  • Estratégia de controle de acesso obrigatório de acordo com a classificação de dados organizacionais

  • Uso de funcionalidades nativas e de terceiros de proteção de dados do Azure

  • Requisitos de criptografia de dados para casos de uso em trânsito e em repouso

  • Padrões de criptografia apropriados

Para saber mais, consulte as referências a seguir:

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-2: definir uma estratégia de segmentação corporativa

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-2 4, 9, 16 AC, CA, SC

estabeleça uma estratégia de toda a empresa para segmentar o acesso aos ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.

Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de habilitação da operação diária dos sistemas que precisam se comunicar entre si e acessar dados.

Garanta que a estratégia de segmentação seja implementada de maneira consistente nos tipos de controle, incluindo segurança de rede, modelos de identidade e acesso, além de modelos de acesso/permissão de aplicativo e controles de processos humanos.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-3: definir uma estratégia de gerenciamento de postura de segurança

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-3 20, 3, 5 RA, CM, SC

Meça e atenue continuamente os riscos para seus ativos individuais e o ambiente no qual eles estão hospedados. Priorize os ativos de alto valor e as superfícies de ataque altamente expostas, como aplicativos publicados, pontos de entrada e saída de rede, pontos de extremidade de usuário e administrador etc.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-4: alinhar funções e responsabilidades da organização

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-4 N/D PL, PM

Documente e comunique uma estratégia clara para funções e responsabilidades na sua organização de segurança. Priorize o fornecimento de responsabilidade clara por decisões de segurança, educando todos no modelo de responsabilidade compartilhada e instrua equipes técnicas sobre a tecnologia usada para proteger a nuvem.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-5: definir uma estratégia de segurança de rede

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-5 9 CA, SC

Estabeleça uma abordagem de segurança de rede do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • Gerenciamento de rede centralizado e responsabilidade pela segurança

  • Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação corporativa

  • Estratégia de correção em diferentes cenários de ameaças e ataques

  • Estratégia de entrada e saída e borda da Internet

  • Estratégia de interconectividade local e de nuvem híbrida

  • Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência)

Para saber mais, consulte as referências a seguir:

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-6: definir uma estratégia de identidade e acesso privilegiado

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-6 16, 4 AC, AU, SC

Estabeleça abordagens de identidade e acesso privilegiado do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • Um sistema de identidade e autenticação centralizado e a interconectividade dele com outros sistemas de identidade internos e externos

  • Métodos de autenticação forte em diferentes casos de uso e condições

  • Proteção de usuários altamente privilegiados

  • Monitoramento e tratamento de atividades de usuário de anomalias

  • Processo de revisão de acesso e reconciliação e identidade do usuário

Para saber mais, consulte as referências a seguir:

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-7: definir uma estratégia de log e resposta a ameaças

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-7 19 IR, AU, RA, SC

estabeleça uma estratégia de log e resposta a ameaças para detectar e corrigir as ameaças rapidamente, atendendo aos requisitos de conformidade. Priorize o fornecimento de alertas de alta qualidade e experiências integradas aos analistas, de modo que possam se concentrar nas ameaças em vez da integração e de etapas manuais.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • A função e as responsabilidades da organização de SecOps (operações de segurança)

  • Um processo de resposta a incidentes bem definido, alinhando-se ao NIST ou a outra estrutura do setor

  • Captura e retenção de log para dar suporte às necessidades de conformidade, detecção de ameaças e resposta a incidentes

  • Visibilidade centralizada das ameaças e informações de correlação sobre elas por meio do SIEM, de funcionalidades nativas do Azure e de outras fontes

  • Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas interessadas

  • Uso de plataformas nativas e de terceiros do Azure para tratamento de incidentes, como log e detecção de ameaças, análise forense, além de correção e erradicação de ataques

  • Processos para tratamento de incidentes e atividades pós-incidente, como lições aprendidas e retenção de evidências

Para saber mais, consulte as referências a seguir:

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

GS-8: definir a estratégia de backup e recuperação

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
GS-8 10 CP

Estabeleça uma estratégia de backup e recuperação do Azure para sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

  • As definições de RTO (objetivo de tempo de recuperação) e RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios

  • Design de redundância em sua configuração de infraestrutura e aplicativos

  • Proteção de backup usando controle de acesso e criptografia de dados

Para saber mais, consulte as referências a seguir:

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):