Introdução à Arquitetura de Referência de Segurança Cibernética da Microsoft e ao parâmetro de comparação de segurança de nuvem
Este módulo aborda as melhores práticas para capacidades e controles de segurança cibernética, que são essenciais para reduzir o risco dos invasores serem bem-sucedidos.
Objetivos de aprendizagem
Neste módulo, você saberá como:
- Use a MCRA (Arquitetura de Referência de Segurança Cibernética) da Microsoft para criar soluções mais seguras.
- Use o MCSB (Parâmetro de comparação de segurança do Microsoft Cloud) para criar soluções mais seguras.
O conteúdo no módulo ajuda você a se preparar para o exame de certificação SC-100: Arquiteto de Segurança Cibernética da Microsoft.
Pré-requisitos
- Conhecimento conceitual sobre políticas de segurança, requisitos, arquitetura de confiança zero e gerenciamento de ambientes híbridos
- Experiência de trabalho com estratégias de confiança zero, aplicação de políticas de segurança e desenvolvimento de requisitos de segurança com base nas metas de negócios
Visão geral a MCRA
As MCRA (Arquitetura de Referência de Segurança Cibernética da Microsoft) é um conjunto de diagramas técnicos que descrevem as funcionalidades de segurança cibernética da Microsoft. Os diagramas descrevem como os recursos de segurança da Microsoft se integram ao seguinte:
- Plataformas da Microsoft, como Microsoft 365 e Microsoft Azure
- Aplicativos de terceiros, como ServiceNow e Salesforce
- Plataformas de terceiros, como a AWS (Amazon Web Services) e a GCP (Google Cloud Platform)
A MCRA contém diagramas sobre os seguintes tópicos:
- Recursos de segurança cibernética da Microsoft
- Confiança Zero e um RaMP (plano de modernização rápida) da Confiança Zero
- Acesso de usuário de Confiança Zero
- Operações de segurança
- OT (tecnologia operacional)
- Funcionalidades multinuvem e multiplataforma
- Cobertura da cadeia de ataques
- Controles de segurança nativos do Azure
- Funções organizacionais de segurança
Visão geral do MCSB
Novos serviços e recursos são lançados diariamente no Azure e em outras plataformas de nuvem. Desenvolvedores publicam rapidamente novos aplicativos de nuvem criados nesses serviços e os invasores buscam constantemente maneiras de explorar recursos configurados incorretamente. A nuvem se move rapidamente, os desenvolvedores se movem rapidamente e os invasores também se movem rapidamente. Como acompanhar e se certificar de que as implantações na nuvem estão protegidas? Como as práticas de segurança dos sistemas de nuvem são diferentes dos sistemas locais e diferentes entre provedores de serviços de nuvem? Como monitorar sua carga de trabalho quanto à consistência entre várias plataformas de nuvem?
A Microsoft descobriu que o uso de parâmetros de comparação de segurança pode ajudar você a proteger rapidamente as implantações em nuvem. Uma estrutura abrangente de melhores práticas de segurança dos provedores de serviços de nuvem pode fornecer um ponto de partida para selecionar definições de configuração de segurança específicas no seu ambiente de nuvem, em vários provedores de serviços e permitir que você monitore essas configurações usando um só painel de controle.
Controles de segurança
Um controle é uma descrição de alto nível de um recurso ou atividade recomendada que precisa ser resolvida. Os controles não são específicos a uma tecnologia ou implementação. As recomendações de controle de segurança são aplicáveis a várias cargas de trabalho de nuvem. Cada controle é numerado e as recomendações do controle identificam uma lista de stakeholders que normalmente estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
Domínios de controle/famílias de controle do MCSB
No MCSB, os controles são agrupados em "famílias" ou "domínios". A seguinte tabela resume os domínios de controle de segurança no MCSB:
| Domínios de Controle | Descrição |
|---|---|
| NS (Segurança de rede) | A Segurança de Rede abrange controles para proteger as redes, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS. |
| IM (Gerenciamento de Identidades) | O Gerenciamento de Identidades abrange controles para estabelecer controles de acesso e identidade segura usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e princípios de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| PA (Acesso Privilegiado) | O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido. |
| DP (Proteção de Dados) | A Proteção de Dados abrange o controle da proteção de dados inativos, ativos e por meio de mecanismos de acesso autorizados, como descobrir, classificar, proteger e monitorar ativos de dados confidenciais com o controle de acesso, a criptografia, o gerenciamento de chaves e o gerenciamento de certificados. |
| AM (Gerenciamento de Ativos) | O gerenciamento de ativos abrange controles para garantir a visibilidade e a governança da segurança de seus recursos. Isso inclui recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações de serviços e recursos (inventário, acompanhamento e correção). |
| LT (Registro em Log e Detecção de Ameaças) | O Registro em Log e a Detecção de Ameaças abrangem controles para detectar ameaças na nuvem e habilitar, coletar e armazenar logs de auditoria para serviços de nuvem, incluindo a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços de nuvem; também inclui a coleta de logs com um serviço de monitoramento de nuvem, centralização da análise de segurança com um SIEM, sincronização de horas e retenção de logs. |
| IR (Resposta a Incidentes) | A Resposta a Incidentes aborda controles no ciclo de vida de resposta a incidentes - preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como o Microsoft Defender para Nuvem e o Sentinel e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Postura e Vulnerabilidades) | A Postura e o Gerenciamento de Vulnerabilidades concentram-se em controles para avaliar e melhorar a postura de segurança da nuvem, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos de nuvem. |
| ES (Segurança de Ponto de Extremidade) | A Segurança do Ponto de Extremidade aborda controles em resposta e detecção de ponto de extremidade, incluindo uso de EDR (detecção de ponto de extremidade e resposta) e serviço antimalware para pontos de extremidade em ambientes de nuvem. |
| BR (Backup e Recuperação) | O Backup e a Recuperação abrangem controles para garantir que os backups de dados e de configuração nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| DS (Segurança de DevOps) | O DevOps Security abrange os controles relacionados à engenharia de segurança e operações nos processos do DevOps, incluindo a implantação de verificações de segurança críticas (como teste de segurança de aplicativo estático, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança em todo o processo de DevOps; ele também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| GS (Governança e Estratégia) | A governança e a estratégia fornecem diretrizes para assegurar uma estratégia de segurança coerente e uma abordagem de governança documentada para guiar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funcionalidades de segurança da nuvem, uma estratégia técnica unificada e políticas e padrões de suporte. |
Linhas de base de serviço
As linhas de base de segurança são documentos padronizados para ofertas de produtos do Azure, que descrevem as funcionalidades de segurança disponíveis e as configurações de segurança ideais para ajudar você a fortalecer a segurança por meio de ferramentas, acompanhamento e recursos de segurança aprimorados. Atualmente, só temos linhas de base de serviço disponíveis para o Azure.
As linhas de base de segurança do Azure se concentram em áreas de controle centradas na nuvem em ambientes do Azure. Esses controles são consistentes com padrões conhecidos do setor, como: CIS (Center for Internet Security) ou NIST (National Institute for Standards in Technology). Nossas linhas de base fornecem diretrizes para as áreas de controle listadas no parâmetro de comparação de segurança da nuvem da Microsoft v1.
Cada linha de base consiste nos seguintes componentes:
- Como um serviço se comporta?
- Quais recursos de segurança estão disponíveis?
- Quais configurações são recomendadas para proteger o serviço?
Implementar o parâmetro de comparação de segurança da nuvem da Microsoft
- Planeje sua implementação do MCSB lendo a documentação dos controles corporativos e das linhas de base específicas do serviço para planejar sua estrutura de controle e como ela será mapeada para as diretrizes como os Controles do CIS (Center for Internet Security), o NIST (National Institute of Standards and Technology) e a estrutura PCI-DSS (Payment Card Industry Data Security Standard).
- Monitore sua conformidade com o status do MCSB (e outros conjuntos de controle) usando o Microsoft Defender para Nuvem – Painel de Conformidade Regulatória para seu ambiente multinuvem.
- Estabeleça verificadores de integridade para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos da sua organização) usando recursos como o Azure Blueprints, o Azure Policy ou as tecnologias equivalentes de outras plataformas de nuvem.
Casos de uso comuns
Muitas vezes, o parâmetro de comparação de segurança da nuvem da Microsoft pode ser usado para resolver desafios comuns para clientes ou parceiros de serviço que:
- São iniciantes no Azure (e em outras grandes plataformas de nuvem, como a AWS) e estão procurando melhores práticas de segurança para garantir uma implantação segura de serviços de nuvem e de sua carga de trabalho de aplicativo.
- Estão buscando aprimorar a postura de segurança de implantações de nuvem existentes para priorizar os principais riscos e mitigações.
- Estão usando ambientes multinuvem (como o Azure e a AWS) e enfrentando desafios para alinhar o monitoramento e a avaliação do controle de segurança usando um só painel de visualização.
- Estão avaliando os recursos/funcionalidades de segurança do Azure (e de outras grandes plataformas de nuvem, como a AWS) antes de integrar/aprovar um serviços no catálogo de serviços de nuvem.
- Precisam atender aos requisitos de conformidade em setores altamente regulamentados, como governo, finanças e serviços de saúde. Esses clientes precisam garantir que suas configurações de serviço do Azure e de outras nuvens atendam à especificação de segurança definida na estrutura, como CIS, NIST ou PCI. O MCSB fornece uma abordagem eficiente com os controles já mapeados para os benchmarks desses setores.
Terminologia
Os termos "controle" e "linha de base" são usados com frequência na documentação do parâmetro de comparação de segurança da nuvem da Microsoft. É importante entender como o MCSB usa esses termos.
| Termo | Descrição | Exemplo |
|---|---|---|
| Control | Um controle é uma descrição de alto nível de um recurso ou de uma atividade que precisa ser resolvida e não é específica para uma tecnologia ou implementação. | A Proteção de Dados é uma das famílias de controles de segurança. A Proteção de Dados contém ações específicas que devem ser abordadas para ajudar a garantir que os dados estejam protegidos. |
| Linha de base | Uma linha de base é a implementação do controle nos serviços individuais do Azure. Cada organização determina a recomendação do parâmetro de comparação, e as configurações correspondentes são necessárias no Azure. Observação: atualmente, só temos linhas de base de serviço disponíveis para o Azure. | A empresa Contoso busca habilitar os recursos de segurança do SQL do Azure seguindo a configuração recomendada na linha de base de segurança do SQL do Azure. |