Parâmetro de comparação de segurança de nuvem da Microsoft: Acesso, Dados, Identidade, Rede, Ponto de Extremidade, Governança, Recuperação, Incidente e Gerenciamento de Vulnerabilidades

15 minutos

O Gerenciamento de Ativos abrange controles para garantir a visibilidade e a governança da segurança sobre os recursos, incluindo recomendações sobre permissões para a equipe de segurança, acesso de segurança ao inventário de ativos e gerenciamento de aprovações para serviços e recursos (inventário, rastreamento e correção).

AM-1: acompanhar o inventário de ativos e seus riscos

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4	CM-8, PM-5	2,4

Princípio de segurança: acompanhe o inventário de ativos consultando e descubra todos os seus recursos de nuvem. Organize logicamente seus ativos marcando e agrupando seus ativos com base em sua natureza de serviço, local ou outras características. Verifique se sua organização de segurança tem acesso a um inventário de ativos atualizado continuamente.

Verifique se sua organização de segurança pode monitorar os riscos para ativos de nuvem sempre tendo insights de segurança e riscos agregados centralmente.

Diretrizes do Azure: o recurso de inventário do Microsoft Defender para Nuvem e o Azure Resource Graph podem consultar e descobrir todos os recursos em suas assinaturas, incluindo serviços, aplicativos e recursos de rede do Azure. Organize logicamente os ativos de acordo com a taxonomia da sua organização usando marcas e outros metadados no Azure (Nome, Descrição e Categoria).

Verifique se as organizações de segurança têm acesso a um inventário de ativos atualizado continuamente no Azure. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.

Verifique se as organizações de segurança recebem permissões de Leitor de Segurança em seu locatário e assinaturas do Azure para que possam monitorar os riscos de segurança usando o Microsoft Defender para Nuvem. As permissões de Leitor de Segurança podem ser aplicadas amplamente a um locatário inteiro (Grupo de Gerenciamento Raiz) ou com escopo para grupos de gerenciamento ou assinaturas específicas.

Observação

Permissões extras podem ser necessárias para obter visibilidade de cargas de trabalho e serviços.

Diretrizes do GCP: use o Inventário de Ativos do Google Cloud para fornecer serviços de inventário com base em um banco de dados de série temporal. Esse banco de dados mantém um histórico de cinco semanas de metadados de ativos GCP. O serviço de exportação de Inventário de Ativos do Cloud permite exportar todos os metadados de ativos em um determinado carimbo de data/hora ou exportar o histórico de alterações de eventos durante um período.

Além disso, o Centro de Comandos do Google Cloud Security dá suporte a uma convenção de nomenclatura diferente. Os ativos são recursos do Google Cloud de uma organização. As funções de IAM para o Centro de Comando de Segurança podem ser concedidas no nível da organização, pasta ou projeto. Sua capacidade de exibir, criar ou atualizar descobertas, ativos e fonte de segurança depende do nível para o qual você recebe acesso.

Implementação do GCP e contexto extra:

Implementação do Azure e mais contexto:

Diretrizes da AWS: use o recurso Inventário do AWS Systems Manager para consultar e descobrir todos os recursos em suas instâncias EC2, incluindo detalhes do nível do aplicativo e do sistema operacional. Além disso, use Grupos de Recursos da AWS – Editor de Marcas para procurar inventários de recursos da AWS.

Organize logicamente os ativos de acordo com a taxonomia da sua organização usando marcas e outros metadados na AWS (Nome, Descrição e Categoria).

Verifique se as organizações de segurança têm acesso a um inventário de ativos atualizado continuamente na AWS. As equipes de segurança geralmente precisam desse inventário para avaliar a exposição potencial de sua organização a riscos emergentes e como uma entrada para melhorias contínuas de segurança.

Observação

Permissões extras podem ser necessárias para obter visibilidade de cargas de trabalho e serviços.

Implementação do AWS e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

AM-2: usar apenas serviços aprovados

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, PM-5	6.3

Princípio de segurança: verifique se somente os serviços de nuvem aprovados podem ser usados, auditando e restringindo quais serviços os usuários podem implantar no ambiente.

Diretrizes do Azure: use o Azure Policy para auditar e restringir quais serviços os usuários podem implantar em seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em suas assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando um serviço não aprovado é detectado.

Implementação do Azure e mais contexto:

Diretrizes da AWS: use a Configuração do AWS para auditar e restringir quais serviços os usuários podem implantar em seu ambiente. Use grupos de recursos da AWS para consultar e descobrir recursos em suas contas. Você também pode usar o CloudWatch e/ou a Configuração do AWS para criar regras para disparar alertas quando um serviço não aprovado é detectado.

Implementação do AWS e contexto extra:

Grupos de recursos da AWS

Diretrizes do GCP: use o Google Cloud Organization Policy Service para auditar e restringir quais serviços os usuários podem implantar em seu ambiente. Você também pode usar o Monitoramento de Nuvem no Operations Suite e/ou na Política de Organização para criar regras para disparar alertas quando um serviço não aprovado é detectado.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

AM-3: garantir a segurança do gerenciamento do ciclo de vida do ativo

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
1.1, 2.1	CM-8, CM-7	2,4

Princípio de segurança: verifique se os atributos de segurança ou as configurações dos ativos são sempre atualizados durante o ciclo de vida do ativo.

Diretrizes do Azure: estabelecer ou atualizar políticas de segurança/processo que abordam processos de gerenciamento de ciclo de vida de ativos para modificações. Essas modificações incluem alterações em provedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.

Identifique e remova os recursos do Azure quando eles não forem mais necessários.

Implementação do Azure e contexto extra:

Excluir o grupo de recursos e o recurso do Azure

Diretrizes da AWS: estabelecer ou atualizar políticas de segurança/processo que abordam processos de gerenciamento do ciclo de vida de ativos para modificações. Essas modificações incluem alterações em provedores de identidade e acesso, nível de confidencialidade de dados, configuração de rede e atribuição de privilégio administrativo.

Identifique e remova os recursos da AWS quando eles não forem mais necessários.

Implementação do AWS e contexto extra:

Diretrizes do GCP: estabelecer ou atualizar políticas de segurança/processo que abordam processos de gerenciamento do ciclo de vida do ativo para modificações. Essas modificações incluem alterações em provedores de identidade e acesso, dados confidenciais, configuração de rede e avaliação de privilégio administrativo. Use o Centro de Comandos do Google Cloud Security e verifique a guia Conformidade para ativos em risco.

Além disso, use a Limpeza Automatizada de Projetos de Nuvem do Google não utilizados e o serviço Cloud Recommender para fornecer recomendações e insights para usar recursos no Google Cloud. Essas recomendações e insights são por produto ou por serviço e são gerados com base em métodos heurísticos, aprendizado de máquina e uso atual de recursos.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

AM-4: limitar o acesso ao gerenciamento de ativos

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
3.3	AC-3	Não aplicável

Princípio de segurança: limite o acesso dos usuários aos recursos de gerenciamento de ativos, para evitar modificações acidentais ou mal-intencionadas dos ativos em sua nuvem.

Diretrizes do Azure: o Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Ele fornece uma camada de gerenciamento que permite que você crie, atualize e exclua recursos (ativos) no Azure. Use o Acesso Condicional do Microsoft Entra para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure".

Use o RBAC (Controle de Acesso Baseado em Função) do Azure para atribuir funções a identidades para controlar suas permissões e acesso aos recursos do Azure. Por exemplo, um usuário com apenas a função RBAC do Azure 'Leitor' pode exibir todos os recursos, mas não tem permissão para fazer alterações.

Use bloqueios de recursos para evitar exclusões ou modificações em recursos. Os bloqueios de recursos são administrados por meio do Azure Blueprints.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o IAM da AWS para restringir o acesso a um recurso específico. Você pode especificar ações permitidas ou de negação, bem como as condições sob as quais as ações são disparadas. Você pode especificar uma condição ou combinar métodos de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em tags, credenciais temporárias ou funções vinculadas ao serviço para ter um controle de acesso refinado para seus recursos.

Implementação do AWS e contexto extra:

Serviços AWS que funcionam com IAM

Diretrizes do GCP: use o IAM (Gerenciamento de Acesso e Identidade de Nuvem do Google) para restringir o acesso a recursos específicos. Você pode especificar ações e condições de permissão ou negação nas quais as ações são disparadas. Você pode especificar uma condição ou métodos combinados de permissões de nível de recurso, políticas baseadas em recursos, autorização baseada em marca, credenciais temporárias ou funções vinculadas ao serviço para ter controles de acesso de controle refinado para seus recursos.

Além disso, você pode usar controles de serviço VPC para proteger contra ações acidentais ou direcionadas por entidades externas ou entidades de insiders, o que ajuda a minimizar os riscos injustificados de exfiltração de dados dos serviços do Google Cloud. Você pode usar controles de serviço VPC para criar perímetros que protegem os recursos e os dados dos serviços especificados explicitamente.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

AM-5: usar somente aplicativos aprovados na máquina virtual

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, CM-7, CM-10, CM-11	6.3

Princípio de segurança: verifique se somente o software autorizado é executado criando uma lista de permissões e bloqueie a execução do software não autorizado em seu ambiente.

Diretrizes do Azure: use os controles de aplicativo adaptáveis do Microsoft Defender para Nuvem para descobrir e gerar uma lista de permissões do aplicativo. Você também pode usar controles de aplicativo adaptáveis ASC para garantir que somente o software autorizado possa ser executado e que todos os softwares não autorizados sejam impedidos de executar em Máquinas Virtuais do Azure.

Use o Controle de Alterações e Inventário da Automação do Azure para automatizar a coleta de informações de inventário de suas VMs Windows e Linux. As informações de nome, versão, editor e tempo de atualização de software estão disponíveis no portal do Azure. Para obter a data de instalação do software e outras informações, habilite o diagnóstico em nível de convidado e direcione os Logs de Eventos do Windows para um workspace do Log Analytics.

Dependendo do tipo de scripts, você pode usar configurações específicas do sistema operacional ou recursos externos para limitar a capacidade dos usuários de executar scripts em recursos de computação do Azure.

Você também pode usar uma solução externa para descobrir e identificar software não aprovado.

Implementação do Azure e contexto extra:

Diretrizes do GCP: use o Gerenciador de VMs do Google Cloud para descobrir os aplicativos instalados em instâncias de Mecanismos de Computação. O inventário do sistema operacional e o gerenciamento de configuração podem ser usados para garantir que o software não autenticado seja impedido de ser executado em instâncias do Mecanismo de Computação.

Você também pode usar uma solução externa para descobrir e identificar software não aprovado.

Implementação do GCP e contexto extra:

Diretrizes da AWS: use o recurso inventário do AWS Systems Manager para descobrir os aplicativos instalados em suas instâncias EC2. Use as regras de configuração do AWS para garantir que o software não autenticado seja impedido de ser executado em instâncias EC2.

Você também pode usar uma solução externa para descobrir e identificar software não aprovado.

Stakeholders de segurança do cliente (saiba mais):

Controle de segurança: backup e recuperação

Controles de backup e recuperação para garantir que os backups de dados e configuração nas várias camadas de serviço sejam executados, validados e protegidos.

BR-2: proteger dados de backup e recuperação

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
11.3	CP-6, CP-9	3.4

Princípio de segurança: Verifique se os dados e as operações de backup estão protegidos contra exfiltração de dados, comprometimento de dados, ransomware ou malware, e insiders mal-intencionados. Os controles de segurança que devem ser aplicados incluem controle de acesso de usuário e rede, criptografia de dados em repouso e em trânsito.

Diretrizes do Azure: use a autenticação multifator e o RBAC do Azure para proteger as operações críticas do Backup do Azure (como exclusão, retenção de alterações, atualizações na configuração de backup). Para recursos com suporte do Backup do Azure, use o RBAC do Azure para separar as tarefas e habilitar o acesso refinado e criar pontos de extremidade privados em sua Rede Virtual do Microsoft Azure para fazer backup e restaurar os dados com segurança de seus cofres dos Serviços de Recuperação.

Nesses recursos, os dados de backup são criptografados automaticamente usando chaves gerenciadas pela plataforma do Azure com criptografia AES de 256 bits. Você também pode optar por criptografar os backups usando uma chave gerenciada pelo cliente. Nesse caso, verifique se a chave gerenciada pelo cliente no Azure Key Vault também está no escopo de backup. Se você usar uma chave gerenciada pelo cliente, use a proteção contra exclusão e limpeza temporária no Azure Key Vault para proteger chaves contra exclusão acidental ou mal-intencionada. Para backups locais usando o Backup do Azure, a criptografia em repouso é fornecida usando a frase secreta fornecida.

Proteja os dados de backup contra exclusão acidental ou mal-intencionada, como ataques/tentativas de ransomware para criptografar ou adulterar dados de backup. Para recursos com suporte do Backup do Azure, habilite a exclusão reversível para garantir a recuperação de itens sem perda de dados por até 14 dias após uma exclusão não autorizada e habilite a autenticação multifator usando um PIN gerado no portal do Azure. Habilite também o armazenamento com redundância geográfica ou restauração entre regiões para garantir que os dados de backup sejam restaurados quando houver um desastre na região primária. Você também pode habilitar o ZRS (Armazenamento com Redundância de Zona) para garantir que os backups sejam restauráveis durante falhas zonais.

Observação

Se você usar o recurso de backup nativo de um recurso ou serviços de backup que não sejam o Backup do Azure, consulte o Microsoft Cloud Security Benchmark (e linhas de base de serviço) para implementar os controles acima.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o controle de acesso do IAM da AWS para proteger o Backup da AWS. Sempre proteja o acesso ao serviço Backup da AWS e os pontos de backup e restauração. Os controles de exemplo incluem:

Use a MFA (autenticação multifator) para operações críticas, como exclusão de um ponto de backup/restauração.
Use o protocolo SSL / protocolo TLS para se comunicar com os recursos da AWS.
Use o KMS do AWS com o Backup do AWS para criptografar os dados de backup usando o CMK gerenciado pelo cliente ou um CMK gerenciado pelo AWS associado ao serviço de Backup do AWS.
Use o Bloqueio do Cofre do AWS Backup para armazenamento imutável de dados críticos.
Proteja buckets S3 por meio da política de acesso, desabilitando o acesso público, impondo a criptografia de dados em repouso e controle de controle de controle de versão.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use contas dedicadas com a autenticação mais forte para executar operações críticas de backup e recuperação, como exclusão, retenção de alterações, atualizações para configuração de backup. Contas dedicadas protegem os dados de backup contra exclusão acidental ou mal-intencionada, como ataques/tentativas de ransomware para criptografar ou adulterar dados de backup.

Para recursos compatíveis com o backup do GCP, use o IAM do Google com funções e permissões para segregar tarefas e habilitar o controle de acesso granular. Configure uma conexão de acesso de serviços privados ao VPC para fazer backup e restaurar dados com segurança a partir do dispositivo de Backup/Recuperação.

Os dados de backup são criptografados automaticamente por padrão no nível da plataforma usando o algoritmo AES (criptografia AES), AES-256.

Observação

Se você usar o recurso de backup nativo de um recurso ou serviços de backup que não sejam o Backup do GCP, consulte a respectiva diretriz para implementar os controles de segurança. Por exemplo, você também pode proteger instâncias de VM específicas contra exclusão definindo a propriedade deletionProtection em um recurso de instância de VM.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Controle de Segurança: Proteção de dados

A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e gerenciamento de certificados.

DP-2: Monitorar anomalias e ameaças direcionadas a dados confidenciais

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
3.13	AC-4, SI-4	A3.2

Princípio de segurança: monitore anomalias em torno de dados confidenciais, como a transferência não autorizada de dados para locais fora da visibilidade e do controle corporativos. Você está monitorando atividades anômalas (transferências grandes ou incomuns) que podem indicar exfiltração de dados não autorizadas.

Diretrizes do Azure: use a AIP (Proteção de Informações do Azure) para monitorar os dados classificados e rotulados.

Use o Microsoft Defender para Armazenamento, o Microsoft Defender para SQL, o Microsoft Defender para bancos de dados relacionais de software livre e o Microsoft Defender para Cosmos DB para alertar sobre a transferência anômala de informações que podem indicar transferências não autorizadas de informações confidenciais de dados.

Observação

Se necessário para a conformidade da DLP (prevenção contra perda de dados), você pode usar uma solução DLP baseada em host do Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controles detetive e/ou preventivos para impedir a exfiltração de dados.

Implementação do Azure e contexto extra:

Diretrizes do AWS: use o AWS Macie para monitorar os dados classificados e rotulados e use o GuardDuty para detectar atividades anômalas em alguns recursos (recursos S3, EC2 ou Kubernetes ou IAM). As descobertas e alertas podem ser triados, analisados e rastreados usando EventBridge e encaminhados para o Microsoft Sentinel ou o Hub de Segurança para agregação e acompanhamento de incidentes.

Você também pode conectar suas contas da AWS ao Microsoft Defender para Nuvem para verificações de conformidade, segurança de contêiner e recursos de segurança de ponto de extremidade.

Observação

Se necessário para a conformidade da DLP (prevenção contra perda de dados), você pode usar uma solução DLP baseada em host do AWS Marketplace.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use o Centro de Comandos do Google Cloud Security/Detecção de Ameaças de Eventos/Detecção de Anomalias para alertar sobre a transferência anômala de informações que possam indicar transferências não autorizadas de informações confidenciais de dados.

Você também pode conectar suas contas do GCP ao Microsoft Defender para Nuvem para verificações de conformidade, segurança de contêiner e recursos de segurança de ponto de extremidade.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

DP-3: Criptografar dados confidenciais em trânsito

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
3.10	SC-8	3.5, 3.6, 4.1

Princípio de segurança: proteja os dados em trânsito contra ataques "fora de banda" (como captura de tráfego) usando criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.

Defina o limite de rede e o escopo do serviço em que os dados na criptografia de trânsito são obrigatórios dentro e fora da rede. Embora isso seja opcional para o tráfego em redes privadas, é fundamental para o tráfego em redes externas e públicas.

Diretrizes do Azure: imponha a transferência segura em serviços como o Armazenamento do Azure, em que um recurso de criptografia de trânsito de dados nativos é integrado.

Imponha HTTPS para cargas de trabalho e serviços de aplicativo Web, garantindo que todos os clientes que se conectam aos recursos do Azure usem a versão v1.2 ou posterior do protocolo TLS. Para o gerenciamento remoto de VMs, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.

Para o gerenciamento remoto de Máquinas Virtuais do Azure, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivos, use o serviço SFTP/FTPS no Blob de Armazenamento do Azure, aplicativos do Serviço de Aplicativo e aplicativos de funções, em vez de usar o serviço FTP regular.

Observação

Os dados em criptografia de trânsito estão habilitados para todo o tráfego do Azure que viaja entre datacenters do Azure. O TLS v1.2 ou posterior está habilitado na maioria dos serviços do Azure por padrão. E alguns serviços, como o Armazenamento do Azure e o Gateway de Aplicativo, podem impor o TLS v1.2 ou posterior no lado do servidor.

Implementação do Azure e contexto extra:

Diretrizes da AWS: impor transferência segura em serviços como Amazon S3, RDS e CloudFront, em que um recurso de criptografia de trânsito de dados nativos é integrado.

Imponha HTTPS (como no AWS Elastic Load Balancer) para serviços e aplicativos Web de carga de trabalho (no lado do servidor ou no lado do cliente ou em ambos) garantindo que todos os clientes que se conectam aos seus recursos do AWS usem o TLS v1.2 ou posterior.

Para o gerenciamento remoto de instâncias EC2, usamos o SSH (para o Linux) ou o RDP/TLS (para o Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivo, use o serviço SFTP ou FTPS de Transferência da AWS em vez de um serviço FTP regular.

Observação

Todo o tráfego de rede entre data centers da AWS é criptografado de forma transparente na camada física. Todo o tráfego em um VPC e entre VPCs emparelhadas entre regiões é criptografado de forma transparente na camada de rede ao usar tipos de instância do Amazon EC2 com suporte. O TLS v1.2 ou posterior está habilitado na maioria dos serviços da AWS por padrão. E alguns serviços, como a AWS Load Balancer, podem impor o TLS v1.2 ou posterior no lado do servidor.

Implementação do AWS e contexto extra:

Diretrizes do GCP: impor a transferência segura em serviços como o Google Cloud Storage, em que um recurso de criptografia de trânsito de dados nativos é integrado.

Imponha HTTPS para cargas de trabalho e serviços de aplicativo Web, garantindo que todos os clientes que se conectam aos recursos do GCP usem a versão v1.2 ou posterior do protocolo TLS.

Para o gerenciamento remoto, o Google Cloud Compute Engine usa SSH (para o Linux) ou o RDP/TLS (para o Windows) em vez de um protocolo não criptografado. Para transferência segura de arquivos, use o serviço SFTP/FTPS em serviços como o Google Cloud Big Query ou o Cloud App Engine em vez de um serviço FTP regular.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

DP-6: usar um processo de gerenciamento de chave segura

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	IA-5, SC-12, SC-28	3,6

Princípio de segurança: documente e implemente um padrão de gerenciamento de chaves criptográficas corporativas, processos e procedimentos para controlar seu ciclo de vida de chave. Quando houver a necessidade de usar a chave gerenciada pelo cliente nos serviços, use um serviço de cofre de chaves protegido para geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves com base na agenda definida e quando houver desativação ou comprometimento da chave.

Diretrizes do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo a geração, a distribuição e o armazenamento de chaves. Gire e revogue suas chaves no Azure Key Vault e no seu serviço com base na agenda definida e quando houver desativação ou comprometimento da chave. Exija um determinado tipo criptográfico e um tamanho mínimo de chave ao gerar chaves.

Quando houver a necessidade de usar a CMK (chave gerenciada pelo cliente) nos serviços ou aplicativos de carga de trabalho, verifique se você segue as práticas recomendadas:

Use uma hierarquia de chaves para gerar uma DEK (chave de criptografia de dados) separada com a KEK (chave de criptografia de chaves) no cofre de chaves.
Verifique se as chaves estão registradas no Azure Key Vault e implementadas por meio de IDs de chave em cada serviço ou aplicativo.

Para maximizar o tempo de vida e a portabilidade do material chave, traga sua própria chave (BYOK) para os serviços (ou seja, importando chaves protegidas por HSM de seus HSMs locais para o Azure Key Vault). Siga a diretriz recomendada para executar a geração de chaves e a transferência de chave.

Observação

Consulte o seguinte para o nível FIPS 140-2 para tipos do Azure Key Vault e nível de conformidade/validação FIPS.

Chaves protegidas por software em cofres (SKUs Premium & Standard): FIPS 140-2 Nível 1
Chaves protegidas por HSM em cofres (SKU Premium): FIPS 140-2 Nível 2
Chaves protegidas por HSM no HSM Gerenciado: FIPS 140-2 Nível 3

O Azure Key Vault Premium usa uma infraestrutura HSM compartilhada no back-end. O HSM Gerenciado do Azure Key Vault usa pontos de extremidade de serviço dedicados e confidenciais com um HSM dedicado para quando você precisar de um nível mais alto de segurança de chave.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o KMS (Serviço de Gerenciamento de Chaves) da AWS para criar e controlar o ciclo de vida das chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no KMS e no seu serviço com base na agenda definida e quando houver desativação ou comprometimento da chave.

Quando houver a necessidade de usar a chave principal do cliente gerenciada pelo cliente nos serviços ou aplicativos de carga de trabalho, verifique se você segue as práticas recomendadas:

Use uma hierarquia de chaves para gerar uma DEK (chave de criptografia de dados) separada com a KEK (chave de criptografia de chave) no KMS.
Verifique se as chaves estão registradas no KMS e implemente por meio de políticas de IAM em cada serviço ou aplicativo.

Para maximizar a vida útil e a portabilidade do material criptográfico, traga sua própria chave (BYOK) para os serviços (ou seja, importando chaves protegidas por HSM dos seus HSMs locais no KMS ou HSM na nuvem). Siga a diretriz recomendada para executar a geração de chaves e a transferência de chave.

Observação

O KMS da AWS usa a infraestrutura HSM compartilhada no back-end. Use o Repositório de Chaves Personalizadas KMS da AWS com suporte do AWS CloudHSM quando precisar gerenciar seu próprio repositório de chaves e HSMs dedicados (por exemplo, requisito de conformidade regulatória para um nível mais alto de segurança de chave) para gerar e armazenar suas chaves de criptografia.

Consulte a lista para ver o nível FIPS 140-2 de conformidade FIPS no AWS KMS e no CloudHSM.

AWS KMS padrão: FIPS 140-2 Nível 2 validado
KMS da AWS usando CloudHSM: FIPS 140-2 Nível 3 (para determinados serviços) validado
AWS CloudHSM: FIPS 140-2 Nível 3 validado

Observação

Para gerenciamento de segredos(credenciais, senha, chaves de API etc.), use o Gerenciador de Segredos da AWS.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use o Cloud KMS (Serviço de Gerenciamento de Chaves do Cloud) para criar e gerenciar ciclos de vida de chave de criptografia em serviços compatíveis com o Google Cloud e em seus aplicativos de carga de trabalho. Gire e revogue suas chaves no Cloud KMS e no seu serviço com base na agenda definida e quando houver desativação ou comprometimento da chave.

Use o serviço HSM de Nuvem do Google para fornecer chaves com suporte de hardware para o Cloud KMS (Serviço de Gerenciamento de Chaves) Ele oferece a capacidade de gerenciar e usar suas próprias chaves criptográficas enquanto estiver protegido por HSM (Módulos de Segurança de Hardware) totalmente gerenciados.

O serviço Cloud HSM utiliza HSMs que são validados em conformidade com FIPS 140-2 Nível 3 e estão sempre operando no modo FIPS. FIPS 140-2 Nível 3 validado e sempre em operação no modo FIPS. O padrão FIPS especifica os algoritmos criptográficos e a geração de números aleatórios usados pelos HSMs.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

DP-7: usar um processo seguro de gerenciamento de certificados

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	IA-5, SC-12, SC-17	3,6

Princípio de segurança: documente e implemente um padrão de gerenciamento de certificados corporativo, processos e procedimentos que incluam o controle de ciclo de vida do certificado e as políticas de certificado (se uma infraestrutura de chave pública for necessária).

Verifique se os certificados usados pelos serviços críticos em sua organização são inventariados, acompanhados, monitorados e renovados em tempo há algum tempo usando o mecanismo automatizado para evitar a interrupção do serviço.

Diretrizes do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificado siga os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura e assim por diante. Configure a rotação automática do certificado no Azure Key Vault e os serviços do Azure com suporte com base no agendamento definido e quando um certificado expirar. Se não houver suporte para rotação automática no aplicativo de front-end, use uma rotação manual no Azure Key Vault.

Evite usar um certificado autoassinado e certificados curinga em seus serviços críticos devido à garantia de segurança limitada. Em vez disso, você pode criar certificados assinados publicamente no Azure Key Vault. As autoridades de certificação (CAs) a seguir são os provedores parceiros que estão atualmente integrados ao Azure Key Vault.

DigiCert: o Azure Key Vault oferece certificados OV TLS/SSL com DigiCert.
GlobalSign: O Azure Key Vault oferece certificados OV TLS/SSL com GlobalSign.

Observação

Use apenas a AC aprovada e verifique se os certificados raiz/intermediários conhecidos emitidos por essas ACs estão desabilitados.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o ACM (AWS Certificate Manager) para criar e controlar o ciclo de vida do certificado, incluindo criação/importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificado siga os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura e assim por diante. Configure a rotação automática do certificado no ACM e os serviços AWS com suporte com base no agendamento definido e quando um certificado expira. Se não houver suporte para rotação automática no aplicativo de front-end, use a rotação manual no ACM. Enquanto isso, você sempre deve acompanhar o status de renovação do certificado para garantir a validade.

Evite usar um certificado autoassinado e certificados curinga em seus serviços críticos devido à garantia de segurança limitada. Em vez disso, crie certificados assinados pelo público (assinados pela Amazon Certificate Authority) no ACM e implante-os programaticamente em serviços como CloudFront, Load Balancers, Gateway de API etc. Você também pode usar o ACM para estabelecer sua AC (autoridade de certificação privada) para assinar os certificados privados.

Observação

Use apenas uma AC aprovada e verifique se os certificados raiz/intermediários conhecidos emitidos por essas ACs estão desabilitados.

Implementação do AWS e contexto extra:

Gerenciador de Certificados da AWS – Verificar o status de renovação de um certificado

Diretrizes do GCP: use o Google Cloud Certificate Manager para criar e controlar o ciclo de vida do certificado, incluindo criação/importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificado siga os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura e assim por diante. Configure a rotação automática do certificado no Gerenciador de Certificados e os serviços do GCP com suporte com base no agendamento definido e quando um certificado expira. Se não houver suporte para rotação automática no aplicativo de front-end, use a rotação manual no Gerenciador de Certificados. Enquanto isso, você sempre deve acompanhar o status de renovação do certificado para garantir a validade.

Evite usar um certificado autoassinado e certificados curinga em seus serviços críticos devido à garantia de segurança limitada. Em vez disso, você pode criar certificados públicos assinados no Gerenciador de Certificados e implantá-los programaticamente em serviços como Load Balancer e DNS na nuvem etc. Você também pode usar o Serviço de Autoridade de Certificação para estabelecer sua AC (autoridade de certificação privada) para assinar os certificados privados.

Observação

Você também pode usar o Google Cloud Secret Manager para armazenar certificados TLS.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

DP-8: garantir a segurança do repositório de chaves e certificados

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	IA-5, SC-12, SC-17	3,6

Princípio de segurança: verifique a segurança do serviço do cofre de chaves usado para o gerenciamento de ciclo de vida de certificado e chave criptográfica. Proteja seu serviço de cofre de chaves por meio do controle de acesso, segurança de rede, registro em log e monitoramento e backup para garantir que chaves e certificados estejam sempre protegidos usando a segurança máxima.

Diretrizes do Azure: proteja suas chaves criptográficas e certificados ao proteger seu serviço do Azure Key Vault por meio dos seguintes controles:

Implemente o controle de acesso usando políticas RBAC no HSM Gerenciado do Azure Key Vault no nível de chave para garantir que o mínimo de privilégios e separação de princípios de tarefas seja seguido. Por exemplo, verifique se a separação de tarefas está em vigor para os usuários que gerenciam chaves de criptografia para que não tenham a capacidade de acessar dados criptografados e vice-versa. Para o Azure Key Vault Standard e Premium, crie cofres exclusivos para diferentes aplicativos para garantir que o privilégio mínimo e a separação de princípios de tarefas sejam seguidos.
Ative o registro em log do Azure Key Vault para garantir que as atividades críticas do plano de gerenciamento e do plano de dados sejam registradas.
Proteja o Azure Key Vault usando o Link Privado e o Firewall do Azure para garantir a exposição mínima do serviço
Use a identidade gerenciada para acessar chaves armazenadas no Azure Key Vault em seus aplicativos de carga de trabalho.
Ao limpar dados, verifique se suas chaves não são excluídas antes que os dados reais, backups e arquivos sejam limpos.
Faça backup de suas chaves e certificados usando o Azure Key Vault. Habilite a exclusão reversível e a proteção contra limpeza para evitar a exclusão acidental de chaves. Quando as chaves precisarem ser excluídas, considere desabilitar chaves em vez de excluí-las para evitar a exclusão acidental de chaves e a eliminação criptográfica de dados.
Para casos de uso de traga sua própria chave (BYOK), gere chaves em um HSM local e importe-as para maximizar o tempo de vida e a portabilidade das chaves.
Nunca armazene chaves em formato de texto sem formatação fora do Azure Key Vault. As chaves em todos os serviços do cofre de chaves não são exportáveis por padrão.
Use os tipos de chave com suporte de HSM (RSA-HSM) no Azure Key Vault Premium e no HSM Gerenciado do Azure para a proteção de hardware e os níveis FIPS mais fortes.

Habilite o Microsoft Defender para Key Vault para proteção avançada contra ameaças nativa do Azure para o Azure Key Vault, fornecendo uma camada extra de inteligência de segurança.

Implementação do Azure e contexto extra:

Diretrizes da AWS: para segurança de chaves criptográficas, proteja suas chaves ao proteger seu serviço KMS (Serviço de Gerenciamento de Chaves) do AWS por meio dos seguintes controles:

Implemente o controle de acesso usando políticas de chave (controle de acesso em nível de chave) com políticas de IAM (controle de acesso baseado em identidade) para garantir que o privilégio mínimo e a separação de princípios de tarefas sejam seguidos. Por exemplo, verifique se a separação de tarefas está em vigor para os usuários que gerenciam chaves de criptografia para que não tenham a capacidade de acessar dados criptografados e vice-versa.
Use controles de detetive, como CloudTrails, para registrar e acompanhar o uso de chaves no KMS e alertá-lo sobre ações críticas.
Nunca armazene chaves em formato de texto sem formatação fora do KMS.
Quando as chaves precisarem ser excluídas, considere desabilitar chaves no KMS em vez de excluí-las para evitar a exclusão acidental de chaves e a eliminação criptográfica de dados.
Ao limpar dados, verifique se suas chaves não são excluídas antes que os dados reais, backups e arquivos sejam limpos.
Para casos de uso de BYOK (traga sua própria chave), gere chaves em um HSM local e importe-as para maximizar o tempo de vida e a portabilidade das chaves.

Para segurança de certificados, proteja seus certificados ao proteger seu serviço do ACM (AWS Certificate Manager) por meio dos seguintes controles:

Implemente o controle de acesso usando políticas de nível de recurso com políticas IAM (controle de acesso baseado em identidade) para garantir que os princípios de privilégio mínimo e separação de funções sejam seguidos. Por exemplo, verifique se a separação de tarefas está em vigor para contas de usuário: as contas de usuário que geram certificados são separadas das contas de usuário que exigem apenas acesso somente leitura aos certificados.
Use controles de detetive, como CloudTrails, para registrar e acompanhar o uso dos certificados no ACM e alertá-lo sobre ações críticas.
Siga as diretrizes de segurança KMS para proteger sua chave privada (gerada para solicitação de certificado) usada para integração de certificado de serviço.

Implementação do AWS e contexto extra:

Diretrizes do GCP: para segurança de chaves criptográficas, proteja suas chaves ao assegurar seu Serviço de Gerenciamento de Chaves por meio dos seguintes controles:

Implemente o controle de acesso usando funções IAM para garantir que o privilégio mínimo e a separação de princípios de tarefas sejam seguidos. Por exemplo, verifique se a separação de tarefas está em vigor para os usuários que gerenciam chaves de criptografia para que não tenham a capacidade de acessar dados criptografados e vice-versa.
Crie um anel de chave separado para cada projeto que permita gerenciar e controlar facilmente o acesso às chaves seguindo as práticas recomendadas de privilégios mínimos. Também facilita a auditoria de quem tem acesso a qual chave.
Habilite a rotação automática de chaves para garantir que as chaves sejam atualizadas regularmente. Isso ajuda a proteger contra possíveis ameaças à segurança, como ataques de força bruta ou atores mal-intencionados que tentam obter acesso a informações confidenciais.
Configure um coletor de log de auditoria para acompanhar todas as atividades que ocorrem em seu ambiente GCP KMS.

Para a segurança de certificados, proteja seus certificados ao proteger o Gerenciador de Certificados do GCP e o Serviço de Autoridade de Certificação por meio dos seguintes controles:

Implemente o controle de acesso usando políticas de nível de recurso com políticas de IAM (controle de acesso baseado em identidade) para garantir que o privilégio mínimo e a separação de princípios de tarefas sejam seguidos. Por exemplo, verifique se a separação de tarefas está em vigor para contas de usuário: as contas de usuário que geram certificados são separadas das contas de usuário que exigem apenas acesso somente leitura aos certificados.
Use controles de detetive, como logs de auditoria de nuvem, para registrar e acompanhar o uso dos certificados no Gerenciador de Certificados e alertá-lo sobre ações críticas.
O Gerenciador de Segredos também dá suporte ao armazenamento do certificado TLS. Você precisa seguir a prática de segurança semelhante para implementar os controles de segurança no Gerenciador de Segredos.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Controle de segurança: segurança do ponto de extremidade

A Segurança do Ponto de Extremidade aborda controles em resposta e detecção de ponto de extremidade, incluindo uso de EDR (detecção de ponto de extremidade e resposta) e serviço antimalware para pontos de extremidade em ambientes de nuvem.

ES-1: usar EDR (Detecção e Resposta de Ponto de Extremidade)

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
13,7	SC-3, SI-2, SI-3, SI-16	11.5

Princípio de segurança: habilite recursos de EDR (detecção e resposta do ponto de extremidade) para VMs e integre com os processos de operações de segurança e SIEM.

Diretrizes do Azure: o Microsoft Defender para servidores (com o Microsoft Defender para Ponto de Extremidade integrado) fornece recursos de EDR para prevenir, detectar, investigar e responder a ameaças avançadas.

Use o Microsoft Defender para Nuvem para implantar o Microsoft Defender para servidores dos seus pontos de extremidades e integre os alertas à sua solução SIEM, como o Microsoft Sentinel.

Implementação do Azure e contexto extra:

Diretrizes da AWS: integre sua conta da AWS ao Microsoft Defender para Nuvem e implante o Microsoft Defender para servidores (com Microsoft Defender para Ponto de Extremidade integrado) em suas instâncias do EC2 para fornecer capacidade de EDR para prevenir, detectar, investigar e responder a ameaças avançadas.

Como alternativa, use a funcionalidade de inteligência contra ameaças integrada do Amazon GuardDuty para monitorar e proteger suas instâncias do EC2. O Amazon GuardDuty pode detectar atividades anômalas, como atividades que indicam um comprometimento de instância, como mineração de criptomoedas, malware usando DGAs (algoritmos de geração de domínio), atividade de negação de serviço de saída, volume extraordinariamente alto de tráfego de rede, protocolos de rede incomuns, comunicação de instância de saída com um IP mal-intencionado conhecido, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo, e exfiltração de dados usando DNS.

Implementação do AWS e contexto extra:

Proteger seus pontos de extremidade com a solução EDR integrada do Defender para Nuvem

Diretrizes do GCP: integre seu projeto GCP no Microsoft Defender para Nuvem e implante o Microsoft Defender para servidores (com o Microsoft Defender para Ponto de Extremidade integrado) em suas instâncias de máquina virtual para fornecer recursos de EDR para prevenir, detectar, investigar e responder a ameaças avançadas.

Como alternativa, use o Centro de Comandos de Segurança do Google para inteligência integrada contra ameaças para monitorar e proteger suas instâncias de máquina virtual. O Centro de Comandos de Segurança pode detectar atividades anômalas, como credenciais potencialmente vazadas, mineração de criptomoedas, aplicativos potencialmente mal-intencionados, atividade de rede mal-intencionada e muito mais.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

ES-2: usar um software antimalware moderno

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
10.1	SC-3, SI-2, SI-3, SI-16	5,1

Princípio de segurança: use soluções antimalware (também conhecidas como proteção de ponto de extremidade) capazes de proteção em tempo real e verificação periódica.

Diretrizes do Azure: o Microsoft Defender para Nuvem pode identificar automaticamente o uso de populares soluções antimalware para suas máquinas virtuais e computadores locais com o Azure Arc configurado e informar o estado de execução da proteção de endpoints e fazer recomendações.

Microsoft Defender Antivírus é a solução antimalware padrão para o Windows Server 2016 e superior. Para o Windows Server 2012 R2, use a extensão antimalware da Microsoft para habilitar o SCEP (System Center Endpoint Protection). Para VMs do Linux, use o Microsoft Defender para Ponto de Extremidade no Linux para o recurso de proteção de ponto de extremidade.

Para Windows e Linux, você pode usar o Microsoft Defender para Nuvem para descobrir e avaliar o status da integridade da solução antimalware.

Observação

Você também pode usar o Microsoft Defender para Armazenamento do Defender para Nuvem para detectar malware carregado em contas do Armazenamento do Azure.

Implementação do Azure e contexto extra:

Diretrizes da AWS: integre sua conta da AWS ao Microsoft Defender para Nuvem para permitir que o Microsoft Defender para Nuvem identifique automaticamente o uso de várias soluções antimalware populares para instâncias do EC2 com o Azure Arc configurado e relate o status de execução da proteção de ponto de extremidade e fazer recomendações.

Implante o Microsoft Defender Antivírus que é a solução antimalware padrão para o Windows Server 2016 e superior. Para instâncias do EC2 que executam o Windows Server 2012 R2, use a extensão antimalware da Microsoft para habilitar o SCEP (System Center Endpoint Protection). Para instâncias EC2 executando o Linux, use o Microsoft Defender para Ponto de Extremidade no Linux para o recurso de proteção de ponto de extremidade.

Para Windows e Linux, você pode usar o Microsoft Defender para Nuvem para descobrir e avaliar o status da integridade da solução antimalware.

Observação

O Microsoft Defender Cloud também dá suporte a determinados produtos de proteção de ponto de extremidade de terceiros para a avaliação de status de integridade e descoberta.

Implementação do AWS e contexto extra:

Diretrizes do GCP: integre seus projetos do GCP ao Microsoft Defender para Nuvem para permitir que o Microsoft Defender para Nuvem identifique automaticamente o uso de soluções antimalware populares para instâncias de máquina virtual com o Azure Arc configurado e relate o status de proteção do ponto de extremidade e faça recomendações.

Implante o Microsoft Defender Antivírus que é a solução antimalware padrão para o Windows Server 2016 e superior. Para instâncias de máquina virtual que executam o Windows Server 2012 R2, use a extensão antimalware da Microsoft para habilitar o SCEP (System Center Endpoint Protection). Para instâncias de máquina virtual executando o Linux, use o Microsoft Defender para Ponto de Extremidade no Linux para o recurso de proteção de ponto de extremidade.

Para Windows e Linux, você pode usar o Microsoft Defender para Nuvem para descobrir e avaliar o status da integridade da solução antimalware.

Observação

O Microsoft Defender Cloud também dá suporte a determinados produtos de proteção de ponto de extremidade de terceiros para a avaliação de status de integridade e descoberta.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

ES-3: garantir que as assinaturas e o software antimalware estejam atualizados

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
10,2	SI-2, SI-3	5.2

Princípio de segurança: garanta que as assinaturas antimalware sejam atualizadas de forma rápida e consistente para a solução antimalware.

Diretrizes do Azure: siga as recomendações do Microsoft Defender para Nuvem para manter todos os pontos de extremidade atualizados com as assinaturas mais recentes. Os antimalware da Microsoft (para Windows) e o Microsoft Defender para Endpoint (para Linux) instalam automaticamente, por padrão, as assinaturas mais recentes e atualizações de mecanismo.

Para soluções externas, verifique se as assinaturas são atualizadas na solução antimalware externa.

Implementação do Azure e contexto extra:

Diretrizes da AWS: com sua conta da AWS integrada ao Microsoft Defender para Nuvem, siga as recomendações do Microsoft Defender para Nuvem para manter todos os pontos de extremidade atualizados com as assinaturas mais recentes. O antimalware da Microsoft (para Windows) e o Microsoft Defender para Endpoint (para Linux) instalam as assinaturas e atualizações do mecanismo mais recentes automaticamente, por padrão.

Para soluções externas, verifique se as assinaturas são atualizadas na solução antimalware externa.

Implementação do AWS e contexto extra:

Conectar suas contas da AWS ao Microsoft Defender para Nuvem

Diretrizes do GCP: com seus projetos GCP integrados ao Microsoft Defender para Nuvem, siga as recomendações no Microsoft Defender para Nuvem para manter todas as soluções EDR atualizadas com as assinaturas mais recentes. O antimalware da Microsoft (para Windows) e o Microsoft Defender para Endpoint (para Linux) instalam automaticamente, por padrão, as assinaturas e as atualizações mais recentes do mecanismo.

Para soluções externas, verifique se as assinaturas são atualizadas na solução antimalware externa.

Implementação do GCP e contexto extra:

Conecte seus projetos do GCP ao Microsoft Defender para Nuvem:

Stakeholders de segurança do cliente (saiba mais):

Controle de Segurança: Governança e estratégia

A governança e a estratégia fornecem diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança na nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-5: definir e implementar a estratégia de gerenciamento de postura de segurança

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
4.1, 4.2	CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5	1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Diretrizes gerais: estabeleça uma política, um procedimento e um padrão para garantir que o gerenciamento de configurações de segurança e o gerenciamento de vulnerabilidades estejam em vigor em seu mandato de segurança na nuvem.

O gerenciamento de configuração de segurança na nuvem deve incluir as seguintes áreas:

Defina as linhas de base de configuração seguras para diferentes tipos de recursos na nuvem, como o portal/console da Web, o plano de gerenciamento e controle e os recursos em execução nos serviços IaaS, PaaS e SaaS.
Verifique se as linhas de base de segurança abordam os riscos em diferentes áreas de controle, como segurança de rede, gerenciamento de identidade, acesso privilegiado, proteção de dados e assim por diante.
Use ferramentas para medir, auditar e impor continuamente a configuração e impedir que a configuração se desvie da linha de base.
Desenvolva uma cadência para se manter atualizado com os recursos de segurança, por exemplo, assinando as atualizações de serviço.
Utilize um mecanismo de verificação de conformidade ou integridade de segurança (como Classificação de Segurança, Painel de Conformidade no Microsoft Defender para Nuvem) para examinar regularmente a postura de configuração de segurança e corrigir as lacunas identificadas.

O gerenciamento de vulnerabilidades na nuvem deve incluir os seguintes aspectos de segurança:

Avaliar e corrigir regularmente vulnerabilidades em todos os tipos de recursos de nuvem, como serviços nativos de nuvem, sistemas operacionais e componentes de aplicativos.
Usar uma abordagem baseada em risco para priorizar a avaliação e a correção.
Assine os avisos e blogs de consultoria de segurança do CSPM relevantes para receber as atualizações de segurança mais recentes.
Verifique se a avaliação e a correção da vulnerabilidade (como agendamento, escopo e técnicas) atendem aos requisitos de conformidade da sua organização.

Implementação e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Todos os stakeholders

GS-11: Definir e implementar estratégia de segurança multinuvem

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	Não aplicável	Não aplicável

Diretrizes gerais: verifique se uma estratégia de várias nuvens está definida em sua governança de nuvem e segurança, gerenciamento de riscos e processo de operação que deve incluir os seguintes aspectos:

Adoção de várias nuvens: Para organizações que operam uma infraestrutura multinuvem, capacite sua equipe para garantir que todos compreendam a diferença nas funcionalidades entre as plataformas de nuvem e a pilha de tecnologia. Crie, implante e/ou migre soluções portáteis. Facilite movimentação entre plataformas de nuvem com o bloqueio mínimo do fornecedor ao utilizar recursos nativos de nuvem adequadamente para o resultado ideal da adoção da nuvem.
Operações de nuvem e segurança: simplifique as operações de segurança para dar suporte às soluções em cada nuvem, por meio de um conjunto central de processos de governança e gerenciamento que compartilham processos de operações comuns, independentemente de onde a solução é implantada e operada.
Pilha de ferramentas e tecnologia: escolha as ferramentas apropriadas que dão suporte ao ambiente multinuvem para ajudar a estabelecer plataformas de gerenciamento unificadas e centralizadas que incluem todos os domínios de segurança discutidos neste parâmetro de comparação de segurança.

Implementação e contexto extra:

Controle de Segurança: Gerenciamento de identidade

O Gerenciamento de Identidades abrange controles para estabelecer controles de acesso e identidade segura usando sistemas de gerenciamento de identidade e acesso, incluindo o uso de logon único, autenticações fortes, identidades gerenciadas (e princípios de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.

IM-8: restringir a exposição de credenciais e segredos

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
16.9, 16.12	IA-5	3.5, 6.3, 8.2

Princípio de segurança: verifique se os desenvolvedores de aplicativos lidam com segurança com credenciais e segredos:

Evite inserir as credenciais e segredos nos arquivos de código e configuração
Use o cofre de chaves ou um serviço de repositório de chaves seguro para armazenar as credenciais e os segredos
Verifique se há credenciais no código-fonte.

Observação

Regido e imposto por meio de um SDLC (ciclo de vida de desenvolvimento de software) seguro e um processo de segurança de DevOps.

Diretrizes do Azure: ao usar uma identidade gerenciada não é uma opção, verifique se os segredos e as credenciais são armazenados em locais seguros, como o Azure Key Vault, em vez de inseri-los nos arquivos de código e configuração.

Se você usar o Azure DevOps e o GitHub para sua plataforma de gerenciamento de código:

Implemente o Verificador de Credenciais do Azure DevOps para identificar credenciais dentro do código.
Para o GitHub, use o recurso de verificação de segredo nativo para identificar as credenciais ou outra forma de segredos dentro do código.

Clientes como Azure Functions, serviços de Aplicativos do Azure e VMs podem usar identidades gerenciadas para acessar o Azure Key Vault com segurança. Consulte os controles de Proteção de Dados relacionados ao uso do Azure Key Vault para gerenciamento de segredos.

Observação

O Azure Key Vault fornece rotação automática para serviços com suporte. Para segredos que não podem ser girados automaticamente, verifique se eles são girados manualmente periodicamente e eliminados quando não estiverem mais em uso.

Implementação do Azure e contexto extra:

Diretrizes do AWS: ao usar uma função IAM para acesso ao aplicativo não é uma opção, verifique se os segredos e credenciais são armazenados em locais seguros, como o Gerenciador de Segredos do AWS ou o Repositório de Parâmetros do Systems Manager, em vez de inseri-los nos arquivos de código e configuração.

Use o CodeGuru Reviewer para análise de código estático que pode detectar os segredos codificados em código no código-fonte.

Se você usar o Azure DevOps e o GitHub para sua plataforma de gerenciamento de código:

Implemente o Verificador de Credenciais do Azure DevOps para identificar credenciais dentro do código.
Para o GitHub, use o recurso nativo de verificação de segredos para identificar as credenciais ou outras formas de segredos no código.

Observação

O Gerenciador de Segredos fornece rotação automática de segredos para serviços com suporte. Para segredos que não podem ser girados automaticamente, verifique se eles são girados manualmente periodicamente e eliminados quando não estiverem mais em uso.

Implementação do AWS e contexto extra:

Diretrizes do GCP: ao usar uma conta de serviço gerenciada pelo Google para acesso a aplicativos não é uma opção, verifique se os segredos e credenciais são armazenados em locais seguros, como o Gerenciador de Segredos do Google Cloud, em vez de inseri-los nos arquivos de código e configuração.

Use a extensão do Google Cloud Code em IDEs (ambiente de desenvolvimento integrado), como o Visual Studio Code, para integrar segredos gerenciados pelo Secret Manager ao seu código.

Se você usar o Azure DevOps ou o GitHub para sua plataforma de gerenciamento de código:

Implemente o Verificador de Credenciais do Azure DevOps para identificar credenciais dentro do código.
Para o GitHub, use o recurso nativo de verificação de segredos para identificar as credenciais ou outras formas de segredos no código.

Observação

Configure agendamentos de rotação para segredos armazenados no Gerenciador de Segredos como uma prática recomendada.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Controle de Segurança: Resposta a incidentes

A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure (como o Microsoft Defender para Nuvem e Microsoft Sentinel) e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes.

IR-4: detecção e análise – investigar um incidente

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	IR-4	12.10

Princípio de segurança: certifique se a equipe de operação de segurança pode consultar e usar fontes de dados diversificadas à medida que investigam incidentes potenciais, para criar uma visão completa do que aconteceu. Logs diversificados devem ser coletados para acompanhar as atividades de um invasor potencial na cadeia de eliminação para evitar lados desprotegidos. Você também deve garantir que insights e aprendizados sejam capturados para outros analistas e para referência histórica futura.

Use o SIEM nativo de nuvem e a solução de gerenciamento de incidentes se sua organização não tiver uma solução existente para agregar informações de alertas e logs de segurança. Correlacione dados de incidentes com base nos dados provenientes de diferentes fontes para facilitar as investigações de incidentes.

Diretrizes do Azure: verifique se sua equipe de operações de segurança pode consultar e usar diversas fontes de dados coletadas dos serviços e sistemas no escopo. Além disso, as fontes também podem incluir:

Dados de log de identidade e acesso: use logs de acesso do Microsoft Entra e registros de carga de trabalho (como sistemas operacionais ou de nível de aplicativo) para correlacionar eventos de identidade e acesso.
Dados de rede: use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
Dados de atividade relacionados a incidentes de instantâneos dos sistemas afetados, que podem ser obtidos por meio de:
- A funcionalidade de instantâneos da Máquina Virtual do Azure para criar um instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de instantâneo de outros serviços do Azure com suporte ou a própria funcionalidade do software, para criar instantâneos dos sistemas em execução.

O Microsoft Sentinel fornece análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida de incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.

Observação

Quando os dados relacionados a incidentes forem capturados para investigação, certifique-se de que haja segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar logs ou remover logs, que os invasores executam durante uma atividade de violação de dados em voo.

Implementação do Azure e contexto extra:

Diretrizes da AWS: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

Dados de log de identidade e acesso: use logs do IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
Dados de rede: use Logs de fluxo da VPC, espelhos de tráfego VPC e Azure CloudTrail e CloudWatch para capturar logs de fluxo de rede e outras informações de análise.
Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
- Funcionalidade de instantâneo no Amazon EC2 (EBS) para criar um instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de instantâneo dos serviços da AWS ou da própria funcionalidade do software para criar instantâneos dos sistemas em execução.

Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida dos incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.

Observação

Quando os dados relacionados a incidentes forem capturados para investigação, verifique se há segurança adequada para proteger os dados contra alterações não autorizadas, como desativar ou remover registros, ações que os invasores executam durante uma atividade ativa de violação de dados.

Implementação do AWS e contexto extra:

Diretrizes do GCP: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

Dados de log de identidade e acesso: use logs do IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
Dados de rede: use Logs de fluxo da VPC e controles de serviço VPC para capturar logs de fluxo de rede e outras informações de análise.
Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
- Funcionalidade de instantâneo em VMs do GCP para criar um instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de instantâneo dos serviços do GCP ou da própria funcionalidade do software, para criar instantâneos dos sistemas em execução.

Observação

Quando os dados relacionados a incidentes forem capturados para investigação, verifique se há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar ou remover registros, ações que os invasores executam durante uma atividade de violação de dados em andamento.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
Não aplicável	IR-4, IR-5, IR-6	12.10

Princípio de segurança: automatize as tarefas repetitivas manuais para acelerar o tempo de resposta e reduzir a carga dos analistas. Tarefas manuais levam mais tempo para serem executadas, retardando cada incidente e reduzindo quantos incidentes um analista pode lidar. Tarefas manuais também aumentam a fadiga dos analistas. Isso aumenta o risco de erro humano, causa atrasos e degrada a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas.

Diretrizes do Azure: use os recursos de automação de fluxo de trabalho no Microsoft Defender para Nuvem e no Microsoft Sentinel para disparar automaticamente ações ou executar guias estratégicos para responder a alertas de segurança de entrada. Os guias estratégicos tomam ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.

Implementação do Azure e contexto extra:

Diretrizes da AWS: se você usar o Microsoft Sentinel para gerenciar centralmente o incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.

Como alternativa, use recursos de automação no AWS System Manager para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um runbook para responder a alertas, como desabilitar contas e isolar redes problemáticas.

Implementação do AWS e contexto extra:

AWS Systems Manager – runbooks e automação

Diretrizes do GCP: se você usar o Microsoft Sentinel para gerenciar centralmente o incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.

Como alternativa, use automações de guia estratégico no Chronicle para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um guia estratégico para responder aos alertas.

Implementação do GCP e contexto extra:

Guia estratégico do Chronicle SOAR

Stakeholders de segurança do cliente (saiba mais):

Controle de segurança: registro em log e detecção de ameaças

O Registro em Log e a Detecção de Ameaças abrangem controles para detectar ameaças na nuvem e habilitar, coletar e armazenar logs de auditoria para serviços de nuvem, incluindo a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços de nuvem; também inclui a coleta de logs com um serviço de monitoramento de nuvem, centralização da análise de segurança com um SIEM, sincronização de horas e retenção de logs.

LT-1: habilitar recursos de detecção de ameaças

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Princípio de segurança: para dar suporte a cenários de detecção de ameaças, monitore todos os tipos de recursos conhecidos para ameaças e anomalias conhecidas e esperadas. Configure suas regras de filtragem e análise de alertas para extrair alertas de alta qualidade de dados de log, agentes ou outras fontes de dados para reduzir falsos positivos.

Diretrizes do Azure: use a funcionalidade de detecção de ameaças do Microsoft Defender para Nuvem para os respectivos serviços do Azure.

Para detecção de ameaças não incluída nos serviços do Microsoft Defender, consulte as linhas de base do serviço Microsoft Cloud Security Benchmark para os respectivos serviços para habilitar a detecção de ameaças ou os recursos de alerta de segurança dentro do serviço. Incorpore alertas e dados de log do Microsoft Defender para Nuvem, do Microsoft Defender XDR e dados de log de outros recursos nas suas instâncias do Azure Monitor ou do Microsoft Sentinel para criar regras de análise, que detectam ameaças e geram alertas que correspondem a critérios específicos no seu ambiente.

Para ambientes de Tecnologia Operacional (OT) que incluem computadores que controlam ou monitoram recursos do ICS (Sistema de Controle Industrial) ou SCADA (Controle de Supervisão e Aquisição de Dados), use o Microsoft Defender para IoT para inventariar ativos e detectar ameaças e vulnerabilidades.

Para serviços que não têm uma funcionalidade de detecção de ameaças nativa, considere coletar os logs do plano de dados e analisar as ameaças por meio do Microsoft Sentinel.

Implementação do Azure e contexto extra:

Diretrizes do AWS: use o Amazon GuardDuty para detecção de ameaças que analisa e processa as seguintes fontes de dados: Logs de Fluxo do VPC, logs de eventos de gerenciamento do AWS CloudTrail, logs de eventos de dados do CloudTrail S3, logs de auditoria do EKS e logs de DNS. O GuardDuty é capaz de relatar problemas de segurança, como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP mal-intencionados ou domínios.

Ajuste a Configuração da AWS para verificar as regras no SecurityHub para monitoramento de conformidade, como descompasso de configuração, e crie descobertas quando necessário.

Para detecção de ameaças não incluída no GuardDuty e no SecurityHub, habilite os recursos de alerta de segurança ou detecção de ameaças nos serviços AWS compatíveis. Extraia os alertas para o CloudTrail, CloudWatch ou Microsoft Sentinel para criar regras de análise, que caçam ameaças que correspondem a critérios específicos em seu ambiente.

Você também pode usar o Microsoft Defender para Nuvem para monitorar determinados serviços na AWS, como instâncias de EC2.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use a Detecção de Ameaças de Eventos no Centro de Comandos do Google Cloud Security para detecção de ameaças usando dados de log, como Atividade de Administrador, Acesso a Dados GKE, Logs de Fluxo do VPC, DNS na Nuvem e Logs de Firewall.

Além disso, use o pacote Operações de Segurança para o SOC moderno com o Chronicle SIEM e SOAR. O CHRONICLE SIEM e o SOAR fornecem recursos de detecção, investigação e busca de ameaças

Você também pode usar o Microsoft Defender para Nuvem para monitorar determinados serviços no GCP, como instâncias de VM de Computação.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

LT-3: habilitar o registro em log para investigação de segurança

Expandir tabela

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
8.2, 8.5, 8.12	AU-3, AU-6, AU-12, SI-4	10.1, 10.2, 10.3

Princípio de segurança: habilite o registro em log para seus recursos de nuvem para atender aos requisitos para investigações de incidentes de segurança e fins de conformidade e resposta de segurança.

Diretrizes do Azure: habilite a funcionalidade de registro em log para recursos nas diferentes camadas, como logs para recursos do Azure, sistemas operacionais e aplicativos dentro de suas VMs e outros tipos de log.

Esteja atento a diferentes tipos de logs para segurança, auditoria e outros logs operacionais nas camadas do plano de gerenciamento/controle e do plano de dados. Há três tipos de logs disponíveis na plataforma do Azure:

Log de recursos do Azure: registro em log de operações executadas em um recurso do Azure (o plano de dados). Por exemplo, obter um segredo de um cofre de chaves ou fazer uma solicitação para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Log de atividades do Azure: registro em log de operações em cada recurso do Azure na camada de assinatura, de fora (o plano de gerenciamento). Você pode usar o Log de Atividades para determinar o que, quem e quando para quaisquer operações de gravação (PUT, POST, DELETE) tomadas nos recursos em sua assinatura. Há um único log de atividades para cada assinatura do Azure.
Logs do Microsoft Entra ID: logs do histórico de atividade de entrada e trilha de auditoria de alterações feitas no Microsoft Entra ID para um locatário específico.

Você também pode usar o Microsoft Defender para Nuvem e o Azure Policy para habilitar logs de recursos e coleta de dados de log em recursos do Azure.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o registro em log do AWS CloudTrail para eventos de gerenciamento (operações de plano de controle) e eventos de dados (operações de plano de dados) e monitore essas trilhas com o CloudWatch para ações automatizadas.

O serviço Logs do Amazon CloudWatch permite coletar e armazenar logs de seus recursos, aplicativos e serviços quase em tempo real. Há três categorias principais de logs:

Logs fornecidos: logs publicados nativamente pelos serviços da AWS em seu nome. Atualmente, os dois tipos suportados são o Amazon VPC Flow Logs e o Amazon Route 53. Esses dois logs são habilitados por padrão.
Logs publicados pelos serviços da AWS: logs de mais de 30 serviços da AWS são publicados no CloudWatch. Elas incluem o Gateway de API da Amazon, o Lambda da AWS, a AWS CloudTrail e muitos outros. Esses logs podem ser habilitados diretamente nos serviços e no CloudWatch.
Logs personalizados: logs de seu próprio aplicativo e recursos locais. Você precisa coletar esses logs instalando o CloudWatch Agent em seus sistemas operacionais e encaminhá-los para o CloudWatch.

Embora muitos serviços publiquem logs apenas nos Logs do CloudWatch, alguns serviços da AWS podem publicar logs diretamente no Amazon S3 ou no Amazon Kinesis Data Firehose, onde você pode usar diferentes políticas de armazenamento e retenção de log.

Implementação do AWS e contexto extra:

Diretrizes do GCP: habilite a funcionalidade de registro em log para recursos nas diferentes camadas, como logs para recursos do Azure, sistemas operacionais e aplicativos dentro de suas VMs e outros tipos de log.

Esteja atento a diferentes tipos de logs para segurança, auditoria e outros logs operacionais nas camadas do plano de gerenciamento/controle e do plano de dados. O serviço de Log de Nuvem do Operations Suite coleta e agrega todos os tipos de eventos de log de camadas de recursos. Há suporte para quatro categorias de logs no Log de Nuvem:

Logs de plataforma – logs gravados pelos serviços do Google Cloud.
Logs de componentes – semelhantes aos logs de plataforma, mas os logs são gerados por componentes de software fornecidos pelo Google que são executados em seus sistemas.
Logs de segurança – principalmente os logs de auditoria que registram atividades administrativas e acessos dentro de seus recursos.
Escrito pelo usuário – logs gravados por aplicativos e serviços personalizados
Logs multinuvem e logs de nuvem híbrida – logs de outros provedores de nuvem, como o Microsoft Azure e logs da infraestrutura local.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

LT-4: habilitar o registro de rede para investigação de segurança

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Princípio de segurança: habilite o registro em log para os serviços de rede para dar suporte a investigações de incidentes relacionadas à rede, à busca de ameaças e à geração de alertas de segurança. Os logs de rede incluem logs de serviços de rede, como filtragem de IP, firewall de rede e aplicativo, DNS, monitoramento de fluxo e assim por diante.

Diretrizes do Azure: habilite e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo do NSG, logs do Firewall do Azure e logs do WAF (Firewall de Aplicativo Web) e logs de máquinas virtuais através do agente de coleta de dados de tráfego de rede para análises de segurança, a fim de dar suporte a investigações de incidentes e geração de alertas de segurança. Você pode enviar os logs de fluxo para um workspace do Log Analytics do Azure Monitor e, em seguida, usar a Análise de Tráfego para fornecer insights.

Colete logs de consulta DNS para ajudar a correlacionar outros dados de rede.

Implementação do Azure e contexto extra:

Diretrizes da AWS: habilite e colete logs de rede, como Logs de Fluxo da VPC, logs de WAF e logs de consulta do Resolvedor do Route53 para a análise de segurança, dar suporte a investigações de incidentes e gerar alertas de segurança. Os logs podem ser exportados para o CloudWatch para monitoramento ou um bucket de armazenamento S3 para ingestão na solução do Microsoft Sentinel para análise centralizada.

Implementação do AWS e contexto extra:

Habilitando o registro em log de determinados serviços da AWS

Orientações do GCP: a maioria dos logs de atividades de rede estão disponíveis por meio dos Logs de Fluxo do VPC que registram um exemplo de fluxos de rede enviados e recebidos por recursos, incluindo instâncias usadas como VMs de Computação do Google, nós do Mecanismo do Kubernetes. Esses logs podem ser usados para monitoramento de rede, perícia, análise de segurança em tempo real e otimização de despesas.

Você pode exibir logs de fluxo no Log de Nuvem e exportar logs para o destino ao qual a exportação de Log de Nuvem dá suporte. Os logs de fluxo são agregados por conexão de VMs do Mecanismo de Computação e exportados em tempo real. Ao assinar o Pub/Sub, você pode analisar logs de fluxo usando APIs de streaming em tempo real.

Observação

Você também pode usar o Espelhamento de Pacotes, que clona o tráfego de instâncias especificadas em sua rede VPC (Nuvem Privada Virtual) e encaminha-o para exame. O Espelhamento de Pacotes captura todos os dados de tráfego e pacotes, incluindo cargas e cabeçalhos.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

LT-5: centralizar o gerenciamento e a análise de logs de segurança

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
8.9, 8.11, 13.1	AU-3, AU-6, AU-12, SI-4	Não aplicável

Princípio de segurança: centralize o armazenamento e a análise de log para habilitar a correlação entre os dados de log. Para cada fonte de log, verifique se você atribuiu um proprietário de dados, diretrizes de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e requisitos de retenção de dados.

Use o SIEM nativo de nuvem se você não tiver uma solução de SIEM existente para CSPs. Ou agregue registros/alertas no seu Sistema de Gestão de Eventos e Informações de Segurança (SIEM) existente.

Diretrizes do Azure: verifique se você está integrando logs de atividades do Azure em um Log Analytics workspace centralizado. Use o Azure Monitor para consultar e executar análises e criar regras de alerta usando os logs agregados de serviços do Azure, dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança.

Além disso, habilite e integre dados ao Microsoft Sentinel que fornece recursos de SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança).

Implementação do Azure e contexto extra:

Diretrizes da AWS: verifique se você está integrando seus logs do AWS em um recurso centralizado para armazenamento e análise. Use o CloudWatch para consultar e executar análises e criar regras de alerta usando os logs agregados de serviços da AWS, serviços, dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança.

Além disso, você pode agregar os logs em um bucket de armazenamento do S3 e incorporar os dados de log ao Microsoft Sentinel, que fornece recursos de SIEM (gerenciamento de eventos de informações de segurança) e de SOAR (orquestração e resposta automática de segurança).

Implementação do AWS e contexto extra:

Conectar o Microsoft Sentinel ao Amazon Web Services para ingerir dados de log de serviço da AWS

Diretrizes do GCP: verifique se você está integrando seus logs do GCP em um recurso centralizado (como o bucket de log de nuvem do Operations Suite) para armazenamento e análise. Cloud Logging dá suporte à maior parte do registro de logs dos serviços nativos do Google Cloud, assim como aos aplicativos externos e aos aplicativos locais. Você pode usar o Log de Nuvem para consultar e executar análises e criar regras de alerta usando os logs agregados de serviços GCP, serviços, dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança.

Use o SIEM nativo da nuvem se você não tiver uma solução SIEM existente para CSP ou agregar logs/alertas em seu SIEM existente.

Observação

O Google fornece dois front-end de consulta de log, o Logs Explorer e o Log Analytics para consultar, exibir e analisar logs. Para solução de problemas e exploração de dados de log, é recomendável usar o Logs Explorer. Para gerar insights e tendências, é recomendável usar o Log Analytics.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

LT-6: configurar a retenção de armazenamento de log

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

Princípio de segurança: planeje sua estratégia de retenção de log de acordo com seus requisitos de conformidade, regulamento e negócios. Configure a política de retenção de log nos serviços de registro em log individuais para garantir que os logs sejam arquivados adequadamente.

Diretrizes do Azure: logs como logs de atividades do Azure são mantidos por 90 dias e excluídos. Você deve criar uma configuração de diagnóstico e rotear os logs para outro local (como workspace do Log Analytics do Azure Monitor, Hubs de Eventos ou Armazenamento do Azure) com base em suas necessidades. Essa estratégia também se aplica a outros logs de recursos e recursos gerenciados por si mesmo, como logs nos sistemas operacionais e aplicativos dentro de VMs.

Você tem a opção para retenção de logs:

Usar o workspace do Log Analytics do Azure Monitor por um período de retenção de log de até um ano ou de acordo com os requisitos da equipe de resposta.
Use o Armazenamento do Azure, o Data Explorer ou o Data Lake para armazenamento de longo prazo e arquivamento por mais de um ano e para atender aos seus requisitos de conformidade de segurança.
Use os Hubs de Eventos do Azure para encaminhar logs para um recurso externo fora do Azure.

Observação

O Microsoft Sentinel usa o workspace do Log Analytics como seu back-end para armazenamento de logs. Você deve considerar uma estratégia de armazenamento de longo prazo se planeja reter logs SIEM por mais tempo.

Implementação do Azure e contexto extra:

Diretrizes da AWS: por padrão, os logs são mantidos indefinidamente e nunca expiram no CloudWatch. Você pode ajustar a política de retenção para cada grupo de logs, manter a retenção indefinida ou escolher um período de retenção entre 10 anos e um dia.

Use o Amazon S3 para arquivamento de log do CloudWatch e aplique o gerenciamento do ciclo de vida do objeto e a política de arquivamento ao bucket. Você pode usar o Armazenamento do Azure para arquivamento de log central transferindo os arquivos do Amazon S3 para o Armazenamento do Azure.

Implementação do AWS e contexto extra:

Diretrizes do GCP: por padrão, o Log de Nuvem do Operations Suite mantém os logs por 30 dias, a menos que você configure a retenção personalizada para o bucket de Log de Nuvem. Os logs de auditoria da Atividade de Administrador, os logs de auditoria de Eventos do Sistema e os logs de Transparência de Acesso são mantidos por padrão 400 dias. Você pode configurar o Cloud Logging para manter logs por um período entre 1 dia e 3.650 dias.

Use o Armazenamento em Nuvem para arquivamento de log do Log de Nuvem e aplique o gerenciamento do ciclo de vida do objeto e a política de arquivamento ao bucket. Você pode usar o Armazenamento do Azure para arquivamento de log central transferindo os arquivos do Google Cloud Storage para o Armazenamento do Azure.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Controle de segurança: gerenciamento de postura e vulnerabilidades

O Gerenciamento de Postura e Vulnerabilidades concentra-se em controles para avaliar e melhorar a postura de segurança da nuvem, incluindo verificação de vulnerabilidade, teste de penetração e correção, bem como controle de configuração de segurança, geração de relatórios e correção nos recursos de nuvem.

PV-4: auditar e impor configurações seguras para recursos de computação

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
4.1	CM-2, CM-6	2,2

Princípio de segurança: monitore e alerte continuamente quando houver um desvio da linha de base de configuração definida em seus recursos de computação. Imponha a configuração desejada de acordo com a configuração de linha de base negando a configuração não compatível ou implantando uma configuração em recursos de computação.

Diretrizes do Azure: use o Microsoft Defender para Nuvem e a Configuração de Máquina de Gerenciamento Automatizado do Azure (anteriormente chamada de Configuração de Convidado do Azure Policy) para avaliar e corrigir regularmente os desvios de configuração em seus recursos de computação do Azure, incluindo VMs, contêineres e outros. Além disso, você pode usar modelos do Azure Resource Manager, imagens do sistema operacional personalizado ou o State Configuration da Automação do Azure para manter a configuração de segurança do sistema operacional. Os modelos de VM da Microsoft com a Configuração de Estado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança. Use o Controle de Alterações e Inventário na Automação do Azure para controlar as alterações em máquinas virtuais hospedadas no Azure, localmente e em outros ambientes de nuvem para ajudá-lo a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Instale o agente de atestado convidado em máquinas virtuais para monitorar a integridade da inicialização em máquinas virtuais confidenciais.

Observação

As imagens de VM do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.

Implementação do Azure e contexto extra:

Diretrizes do AWS: use o recurso AWS System Manager's State Manager para avaliar e corrigir regularmente desvios de configuração em suas instâncias do EC2. Além disso, você pode usar modelos CloudFormation, imagens do sistema operacional personalizadas para manter a configuração de segurança do sistema operacional. Modelos de AMI com o Systems Manager podem ajudar a atender e manter os requisitos de segurança.

Você também pode monitorar e gerenciar centralmente o descompasso de configuração do sistema operacional por meio da State Configuration de Automação do Azure e integrar os recursos aplicáveis à governança de segurança do Azure usando os seguintes métodos:

Integrar sua conta do AWS ao Microsoft Defender para Nuvem
Usar o Azure Arc para servidores para conectar suas instâncias EC2 ao Microsoft Defender para Nuvem

Para aplicativos de carga de trabalho em execução em suas instâncias EC2, AWS Lambda ou ambiente de contêineres, você pode usar o AppConfig do System Manager do AWS para auditar e impor a linha de base de configuração desejada.

Observação

As AMIs publicadas pelo Amazon Web Services no AWS Marketplace são gerenciadas e mantidas pelo Amazon Web Services.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use o Gerenciador de VMs e o Centro de Comandos do Google Cloud Security para avaliar e corrigir regularmente o desvio de configuração de suas instâncias, contêineres e contratos sem servidor do Mecanismo de Computação. Além disso, você pode usar modelos de VM do Deployment Manager, imagens do sistema operacional personalizadas para manter a configuração de segurança do sistema operacional. Modelos de VM do Gerenciador de Implantação com o Gerenciador de VMs podem ajudar a atender e manter os requisitos de segurança.

Integrar seu projeto do GCP ao Microsoft Defender para Nuvem
Usar o Azure Arc para servidores para conectar suas instâncias de VM GCP ao Microsoft Defender para Nuvem

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

PV-5: executar avaliações de vulnerabilidade

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6	RA-3, RA-5	6.1, 6.2, 6.6

Princípio de segurança: realize a avaliação de vulnerabilidades nos seus recursos de nuvem em todas as camadas segundo um agendamento fixo ou sob demanda. Acompanhe e compare os resultados da verificação para verificar se as vulnerabilidades foram corrigidas. A avaliação deve incluir todos os tipos de vulnerabilidades, como vulnerabilidades nos serviços, rede, Web, sistemas operacionais, configurações incorretas do Azure e assim por diante.

Lembre-se dos riscos potenciais associados ao acesso privilegiado usado pelos scanners de vulnerabilidade. Siga as práticas recomendadas de segurança de acesso privilegiado para proteger as contas administrativas usadas para a verificação.

Diretrizes do Azure: siga as recomendações do Microsoft Defender para Nuvem sobre como executar avaliações de vulnerabilidade nas máquinas virtuais, imagens de contêiner e servidores SQL do Azure. O Microsoft Defender para Nuvem tem um verificador de vulnerabilidades interno para máquinas virtuais. Use uma solução externa para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos Web)

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pelo Microsoft Defender para Nuvem, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar a metodologia de provisionamento JIT (Just-In-Time) para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Observação

Os serviços do Microsoft Defender (incluindo o Defender para servidores, contêineres, Serviço de Aplicativo, Banco de Dados e DNS) inseriram determinadas funcionalidades de avaliação de vulnerabilidade. Os alertas gerados dos serviços do Azure Defender devem ser monitorados e revisados junto com o resultado da ferramenta de verificação de vulnerabilidades do Microsoft Defender para Nuvem.

Observação

Verifique se você configurou notificações por email no Microsoft Defender para Nuvem.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o Amazon Inspector para verificar suas instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon ECR (Amazon Elastic Container Registry) em busca de vulnerabilidades de software e exposição de rede não intencional. Use uma solução externa para executar avaliações de vulnerabilidade em dispositivos e aplicativos de rede (por exemplo, aplicativos Web)

Consulte o controle ES-1, Usar a EDR (Detecção e Resposta de Ponto de Extremidade), para integrar sua conta do AWS ao Microsoft Defender para Nuvem e implantar o Microsoft Defender para servidores (com o Microsoft Defender para Ponto de Extremidade integrado) em suas instâncias do EC2. O Microsoft Defender para servidores fornece uma funcionalidade nativa de Gerenciamento de Ameaças e Vulnerabilidades para suas VMs. O resultado da verificação de vulnerabilidade é consolidado no painel do Microsoft Defender para Nuvem.

Acompanhe o status das descobertas de vulnerabilidade para garantir que elas sejam corrigidas ou suprimidas corretamente se forem consideradas falsas positivas.

Ao realizar verificações remotas, não use uma única conta administrativa perpétua. Considere implementar uma metodologia de provisionamento temporário para a conta de verificação. As credenciais da conta de verificação devem ser protegidas, monitoradas e usadas apenas para verificação de vulnerabilidades.

Implementação do AWS e contexto extra:

Diretrizes do GCP: siga as recomendações do Microsoft Defender para Nuvem ou/e do Google Cloud Security Command Center para executar avaliações de vulnerabilidades em suas instâncias do Mecanismo de Computação. O Centro de Comandos de Segurança tem avaliações de vulnerabilidades internas em dispositivos e aplicativos de rede (por exemplo, Verificador de Segurança da Web)

Exporte os resultados da verificação em intervalos consistentes e compare-os com verificações anteriores para observar se as vulnerabilidades foram corrigidas. Ao usar recomendações de gerenciamento de vulnerabilidades sugeridas pelo Security Command Center, você pode dinamizar no portal da solução de verificação selecionada para exibir dados de verificação históricos.

Implementação do GCP e contexto extra:

Visão geral do Centro de Comandos do Google Cloud Security.Visão geral do Verificador de Segurança da Web

PV-6: corrigir vulnerabilidades de forma rápida e automática

ID(s) de Controles CIS v8	ID(s) NIST SP 800-53 r4	ID(s) PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7	RA-3, RA-5, SI-2: CORREÇÃO DE FALHA	6.1, 6.2, 6.5, 11.2

Princípio de segurança: implante patches e atualizações de forma rápida e automática para corrigir vulnerabilidades em recursos de nuvem. Use a abordagem baseada em risco apropriada para priorizar a correção das vulnerabilidades. Por exemplo, vulnerabilidades mais graves em um ativo de valor mais alto devem ser tratadas como uma prioridade mais alta.

Diretrizes do Azure: use o Gerenciamento de Atualizações de Automação do Azure ou uma solução externa para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para ser atualizado automaticamente.

Para software externo, use uma solução de gerenciamento de patch externo ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação do Azure e contexto extra:

Diretrizes da AWS: use o AWS Systems Manager – Patch Manager para garantir que as atualizações de segurança mais recentes sejam instaladas nos sistemas operacionais e aplicativos. O Patch Manager dá suporte a linhas de base de patch para permitir que você defina uma lista de patches aprovados e rejeitados para os sistemas.

Você também pode usar o Gerenciamento de Atualizações da Automação do Azure para gerenciar centralmente os patches e atualizações de suas instâncias Windows e Linux do AWS EC2.

Para software externo, use uma solução de gerenciamento de patch externo ou o Microsoft System Center Updates Publisher for Configuration Manager.

Implementação do AWS e contexto extra:

Diretrizes do GCP: use o gerenciamento de patches do sistema operacional do Gerenciador de VMs do Google Cloud ou uma solução externa para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs do Windows e Linux. Para VMs do Windows, verifique se o Windows Update está habilitado e definido para ser atualizado automaticamente.

Para software externo, use uma solução de gerenciamento de patch externo ou o Microsoft System Center Updates Publisher para gerenciamento de configuração.

Implementação do GCP e contexto extra:

Stakeholders de segurança do cliente (saiba mais):

Comentários

Esta página foi útil?