Adicionar padrões regulatórios e do setor ao Microsoft Defender para Nuvem
O Microsoft Cloud Security Benchmark (MCSB) fornece melhores práticas prescritivas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure e em seu ambiente multinuvem, focando em áreas de controle centradas na nuvem com a entrada de um conjunto de diretrizes holísticas de segurança da Microsoft e do setor que inclui:
- Cloud Adoption Framework: diretrizes sobre segurança, incluindo estratégias, funções e responsabilidades, Dez melhores práticas de segurança do Azure e implementação de referência.
- Azure Well-Architected Framework: diretrizes de proteção de cargas de trabalho no Azure.
- Workshop para CISO (Diretor de Segurança da Informação): diretrizes do programa e estratégias de referência para acelerar a modernização da segurança usando os princípios da Confiança Zero.
- Outros padrões e estruturas de melhores práticas de segurança de provedores de serviços em nuvem e do setor: os exemplos incluem o Well-Architected Framework da AWS (Amazon Web Services), os controles do CIS (Center for Internet Security), o NIST (National Institute of Standards and Technology) e o PCI-DSS (Payment Card Industry Data Security Standard).
Recursos do parâmetro de comparação de segurança da nuvem da Microsoft
Estrutura de segurança multinuvem abrangente: as organizações geralmente precisam criar um padrão de segurança interno para reconciliar os controles de segurança em várias plataformas de nuvem a fim de atender aos requisitos de segurança e conformidade em cada uma delas. Isso geralmente exige que as equipes de segurança repitam a mesma implementação, monitoramento e avaliação em diferentes ambientes de nuvem (geralmente para padrões de conformidade diferentes). Isso resulta em sobrecarga, custo e esforço desnecessários. Para resolver essa preocupação, aprimoramos o ASB (Azure Security Benchmark) para o MCSB (Microsoft Cloud Security Benchmark) para ajudá-lo a trabalhar rapidamente com diferentes nuvens:
- Fornecer uma única estrutura de controle para atender facilmente aos controles de segurança nas nuvens
- Fornecer uma experiência consistente ao usuário para monitorar e impor o parâmetro de comparação de segurança multinuvem no Defender para Nuvem
- Manter-se alinhado com os Padrões da Indústria (por exemplo, Center for Internet Security, National Institute of Standards and Technology, Payment Card Industry)
Monitoramento de controle automatizado para AWS no Microsoft Defender para Nuvem: é possível usar o Painel de Conformidade Regulatória do Microsoft Defender para Nuvem a fim de monitorar o ambiente da AWS em relação ao MCSB (Microsoft Cloud Security Benchmark), assim como você monitora o ambiente do Azure. Foram desenvolvidas aproximadamente 180 verificações da AWS para as novas diretrizes de segurança da AWS no MCSB, a fim de permitir o monitoramento do ambiente e dos recursos da AWS no Microsoft Defender para Nuvem.
Exemplo: Microsoft Defender para Nuvem – Painel de conformidade regulatória
Diretrizes e princípios de segurança do Azure: diretrizes de segurança, princípios de segurança, recursos e funcionalidades do Azure.
Controles
| Domínios de Controle | Descrição |
|---|---|
| NS (Segurança de rede) | A Segurança de Rede abrange controles para proteger e proteger redes, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS (Sistema de Nomes de Domínio). |
| IM (Gerenciamento de Identidades) | O Gerenciamento de Identidades abrange controles para estabelecer controles de acesso e identidade segura usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e princípios de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| PA (Acesso Privilegiado) | O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra risco proposital e inadvertido. |
| DP (Proteção de Dados) | A Proteção de Dados abrange o controle da proteção de dados inativos, ativos e por meio de mecanismos de acesso autorizados, como descobrir, classificar, proteger e monitorar ativos de dados confidenciais com o controle de acesso, a criptografia, o gerenciamento de chaves e o gerenciamento de certificados. |
| AM (Gerenciamento de Ativos) | O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança da segurança sobre os recursos, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, rastreamento e correção). |
| LT (Registro em Log e Detecção de Ameaças) | O Registro em Log e a Detecção de Ameaças abrangem controles para detectar ameaças na nuvem e habilitar, coletar e armazenar logs de auditoria para serviços de nuvem, incluindo a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços de nuvem; também inclui a coleta de logs com um serviço de monitoramento de nuvem, centralização da análise de segurança com um SEM (gerenciamento do evento de segurança, sincronização de tempo e retenção de log. |
| IR (Resposta a Incidentes) | A Resposta a Incidentes aborda controles no ciclo de vida de resposta a incidentes - preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como o Microsoft Defender para Nuvem e o Sentinel e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes. |
| PV (Gerenciamento de Postura e Vulnerabilidades) | A Postura e o Gerenciamento de Vulnerabilidades concentram-se em controles para avaliar e melhorar a postura de segurança da nuvem, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos de nuvem. |
| ES (Segurança de Ponto de Extremidade) | A Segurança do Ponto de Extremidade aborda controles em resposta e detecção de ponto de extremidade, incluindo o uso de EDR (detecção de ponto de extremidade e resposta) e serviço antimalware para pontos de extremidade em ambientes de nuvem. |
| BR (Backup e Recuperação) | Backup e Recuperação abrange controles para garantir que os backups de dados e de configuração em diferentes camadas de serviço sejam executados, validados e protegidos. |
| DS (Segurança de DevOps) | O DevOps Security abrange os controles relacionados à engenharia de segurança e operações nos processos do DevOps, incluindo a implantação de verificações de segurança críticas (como teste de segurança de aplicativo estático, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança em todo o processo de DevOps; ele também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| GS (Governança e Estratégia) | Governança e Estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte. |