Descrição geral da referência de segurança da cloud da Microsoft (v1)
A referência de segurança da cloud da Microsoft (MCSB) fornece melhores práticas e recomendações prescritivas para ajudar a melhorar a segurança das cargas de trabalho, dados e serviços no Azure e no seu ambiente multi cloud. Esta referência centra-se em áreas de controlo centradas na cloud com entrada de um conjunto de orientações holísticas de segurança da Microsoft e do setor que incluem:
- Cloud Adoption Framework: Orientações sobre segurança, incluindo estratégia, funções e responsabilidades, Melhores Práticas de Segurança do Azure Top 10 e implementação de referência.
- Azure Well-Architected Framework: documentação de orientação sobre como proteger as cargas de trabalho no Azure.
- Workshop do Chief Information Security Officer (CISO):Orientação do programa e estratégias de referência para acelerar a modernização da segurança com Confiança Zero princípios.
- Outras normas e arquitetura de melhores práticas de segurança dos fornecedores de serviços cloud e do setor: exemplos incluem o Amazon Web Services (AWS) Well-Architected Framework, Os Controlos do Centro de Segurança internet (CIS), o National Institute of Standards and Technology (NIST) e o Payment Card Industry Data Security Standard (PCI-DSS).
Novidades na referência de segurança da cloud da Microsoft v1
Nota
A referência de segurança da cloud da Microsoft é a sucessora do Azure Security Benchmark (ASB), que foi renomeado em outubro de 2022.
O suporte do Google Cloud Platform no MCSB está agora disponível como uma funcionalidade de pré-visualização, tanto na documentação de orientação de referência do MCSB como na Microsoft Defender para a Cloud.
Eis as novidades na referência de segurança da cloud da Microsoft v1:
Arquitetura de segurança multi cloud abrangente: muitas vezes, as organizações têm de criar uma norma de segurança interna para reconciliar os controlos de segurança em várias plataformas da cloud para cumprir os requisitos de segurança e conformidade em cada uma delas. Muitas vezes, isto requer que as equipas de segurança repitam a mesma implementação, monitorização e avaliação nos diferentes ambientes da cloud (muitas vezes para diferentes padrões de conformidade). Isto cria custos, custos e esforços desnecessários. Para resolver esta preocupação, melhorámos o ASB para MCSB para ajudá-lo a trabalhar rapidamente com clouds diferentes ao:
- Fornecer uma arquitetura de controlo única para cumprir facilmente os controlos de segurança entre clouds
- Proporcionar uma experiência de utilizador consistente para monitorizar e impor a referência de segurança multi cloud no Defender para Cloud
- Manter-se alinhado com as Normas da Indústria (por exemplo, CIS, NIST, PCI)
Monitorização automatizada de controlo do AWS no Microsoft Defender para a Cloud: pode utilizar Microsoft Defender para o Dashboard de Conformidade Regulamentar da Cloud para monitorizar o ambiente do AWS em relação ao MCSB, tal como monitoriza o seu ambiente do Azure. Desenvolvemos aproximadamente 180 verificações do AWS para a nova orientação de segurança do AWS no MCSB, permitindo-lhe monitorizar o seu ambiente e recursos do AWS no Microsoft Defender para a Cloud.
Uma atualização dos princípios de segurança e orientação do Azure existentes: também atualizámos alguns dos princípios de segurança e orientação de segurança do Azure existentes durante esta atualização para que possa manter-se atualizado com as funcionalidades e capacidades mais recentes do Azure.
Controlos
Domínios de Controlo | Descrição |
---|---|
Segurança de rede (NS) | A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo proteger redes virtuais, estabelecer ligações privadas, prevenir e mitigar ataques externos e proteger o DNS. |
Gestão de Identidades (MI) | A Gestão de Identidades abrange controlos para estabelecer uma identidade segura e controlos de acesso através de sistemas de gestão de identidades e acessos, incluindo a utilização de início de sessão único, autenticações fortes, identidades geridas (e principais de serviço) para aplicações, acesso condicional e monitorização de anomalias de conta. |
Acesso Privilegiado (PA) | O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos, incluindo uma série de controlos para proteger o seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos. |
Proteção de Dados (DP) | A Proteção de Dados abrange o controlo da proteção de dados inativos, em trânsito e através de mecanismos de acesso autorizado, incluindo detetar, classificar, proteger e monitorizar recursos de dados confidenciais através do controlo de acesso, encriptação, gestão de chaves e gestão de certificados. |
Gestão de Recursos (AM) | A Gestão de Recursos abrange controlos para garantir a visibilidade e governação de segurança sobre os seus recursos, incluindo recomendações sobre permissões para pessoal de segurança, acesso de segurança ao inventário de ativos e gestão de aprovações para serviços e recursos (inventário, controlo e correto). |
Registo e Deteção de Ameaças (LT) | O registo e a Deteção de Ameaças abrangem controlos para detetar ameaças na cloud e ativar, recolher e armazenar registos de auditoria para serviços cloud, incluindo ativar processos de deteção, investigação e remediação com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas em serviços cloud; também inclui a recolha de registos com um serviço de monitorização da cloud, a centralização da análise de segurança com um SIEM, a sincronização de tempo e a retenção de registos. |
Resposta a Incidentes (IR) | A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes – preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como Microsoft Defender para a Cloud e Sentinel) e/ou outros serviços cloud para automatizar o processo de resposta a incidentes. |
Gestão de Posturas e Vulnerabilidades (PV) | A Gestão de Posturas e Vulnerabilidades concentra-se em controlos para avaliar e melhorar a postura de segurança da cloud, incluindo análise de vulnerabilidades, testes de penetração e remediação, bem como controlo de configuração de segurança, relatórios e correção nos recursos da cloud. |
Endpoint Security (ES) | A Segurança de Ponto Final abrange controlos na deteção e resposta de pontos finais, incluindo a utilização da deteção e resposta de pontos finais (EDR) e o serviço antimalware para pontos finais em ambientes de cloud. |
Cópia de Segurança e Recuperação (BR) | A Cópia de Segurança e Recuperação abrange controlos para garantir que as cópias de segurança de dados e configuração nos diferentes escalões de serviço são executadas, validadas e protegidas. |
Segurança de DevOps (DS) | A Segurança do DevOps abrange os controlos relacionados com a engenharia de segurança e as operações nos processos de DevOps, incluindo a implementação de verificações de segurança críticas (como testes de segurança de aplicações estáticas, gestão de vulnerabilidades) antes da fase de implementação para garantir a segurança ao longo do processo de DevOps; também inclui tópicos comuns, como a modelação de ameaças e a segurança do fornecimento de software. |
Governação e Estratégia (GS) | A Governação e a Estratégia fornecem orientações para garantir uma estratégia de segurança coerente e uma abordagem de governação documentada para orientar e manter a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na cloud, estratégia técnica unificada e políticas e normas de suporte. |
Recomendações na referência de segurança da cloud da Microsoft
Cada recomendação inclui as seguintes informações:
- ID: o ID de Referência que corresponde à recomendação.
- CiS Controls v8 ID(s): O CIS Controla os controlos v8 que correspondem à recomendação.
- CiS Controls v7.1 ID(s): Os controlos CIS v7.1 que correspondem à recomendação (não disponível na Web devido ao motivo da formatação).
- PCI-DSS v3.2.1 ID(s): os controlos PCI-DSS v3.2.1 que correspondem à recomendação.
- NIST SP 800-53 r4 ID(s): Os controlos NIST SP 800-53 r4 (Moderado e Alto) correspondem a esta recomendação.
- Princípio de Segurança: a recomendação focou-se no "quê", explicando o controlo ao nível da tecnologia agnóstica.
- Orientação do Azure: a recomendação focou-se no "como", explicando as funcionalidades técnicas do Azure e as noções básicas de implementação.
- Orientação do AWS: a recomendação focou-se no "como", explicando as funcionalidades técnicas do AWS e as noções básicas de implementação.
- Implementação e contexto adicional: os detalhes de implementação e outro contexto relevante que liga ao serviço Azure e ao serviço AWS que oferecem artigos de documentação.
- Intervenientes na Segurança do Cliente: as funções de segurança na organização do cliente que podem ser responsáveis, responsáveis ou consultados pelo respetivo controlo. Pode ser diferente da organização para a organização consoante a estrutura da organização de segurança da sua empresa e das funções e responsabilidades que configurou relacionadas com a segurança do Azure.
Os mapeamentos de controlo entre mcSB e referências do setor (como CIS, NIST e PCI) indicam apenas que uma(s) funcionalidade(s) específica do Azure pode ser utilizada para resolver totalmente ou parcialmente um requisito de controlo definido nestes parâmetros de referência do setor. Deve estar ciente de que essa implementação não se traduz necessariamente na conformidade total dos controlos correspondentes nestes parâmetros de referência do setor.
Congratulamo-nos com o seu feedback detalhado e a participação ativa no esforço de referência de segurança da cloud da Microsoft. Se quiser fornecer entradas diretas, envie-nos um e-mail para benchmarkfeedback@microsoft.com.
Download
Pode transferir a Cópia de referência e a cópia offline da linha de base no formato de folha de cálculo.
Passos seguintes
- Veja o primeiro controlo de segurança: Segurança de rede
- Leia a introdução da referência de segurança da cloud da Microsoft
- Saiba mais sobre as Noções Básicas de Segurança do Azure