Visão geral dos controlos de segurança da Azure (v2)
O Azure Security Benchmark (ASB) fornece melhores práticas e recomendações prescritivas para ajudar a melhorar a segurança das cargas de trabalho, dos dados e dos serviços no Azure.
Este benchmark faz parte de um conjunto de orientações holísticas de segurança que também inclui:
- Cloud Adoption Framework – Orientação em matéria de segurança, incluindo estratégia, funções e responsabilidades, Azure Top 10 De Segurança Boas Práticas e implementação de referência.
- Azure Well-Architected Framework – Orientação para garantir as suas cargas de trabalho no Azure.
- Microsoft Security Best Practices – recomendações com exemplos sobre o Azure.
O Azure Security Benchmark foca-se em áreas de controlo centradas na nuvem. Estes controlos são consistentes com referências de segurança bem conhecidas, como as descritas pelo Center for Internet Security (CIS) Controls Version 7.1 e National Institute of Standards and Technology (NIST) SP 800-53. Os seguintes controlos estão incluídos no Benchmark de Segurança Azure:
| Domínios de controlo ASB | Description |
|---|---|
| Segurança da rede (NS) | A Segurança da Rede cobre controlos para proteger e proteger redes Azure, incluindo a segurança de redes virtuais, o estabelecimento de ligações privadas, a prevenção e mitigação de ataques externos e a segurança de DNS. |
| Gestão de Identidade (IM) | A Gestão de Identidade abrange os controlos para estabelecer uma identidade segura e controlos de acesso utilizando o Azure Ative Directory, incluindo a utilização de autenticações únicas, autenticações fortes, identidades geridas (e princípios de serviço) para aplicações, acesso condicional e monitorização de anomalias de conta. |
| Acesso Privilegiado (PA) | O Acesso Privilegiado abrange controlos para proteger o acesso privilegiado ao seu inquilino e recursos Azure, incluindo uma série de controlos para proteger o seu modelo administrativo, contas administrativas e estações de trabalho privilegiadas de acesso contra riscos deliberados e inadvertidos. |
| Proteção de Dados (PD) | A Proteção de Dados cobre o controlo da proteção de dados em repouso, em trânsito e através de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorizar ativos de dados sensíveis utilizando controlo de acesso, encriptação e registo em Azure. |
| Gestão de Ativos (AM) | A Gestão de Ativos cobre controlos para garantir visibilidade e governação de segurança sobre os recursos da Azure, incluindo recomendações sobre permissões para pessoal de segurança, acesso de segurança ao inventário de ativos e gestão de aprovações para serviços e recursos (inventário, pista e correta). |
| Registo e Deteção de Ameaças (LT) | A deteção de registos e deteção de ameaças abrange controlos de deteção de ameaças no Azure e permite, recolhe e armazena registos de auditoria para serviços Azure, incluindo processos de deteção, investigação e reparação com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas nos serviços Azure; inclui também a recolha de registos com o Azure Monitor, a centralização da análise de segurança com o Azure Sentinel, a sincronização do tempo e a retenção de registos. |
| Resposta a Incidentes (IR) | Incident Response abrange controlos no ciclo de vida de resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços Azure, como Centro de Segurança do Azure e Sentinel para automatizar o processo de resposta a incidentes. |
| Gestão de Postura e Vulnerabilidade (PV) | A Gestão de Postura e Vulnerabilidade centra-se nos controlos para avaliar e melhorar a postura de segurança do Azure, incluindo a digitalização de vulnerabilidades, testes de penetração e reparação, bem como rastreio de configuração de segurança, reporte e correção nos recursos do Azure. |
| Segurança no ponto final (ES) | A Endpoint Security abrange controlos na deteção e resposta de pontos finais, incluindo a utilização de deteção e resposta de pontos finais (EDR) e serviço anti-malware para pontos finais em ambientes Azure. |
| Backup e Recuperação (BR) | A cópia de segurança e recuperação cobre controlos para garantir que as cópias de segurança de dados e configurações nos diferentes níveis de serviço são executadas, validadas e protegidas. |
| Governação e Estratégia (SG) | A governação e a estratégia fornecem orientações para assegurar uma estratégia de segurança coerente e uma abordagem de governação documentada para orientar e manter a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na nuvem, estratégia técnica unificada e apoio a políticas e normas. |
Recomendações de benchmark de segurança Azure
Cada recomendação inclui as seguintes informações:
- Azure ID: O ID de benchmark de segurança Azure que corresponde à recomendação.
- Controlos do CIS v7.1 ID:: Os controlos do CIS v7.1 que correspondem a esta recomendação.
- NIST SP 800-53 r4 ID: O NIST SP 800-53 r4 (moderado) controlo (s) que corresponde a esta recomendação.
- Detalhes: A lógica da recomendação e as ligações à orientação sobre como implementá-la. Se a recomendação for apoiada por Centro de Segurança do Azure, essa informação também será enumerada.
- Responsabilidade: Se o cliente, o prestador de serviços ou ambos são responsáveis pela implementação desta recomendação. As responsabilidades de segurança são partilhadas na nuvem pública. Alguns controlos de segurança só estão disponíveis para o prestador de serviços na nuvem e, por isso, o fornecedor é responsável por endereçá-los. Estas são observações gerais – para alguns serviços individuais, a responsabilidade será diferente da que está listada no Azure Security Benchmark. Estas diferenças são descritas nas recomendações de base para o serviço individual.
- Partes interessadas em Segurança do Cliente: As funções de segurança na organização do cliente que podem ser responsáveis, responsáveis ou consultados para o respetivo controlo. Pode ser diferente de organização para organização dependendo da estrutura da organização de segurança da sua empresa, e os papéis e responsabilidades que estabeleceu relacionados com a segurança da Azure.
Nota
Os mapeamentos de controlo entre as referências asb e a indústria (tais como NIST e CIS) apenas indicam que uma característica Azure específica pode ser utilizada para responder total ou parcialmente a um requisito de controlo definido no NIST ou na CIS. Deve estar ciente de que esta implementação não se traduz necessariamente no cumprimento integral do controlo correspondente no CEI ou no NIST.
Congratulamo-nos com o seu feedback detalhado e participação ativa no esforço de Benchmark de Segurança Azure. Se você gostaria de fornecer a entrada direta da equipe Azure Security Benchmark, preencha o formulário em https://aka.ms/AzSecBenchmark
Download
Você pode baixar o Azure Security Benchmark em formato de folha de cálculo.
Passos seguintes
- Consulte o primeiro controlo de segurança: Segurança da rede
- Leia a introdução do Azure Security Benchmark
- Conheça os Fundamentos de Segurança do Azure