Entender a linha de base de segurança da plataforma Azure
O grupo de segurança cibernética da Microsoft e o CIS (Center for Internet Security) desenvolveram melhores práticas para ajudar a estabelecer linhas de base de segurança para a plataforma Azure.
Inicialmente, a Microsoft estabeleceu uma parceria com o CIS para o desenvolvimento de uma VM (máquina virtual) do Azure protegida pronta para uso. Em seguida, uma iniciativa começou a criar um parâmetro de comparação CIS — um documento que detalha as práticas recomendadas de CIS — para os serviços e ferramentas de segurança do Azure para facilitar a segurança e a conformidade dos aplicativos de clientes em execução nos serviços do Azure.
Dica
O CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 fornece diretrizes prescritivas para estabelecer uma configuração de linha de base segura para o Azure. Este guia foi testado em relação aos serviços listados do Azure a partir de setembro de 2024. O escopo desse parâmetro de comparação é estabelecer o nível básico de segurança para qualquer pessoa que adotar o Azure.
Criar uma linha de base de segurança de plataforma
Vários padrões de segurança podem ajudar os clientes de serviços de nuvem a ter segurança de carga de trabalho ao usar serviços de nuvem. Os agrupamentos de tecnologia recomendados a seguir ajudam a criar cargas de trabalho seguras habilitadas para a nuvem. Essas recomendações não são uma lista completa de todas as possíveis configurações e arquiteturas de segurança. Essas recomendações de linha de base de segurança são um ponto de partida.
O CIS tem dois níveis de implementação e várias categorias de recomendações:
Nível 1: Recomendações de configurações de segurança mínimas
- Devem ser configuradas em todos os sistemas.
- Essas configurações devem causar pouca ou nenhuma interrupção de serviços e redução de funcionalidade.
Nível 2: Recomendações para ambientes altamente seguros
- Podem resultar em funcionalidade reduzida.
A tabela a seguir fornece as categorias e o número de recomendações feitas para cada categoria no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0:
| Grupo de tecnologia | Descrição | Número de recomendações |
|---|---|---|
| IAM (Gerenciamento de Identidades e Acesso) | Recomendações relacionadas a políticas de IAM | 30 |
| Microsoft Defender para Nuvem | Recomendações relacionados à configuração e ao uso do Microsoft Defender para Nuvem | 35 |
| Contas de armazenamento | Recomendações para definir políticas de conta de armazenamento | 17 |
| Banco de Dados SQL do Azure | Recomendações para ajudar a proteger Bancos de Dados SQL do Azure | 22 |
| Monitoramento e registro em log | Recomendações para definir políticas de monitoramento e log para as assinaturas do Azure | 21 |
| Rede | Recomendações para ajudar a configurar com segurança as configurações e políticas de rede do Azure | 7 |
| VMs | Recomendações para definir políticas de segurança para os serviços de computação do Azure, especificamente as VMs | 11 |
| Outras | Recomendações sobre segurança geral e controles operacionais, incluindo aquelas relacionadas a bloqueios de recursos e ao Azure Key Vault | 13 |
| Total recomendadas | 156 |
Vamos explorar cada categoria mais detalhadamente.