Recomendações para estabelecer uma linha de base de segurança
Aplica-se à recomendação da lista de verificação de segurança do Azure Well-Architected Framework:
| SE:01 | Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Meça regularmente sua arquitetura e operações de carga de trabalho em relação à linha de base para sustentar ou melhorar sua postura de segurança ao longo do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança. Uma linha de base de segurança é um documento que especifica os requisitos mínimos de segurança e as expectativas da sua organização em uma variedade de áreas. Uma boa linha de base de segurança ajuda você a:
- Mantenha seus dados e sistemas seguros.
- Cumprir os requisitos regulatórios.
- Minimizar o risco de supervisão.
- Reduza a probabilidade de violações e efeitos de negócios subsequentes.
As linhas de base de segurança devem ser amplamente publicadas em toda a sua organização para que todos os stakeholders estejam cientes das expectativas.
Este guia fornece recomendações sobre como definir uma linha de base de segurança baseada em fatores internos e externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Fatores externos incluem parâmetros de comparação do setor e padrões regulatórios.
Definições
| Termo | Definição |
|---|---|
| Linha de base | O nível mínimo de funcionalidades de segurança que uma carga de trabalho deve ter para evitar ser explorada. |
| Parâmetro de comparação | Um padrão que significa a postura de segurança que a organização aspira. Ele é avaliado, medido e aprimorado ao longo do tempo. |
| Controles | Controles técnicos ou operacionais na carga de trabalho que ajudam a evitar ataques e aumentar os custos do invasor. |
| Requisitos regulatórios | Um conjunto de requisitos de negócios, impulsionados pelos padrões do setor, que as leis e as autoridades impõem. |
Principais estratégias de design
Uma linha de base de segurança é um documento estruturado que define um conjunto de critérios de segurança e funcionalidades que a carga de trabalho deve atender para aumentar a segurança. Em uma forma mais madura, você pode estender uma linha de base para incluir um conjunto de políticas que você usa para definir proteções.
A linha de base deve ser considerada o padrão para medir sua postura de segurança. A meta sempre deve ser de alcance total, mantendo um escopo amplo.
Sua linha de base de segurança nunca deve ser um esforço ad hoc. Os padrões do setor, a conformidade (interna ou externa) ou os requisitos regulatórios, os requisitos regionais e os parâmetros de comparação da plataforma de nuvem são main fatores para a linha de base. Os exemplos incluem controles do CIS (Center for Internet Security), o NIST (National Institute of Standards and Technology) e os padrões controlados pela plataforma, como o MCSB (Microsoft Cloud Security Benchmark). Todos esses padrões são considerados um ponto de partida para sua linha de base. Crie a base incorporando requisitos de segurança dos requisitos de negócios.
Para obter links para os ativos anteriores, consulte Links relacionados.
Create a linha de base obtendo consenso entre líderes empresariais e técnicos. A linha de base não deve ser restrita a controles técnicos. Ele também deve incluir os aspectos operacionais do gerenciamento e manutenção da postura de segurança. Portanto, o documento de linha de base também serve como compromisso da organização com o investimento para a segurança da carga de trabalho. O documento de linha de base de segurança deve ser distribuído amplamente em sua organização para garantir que haja reconhecimento sobre a postura de segurança da carga de trabalho.
À medida que a carga de trabalho cresce e o ecossistema evolui, é vital manter sua linha de base sincronizada com as alterações para garantir que os controles fundamentais ainda sejam eficazes.
Criar uma linha de base é um processo metódico. Aqui estão algumas recomendações sobre o processo:
Inventário de ativos. Identifique os stakeholders dos ativos de carga de trabalho e os objetivos de segurança desses ativos. No inventário de ativos, classifique por requisitos de segurança e criticalidade. Para obter informações sobre ativos de dados, consulte Recomendações sobre classificação de dados.
Avaliação de risco. Identificar riscos potenciais associados a cada ativo e priorizá-los.
Requisitos de conformidade. Linha de base qualquer regulamentação ou conformidade para esses ativos e aplicar práticas recomendadas do setor.
Padrões de configuração. Defina e documente configurações e configurações de segurança específicas para cada ativo. Se possível, modele ou encontre uma maneira repetível e automatizada de aplicar as configurações consistentemente em todo o ambiente.
Controle de acesso e autenticação. Especifique os requisitos de RBAC (controle de acesso baseado em função) e MFA (autenticação multifator). Documente o que significa acesso suficiente no nível do ativo. Sempre comece com o princípio de privilégios mínimos.
Gerenciamento de patch. Aplique as versões mais recentes em todos os tipos de recursos para se fortalecer contra ataques.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos stakeholders relevantes.
Imposição e responsabilidade. Estabeleça mecanismos de imposição e consequências claros para não conformidade com a linha de base de segurança. Resguarde indivíduos e equipes para manter os padrões de segurança.
Monitoramento contínuo. Avalie a eficácia da linha de base de segurança por meio da observabilidade e faça melhorias nas horas extras.
Composição de uma linha de base
Aqui estão algumas categorias comuns que devem fazer parte de uma linha de base. A lista a seguir não é exaustiva. Ele se destina a ser uma visão geral do escopo do documento.
Conformidade normativa
Uma carga de trabalho pode estar sujeita à conformidade regulatória para segmentos específicos do setor, pode haver algumas restrições geográficas e assim por diante. É fundamental entender os requisitos, conforme dado nas especificações regulatórias, pois eles influenciam as escolhas de design e, em alguns casos, devem ser incluídos na arquitetura.
A linha de base deve incluir a avaliação regular da carga de trabalho em relação aos requisitos regulatórios. Aproveite as ferramentas fornecidas pela plataforma, como Microsoft Defender para Nuvem, que podem identificar áreas de não conformidade. Trabalhe com a equipe de conformidade da organização para garantir que todos os requisitos sejam atendidos e mantidos.
Componentes da arquitetura
A linha de base precisa de recomendações prescritivas para os componentes main da carga de trabalho. Isso geralmente inclui controles técnicos para rede, identidade, computação e dados. Faça referência às linhas de base de segurança fornecidas pela plataforma e adicione os controles ausentes à arquitetura.
Consulte Exemplo.
Processos de desenvolvimento
A linha de base deve ter recomendações sobre:
- Classificação do sistema.
- O conjunto aprovado de tipos de recursos.
- Acompanhamento dos recursos.
- Impor políticas para usar ou configurar recursos.
A equipe de desenvolvimento precisa ter uma compreensão clara do escopo das verificações de segurança. Por exemplo, a modelagem de ameaças é um requisito para garantir que possíveis ameaças sejam identificadas no código e em pipelines de implantação. Seja específico sobre verificações estáticas e verificação de vulnerabilidades em seu pipeline e como a equipe precisa executar essas verificações regularmente.
Para obter mais informações, consulte Recomendações sobre análise de ameaças.
O processo de desenvolvimento também deve definir padrões em várias metodologias de teste e sua cadência. Para obter mais informações, consulte Recomendações sobre testes de segurança.
Operations
A linha de base deve definir padrões sobre como usar recursos de detecção de ameaças e gerar alertas sobre atividades anormais que indicam incidentes reais. A detecção de ameaças precisa incluir todas as camadas da carga de trabalho, incluindo todos os pontos de extremidade que podem ser acessados de redes hostis.
A linha de base deve incluir recomendações para configurar processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e quais desses processos podem ser automatizados para agilizar a detecção e a análise. Para obter exemplos, consulte Linhas de base de segurança para visão geral do Azure.
A resposta a incidentes também deve incluir um plano de recuperação e os requisitos para esse plano, como recursos para fazer e proteger backups regularmente.
Você desenvolve planos de violação de dados usando padrões do setor e recomendações fornecidas pela plataforma. Em seguida, a equipe tem um plano abrangente a seguir quando uma violação é descoberta. Além disso, marcar com sua organização para ver se há cobertura por meio de segurança cibernética.
Treinamento
Desenvolva e mantenha um programa de treinamento de segurança para garantir que a equipe de carga de trabalho esteja equipada com as habilidades apropriadas para dar suporte às metas e requisitos de segurança. A equipe precisa de treinamento de segurança fundamental, mas use o que você pode da sua organização para dar suporte a funções especializadas. A conformidade e a participação do treinamento de segurança baseado em função em análises fazem parte da linha de base de segurança.
Usar a linha de base
Use a linha de base para impulsionar iniciativas, como:
Preparação para decisões de design. Create a linha de base de segurança e publicá-la antes de iniciar o processo de design da arquitetura. Verifique se os membros da equipe estão totalmente cientes das expectativas da sua organização antecipadamente, o que evita o retrabalho caro causado pela falta de clareza. Você pode usar critérios de linha de base como requisitos de carga de trabalho com os quais a organização se comprometeu e projetar e validar controles em relação a essas restrições.
Meça seu design. Classificar as decisões atuais em relação à linha de base atual. A linha de base define limites reais para critérios. Documente quaisquer desvios que sejam adiados ou considerados aceitáveis a longo prazo.
Aprimoramentos de unidade. Embora a linha de base defina metas alcançáveis, sempre há lacunas. Priorize as lacunas em sua lista de pendências e corrija com base na priorização.
Acompanhe seu progresso em relação à linha de base. O monitoramento contínuo de medidas de segurança em relação a uma linha de base definida é essencial. A análise de tendência é uma boa maneira de revisar o progresso da segurança ao longo do tempo e pode revelar desvios consistentes da linha de base. Use a automação o máximo possível, extraindo dados de várias fontes, internas e externas, para resolver problemas atuais e se preparar para ameaças futuras.
Defina as proteções. Sempre que possível, seus critérios de linha de base devem ter proteções. As proteções impõem configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e fatores externos. Os fatores internos incluem requisitos de negócios, riscos e avaliação de ativos. Os fatores externos incluem parâmetros de comparação, padrões regulatórios e ambiente de ameaças. Os guardrails ajudam a minimizar o risco de supervisão inadvertida e multas punitivas por não conformidade.
Explore Azure Policy para obter opções personalizadas ou use iniciativas internas como parâmetros de comparação cis ou a comparação de segurança do Azure para impor configurações de segurança e requisitos de conformidade. Considere criar políticas e iniciativas do Azure fora das linhas de base.
Avaliar a linha de base regularmente
Aprimore continuamente os padrões de segurança incrementalmente em direção ao estado ideal para garantir a redução contínua de riscos. Realize revisões periódicas para garantir que o sistema esteja atualizado e em conformidade com influências externas. Qualquer alteração na linha de base deve ser formal, acordada e enviada por meio de processos adequados de gerenciamento de alterações.
Meça o sistema em relação à nova linha de base e priorize as correções com base em sua relevância e efeito na carga de trabalho.
Verifique se a postura de segurança não se degrada ao longo do tempo, instituindo a auditoria e monitorando a conformidade com os padrões organizacionais.
Facilitação do Azure
O MCSB (Microsoft Cloud Security Benchmark) é uma estrutura abrangente de práticas recomendadas de segurança que você pode usar como ponto de partida para sua linha de base de segurança. Use-o junto com outros recursos que fornecem entrada para sua linha de base.
Para obter mais informações, consulte Introdução ao parâmetro de comparação de segurança de nuvem da Microsoft.
Use o dashboard de conformidade regulatória do Microsoft Defender for Cloud (MDC) para acompanhar essas linhas de base e ser alertado se um padrão fora de uma linha de base for detectado. Para obter mais informações, consulte Personalizar o conjunto de padrões em sua dashboard de conformidade regulatória.
Outros recursos que ajudam a estabelecer e melhorar a linha de base:
Exemplo
Este diagrama lógico mostra um exemplo de linha de base de segurança para componentes de arquitetura que abrangem rede, infraestrutura, ponto de extremidade, aplicativo, dados e identidade para demonstrar como um ambiente de TI comum pode ser protegido com segurança. Outros guias de recomendação se baseiam neste exemplo.
Infraestrutura
Um ambiente de TI comum, com uma camada local com recursos básicos.
Serviços de Segurança do Azure
Serviços e recursos de segurança do Azure pelos tipos de recursos que eles protegem.
Serviços de monitoramento de segurança do Azure
Os serviços de monitoramento disponíveis no Azure que vão além dos serviços de monitoramento simples, incluindo soluções de SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança) e Microsoft Defender para Nuvem.
Ameaças
Essa camada traz uma recomendação e um lembrete de que as ameaças podem ser mapeadas de acordo com as preocupações da sua organização em relação a ameaças, independentemente da metodologia ou da matriz da matriz mitre attack matrix ou cyber kill chain.
Links relacionados
Links da comunidade
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de