Controlo de Segurança V2: Governação e Estratégia
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A governação e a estratégia fornecem orientações para assegurar uma estratégia de segurança coerente e uma abordagem de governação documentada para orientar e manter a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na nuvem, estratégia técnica unificada e apoio a políticas e normas.
GS-1: Definir a gestão dos ativos e a estratégia de proteção de dados
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Certifique-se de que documenta e comunica uma estratégia clara de monitorização e proteção contínua de sistemas e dados. Priorize a descoberta, a avaliação, a proteção e a monitorização de dados e sistemas críticos para a empresa.
Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
Norma para a classificação de dados, de acordo com os riscos da atividade
Visibilidade da organização de segurança para os riscos e inventário de ativos
Aprovação da organização de segurança dos serviços do Azure a utilizar
Segurança dos ativos ao longo do ciclo de vida
Estratégia de controlo de acesso obrigatória, de acordo com a classificação dos dados organizacionais
Utilização das capacidades de proteção de dados nativas do Azure e de terceiros
Requisitos de encriptação de dados para casos de utilização de dados em trânsito e inativos
Normas criptográficas adequadas
Para obter mais informações, veja as seguintes referências:
Recomendação de Arquitetura de Segurança do Azure - Armazenamento, dados e encriptação
Noções Básicas da Segurança do Azure - Segurança, encriptação e armazenamento de dados do Azure
Cloud Adoption Framework - Melhores práticas de segurança e encriptação de dados do Azure
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-2: Definir a estratégia de segmentação da empresa
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Estabeleça uma estratégia em toda a empresa para segmentar o acesso a ativos utilizando uma combinação de identidade, rede, aplicação, subscrição, grupo de gestão e outros controlos.
Equilibre cuidadosamente a necessidade de separação da segurança com a necessidade de permitir o funcionamento diário dos sistemas que têm de comunicar entre si e aceder a dados.
Certifique-se de que a estratégia de segmentação está implementada de forma consistente em todos os tipos de controlos, incluindo segurança de rede, modelos de identidade e acesso e modelos de permissão/acesso a aplicações e controlos de processos humanos.
Orientação para a estratégia de segmentação no Azure (vídeo)
Orientação para a estratégia de segmentação no Azure (documento)
Alinhar a segmentação de rede com a estratégia de segmentação empresarial
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-3: Definir a estratégia de gestão da postura de segurança
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Meça e atenue continuamente os riscos para os seus ativos individuais e para o ambiente em que estão hospedados. Dê prioridade aos ativos de valor alto e a superfícies de ataque muito expostas, como aplicações publicadas, pontos de entrada e saída de rede, pontos finais de utilizador e administrador, etc.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-4: Alinhar as funções, as responsabilidades e as responsabilizações na organização
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-4 | N/D | PL, PM |
Certifique-se de que documenta e comunica uma estratégia clara para funções e responsabilidades na sua organização de segurança. Estabeleça prioridades ao indicar de forma clara a responsabilização quanto às decisões de segurança, explicando o modelo de responsabilização partilhada a todos e explicando às equipas técnicas a tecnologia para proteger a cloud.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-5: Definir uma estratégia de segurança de rede
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-5 | 9 | CA |
Estabeleça uma abordagem de segurança da rede Azure como parte da estratégia global de controlo de acesso à segurança da sua organização.
Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
Gestão centralizada da rede e responsabilidade quanto à segurança
Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação empresarial
Estratégia de remediação em diferentes cenários de ameaças e ataques
Estratégia de entrada e saída do edge da Internet
Estratégia de interconectividade entre a cloud híbrida e o ambiente no local
Artefactos de segurança de rede atualizados (tais como diagramas de rede, arquitetura de rede de referência)
Para obter mais informações, veja as seguintes referências:
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-6: Definir a estratégia de identidades e acessos privilegiados
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Estabeleça uma identidade Azure e abordagens privilegiadas de acesso como parte da estratégia global de controlo de acesso à segurança da sua organização.
Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
Um sistema de identidades e autenticação centralizado e respetiva interconectividade com outros sistemas de identidades internas e externas
Métodos de autenticação fortes em diferentes casos de utilização e condições
Proteção de utilizadores com muitos privilégios
Monitorização e processamento de atividades anómalas de utilizadores
Processo de revisão e reconciliação de identidades e acessos dos utilizadores
Para obter mais informações, veja as seguintes referências:
Azure Security Best Practice 11 - Arquitetura. Estratégia de segurança unificada única
Descrição geral da segurança da gestão de identidades do Azure
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-7: Definir a estratégia de resposta a ameaças e registos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Estabeleça uma estratégia de resposta à exploração madeireira e a ameaças para detetar e remediar rapidamente ameaças ao mesmo tempo que satisfaz os requisitos de conformidade. Estabeleça prioridades ao disponibilizar aos analistas alertas de alta qualidade e experiências práticas para que se possam concentrar nas ameaças e não na integração e em passos manuais.
Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
O papel e as responsabilidades da organização das operações de segurança (SecOps)
Processo de resposta a incidentes bem definido e alinhado com as normas da agência norte-americana NIST ou outro framework da indústria
Captura e retenção de registos para suportar a deteção de ameaças, a resposta a incidentes e as necessidades de conformidade
Visibilidade centralizada e correlação de informações sobre ameaças, mediante a utilização de SIEM, das capacidades nativas do Azure e de outras origens
Plano de comunicação e notificação com os seus clientes, fornecedores e partes interessadas públicas
Utilização de plataformas nativas do Azure e de terceiros para processamento de incidentes, como registo e deteção de ameaças, análises forenses e remediação e erradicação de ataques
Processos para lidar com incidentes e atividades pós-incidentes, como lições aprendidas e retenção de provas
Para obter mais informações, veja as seguintes referências:
Referência de Segurança do Azure - Registos e deteção de ameaças
Azure Security Best Practice 4 - Processo. Atualizar processos de resposta a incidentes para cloud
Azure Adoption Framework, registos e guia de decisão de relatórios
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
GS-8: Definir estratégia de backup e recuperação
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-8 | 10 | CP |
Estabeleça uma estratégia de backup e recuperação da Azure para a sua organização.
Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:
Definições objetivas de tempo de recuperação (RTO) e ponto de recuperação (RPO) de acordo com os objetivos de resiliência do seu negócio
Design de redundância nas suas aplicações e configuração de infraestruturas
Proteção de cópias de segurança utilizando controlo de acesso e encriptação de dados
Para obter mais informações, veja as seguintes referências:
Azure Well-Architecture Framework - Backup e recuperação de desastres para aplicações do Azure
Quadro de Adoção Azure - continuidade das empresas e recuperação de desastres
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):