Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Observação
O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.
Estabeleça, implemente e gerencie ativamente (rastreie, relate, corrija) a configuração de segurança dos recursos do Azure para impedir que invasores explorem serviços e configurações vulneráveis.
7.1: Estabelecer configurações seguras para todos os recursos do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.1 | 5.1 | Cliente |
Use aliases de Política do Azure para criar políticas personalizadas para auditar ou impor a configuração de seus recursos do Azure. Você também pode usar definições internas da Política do Azure.
Além disso, o Azure Resource Manager tem a capacidade de exportar o modelo em JSON (JavaScript Object Notation), que deve ser revisado para garantir que as configurações atendam/excedam os requisitos de segurança para sua organização.
Você também pode usar recomendações da Central de Segurança do Azure como uma linha de base de configuração segura para seus recursos do Azure.
7.2: Estabelecer configurações seguras do sistema operacional
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.2 | 5.1 | Cliente |
Use as recomendações da Central de Segurança do Azure para manter as configurações de segurança em todos os recursos de computação. Além disso, você pode usar imagens personalizadas do sistema operacional ou a configuração do Estado de Automação do Azure para estabelecer a configuração de segurança do sistema operacional exigida pela sua organização.
Como monitorar as recomendações da Central de Segurança do Azure
Carregar um VHD e usá-lo para criar novas VMs do Windows no Azure
Criar uma VM Linux a partir de um disco personalizado com a CLI do Azure
7.3: Manter configurações de recursos seguras do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.3 | 5.2 | Cliente |
Utilize a Política do Azure [negar] e [implantar se não existir] para impor configurações seguras nos seus recursos do Azure. Além disso, você pode usar modelos do Azure Resource Manager para manter a configuração de segurança dos recursos do Azure exigidos pela sua organização.
7.4: Manter as configurações seguras do sistema operacional
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.4 | 5.2 | Partilhado |
Siga as recomendações da Central de Segurança do Azure sobre como executar avaliações de vulnerabilidade em seus recursos de computação do Azure. Além disso, você pode usar modelos do Azure Resource Manager, imagens personalizadas do sistema operacional ou configuração do Estado de Automação do Azure para manter a configuração de segurança do sistema operacional exigida pela sua organização. Os modelos de máquina virtual da Microsoft combinados com a Configuração de Estado Desejado da Automação do Azure podem ajudar a atender e manter os requisitos de segurança.
Além disso, observe que as Imagens de Máquina Virtual do Azure Marketplace publicadas pela Microsoft são gerenciadas e mantidas pela Microsoft.
Como implementar as recomendações de avaliação de vulnerabilidade da Central de Segurança do Azure
Como criar uma máquina virtual do Azure a partir de um modelo do Azure Resource Manager
Script de exemplo para carregar um VHD no Azure e criar uma nova VM
7.5: Armazenar com segurança a configuração dos recursos do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.5 | 5.3 | Cliente |
Use o Azure DevOps para armazenar e gerenciar seu código com segurança, como políticas personalizadas do Azure, modelos do Azure Resource Manager e scripts de Configuração de Estado Desejado. Para acessar os recursos que você gerencia no Azure DevOps, você pode conceder ou negar permissões a usuários específicos, grupos de segurança internos ou grupos definidos no Azure Ative Directory (Azure AD), se integrado ao Azure DevOps, ou ao Ative Directory, se integrado ao TFS.
7.6: Armazene com segurança imagens personalizadas do sistema operacional
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.6 | 5.3 | Cliente |
Se estiver usando imagens personalizadas, use o controle de acesso baseado em função do Azure (Azure RBAC) para garantir que apenas usuários autorizados possam acessar as imagens. Usando uma Galeria de Imagens Compartilhadas, você pode compartilhar suas imagens com diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Para imagens de contêiner, armazene-as no Registro de Contêiner do Azure e aproveite o RBAC do Azure para garantir que apenas usuários autorizados possam acessar as imagens.
7.7: Implantar ferramentas de gerenciamento de configuração para recursos do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.7 | 5.4 | Cliente |
Defina e implemente configurações de segurança padrão para recursos do Azure usando a Política do Azure. Use aliases de Política do Azure para criar políticas personalizadas para auditar ou impor a configuração de rede de seus recursos do Azure. Você também pode usar definições de política internas relacionadas aos seus recursos específicos. Além disso, você pode usar a Automação do Azure para implantar alterações de configuração.
7.8: Implantar ferramentas de gerenciamento de configuração para sistemas operacionais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.8 | 5.4 | Cliente |
A Configuração do Estado de Automação do Azure é um serviço de gerenciamento de configuração para nós de Configuração de Estado Desejado (DSC) em qualquer nuvem ou datacenter local. Você pode facilmente integrar máquinas, atribuir-lhes configurações declarativas e visualizar relatórios mostrando a conformidade de cada máquina com o estado desejado especificado.
7.9: Implementar o monitoramento de configuração automatizado para recursos do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7,9 | 5,5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base para seus Recursos do Azure. Além disso, use a Política do Azure para alertar e auditar as configurações de recursos do Azure.
7.10: Implementar o monitoramento automatizado de configuração para sistemas operacionais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.10 | 5,5 | Cliente |
Use a Central de Segurança do Azure para executar verificações de linha de base para configurações do sistema operacional e do Docker para contêineres.
7.11: Gerencie segredos do Azure com segurança
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.11 | 13.1 | Cliente |
Use a Identidade de Serviço Gerenciado em conjunto com o Azure Key Vault para simplificar e proteger o gerenciamento de segredos para seus aplicativos na nuvem.
7.12: Gerencie identidades de forma segura e automática
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.12 | 4.1 | Cliente |
Use Identidades Gerenciadas para fornecer serviços do Azure com uma identidade gerenciada automaticamente no Azure AD. As Identidades Gerenciadas permitem que você se autentique em qualquer serviço que ofereça suporte à autenticação do Azure AD, incluindo o Cofre da Chave, sem credenciais em seu código.
7.13: Elimine a exposição não intencional de credenciais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 7.13 | 18.1, 18.7 | Cliente |
Implemente o Credential Scanner para identificar credenciais dentro do código. O Verificador de Credenciais também incentivará a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Próximos passos
- Consulte o próximo Controle de Segurança: Defesa contra Malware