O que são políticas, iniciativas e recomendações de segurança?

Observação

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem. Também renomeamos os planos do Azure Defender para planos do Microsoft Defender. Por exemplo, o Azure Defender para Armazenamento agora é o Microsoft Defender para Armazenamento. Saiba mais sobre a renomeação recente dos serviços de segurança da Microsoft.

O Microsoft Defender para Nuvem aplica iniciativas de segurança às suas assinaturas. Essas iniciativas contêm uma ou mais políticas de segurança. Cada uma dessas políticas resulta em uma recomendação de segurança para aprimorar sua postura de segurança. Esta página explica cada uma dessas ideias em detalhes.

O que é uma política de segurança?

Uma definição de Política do Azure, criada no Azure Policy, é uma regra sobre condições de segurança específicas que você deseja controlar. As definições internas incluem aspectos como controle dos tipos de recursos que podem ser implantados ou imposição do uso de marcas em todos os recursos. Você também pode criar sua definição de política personalizada.

Para implementar essas definições de política (sejam internas ou personalizadas), você precisará atribuí-las. Você pode atribuir qualquer uma dessas políticas usando o portal do Azure, o PowerShell ou a CLI do Azure. As políticas podem ser desabilitadas ou habilitadas a partir do Azure Policy.

Há diferentes tipos de políticas no Azure Policy. O Defender para Nuvem usa principalmente as políticas de 'Auditoria' que verificam condições e configurações específicas e relatam a conformidade. Também há políticas de 'Imposição' que podem ser usadas para aplicar configurações seguras.

O que é uma iniciativa de segurança?

Uma iniciativa do Azure Policy é uma coleção de definições do Azure Policy ou regras que são agrupadas para um objetivo ou uma meta específica. As iniciativas do Azure simplificam o gerenciamento das suas políticas agrupando um conjunto de políticas, logicamente, como um só item.

Uma iniciativa de segurança define a configuração desejada das suas cargas de trabalho e ajuda a garantir que você esteja em conformidade com os requisitos de segurança da sua empresa ou das agências reguladoras.

Assim como as políticas de segurança, as iniciativas do Defender para Nuvem também são criadas no Azure Policy. Use o Azure Policy para gerenciar suas políticas, criar iniciativas e atribuir iniciativas a várias assinaturas ou a grupos de gerenciamento inteiros.

A iniciativa padrão atribuída automaticamente a todas as assinaturas no Microsoft Defender para Nuvem é o Azure Security Benchmark. Esse parâmetro de comparação é um conjunto de diretrizes específico do Azure e criado pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem. Saiba mais sobre o Azure Security Benchmark.

O Defender para Nuvem oferece as seguintes opções para trabalhar com políticas e iniciativas de segurança:

  • Exibir e editar a iniciativa padrão interna: quando você habilita o Defender para Nuvem, a iniciativa chamada 'Azure Security Benchmark' é atribuída automaticamente a todas as assinaturas registradas no Defender para Nuvem. Para personalizar essa iniciativa, habilite ou desabilite políticas individuais dentro dela editando os parâmetros de uma política. Confira a lista de políticas de segurança internas para entender as opções disponíveis prontas para uso.

  • Adicionar iniciativas personalizadas próprias: se desejar personalizar as iniciativas de segurança aplicadas à sua assinatura, faça isso no Defender para Nuvem. Em seguida, você receberá recomendações se os seus computadores não seguirem as políticas que você criar. Para obter instruções sobre como criar e atribuir políticas personalizadas, confira Como usar políticas e iniciativas de segurança personalizadas.

  • Adicionar padrões de conformidade regulatória como iniciativas: o painel de conformidade regulatória do Defender para Nuvem mostra o status de todas as avaliações no seu ambiente no contexto de um padrão ou um regulamento específico (como o Azure CIS, o NIST SP 800-53 R4 e o Swift CSP CSCF-v2020). Para obter mais informações, confira Aprimorar sua conformidade regulatória.

O que é são recomendações de segurança?

Usando as políticas, o Defender para Nuvem analisa periodicamente o status de conformidade dos seus recursos para identificar possíveis pontos fracos e configurações incorretas de segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. As recomendações são o resultado da avaliação dos seus recursos em relação às políticas relevantes e à identificação dos recursos que não atendem aos requisitos definidos.

O Defender para Nuvem faz recomendações de segurança com base nas iniciativas que você escolher. Quando uma política da sua iniciativa é comparada com os seus recursos e descobre que um ou mais deles não está em conformidade, isso é apresentado como uma recomendação no Defender para Nuvem.

As recomendações são ações a serem executadas para proteger os recursos. Cada recomendação fornece as seguintes informações:

  • Uma descrição breve do problema
  • As etapas de correção a serem executadas para implementar a recomendação
  • Os recursos afetados

Na prática, isso funciona da seguinte maneira:

  1. O Azure Security Benchmark é uma iniciativa que contém requisitos.

    Por exemplo, as contas do Armazenamento do Microsoft Azure têm que restringir o acesso à rede para reduzir a superfície de ataque.

  2. A iniciativa inclui várias políticas, cada uma com um requisito de um tipo de recurso específico. Essas políticas impõem os requisitos na iniciativa.

    Para continuar o exemplo, o requisito de armazenamento é imposto com a política "As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual".

  3. O Microsoft Defender para Nuvem avalia continuamente as suas assinaturas conectadas. Se encontrar um recurso que não atenda a uma política, ele exibirá uma recomendação para corrigir essa situação e protegerá a segurança dos recursos que não atendem aos seus requisitos de segurança.

    Assim, por exemplo, se uma conta do Armazenamento do Azure em qualquer uma de suas assinaturas protegidas não estiver protegida com regras de rede virtual, você verá a recomendação para proteger esses recursos.

Portanto, (1) uma iniciativa inclui (2) políticas que geram (3) recomendações específicas de um ambiente.

Como exibir a relação entre uma recomendação e uma política

Conforme mencionado acima, as recomendações internas do Defender para Nuvem são baseadas no Azure Security Benchmark. Quase todas as recomendações têm uma política subjacente que é derivada de um requisito do parâmetro de comparação.

Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação apoiada por uma política, use o link Exibir definição de política da página de detalhes da recomendação para acessar diretamente a entrada no Azure Policy da política relevante:

Link to Azure Policy page for the specific policy supporting a recommendation.

Use esse link para ver a definição de política e examinar a lógica de avaliação.

Se você estiver examinando a lista de recomendações no nosso Guia de referência de recomendações de segurança, também verá links para as páginas de definição da política:

Accessing the Azure Policy page for a specific policy directly from the Microsoft Defender for Cloud recommendations reference page.

Próximas etapas

Esta página explicou, em um alto nível, os conceitos básicos e as relações entre políticas, iniciativas e recomendações. Para obter informações relacionadas. consulte: