Introdução à arquitetura de referência de segurança cibernética da Microsoft e benchmark de segurança na nuvem
Este módulo aborda as melhores práticas para capacidades e controlos de cibersegurança, que são essenciais para reduzir o risco de sucesso dos atacantes.
Objetivos de aprendizagem
Neste módulo, você aprenderá a:
- Use a Microsoft Cybersecurity Reference Architecture (MCRA) para projetar soluções mais seguras.
- Use o Microsoft Cloud Security Benchmark (MCSB) para projetar soluções mais seguras.
O conteúdo do módulo ajuda você a se preparar para o exame de certificação SC-100: Microsoft Cybersecurity Architect.
Pré-requisitos
- Conhecimento conceitual de políticas de segurança, requisitos, arquitetura zero trust e gerenciamento de ambientes híbridos
- Experiência de trabalho com estratégias de confiança zero, aplicação de políticas de segurança e desenvolvimento de requisitos de segurança com base em objetivos de negócios
Visão geral do MCRA
As Arquiteturas de Referência de Cibersegurança da Microsoft (MCRA) são um conjunto de diagramas técnicos que descrevem as capacidades de cibersegurança da Microsoft. Os diagramas descrevem como os recursos de segurança da Microsoft se integram ao seguinte:
- Plataformas Microsoft como Microsoft 365 e Microsoft Azure
- Aplicativos de terceiros como ServiceNow e Salesforce
- Plataformas de terceiros como Amazon Web Services (AWS) e Google Cloud Platform (GCP)
O MCRA contém diagramas sobre os seguintes tópicos:
- Recursos de segurança cibernética da Microsoft
- Zero Trust e um plano de modernização rápida Zero Trust (RaMP)
- Acesso de usuário zero trust
- Operações de segurança
- Tecnologia operacional (OT)
- Recursos multicloud e multiplataforma
- Cobertura da cadeia de ataque
- Controles de segurança nativos do Azure
- Funções organizacionais de segurança
Visão geral do MCSB
Novos serviços e recursos são lançados diariamente no Azure e em outras plataformas de nuvem. Os desenvolvedores estão publicando rapidamente novos aplicativos em nuvem criados nesses serviços, e os invasores estão constantemente procurando novas maneiras de explorar recursos mal configurados. A nuvem se move rapidamente, os desenvolvedores se movem rapidamente e os invasores também se movem rapidamente. Como você acompanha e garante que suas implantações na nuvem sejam seguras? Em que é que as práticas de segurança para sistemas em nuvem são diferentes dos sistemas locais e diferentes entre fornecedores de serviços em nuvem? Como você monitora sua carga de trabalho para obter consistência em várias plataformas de nuvem?
A Microsoft descobriu que o uso de benchmarks de segurança pode ajudá-lo a proteger rapidamente as implantações na nuvem. Uma estrutura abrangente de práticas recomendadas de segurança de provedores de serviços de nuvem pode fornecer um ponto de partida para selecionar definições de configuração de segurança específicas em seu ambiente de nuvem, em vários provedores de serviços e permitir que você monitore essas configurações usando um único painel.
Controlos de segurança
Um controle é uma descrição de alto nível de um recurso ou atividade recomendada que precisa ser abordada. Os controles não são específicos de uma tecnologia ou implementação. As recomendações de controle de segurança são aplicáveis a várias cargas de trabalho na nuvem. Cada controlo é numerado e as recomendações do controlo identificam uma lista de detentores de interesse que normalmente estão envolvidos no planeamento, aprovação ou implementação do parâmetro de referência.
Domínios de controlo MCSB/famílias de controlo
No MCSB, os controles são agrupados em "famílias" ou "domínios". A tabela a seguir resume os domínios de controle de segurança no MCSB:
| Domínios de Controlo | Description |
|---|---|
| Segurança de rede (NS) | A Segurança de Rede abrange controlos para proteger e proteger redes, incluindo a proteção de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a proteção do DNS. |
| Gerenciamento de identidade (IM) | O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta. |
| Acesso privilegiado (PA) | O Acesso Privilegiado abrange controles para proteger o acesso privilegiado ao seu locatário e recursos, incluindo uma variedade de controles para proteger seu modelo administrativo, contas administrativas e estações de trabalho de acesso privilegiado contra riscos deliberados e inadvertidos. |
| Proteção de dados (PD) | A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados. |
| Gestão de Ativos (AM) | O Gerenciamento de Ativos abrange controles para garantir segurança, visibilidade e governança sobre seus recursos. Isso inclui recomendações sobre permissões para o pessoal de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, rastreamento e correção). |
| Registo e Deteção de Ameaças (LT) | O Registo e Deteção de Ameaças abrange controlos para detetar ameaças na nuvem e ativar, recolher e armazenar registos de auditoria para serviços na nuvem, incluindo a ativação de processos de deteção, investigação e correção com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas em serviços na nuvem; também inclui a coleta de logs com um serviço de monitoramento em nuvem, centralização da análise de segurança com um SIEM, sincronização de tempo e retenção de logs. |
| Resposta a incidentes (RI) | A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como o Microsoft Defender for Cloud e o Sentinel) e/ou outros serviços na nuvem para automatizar o processo de resposta a incidentes. |
| Gestão de Postura e Vulnerabilidade (PV) | O Gerenciamento de Postura e Vulnerabilidade se concentra em controles para avaliar e melhorar a postura de segurança na nuvem, incluindo varredura de vulnerabilidades, testes de penetração e remediação, bem como rastreamento, relatórios e correção de configuração de segurança em recursos de nuvem. |
| Segurança de Endpoint (ES) | O Endpoint Security abrange controles em deteção e resposta de endpoints, incluindo o uso de EDR (endpoint detection and response) e serviço antimalware para endpoints em ambientes de nuvem. |
| Backup e recuperação (BR) | Os controles de cobertura de backup e recuperação para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos. |
| Segurança de DevOps (DS) | O DevOps Security abrange os controles relacionados à engenharia de segurança e às operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como testes de segurança de aplicativos estáticos, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança durante todo o processo de DevOps; Também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software. |
| Governação e Estratégia (SG) | Governança e Estratégia fornecem orientação para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança em nuvem, estratégia técnica unificada e políticas e padrões de suporte. |
Linhas de base do serviço
As linhas de base de segurança são documentos padronizados para ofertas de produtos do Azure, descrevendo os recursos de segurança disponíveis e as configurações de segurança ideais para ajudá-lo a fortalecer a segurança por meio de ferramentas, rastreamento e recursos de segurança aprimorados. Atualmente, temos linhas de base de serviço disponíveis apenas para o Azure.
As linhas de base de segurança do Azure concentram-se em áreas de controlo centradas na nuvem em ambientes do Azure. Esses controles são consistentes com padrões bem conhecidos da indústria, tais como: Center for Internet Security (CIS) ou National Institute for Standards in Technology (NIST). Nossas linhas de base fornecem orientação para as áreas de controle listadas no benchmark de segurança na nuvem da Microsoft v1.
Cada linha de base consiste nos seguintes componentes:
- Como se comporta um serviço?
- Que elementos de segurança estão disponíveis?
- Que configurações são recomendadas para proteger o serviço?
Implementar o benchmark de segurança na nuvem da Microsoft
- Planeje sua implementação MCSB examinando a documentação para os controles corporativos e linhas de base específicas do serviço para planejar sua estrutura de controle e como ela mapeia para orientações como o Center for Internet Security (CIS) Controls, o National Institute of Standards and Technology (NIST) e a estrutura PCI-DSS (Payment Card Industry Data Security Standard).
- Monitore sua conformidade com o status do MCSB (e outros conjuntos de controle) usando o Microsoft Defender for Cloud – Painel de Conformidade Regulatória para seu ambiente multicloud.
- Estabeleça guarda-corpos para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos em sua organização) usando recursos como Azure Blueprints, Azure Policy ou as tecnologias equivalentes de outras plataformas de nuvem.
Casos comuns de utilização
O benchmark de segurança na nuvem da Microsoft geralmente pode ser usado para enfrentar desafios comuns para clientes ou parceiros de serviços que são:
- Novo no Azure (e em outras grandes plataformas de nuvem, como a AWS) e procurando práticas recomendadas de segurança para garantir uma implantação segura de serviços de nuvem e sua própria carga de trabalho de aplicativos.
- Procurando melhorar a postura de segurança das implantações de nuvem existentes para priorizar os principais riscos e mitigações.
- Usando ambientes multicloud (como Azure e AWS) e enfrentando desafios para alinhar o controle de segurança, monitoramento e avaliação usando um único painel.
- Avaliar os recursos/capacidades de segurança do Azure (e de outras plataformas de nuvem importantes, como a AWS) antes de integrar/aprovar um serviço no catálogo de serviços de nuvem.
- Ter que atender aos requisitos de conformidade em setores altamente regulamentados, como governo, finanças e saúde. Esses clientes precisam garantir suas configurações de serviço do Azure e de outras nuvens para atender à especificação de segurança definida em uma estrutura como CIS, NIST ou PCI. O MCSB fornece uma abordagem eficiente com os controles já pré-mapeados para esses benchmarks do setor.
Terminologia
Os termos "controle" e "linha de base" são frequentemente usados na documentação de benchmark de segurança na nuvem da Microsoft. É importante entender como o MCSB usa esses termos.
| Termo | Description | Exemplo |
|---|---|---|
| Controlo | Um controle é uma descrição de alto nível de um recurso ou atividade que precisa ser abordado e não é específico de uma tecnologia ou implementação. | A Proteção de Dados é uma das famílias de controle de segurança. A proteção de dados contém ações específicas que devem ser abordadas para ajudar a garantir a proteção dos dados. |
| Linha de base | Uma linha de base é a implementação do controle nos serviços individuais do Azure. Cada organização dita uma recomendação de referência e as configurações correspondentes são necessárias no Azure. Observação: hoje temos linhas de base de serviço disponíveis apenas para o Azure. | A empresa Contoso procura habilitar os recursos de segurança do SQL do Azure seguindo a configuração recomendada na linha de base de segurança do Azure SQL. |