Security Control V2: governança e estratégia

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

Governança e estratégia fornece diretrizes para garantir uma estratégia de segurança coerente e uma abordagem de governança documentada, para orientar e sustentar a garantia de segurança, incluindo o estabelecimento de funções e responsabilidades para as diferentes funções de segurança de nuvem, estratégia técnica unificada e políticas e padrões de suporte.

GS-1: definir a estratégia de proteção de dados e gerenciamento de ativos

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-1	2, 13	SC, AC

documente e comunique uma estratégia clara para o monitoramento contínuo e a proteção de sistemas e dados. Priorize a descoberta, a avaliação, a proteção e o monitoramento de sistemas e dados comercialmente críticos.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

• Padrão de classificação de dados de acordo com os riscos de negócios

• Visibilidade da organização de segurança dos riscos e do inventário de ativos

• Aprovação da organização de segurança dos serviços do Azure para uso

• Segurança de ativos por meio do ciclo de vida

• Estratégia de controle de acesso obrigatório de acordo com a classificação de dados organizacionais

• Uso de funcionalidades nativas e de terceiros de proteção de dados do Azure

• Requisitos de criptografia de dados para casos de uso em trânsito e em repouso

• Padrões de criptografia apropriados

Para saber mais, consulte as referências a seguir:

• Recomendação da arquitetura de segurança do Azure – Armazenamento, dados e criptografia

• Conceitos básicos de segurança do Azure – Segurança, criptografia e armazenamento de dados do Azure

• Cloud Adoption Framework – Melhores práticas de segurança e criptografia de dados do Azure

• Azure Security Benchmark – Gerenciamento de ativos

• Azure Security Benchmark – Proteção de dados

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-2: definir uma estratégia de segmentação corporativa

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-2	4, 9, 16	AC, CA, SC

estabeleça uma estratégia de toda a empresa para segmentar o acesso aos ativos usando uma combinação de identidade, rede, aplicativo, assinatura, grupo de gerenciamento e outros controles.

Equilibre cuidadosamente a necessidade de separação de segurança com a necessidade de habilitação da operação diária dos sistemas que precisam se comunicar entre si e acessar dados.

Garanta que a estratégia de segmentação seja implementada de maneira consistente nos tipos de controle, incluindo segurança de rede, modelos de identidade e acesso, além de modelos de acesso/permissão de aplicativo e controles de processos humanos.

• Diretrizes sobre a estratégia de segmentação no Azure (vídeo)

• Diretrizes sobre a estratégia de segmentação no Azure (documento)

• Alinhar a segmentação de rede com a estratégia de segmentação corporativa

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-3: definir uma estratégia de gerenciamento de postura de segurança

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-3	20, 3, 5	RA, CM, SC

Meça e atenue continuamente os riscos para seus ativos individuais e o ambiente no qual eles estão hospedados. Priorize os ativos de alto valor e as superfícies de ataque altamente expostas, como aplicativos publicados, pontos de entrada e saída de rede, pontos de extremidade de usuário e administrador etc.

• Azure Security Benchmark – Gerenciamento de postura e vulnerabilidade

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-4: alinhar funções e responsabilidades da organização

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-4	N/D	PL, PM

Documente e comunique uma estratégia clara para funções e responsabilidades na sua organização de segurança. Priorize o fornecimento de responsabilidade clara por decisões de segurança, educando todos no modelo de responsabilidade compartilhada e instrua equipes técnicas sobre a tecnologia usada para proteger a nuvem.

• Melhor prática de segurança do Azure 1 – Pessoas: educar as equipes na jornada de segurança na nuvem

• Melhor prática de segurança do Azure 2 – Pessoas: educar as equipes na tecnologia de segurança na nuvem

• Melhor prática de segurança do Azure 3 – Processo: atribuir responsabilidade por decisões de segurança na nuvem

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-5: definir uma estratégia de segurança de rede

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-5	9	CA, SC

Estabeleça uma abordagem de segurança de rede do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

• Gerenciamento de rede centralizado e responsabilidade pela segurança

• Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação corporativa

• Estratégia de correção em diferentes cenários de ameaças e ataques

• Estratégia de entrada e saída e borda da Internet

• Estratégia de interconectividade local e de nuvem híbrida

• Artefatos de segurança de rede atualizados (como diagramas de rede, arquitetura de rede de referência)

Para saber mais, consulte as referências a seguir:

• Melhor prática de segurança do Azure 11 – Arquitetura. Uma estratégia de segurança unificada

• Azure Security Benchmark – Segurança de rede

• Visão geral da segurança de rede do Azure

• Estratégia de arquitetura de rede corporativa

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-6: definir uma estratégia de identidade e acesso privilegiado

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-6	16, 4	AC, AU, SC

Estabeleça abordagens de identidade e acesso privilegiado do Azure como parte da estratégia geral de controle de acesso de segurança da sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

• Um sistema de identidade e autenticação centralizado e a interconectividade dele com outros sistemas de identidade internos e externos

• Métodos de autenticação forte em diferentes casos de uso e condições

• Proteção de usuários altamente privilegiados

• Monitoramento e tratamento de atividades de usuário de anomalias

• Processo de revisão de acesso e reconciliação e identidade do usuário

Para saber mais, consulte as referências a seguir:

• Azure Security Benchmark – Gerenciamento de identidades

• Azure Security Benchmark – Acesso privilegiado

• Melhor prática de segurança do Azure 11 – Arquitetura. Uma estratégia de segurança unificada

• Visão geral da segurança de gerenciamento de identidade do Azure

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-7: definir uma estratégia de log e resposta a ameaças

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-7	19	IR, AU, RA, SC

estabeleça uma estratégia de log e resposta a ameaças para detectar e corrigir as ameaças rapidamente, atendendo aos requisitos de conformidade. Priorize o fornecimento de alertas de alta qualidade e experiências integradas aos analistas, de modo que possam se concentrar nas ameaças em vez da integração e de etapas manuais.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

• A função e as responsabilidades da organização de SecOps (operações de segurança)

• Um processo de resposta a incidentes bem definido, alinhando-se ao NIST ou a outra estrutura do setor

• Captura e retenção de log para dar suporte às necessidades de conformidade, detecção de ameaças e resposta a incidentes

• Visibilidade centralizada das ameaças e informações de correlação sobre elas por meio do SIEM, de funcionalidades nativas do Azure e de outras fontes

• Plano de comunicação e notificação com seus clientes, fornecedores e partes públicas interessadas

• Uso de plataformas nativas e de terceiros do Azure para tratamento de incidentes, como log e detecção de ameaças, análise forense, além de correção e erradicação de ataques

• Processos para tratamento de incidentes e atividades pós-incidente, como lições aprendidas e retenção de evidências

Para saber mais, consulte as referências a seguir:

• Azure Security Benchmark – Log e detecção de ameaças

• Azure Security Benchmark – Resposta a incidentes

• Melhor prática de segurança do Azure 4 – Processo. Atualizar processos de resposta a incidentes para a nuvem

• Guia de log, de decisão de relatórios e do Adoption Framework do Azure

• Escala empresarial, gerenciamento e monitoramento do Azure

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders

GS-8: definir a estratégia de backup e recuperação

ID do Azure	ID(s) dos controles do CIS v7.1	ID(s) do NIST SP 800-53 r4
GS-8	10	CP

Estabeleça uma estratégia de backup e recuperação do Azure para sua organização.

Essa estratégia deve incluir diretrizes documentadas, políticas e padrões para os seguintes elementos:

• As definições de RTO (objetivo de tempo de recuperação) e RPO (objetivo de ponto de recuperação) de acordo com seus objetivos de resiliência de negócios

• Design de redundância em sua configuração de infraestrutura e aplicativos

• Proteção de backup usando controle de acesso e criptografia de dados

Para saber mais, consulte as referências a seguir:

• Azure Security Benchmark - Backup e recuperação

• Azure Well - Architecture Framework - backup e recuperação de desastre para aplicativos do Azure

• Estrutura de adoção do Azure - continuidade dos negócios e recuperação de desastre

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

• Todos os stakeholders