Outras considerações de segurança de linha de base

Concluído

Siga mais algumas recomendações de segurança para definir a segurança geral e os controles operacionais em sua assinatura do Azure.

Mais recomendações de segurança

As seções a seguir descrevem recomendações adicionais que estão presentes no CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Conclua essas etapas para sua assinatura e usando seus recursos para validar cada recomendação de segurança. Tenha em mente que as opções de Nível 2 podem restringir alguns recursos ou atividades, portanto, considere cuidadosamente quais opções de segurança você decide impor.

Definir uma data de validade em todas as chaves no Azure Key Vault – Nível 1

Além da chave, os atributos a seguir podem ser especificados para uma chave no Azure Key Vault. Em uma solicitação JSON, a palavra-chave e as chaves dos atributos { } são necessárias mesmo quando nenhum atributo é especificado. Por exemplo, para o atributo opcional IntDate, o valor padrão é forever. O atributo exp (hora de validade) identifica a hora de validade na qual ou depois da qual a chave não pode ser usada para operações de criptografia, exceto para determinados tipos de operação em condições específicas. O processamento do atributo exp requer que a data e a hora atuais sejam antes da data e da hora de validade definidas no valor exp.

Recomendamos que você faça a rotação das chaves no cofre de chaves e defina uma hora de validade explícita para cada chave. Esse processo garante que as chaves não possam ser usadas além do tempo de vida atribuído. O Key Vault armazena e gerencia segredos como sequências de bytes de 8 bits chamadas octetos, com um tamanho máximo de 25 KB para cada chave. Para dados altamente confidenciais, os clientes devem considerar camadas adicionais de proteção de dados. Um exemplo é a criptografia de dados usando uma chave de proteção separada antes do armazenamento no Key Vault. Conclua as etapas a seguir para todas as chaves em cada um dos cofres de chaves.

  1. Entre no portal do Azure. Pesquise por Cofres de chaves e selecione esse item.

  2. No menu esquerdo, em Objetos, selecione Chaves.

  3. No painel Chaves do cofre de chaves, verifique se cada chave no cofre tem a Data de validade definida conforme apropriado.

  4. Se alterar as configurações, na barra de menus, selecione Salvar.

Definir uma data de validade em todos os segredos no Azure Key Vault – Nível 1

Armazene com segurança e controle com rigidez o acesso a tokens, senhas, certificados, chaves de API e outros segredos. Garanta que todos os segredos no Azure Key Vault tenham uma hora de validade definida. Conclua as etapas a seguir para todos os segredos em cada um dos cofres de chaves.

  1. Entre no portal do Azure. Pesquise por Cofres de chaves e selecione esse item.

  2. No menu esquerdo, em Objetos, selecione Segredos.

  3. No painel Segredos do cofre de chaves, verifique se cada segredo no cofre tem a Data de validade definida conforme apropriado.

    A seguinte captura de tela ilustra a configuração de uma data de validade numa senha:

    Captura de tela que mostra como definir uma data de expiração em um segredo do cofre de chaves.

  4. Se alterar as configurações, na barra de menus, selecione Salvar.

Definir bloqueios de recursos para recursos críticos do Azure – Nível 2

Como administrador, talvez você precise bloquear uma assinatura, um recurso ou um grupo de recursos para impedir que outros usuários excluam ou modifiquem acidentalmente um recurso crítico. No portal do Azure, os níveis de bloqueio são Somente leitura e Excluir. Diferente do controle de acesso baseado em função, você usa bloqueios de gerenciamento para aplicar uma restrição a todos os usuários e a todas as funções. Os bloqueios do Azure Resource Manager se aplicam apenas às operações que ocorrem no plano de gerenciamento, que consistem em operações enviadas para https://management.azure.com. Os bloqueios não restringem a maneira como os recursos executam suas próprias funções. Alterações de recursos são restritas, mas as operações de recursos não são.

Dica

Por exemplo, um bloqueio de Read-only em uma instância do Banco de Dados SQL do Azure impede a exclusão ou a modificação do banco de dados. Ele não previne a criação, atualização e exclusão de dados no banco de dado. As transações de dados são autorizadas porque essas operações não são enviadas para https://management.azure.com.

Conclua as etapas a seguir para todos os recursos críticos em sua assinatura do Azure.

  1. Entre no portal do Azure. Pesquise por Todos os recursos e selecione esse item.

  2. Selecione o recurso, grupo de recursos ou assinatura que você deseja bloquear.

  3. No menu, em Configurações, selecione Bloqueios.

  4. No painel Bloqueios, na barra de menus, selecione Adicionar.

  5. No painel Adicionar bloqueio, insira um nome para o bloqueio e selecione um nível de bloqueio. Opcionalmente, é possível adicionar notas que descrevem o bloqueio.

Captura de tela que mostra como bloquear um recurso no portal do Azure.