Mapeamento de controle de segurança com zonas de aterrissagem do Azure

Muitas organizações são obrigadas a cumprir determinadas regulamentações setoriais/regionais antes de adotar e integrar os serviços de nuvem do Azure. Esses regulamentos de conformidade são identificados por domínio de conformidade e controles, respectivamente. Por exemplo, CMMC L3 AC 1.001 onde AC é domínio de Controle de Acesso e 1.001 é um ID de controle na estrutura de Certificação de Modelo de Maturidade de Cibersegurança (CMMC). A recomendação de práticas recomendadas é mapear os controles de conformidade necessários para o Microsoft Cloud Security Benchmark (MCSB) e identificar o conjunto personalizado dos controles que não são cobertos pelo MCSB.

Além disso, o MCSB também fornece a lista de políticas internas e GUIDs de iniciativas de política para abordar os controles necessários. Para os controles que não são cobertos no MCSB, as diretrizes de mapeamento de controle incluem um processo passo a passo sobre como criar políticas e iniciativas.

Mapear os controles necessários para o benchmark de segurança na nuvem da Microsoft pode agilizar muito a experiência segura de integração do Azure. O benchmark de segurança na nuvem da Microsoft fornece um conjunto canônico de controles técnicos de segurança centrados na nuvem com base em estruturas de controle de conformidade amplamente utilizadas, como NIST, CIS, PCI. Já existem iniciativas integradas de conformidade regulatória disponíveis. Se você estiver interessado em um domínio de conformidade específico, consulte Iniciativas internas de conformidade regulamentar.

Nota

Os mapeamentos de controle entre o benchmark de segurança na nuvem da Microsoft e os benchmarks do setor, como CIS, NIST e PCI, indicam apenas que um recurso específico do Azure pode ser usado para atender total ou parcialmente a um requisito de controle definido nesses benchmarks do setor. Você deve estar ciente de que tal implementação não se traduz necessariamente na plena conformidade dos controles correspondentes nesses benchmarks do setor.

O diagrama a seguir mostra o fluxo de processo do mapeamento de controle:

Etapas de mapeamento de controle

1. Identificar os controlos necessários.
2. Mapeie os controles necessários para o benchmark de segurança na nuvem da Microsoft.
3. Identifique os controles não mapeados com o benchmark de segurança na nuvem da Microsoft e respetivas políticas.
4. Realize avaliações de plataforma e nível de serviço.
5. Implemente guardrails com iniciativas de política usando ferramentas de zona de aterrissagem do Azure, ferramentas nativas ou ferramentas de terceiros.

Gorjeta

Você deve revisar as diretrizes sobre como personalizar a arquitetura da zona de aterrissagem do Azure para dar suporte aos seus requisitos de mapeamento de controle.

1. Identificar os controlos necessários

Reúna todas as listas existentes e necessárias de controles de conformidade da equipe de segurança. Se a lista não existir, capture os requisitos de controle em uma planilha do Excel. Por favor, use o formato abaixo como orientação para construir a lista. Uma lista consistiria em controlos de um ou vários quadros de conformidade. Use o modelo de mapeamento de controle de segurança para capturar os controles necessários e as estruturas relacionadas.

Uma amostra de lista de controles formalizados.

2. Mapeie os controles para o benchmark de segurança na nuvem da Microsoft e crie um conjunto de controles personalizados

Para cada controle capturado, use títulos de controle apropriados, categorias de domínio e orientação/descrição para identificar controles relacionados. Alinhe a intenção de cada controle o mais próximo possível e observe o desvio ou lacunas na planilha.

Você também pode usar estruturas comuns que são mapeadas para o benchmark de segurança na nuvem da sua organização e da Microsoft, onde elas existirem. Por exemplo, se os seus controles de benchmark de segurança na nuvem e da Microsoft já estiverem mapeados para NIST 800-53 r4 ou CIS 7.1, você poderá unir os conjuntos de dados nesse pivô. Os quadros comuns intermédios podem ser consultados na secção Recursos

Exemplo de mapeamento de controle único: os objetivos de controle da sua organização

A tabela acima mostra um dos objetivos de controle exclusivos com palavras-chave realçadas.

Neste exemplo, podemos examinar a categorização existente de um determinado controle 'Application Security' para identificá-lo como um controle relacionado ao aplicativo. O conteúdo no campo de requisitos é implementar firewalls de aplicativos e proteger e corrigir seus aplicativos. Olhando para os controles de referência de segurança na nuvem da Microsoft e as orientações para uma correspondência adequada, podemos ver que há muitos controles que podem ser aplicados e mapeados adequadamente.

Para pesquisar rapidamente uma determinada versão do benchmark de segurança na nuvem da Microsoft, fornecemos arquivos de download do Excel para cada versão que podem ser pesquisados rapidamente pelo ID de controle ou por parte da verborragia da descrição. Nesta etapa, o processo identifica e mapeia os controles cobertos pelo benchmark de segurança na nuvem da Microsoft.

3. Identificar os controles não mapeados com o benchmark de segurança na nuvem da Microsoft e respetivas políticas

Todos os controles identificados que podem não ser mapeados diretamente devem ser marcados como necessitando de automação atenuante, e uma política personalizada ou script de automação deve ser desenvolvido no processo de implementação do guardrail.

Gorjeta

AzAdvertizer é uma ferramenta orientada pela comunidade endossada pelo Cloud Adoption Framework. Ele pode ajudá-lo a descobrir políticas internas, das zonas de aterrissagem do Azure ou do repositório de políticas do Azure da comunidade em um único lugar.

4. Realizar avaliação da plataforma e do nível de serviço

Depois de ter seus controles e objetivos claramente mapeados para o benchmark de segurança na nuvem da Microsoft e ter reunido as informações de suporte sobre responsabilidade, orientação e monitoramento, o escritório de segurança de TI ou a organização de suporte deve revisar todas as informações fornecidas em uma avaliação oficial da plataforma.

Essa avaliação de plataforma determinará se o benchmark de segurança na nuvem da Microsoft atende ao limite mínimo de uso e se pode atender a todos os requisitos de segurança e conformidade impostos pelos regulamentos.

Se houver lacunas identificadas, você ainda poderá usar o benchmark de segurança na nuvem da Microsoft, mas talvez seja necessário desenvolver controles atenuantes até que essas lacunas sejam fechadas e o benchmark possa lançar atualizações para resolvê-las. Além disso, você pode mapear os controles personalizados criando uma definição de política e, opcionalmente, adicionando a uma definição de iniciativa.

Listas de verificação para aprovação

1. A equipe de segurança aprovou a plataforma Azure para uso.

2. Você precisará unir uma linha de base individual do serviço de referência de segurança na nuvem da Microsoft Excel aos mapeamentos de controle no nível da plataforma concluídos anteriormente.

   • Adicione colunas para acomodar a avaliação como: cobertura, aplicação, efeitos permitidos.

3. Execute uma análise linha a linha do modelo de avaliação de linha de base de serviço resultante:

   • Para cada objetivo de controlo, indicar:

     • Se pode ser atendido pelo serviço ou um risco.
     • Valor do risco, se houver.
     • Status da revisão para esse item de linha.
     • Controles de mitigação necessários, se houver.
     • O que a Política do Azure pode impor/monitorar o controle.

   • Em caso de lacunas na monitorização ou execução do serviço e controlo:

     • Reporte à equipe de benchmark de segurança na nuvem da Microsoft para fechar lacunas em conteúdo, monitoramento ou aplicação.

   • Para quaisquer áreas que não atendam aos seus requisitos, observe o risco envolvido se você optar por isentar esse requisito, o impacto e se é aceitável aprovar ou se você for bloqueado devido à lacuna.

4. O status do serviço é determinado:

   • Ou o serviço cumpre todos os requisitos, ou que o risco é aceitável e é colocado em uma lista de permissão para ser usado depois que os guarda-corpos estão em vigor.
   • OU, as lacunas de serviço são muito grandes / o risco é muito grande e o serviço é colocado em uma lista de bloqueio. Ele não pode ser usado até que as lacunas sejam fechadas pela Microsoft.

Inputs - nível da plataforma

• Modelo de avaliação de serviço (Excel)
• Objetivos de controle para o mapeamento de benchmark de segurança na nuvem da Microsoft
• Serviço de destino

Saídas - nível da plataforma

• Avaliação de serviço concluída (Excel)
• Controlos atenuantes
• Lacunas
• Aprovação/não aprovação para uso do serviço

Após a aprovação da sua equipe interna de segurança/auditoria de que a plataforma e os serviços principais atendem às suas necessidades, você precisa implementar o monitoramento e os guarda-corpos apropriados acordados. Durante o processo de mapeamento e avaliação, se houver controles atenuantes que vão além do benchmark de segurança na nuvem da Microsoft, os controles internos ou a Política do Azure precisarão ser implementados usando definições de política e, opcionalmente, adicionando a uma definição de iniciativa.

Lista de verificação - nível de serviço

1. Resuma as políticas que foram identificadas como necessárias como resultado da avaliação da plataforma e das avaliações de serviço.
2. Desenvolva todas as definições de políticas personalizadas necessárias para dar suporte à mitigação de controles/lacunas.
3. Crie uma iniciativa de política personalizada.
4. Atribua a iniciativa de política com ferramentas de zona de aterrissagem do Azure, ferramentas nativas ou ferramentas de terceiros.

Inputs - nível de serviço

• Avaliação de serviço concluída (Excel)

Saídas - nível de serviço

• Iniciativa política aduaneira

5. Implemente guardrails usando a zona de aterrissagem do Azure ou ferramentas nativas

As seções a seguir descrevem o processo de identificação, mapeamento e implementação de controles relacionados à conformidade regulatória como parte da implantação da zona de aterrissagem do Azure. A implantação abrange políticas alinhadas com o benchmark de segurança na nuvem da Microsoft para controles de segurança no nível da plataforma.

Gorjeta

Como parte dos aceleradores de zona de aterrissagem do Azure (Portal, Bicep e Terraform), atribuímos a iniciativa de política de referência de segurança na nuvem da Microsoft ao Grupo de Gerenciamento Raiz Intermediário por padrão.

Você pode saber mais sobre as políticas atribuídas como parte de uma implantação do Acelerador de zona de aterrissagem do Azure.

Orientações para a política de execução

Dependendo dos seus objetivos de controlo, poderá ser necessário criar definições de política personalizadas, definições de iniciativa de política e atribuições de política.

Consulte as diretrizes a seguir para cada opção de implementação do acelerador.

Portal do acelerador de zona de aterrissagem do Azure

Ao usar a experiência baseada no portal da zona de aterrissagem do Azure:

• Criar políticas de segurança personalizadas no Microsoft Defender for Cloud
• Tutorial: Criar uma definição de política personalizada
• Atribuir políticas ou iniciativas de política do Azure

Azure Resource Manager com AzOps

Ao usar os modelos do Resource Manager com o AzOps Accelerator, consulte o artigo de implantação para saber como operar a plataforma do Azure usando a infraestrutura como código.

• Adicionando definições e iniciativas personalizadas da Política do Azure
• Atribuindo a Política do Azure

Módulo Terraform

Ao usar o módulo Terraform de zonas de aterrissagem do Azure, consulte o wiki do repositório para obter orientação sobre como gerenciar definições e atribuições de políticas adicionais.

• Adicionando definições e atribuições personalizadas da Política do Azure
• Atribuindo uma Política do Azure interna
• Expandir definições de arquétipo incorporadas

Bicep

Ao usar a implementação do Bicep de zonas de aterrissagem do Azure, saiba como criar suas próprias definições e atribuições de política.

• Adicionando definições e iniciativas personalizadas da Política do Azure
• Atribuindo políticas do Azure

Implementar políticas personalizadas quando não estiver usando uma implementação de zonas de aterrissagem do Azure

Portal do Azure

Ao usar o portal do Azure, consulte os seguintes artigos.

• Criar políticas de segurança personalizadas no Microsoft Defender for Cloud
• Criar uma definição de política personalizada
• Criar e gerir políticas para impor a conformidade
• Atribuir iniciativas políticas

Modelos do Azure Resource Manager

Ao usar os modelos do Gerenciador de Recursos, consulte os seguintes artigos.

• Criar uma definição de política personalizada
• Atribuir iniciativas políticas
• Criar uma atribuição de política para identificar recursos incompatíveis ao utilizar um modelo do Resource Manager
• Referência de modelo de definição de política do Bíceps e do Gerenciador de Recursos
• Referência de modelo do conjunto (iniciativa) do Bíceps e do Gerenciador de Recursos
• Referência do modelo de atribuição de política do Bíceps e do Gerenciador de Recursos

Terraform

Ao usar o Terraform, consulte os seguintes artigos.

• Adicionar definições e iniciativas de política personalizadas do Azure
• Adicionando definição do conjunto de políticas do Azure
• Atribuindo a política de grupo de gerenciamento
• Atribuindo a Política do Azure ou iniciativa de política

Bicep

Ao usar os modelos do Bíceps, consulte os seguintes artigos.

• Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis usando um arquivo Bicep
• Referência de modelo de definição de política do Bíceps e do Gerenciador de Recursos
• Referência de modelo de conjunto de políticas (iniciativa) do Bíceps e do Gerenciador de Recursos
• Referência do modelo de atribuição de política do Bíceps e do Gerenciador de Recursos

Orientação para usar o Microsoft Defender for Cloud

O Microsoft Defender for Cloud compara continuamente a configuração dos seus recursos com os requisitos dos padrões, regulamentos e benchmarks do setor. O painel de conformidade regulatória fornece informações sobre sua postura de conformidade. Saiba mais sobre como melhorar sua conformidade regulamentar.

Perguntas mais frequentes

Estamos usando uma estrutura não mapeada para o benchmark de segurança na nuvem da Microsoft, como posso ainda integrar nossos objetivos de controle?

Fornecemos mapeamentos de referência de segurança na nuvem da Microsoft para muitas das estruturas mais demandadas do setor. No entanto, para os controlos que atualmente não são abrangidos, é necessário um exercício de mapeamento manual. Nesses casos, consulte nossas etapas para executar um mapeamento de controle manual.

[Exemplo] Precisamos atender à conformidade com o PBMM (Federal Protected B) do Canadá, e o benchmark de segurança na nuvem da Microsoft ainda não tem um mapeamento para PBMM. Para fazer a ponte desse mapeamento, você pode encontrar um mapeamento de estrutura compartilhada, como o NIST SP 800-53 R4, que está disponível e mapeado para PBMM e MCSB v2. Usando essa estrutura comum, você pode entender quais recomendações e orientações você deve seguir no Azure para atender à estrutura desejada.

Nossos objetivos de controle não são cobertos pelos controles de referência de segurança na nuvem da Microsoft, como posso desbloqueá-los da integração?

O benchmark de segurança na nuvem da Microsoft está focado nos controles técnicos do Azure. Áreas objetivas em torno de itens não técnicos, como treinamento, ou para itens que não são segurança técnica direta, como segurança de data center, são omitidas por design. Esses itens podem ser marcados como responsabilidade da Microsoft e evidências de conformidade podem ser fornecidas a partir do conteúdo de referência de segurança na nuvem da Microsoft ou de relatórios de auditoria da Microsoft. Se você achar que o objetivo realmente é um controle técnico, crie um controle atenuante além da base para rastreamento e envie uma solicitação para MCSBteam@microsoft.com resolver os controles ausentes em versões futuras.

Recursos

Portal de Confiança do Serviço

Aliança de Segurança na Nuvem

Visão geral da segurança do datacenter

Visão Geral dos Serviços Financeiros

Visão Geral da Avaliação de Risco de Instituições Financeiras

Contrato de Nível de Serviço