Controlo de Segurança: Configuração Segura
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
Estabeleça, implemente e gere ativamente (rastrear, reportar, corrigir) a configuração de segurança dos recursos Azure, a fim de evitar que os atacantes explorem serviços e configurações vulneráveis.
7.1: Estabelecer configurações seguras para todos os recursos da Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.1 | 5.1 | Cliente |
Utilize Azure Policy pseudónimos para criar políticas personalizadas para auditar ou impor a configuração dos seus recursos Azure. Também pode utilizar definições de Azure Policy incorporadas.
Além disso, o Azure Resource Manager tem a capacidade de exportar o modelo na Notação de Objetos JavaScript (JSON), que deve ser revisto para garantir que as configurações cumprem /excedem os requisitos de segurança para a sua organização.
Também pode utilizar recomendações de Centro de Segurança do Azure como uma base de configuração segura para os seus recursos Azure.
7.2: Estabelecer configurações seguras do sistema operativo
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.2 | 5.1 | Cliente |
Utilize recomendações Centro de Segurança do Azure para manter configurações de segurança em todos os recursos de computação. Além disso, pode utilizar imagens personalizadas do sistema operativo ou Automatização do Azure configuração do Estado para estabelecer a configuração de segurança do sistema operativo exigida pela sua organização.
Como monitorizar as recomendações Centro de Segurança do Azure
Faça upload de um VHD e use-o para criar novos VMs windows em Azure
Criar um Linux VM a partir de um disco personalizado com o Azure CLI
7.3: Manter configurações seguras de recursos Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.3 | 5,2 | Cliente |
Utilize Azure Policy [negar] e [implementar se não existir] para impor configurações seguras através dos seus recursos Azure. Além disso, pode utilizar modelos Azure Resource Manager para manter a configuração de segurança dos seus recursos Azure exigidos pela sua organização.
7.4: Manter configurações seguras do sistema operativo
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.4 | 5,2 | Partilhado |
Siga as recomendações da Centro de Segurança do Azure sobre a realização de avaliações de vulnerabilidade nos seus recursos de computação Azure. Além disso, pode utilizar modelos de Resource Manager Azure, imagens personalizadas do sistema operativo ou Automatização do Azure configuração do Estado para manter a configuração de segurança do sistema operativo exigida pela sua organização. Os modelos de máquina virtual da Microsoft combinados com o Automatização do Azure Desired State Configuration podem ajudar a cumprir e manter os requisitos de segurança.
Além disso, note que Azure Marketplace Imagens de Máquinas Virtuais publicadas pela Microsoft são geridas e mantidas pela Microsoft.
Como implementar recomendações de avaliação de vulnerabilidade Centro de Segurança do Azure
Como criar uma máquina virtual Azure a partir de um modelo de Resource Manager Azure
Script de exemplo para carregar um VHD para o Azure e criar uma nova VM
7.5: Armazenar de forma segura a configuração dos recursos da Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7,5 | 5.3 | Cliente |
Utilize devOps Azure para armazenar e gerir de forma segura o seu código como políticas Azure personalizadas, modelos de Resource Manager Azure e scripts Desired State Configuration. Para aceder aos recursos que gere em Azure DevOps, pode conceder ou negar permissões a utilizadores específicos, grupos de segurança incorporados ou grupos definidos no Azure Ative Directory (Azure AD) se integrados com Azure DevOps ou Ative Directory se integrados com TFS.
7.6: Armazenar de forma segura imagens do sistema operativo personalizado
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.6 | 5.3 | Cliente |
Se utilizar imagens personalizadas, utilize o controlo de acesso baseado em funções (Azure RBAC) para garantir que apenas os utilizadores autorizados possam aceder às imagens. Usando um Shared Image Gallery pode partilhar as suas imagens com diferentes utilizadores, diretores de serviço ou grupos de AD dentro da sua organização. Para imagens de contentores, guarde-as em Azure Container Registry e aproveite o Azure RBAC para garantir que apenas os utilizadores autorizados podem aceder às imagens.
7.7: Implementar ferramentas de gestão de configuração para recursos Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.7 | 5.4 | Cliente |
Defina e implemente configurações de segurança padrão para recursos Azure utilizando Azure Policy. Utilize Azure Policy pseudónimos para criar políticas personalizadas para auditar ou impor a configuração de rede dos seus recursos Azure. Você também pode fazer uso de definições políticas incorporadas relacionadas com os seus recursos específicos. Além disso, pode utilizar Automatização do Azure para implementar alterações de configuração.
7.8: Implementar ferramentas de gestão de configuração para sistemas operativos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.8 | 5.4 | Cliente |
Automatização do Azure State Configuration é um serviço de gestão de configuração para nós de Desired State Configuration (DSC) em qualquer datacenter de nuvem ou no local. Pode facilmente embarcar máquinas, atribuí-las configurações declarativas e ver relatórios que mostrem a conformidade de cada máquina com o estado pretendido especificado.
7.9: Implementar monitorização automatizada de configuração para recursos Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7,9 | 5,5 | Cliente |
Utilize Centro de Segurança do Azure para efetuar exames de base para os seus Recursos Azure. Além disso, utilize Azure Policy para alertar e auditar configurações de recursos Azure.
7.10: Implementar monitorização automatizada de configuração para sistemas operativos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.10 | 5,5 | Cliente |
Utilize Centro de Segurança do Azure para efetuar as verificações de linha de base para as definições de OS e Docker para recipientes.
7.11: Gerir os segredos do Azure de forma segura
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.11 | 13,1 | Cliente |
Use identidade de serviço gerido em conjunto com a Azure Key Vault para simplificar e garantir uma gestão secreta para as suas aplicações na nuvem.
7.12: Gerir as identidades de forma segura e automática
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.12 | 4.1 | Cliente |
Utilize identidades geridas para fornecer serviços Azure com uma identidade gerida automaticamente em Azure AD. Identidades Geridas permite-lhe autenticar qualquer serviço que suporte Azure AD autenticação, incluindo Key Vault, sem quaisquer credenciais no seu código.
7.13: Eliminar a exposição credencial não intencional
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
Implementar o Scanner credencial para identificar credenciais dentro do código. O Scanner de Credenciais também vai incentivar a movimentação das credenciais descobertas para localizações mais seguras, por exemplo, o Azure Key Vault.
Passos seguintes
- Ver o próximo Controlo de Segurança: Defesa de Malware