Controlo de Segurança: Governação e estratégia
A Governação e a Estratégia fornecem orientações para garantir uma estratégia de segurança coerente e uma abordagem de governação documentada para orientar e manter a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na cloud, estratégia técnica unificada e políticas e normas de suporte.
GS-1: Alinhar funções, responsabilidades e responsabilidades da organização
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Orientação geral: certifique-se de que define e comunica uma estratégia clara para funções e responsabilidades na sua organização de segurança. Dê prioridade a uma responsabilidade clara das decisões de segurança, eduque todas as pessoas sobre o modelo de responsabilidade partilhada e eduque as equipas técnicas sobre tecnologia para proteger a cloud.
Implementação e contexto adicional:
- Melhor Prática de Segurança do Azure 1 – Pessoas: Explicar às Equipas o Percurso da Segurança da Cloud
- Melhor Prática de Segurança do Azure 2 – Pessoas: Explicar às Equipas a Tecnologia de Segurança da Cloud
- Melhor Prática de Segurança do Azure 3 – Processo: Atribuir Responsabilização Quanto às Decisões de Segurança da Cloud
Intervenientes na segurança do cliente (Saiba mais):
GS-2: Definir e implementar a estratégia de segmentação/separação de deveres empresariais
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Orientação geral: estabeleça uma estratégia a nível empresarial para segmentar o acesso a recursos através de uma combinação de identidade, rede, aplicação, subscrição, grupo de gestão e outros controlos.
Equilibre cuidadosamente a necessidade de separação da segurança com a necessidade de permitir o funcionamento diário dos sistemas que têm de comunicar entre si e aceder a dados.
Certifique-se de que a estratégia de segmentação é implementada de forma consistente na carga de trabalho, incluindo os modelos de segurança de rede, identidade e acesso, e modelos de permissão/acesso da aplicação e controlos de processos humanos.
Implementação e contexto adicional:
- Segurança no Microsoft Cloud Adoption Framework do Azure – Segmentação: Separado para proteger
- Segurança no Microsoft Cloud Adoption Framework do Azure – Arquitetura: estabelecer uma única estratégia de segurança unificada
Intervenientes na segurança do cliente (Saiba mais):
GS-3: Definir e implementar a estratégia de proteção de dados
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Orientação geral: Estabeleça uma estratégia para a proteção de dados a nível empresarial no seu ambiente na cloud:
- Defina e aplique a norma de classificação e proteção de dados de acordo com a norma de gestão de dados empresarial e a conformidade regulamentar para ditar os controlos de segurança necessários para cada nível da classificação de dados.
- Configure a hierarquia de gestão de recursos da cloud alinhada com a estratégia de segmentação empresarial. A estratégia de segmentação da empresa também deve ter conhecimento da localização dos dados confidenciais e dos sistemas críticos para a empresa.
- Defina e aplique os princípios de confiança zero aplicáveis no seu ambiente de cloud para evitar implementar a confiança com base na localização de rede dentro de um perímetro. Em vez disso, utilize afirmações de confiança de dispositivos e utilizadores para controlar o acesso a dados e recursos.
- Controle e minimize a pegada de dados confidenciais (armazenamento, transmissão e processamento) em toda a empresa para reduzir o custo de proteção de dados e superfície de ataque. Considere técnicas como hashing unidirecional, truncagem e tokenização na carga de trabalho sempre que possível, para evitar armazenar e transmitir dados confidenciais na sua forma original.
- Certifique-se de que tem uma estratégia de controlo de ciclo de vida completa para fornecer garantias de segurança dos dados e das chaves de acesso.
Implementação e contexto adicional:
- referência de segurança da cloud Microsoft – Proteção de Dados
- Cloud Adoption Framework - Melhores práticas de segurança e encriptação de dados do Azure
- Noções Básicas da Segurança do Azure - Segurança, encriptação e armazenamento de dados do Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-4: Definir e implementar a estratégia de segurança de rede
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Orientação geral: estabeleça uma estratégia de segurança de rede na cloud como parte da estratégia de segurança geral da sua organização para o controlo de acesso. Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
- Crie um modelo centralizado/descentralizado de gestão de rede e responsabilidade de segurança para implementar e manter recursos de rede.
- Um modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial.
- Uma estratégia de entrada e saída da Internet.
- Uma estratégia híbrida de interconectividade na cloud e no local.
- Uma estratégia de monitorização e registo de rede.
- Artefactos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência).
Implementação e contexto adicional:
- Melhores Práticas de Segurança do Azure 11 – Arquitetura. Estratégia de segurança unificada única
- referência de segurança da cloud Microsoft - Segurança de Rede
- Descrição geral da segurança de rede do Azure
- Estratégia de arquitetura da rede empresarial
Intervenientes na segurança do cliente (Saiba mais):
GS-5: Definir e implementar a estratégia de gestão da postura de segurança
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Orientação geral: estabeleça uma política, procedimento e norma para garantir que a gestão da configuração de segurança e a gestão de vulnerabilidades estão implementadas no seu mandato de segurança na cloud.
A gestão da configuração de segurança na cloud deve incluir as seguintes áreas:
- Defina as linhas de base de configuração seguras para diferentes tipos de recursos na cloud, como o portal Web/consola, o plano de gestão e controlo e os recursos em execução nos serviços IaaS, PaaS e SaaS.
- Certifique-se de que as linhas de base de segurança abordam os riscos em diferentes áreas de controlo, tais como segurança de rede, gestão de identidades, acesso privilegiado, proteção de dados, etc.
- Utilize ferramentas para medir, auditar e impor continuamente a configuração para impedir que a configuração se desvie da linha de base.
- Desenvolva uma cadência para se manter atualizado com as funcionalidades de segurança, por exemplo, subscrever as atualizações de serviço.
- Utilize um mecanismo de verificação de conformidade ou estado de funcionamento de segurança (como Pontuação Segura, Dashboard de Conformidade no Microsoft Defender para a Cloud) para rever regularmente a postura de configuração de segurança e remediar as lacunas identificadas.
A gestão de vulnerabilidades na cloud deve incluir os seguintes aspetos de segurança:
- Avalie e remediar regularmente vulnerabilidades em todos os tipos de recursos da cloud, tais como serviços nativos da cloud, sistemas operativos e componentes de aplicações.
- Utilize uma abordagem baseada no risco para priorizar a avaliação e a remediação.
- Subscreva os avisos de segurança e os blogues do CSPM relevantes para receber as atualizações de segurança mais recentes.
- Certifique-se de que a avaliação e a remediação de vulnerabilidades (como agenda, âmbito e técnicas) cumprem os requisitos de conformidade da sua organização.dule, âmbito e técnicas) cumprem os requisitos de conformidade regulares da sua organização.
Implementação e contexto adicional:
- Microsoft referência de segurança da cloud – Gestão de posturas e vulnerabilidades
- Melhores Práticas de Segurança do Azure 9 – Estabelecer a gestão da postura de segurança
Intervenientes na segurança do cliente (Saiba mais):
GS-6: Definir e implementar a estratégia de identidade e acesso privilegiado
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Orientação geral: estabeleça uma abordagem de acesso privilegiado e identidade da cloud como parte da estratégia global de controlo de acesso de segurança da sua organização. Esta estratégia deve incluir orientações documentadas, políticas e normas para os seguintes aspetos:
- Sistema de identidade e autenticação centralizado (como Azure AD) e a interconectividade com outros sistemas de identidade internos e externos
- Governação de acesso e identidade privilegiada (como pedido de acesso, revisão e aprovação)
- Contas privilegiadas em situação de emergência (break-glass)
- Métodos de autenticação forte (autenticação sem palavra-passe e autenticação multifator) em diferentes casos e condições de utilização.
- Proteger o acesso através de operações administrativas através do portal Web/consola, da linha de comandos e da API.
Para casos de exceção, em que um sistema empresarial não é utilizado, certifique-se de que existem controlos de segurança adequados para gestão de identidades, autenticação e acesso e regidos. Estas exceções devem ser aprovadas e revistas periodicamente pela equipa empresarial. Normalmente, estas exceções são em casos como:
- Utilização de um sistema de autenticação e identidade não empresarial designado, como sistemas de terceiros baseados na cloud (pode introduzir riscos desconhecidos)
- Utilizadores privilegiados autenticados localmente e/ou utilizam métodos de autenticação não fortes
Implementação e contexto adicional:
- referência de segurança da cloud Microsoft – Gestão de identidades
- referência de segurança da cloud Microsoft – Acesso privilegiado
- Melhores Práticas de Segurança do Azure 11 – Arquitetura. Estratégia de segurança unificada única
- Descrição geral da segurança da gestão de identidades do Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-7: Definir e implementar o registo, a deteção de ameaças e a estratégia de resposta a incidentes
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Orientação geral: estabeleça uma estratégia de registo, deteção de ameaças e resposta a incidentes para detetar e remediar rapidamente ameaças e cumprir os requisitos de conformidade. A equipa de operações de segurança (SecOps/SOC) deve priorizar alertas de alta qualidade e experiências totalmente integradas para que se possam concentrar em ameaças em vez de registar a integração e os passos manuais. Esta estratégia deve incluir políticas documentadas, procedimentos e normas para os seguintes aspetos:
- A função e as responsabilidades da organização de operações de segurança (SecOps)
- Um plano de resposta a incidentes bem definido e regularmente testado e um processo de processamento alinhado com o NIST SP 800-61 (Guia de Processamento de Incidentes de Segurança informática) ou outras arquiteturas do setor.
- Plano de comunicação e notificação com os seus clientes, fornecedores e entidades públicas de interesse.
- Simule eventos de segurança esperados e inesperados no ambiente da cloud para compreender a eficácia da sua preparação. Itera o resultado da simulação para melhorar a escala da sua postura de resposta, reduzir o tempo ao valor e reduzir ainda mais o risco.
- Preferência de utilização de capacidades de deteção e resposta alargadas (XDR), como capacidades do Azure Defender, para detetar ameaças em várias áreas.
- Utilização da capacidade nativa da cloud (por exemplo, como Microsoft Defender para a Cloud) e plataformas de terceiros para processamento de incidentes, tais como registo e deteção de ameaças, forenses e remediação e eliminação de ataques.
- Prepare os runbooks necessários, manuais e automatizados, para garantir respostas fiáveis e consistentes.
- Defina cenários-chave (como deteção de ameaças, resposta a incidentes e conformidade) e configure a captura e retenção de registos para cumprir os requisitos do cenário.
- Visibilidade centralizada e informações de correlação sobre ameaças, utilização do SIEM, capacidade de deteção de ameaças na cloud nativa e outras origens.
- Atividades pós-incidente, como lições aprendidas e retenção de provas.
Implementação e contexto adicional:
- Microsoft referência de segurança da cloud – Deteção de registos e ameaças
- referência de segurança da cloud Microsoft – Resposta a incidentes
- Melhores Práticas de Segurança do Azure 4 - Processo. Atualizar Processos de Resposta a Incidentes para a Cloud
- Azure Adoption Framework, registos e guia de decisão de relatórios
- Escala, gestão e monitorização empresarial do Azure
- NIST SP 800-61 Computer Security Incident Handling Guide
Intervenientes na segurança do cliente (Saiba mais):
GS-8: Definir e implementar a estratégia de cópia de segurança e recuperação
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.1 | CP-1, CP-9, CP-10 | 3.4 |
Orientação geral: estabeleça uma estratégia de cópia de segurança e recuperação para a sua organização. Esta estratégia deve incluir orientações documentadas, políticas e normas nos seguintes aspetos:
- Definições de objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO) de acordo com os seus objetivos de resiliência empresarial e requisitos de conformidade regulamentar.
- Design de redundância (incluindo cópia de segurança, restauro e replicação) nas suas aplicações e infraestrutura tanto na cloud como no local. Considere os pares regionais, regionais, a recuperação entre regiões e a localização de armazenamento fora do local como parte da sua estratégia.
- Proteção da cópia de segurança contra acesso não autorizado e moderação através de controlos como controlo de acesso a dados, encriptação e segurança de rede.
- Utilização da cópia de segurança e recuperação para mitigar os riscos de ameaças emergentes, como ataques de ransomware. Além disso, proteja os próprios dados de cópia de segurança e recuperação destes ataques.
- Monitorizar os dados e operações de cópia de segurança e recuperação para fins de auditoria e alerta.
Implementação e contexto adicional:
- Microsoft referência de segurança da cloud – Backup e recuperação do Azure Well-Architecture Framework – Cópia de segurança e recuperação após desastre para aplicações do Azure: /azure/architecture/framework/resiliência/backup-and-recovery
- Continuidade do Azure Adoption Framework-business e recuperação após desastre
- Plano de cópia de segurança e restauro para proteger contra ransomware
Intervenientes na segurança do cliente (Saiba mais):
GS-9: Definir e implementar a estratégia de segurança de ponto final
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Orientação geral: estabeleça uma estratégia de segurança de ponto final da cloud que inclua os seguintes aspetos:- Implemente a capacidade de deteção e resposta e antimalware do ponto final no ponto final e integre-se na deteção de ameaças e na solução SIEM e no processo de operações de segurança.
- Siga o Microsoft Referência de Segurança da Cloud para garantir que as definições de segurança relacionadas com o ponto final noutras áreas (como segurança de rede, gestão de vulnerabilidades de postura, acesso de identidade e privilégios e registos e deteções de ameaças) também estão em vigor para fornecer uma proteção de defesa em profundidade para o seu ponto final.
- Dê prioridade à segurança do ponto final no seu ambiente de produção, mas certifique-se de que os ambientes de não produção (como o ambiente de teste e compilação utilizado no processo de DevOps) também são protegidos e monitorizados, uma vez que estes ambientes também podem ser utilizados para introduzir software maligno e vulnerabilidades no ambiente de produção.
Implementação e contexto adicional:
- referência de segurança da cloud Microsoft – Segurança do ponto final
- Melhores práticas para a segurança de pontos finais no Azure
Intervenientes na segurança do cliente (Saiba mais):
GS-10: Definir e implementar a estratégia de segurança de DevOps
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Orientação geral: mandatar os controlos de segurança como parte do padrão de engenharia e operação de DevOps da organização. Defina os objetivos de segurança, os requisitos de controlo e as especificações de ferramentas de acordo com as normas de segurança empresarial e cloud na sua organização.
Incentive a utilização do DevOps como um modelo operacional essencial na sua organização para obter os seus benefícios na identificação e remediação rápida de vulnerabilidades através de diferentes tipos de automatizações (como a infraestrutura como o aprovisionamento de código e a análise automatizada de SAST e DAST) em todo o fluxo de trabalho CI/CD. Esta abordagem "shift left" também aumenta a visibilidade e a capacidade de impor verificações de segurança consistentes no pipeline de implementação, implementando efetivamente proteções de segurança no ambiente com antecedência para evitar surpresas de segurança de última hora ao implementar uma carga de trabalho em produção.
Ao mudar os controlos de segurança restantes para as fases de pré-implementação, implemente proteções de segurança para garantir que os controlos são implementados e impostos ao longo do processo de DevOps. Esta tecnologia pode incluir modelos de implementação de recursos (como o modelo arm do Azure) para definir proteções no IaC (infraestrutura como código), aprovisionamento de recursos e auditoria para restringir os serviços ou configurações que podem ser aprovisionados no ambiente.
Para os controlos de segurança de tempo de execução da carga de trabalho, siga o Microsoft Cloud Security Benchmark para conceber e implementar controlos eficazes, tais como acesso privilegiado e identidade, segurança de rede, segurança de ponto final e proteção de dados dentro das aplicações e serviços de carga de trabalho.
Implementação e contexto adicional:
- Microsoft referência de segurança da cloud – Segurança do DevOps
- Secure DevOps
- Cloud Adoption Framework - O DevSecOps controlaorientações geraisIntervenientes na segurança do cliente (Saiba mais)**:
- Todos os intervenientes
GS-11: Definir e implementar a estratégia de segurança multi cloud
CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
N/D | N/D | N/D |
Orientação geral: certifique-se de que uma estratégia multi cloud está definida na sua governação da cloud e segurança, gestão de riscos e processo de operação que deve incluir os seguintes aspetos:
- Adoção de várias cloud: para organizações que operam infraestruturas multi cloud e Informe a sua organização para garantir que as equipas compreendem a diferença de funcionalidades entre as plataformas da cloud e a pilha de tecnologia. Criar, implementar e/ou migrar soluções portáteis. Permitir a facilidade de movimentação entre plataformas na cloud com o bloqueio mínimo do fornecedor, ao mesmo tempo que utiliza as funcionalidades nativas da cloud adequadamente para o resultado ideal da adoção da cloud.
- Operações de cloud e segurança: agilize as operações de segurança para suportar as soluções em cada cloud, através de um conjunto central de processos de governação e gestão que partilham processos de operações comuns, independentemente do local onde a solução é implementada e operada.
- Pilha de ferramentas e tecnologia: escolha as ferramentas adequadas que suportam o ambiente multi cloud para ajudar a estabelecer plataformas de gestão unificadas e centralizadas que podem incluir todos os domínios de segurança abordados nesta referência de segurança.
Implementação e contexto adicional: