Compartilhar via


Controle de Segurança v3: Postura e Gerenciamento de Vulnerabilidades

A postura e o gerenciamento de vulnerabilidades concentram-se em controles para avaliar e melhorar a postura de segurança do Azure, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos do Azure.

PV-1: .definir e estabelecer configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1,1

Princípio de segurança: defina as linhas de base da configuração segura para diferentes tipos de recursos na nuvem. Alternativamente, use as ferramentas de gerenciamento de configuração para estabelecer a linha de base da configuração automaticamente antes ou durante a implantação de recursos para que o ambiente possa ficar em conformidade, por padrão, após a implantação.

Diretrizes do Azure: use o Azure Security Benchmark e a linha de base de serviço para definir a linha de base da configuração para cada serviço ou oferta do Azure. Consulte a arquitetura de referência do Azure e arquitetura da zona de destino do Cloud Adoption Framework para reconhecer os controles de segurança e as configurações críticas que podem ser necessárias em todos os recursos do Azure.

Use o Azure Blueprints para automatizar a implantação e a configuração de serviços e ambientes de aplicativos, incluindo modelos do Azure Resource Manager, controles do Azure RBAC e políticas em uma única definição de blueprint.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-2: auditar e impor configurações seguras

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base da configuração definida. Impor a configuração desejada de acordo com a configuração da linha de base negando a configuração em não conformidade ou implantando uma configuração.

Diretrizes do Azure: use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e aplicar as configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos.

Use a regra [negar] e [implantar se não existir] do Azure Policy para impor a configuração segura nos recursos do Azure.

Para auditoria e imposição da configuração de recursos sem suporte pelo Azure Policy, talvez você precise gravar seus próprios scripts ou usar ferramentas de terceiros para implementar a auditoria e a imposição de configuração.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-3: definir e estabelecer configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: defina as linhas de base da configuração segura para seus recursos de computação, como VMs e contêineres. Use as ferramentas de gerenciamento de configuração para estabelecer a linha de base da configuração automaticamente antes ou durante a implantação de recursos de computação para que o ambiente possa ficar em conformidade, por padrão, após a implantação. Alternativamente, use uma imagem pré-configurada para criar a linha de base da configuração desejada no modelo de imagem do recurso de computação.

Diretrizes do Azure: use a linha de base do sistema operacional recomendada pelo Azure (para Windows e Linux) como um parâmetro de comparação para definir a linha de base da configuração de recurso de computação.

Além disso, você pode usar uma imagem de VM ou imagem de contêiner personalizada com a configuração de convidado do Azure Policy e a State Configuration da Automação do Azure para estabelecer a configuração de segurança desejada.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-4: auditar e impor configurações seguras para recursos de computação

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base da configuração definida nos recursos de computação. Impor a configuração desejada de acordo com a configuração da linha de base negando a configuração em não conformidade ou implantando uma configuração nos recursos de computação.

Diretrizes do Azure: use o Microsoft Defender para Nuvem e o agente de configuração de convidado do Azure Policy para avaliar e corrigir regularmente os desvios da configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens do sistema operacional personalizado ou o State Configuration da Automação do Azure para manter a configuração de segurança do sistema operacional Os modelos de VM da Microsoft junto a State Configuration da Automação do Azure podem auxiliar no cumprimento e na manutenção dos requisitos de segurança.

Observação: as imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-5: realizar avaliações de vulnerabilidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Princípio de segurança: realize a avaliação de vulnerabilidades nos seus recursos de nuvem em todas as camadas em um agendamento fixo ou sob demanda. Acompanhe e compare os resultados de verificação para examinar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços, rede, Web, sistemas operacionais, configurações incorretas do Azure e assim por diante.

Não esqueça dos riscos potenciais associados ao acesso privilegiado usado pelos verificadores de vulnerabilidade. Siga a melhor prática de segurança de acesso privilegiado para proteger todas as contas administrativas usadas para a verificação.

Diretrizes do Azure: siga as recomendações do Microsoft Defender para Nuvem sobre como executar avaliações de vulnerabilidade nas máquinas virtuais, imagens de contêiner e servidores SQL do Azure. O Microsoft Defender para Nuvem tem um verificador de vulnerabilidades interno para verificação de máquina virtual. Use uma solução de terceiros para executar avaliações de vulnerabilidade em dispositivos de rede e aplicativos (por exemplo, aplicativos Web)

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar a recomendação de gerenciamento de vulnerabilidade sugerida pelo Microsoft Defender para Nuvem, você poderá dinamizar o portal da solução de verificação selecionada para exibir os dados históricos de verificação.

Ao realizar verificações remotas, não use uma conta administrativa perpétua individual. Considere implementar a metodologia de provisionamento JIT (just-in-time) para a conta de verificação. As credenciais para a conta de verificação devem ser protegidas, monitoradas e usadas somente para verificação de vulnerabilidade.

Observação: os serviços do Azure Defender (incluindo o Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS) incorporam determinados recursos de avaliação de vulnerabilidade. Os alertas gerados a partir dos serviços do Azure Defender devem ser monitorados e revisados junto ao resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender para Nuvem.

Observação: não deixe de configurar notificações por email no Microsoft Defender para Nuvem.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-6: corrigir vulnerabilidades de forma rápida e automática

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: FLAW REMEDIATION 6.1, 6.2, 6.5, 11.2

Princípio de segurança: implante patches e atualizações de forma rápida e automática para corrigir vulnerabilidades em seus recursos de nuvem. Use a abordagem baseada em risco apropriada para priorizar a correção das vulnerabilidades. Por exemplo, vulnerabilidades mais graves em um ativo de maior valor devem ser resolvidas como uma prioridade mais alta.

Diretrizes do Azure: use o Gerenciamento de Atualizações da Automação do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.

Para um software de terceiros, use uma solução de gerenciamento de patch de terceiros ou o System Center Updates Publisher para o Configuration Manager.

Priorize quais atualizações implantar primeiro usando um programa de pontuação de risco comum (como o Sistema de Pontuação de Vulnerabilidade Comum) ou as classificações de risco padrão fornecidas pela ferramenta de verificação de terceiros e adapte ao seu ambiente. Você também deve considerar quais aplicativos apresentam um alto risco de segurança e quais exigem tempo de atividade alto.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

PV-7: conduzir operações regulares de equipe vermelha

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Princípio de segurança: simule ataques do mundo real para fornecer uma visão mais completa da vulnerabilidade da sua organização. As operações de equipe vermelha e os testes de penetração complementam a abordagem tradicional de verificação de vulnerabilidade para descobrir riscos.

Siga as melhores práticas do setor para criar, preparar e conduzir esse tipo de teste para garantir que ele não cause danos ou interrupções em seu ambiente. O que sempre deve incluir a discussão do escopo de teste e as restrições com stakeholders relevantes e proprietários de recursos.

Diretrizes do Azure: conforme necessário, realize testes de penetração ou atividades de equipe vermelha nos seus recursos do Azure e garanta a correção de todas as conclusões de segurança críticas.

Siga as Regras de Participação no Teste de Penetração do Microsoft Cloud para garantir que os testes de penetração não violem as políticas da Microsoft. Use a estratégia da Microsoft, a execução de Equipes Vermelhas e os testes de penetração de sites online na infraestrutura, nos serviços e nos aplicativos de nuvem gerenciados pela Microsoft.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):