Linha de base de segurança do Azure para Serviços de Nuvem do Azure

Essa linha de base de segurança aplica diretrizes do Azure Security Benchmark versão 1.0 em Serviços de Nuvem do Microsoft Azure. O Azure Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado por controles de segurança definidos pelo Azure Security Benchmark e por diretrizes relacionadas a Serviços de Nuvem e aplicáveis a eles.

Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base, para ajudá-lo a medir a conformidade com os controles e recomendações do Azure Security Benchmark. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.

Observação

Foram excluídos os controles que não se aplicam aos Serviços de Nuvem do Azure ou cuja responsabilidade é da Microsoft. Para conferir de que modo os Serviços de Nuvem do Azure executam um mapeamento completo no Azure Security Benchmark, confira o Arquivo de mapeamento completo da linha de base de segurança dos Serviços de Nuvem do Azure.

Segurança de rede

Para obter mais informações, confira o Azure Security Benchmark: Segurança de Rede.

1.1: Proteger os recursos do Azure nas redes virtuais

Diretrizes: crie uma Rede Virtual clássica do Azure com sub-redes públicas e privadas separadas para impor um isolamento baseado em portas e intervalos de IP confiáveis. Essa rede virtual e as sub-redes deverão ser recursos baseados na Rede Virtual clássica (implantação clássica), não os recursos atuais do Azure Resource Manager.

Permita ou negue o tráfego usando um grupo de segurança de rede que contém regras de controle de acesso baseadas na direção do tráfego, no protocolo, no endereço e na porta de origem, bem como no endereço e na porta de destino. As regras de um grupo de segurança de rede podem ser alteradas a qualquer momento. Além disso, elas serão aplicadas a todas as instâncias associadas.

Os Serviços de Nuvem do Microsoft Azure (Clássico) não podem ser inseridos em redes virtuais do Azure Resource Manager. No entanto, as redes virtuais baseadas no Resource Manager e as redes virtuais baseadas na implantação clássica podem ser conectadas por meio de um emparelhamento.

Responsabilidade: Cliente

1.2: monitorar e registrar em log a configuração e o tráfego de redes virtuais, sub-redes e NICs

Diretrizes: documente e monitore sua configuração de Serviços de Nuvem do Azure para receber informações sobre alterações. Use o arquivo de configuração do serviço para especificar o número de instâncias de função a ser implantado em cada função do serviço, os valores das definições de configuração e as impressões digitais de todos os certificados associados a uma função.

Caso o serviço faça parte de uma rede virtual, as informações de configuração da rede devem ser fornecidas no arquivo de configuração de serviço, bem como no arquivo de configuração da rede virtual. A extensão padrão do arquivo de configuração de serviço é .cscfg. Observe que o Azure Policy não é compatível com implantações Clássicas para executar a imposição de configuração.

Defina os valores de configuração de um serviço de nuvem no arquivo de configuração de serviço (.cscfg) e a definição em um arquivo de definição de serviço (.csdef). Use o arquivo de definição de serviço para definir o modelo de serviço de um aplicativo. Defina as funções que estão disponíveis para um serviço de nuvem, bem como especifique os pontos de extremidade de serviço. Registre em log a configuração de Serviços de Nuvem do Azure usando um arquivo de configuração de serviço. As reconfigurações podem ser feitas por meio do arquivo ServiceConfig.cscfg.

Monitore a definição de serviço do elemento opcional NetworkTrafficRules, que restringe quais funções podem se comunicar com pontos de extremidade específicos e internos. Configure o nó NetworkTrafficRules, um elemento opcional no arquivo de definição de serviço, para especificar de que modo as funções deverão se comunicar entre si. Coloque limites em quais funções podem acessar pontos de extremidade internos de uma função específica. Observe que a definição de serviço não poderá ser alterada.

Habilite logs de fluxo do grupo de segurança de rede, bem como envie os logs a uma conta de Armazenamento do Azure a fim de executar uma auditoria. Envie logs de fluxo a um workspace do Log Analytics, bem como use o recurso de Análise de Tráfego para fornecer insights sobre padrões de tráfego em seu locatário do Azure. Algumas vantagens do recurso de Análise de Tráfego incluem: a capacidade de visualizar a atividade de rede, identificar pontos de acesso e ameaças à segurança, entender os padrões de fluxo do tráfego e identificar configurações inadequadas de rede.

Responsabilidade: Cliente

1.3: proteger aplicativos Web críticos

Diretrizes: a Microsoft usa o TLS (protocolo TLS) v1.2 para proteger dados durante o envio deles a Serviços de Nuvem do Azure e clientes. Os datacenters da Microsoft negociam uma conexão TLS com os sistemas cliente que se conectam aos serviços do Azure. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de adulteração, interceptação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.

Responsabilidade: Cliente

1.4: rejeitar comunicações com endereços IP maliciosos conhecidos

Diretrizes: a Nuvem do Azure implementa uma segurança de rede multicamadas para proteger serviços de plataforma contra DDoS (negação de serviço distribuído). A Proteção contra DDoS do Azure faz parte do processo de monitoramento contínuo da Nuvem do Azure. Ele é aprimorado de modo contínuo por meio de testes de penetração. Essa Proteção contra DDoS foi projetada para resistir tanto a ataques externos quanto de outros locatários do Azure.

Há modos diversos de bloquear ou negar a comunicação em Serviços de Nuvem do Azure, além da proteção em nível de plataforma. Eles são:

  • Criar uma tarefa de inicialização para bloquear de modo seletivo endereços IP específicos
  • Restringir um acesso de função Web do Azure a um conjunto específico de endereços IP alterando o arquivo web.config do IIS

Impeça o tráfego de entrada para a URL ou o nome padrão de Serviços de Nuvem, como .cloudapp.net. Além disso, defina o cabeçalho de host para um nome DNS personalizado na opção de configuração de associação do site do arquivo de definição ( .csdef) de Serviços de Nuvem.

Configure uma regra de Negação de Aplicação para atribuições de administrador da assinatura clássica. Por padrão, após a definição de um ponto de extremidade interno, a comunicação poderá fluir de qualquer função para o ponto de extremidade interno de uma função sem qualquer restrição. Para restringir a comunicação, adicione um elemento NetworkTrafficRules ao elemento ServiceDefinition no arquivo de definição de serviço.

Responsabilidade: Cliente

1.5: Registrar os pacotes de rede

Diretrizes: use um serviço de monitoramento de desempenho, diagnóstico e análise de rede chamado Observador de Rede do Azure, que permite executar o monitoramento de redes do Azure. A extensão da máquina virtual, além de outras funcionalidades avançadas, do Agente do Observador de Rede é um requisito usado sob demanda para capturar o tráfego de rede em Máquinas Virtuais do Azure. Instale a extensão da máquina virtual do Agente do Observador de Rede e ative logs de fluxo do grupo de segurança de rede.

Configure o registro em log de fluxo em um grupo de segurança de rede. Examine detalhes sobre de que modo implantar a extensão da Máquina Virtual do Observador de Rede em uma Máquina Virtual existente e implantada por meio do modelo de implantação clássico.

Responsabilidade: Cliente

1.6: Implantar IDS/IPS (sistemas de detecção de intrusões/prevenção de intrusões) baseados em rede

Diretrizes: os Serviços de Nuvem do Azure não têm uma capacidade interna de IDS nem de IPS. Os clientes podem selecionar e implantar uma solução suplementar de IDS ou IPS baseada em rede do Azure Marketplace com base em requisitos organizacionais. Ao usar soluções de terceiros, lembre-se de testar de modo abrangente a solução selecionada de IDS ou IPS com Serviços de Nuvem do Azure para garantir a operação e a funcionalidade adequadas.

Responsabilidade: Cliente

1.7: gerenciar o tráfego para aplicativos Web

Diretrizes: certificados de serviço anexados a Serviços de Nuvem do Azure permitem estabelecer uma comunicação segura com o serviço. Esses certificados são configurados na definição do serviço e implantados de modo automático na máquina virtual que está executando determinada instância de uma função Web. É possível usar um certificado de serviço, que pode autenticar um ponto de extremidade HTTPS exposto, em uma função Web, por exemplo.

É necessário apenas carregar um novo certificado e alterar o valor da impressão digital no arquivo de configuração de serviço para atualizar o certificado.

Use o protocolo TLS 1.2, o método de proteção de dados usado com mais frequência, para proteger dados, bem como fornecer confidencialidade e integridade.

Em geral, é possível implantar um Gateway de Aplicativo do Azure habilitado para o Firewall de Aplicativo Web do Azure a fim de proteger aplicativos Web contra ataques, como o OWASP Top 10.

Responsabilidade: Cliente

1.9: Manter configurações de segurança padrão para dispositivos de rede

Diretrizes: intensifique e monitore a configuração de Serviços de Nuvem do Azure para receber informações sobre alterações. O arquivo de configuração de serviço especifica o número de instâncias de função a ser implantado para cada função no serviço, os valores das configurações e as impressões digitais de todos os certificados associados a uma função.

Caso o serviço faça parte de uma rede virtual, as informações de configuração da rede devem ser fornecidas no arquivo de configuração de serviço, bem como no arquivo de configuração da rede virtual. A extensão padrão do arquivo de configuração de serviço é .cscfg.

Observe que o Azure Policy não é compatível com Serviços de Nuvem do Azure para executar a imposição de configuração.

Responsabilidade: Cliente

1.10: Documentar regras de configuração de tráfego

Diretrizes: os grupos de segurança de rede do Azure podem ser usados para filtrar o tráfego de rede para recursos do Azure, bem como deles em uma Rede Virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada para vários tipos de recursos do Azure ou o tráfego de rede de saída deles. Para cada regra, você pode especificar origem e destino, porta e protocolo.

Use o campo "Descrição" a fim de executar regras individuais de grupos de segurança de rede em Serviços de Nuvem do Azure para documentar regras que permitem o tráfego de entrada e saída de uma rede.

Responsabilidade: Cliente

1.11: Usar ferramentas automatizadas para monitorar as configurações de recursos de rede e detectar alterações

Diretrizes: use recursos de monitoramento de ponto de extremidade interno e failover de ponto de extremidade automático do Gerenciador de Tráfego do Azure. Eles ajudarão você a fornecer aplicativos de alta disponibilidade e resilientes a falhas de ponto de extremidade e região do Azure. Será necessário especificar determinadas configurações no perfil do Gerenciador de Tráfego para configurar o monitoramento de ponto de extremidade.

Colete insights sobre eventos no nível da assinatura do Log de atividades, um log de plataforma do Azure. Isso inclui informações sobre a alteração de um recurso ou a inicialização de uma máquina virtual. Veja o Log de atividades no portal do Azure ou recupere entradas usando o PowerShell e a CLI.

Crie uma configuração de diagnóstico para enviar o Log de atividades ao Azure Monitor e aos Hubs de Eventos do Azure a fim de encaminhar informações ao Armazenamento do Azure ou fora do Azure para arquivamento. Configure o Azure Monitor para receber alertas de notificação quando recursos críticos forem alterados em Serviços de Nuvem do Azure.

Responsabilidade: Cliente

Registro em log e monitoramento

Para obter mais informações, confira Azure Security Benchmark: log e monitoramento.

2.1: usar fontes de sincronização de tempo aprovadas

Diretrizes: a Microsoft mantém fontes de tempo de recursos do Azure para Serviços de Nuvem do Azure. Talvez os clientes precisem criar uma regra de rede para permitir o acesso a um servidor de horário usado no ambiente por meio da porta 123 com o protocolo UDP.

Responsabilidade: Compartilhado

2.2: Configurar o gerenciamento central de log de segurança

Diretrizes: consuma dados de streaming do serviço de nuvem de modo programático usando os Hubs de Eventos do Azure. Integre esses dados e os envie ao Microsoft Sentinel para monitorar e examinar seus logs. Como alternativa, use um SIEM de terceiros. Para executar o gerenciamento de logs de segurança, configure a exportação contínua dos dados escolhidos no Microsoft Defender para Nuvem para os Hubs de Eventos do Azure, bem como configure o conector apropriado para o SIEM. Veja algumas opções do Microsoft Sentinel, incluindo ferramentas de terceiros:

  • Microsoft Sentinel - Use o conector de dados de alertas nativo do Microsoft Defender para Nuvem
  • Splunk – Use o complemento do Azure Monitor para o Splunk
  • IBM QRadar – Use uma origem do log configurada de modo manual
  • ArcSight – Use o SmartConnector

Examine a documentação do Microsoft Sentinel para obter detalhes adicionais sobre conectores disponíveis do Microsoft Sentinel.

Responsabilidade: Cliente

2.3: habilitar o registro em log de auditoria para recursos do Azure

Diretrizes: configure o Visual Studio a fim de configurar o Diagnóstico do Azure para executar a solução de problemas de Serviços de Nuvem do Azure que capturam dados de sistemas e logs em máquinas virtuais, incluindo instâncias de máquinas virtuais que executam Serviços de Nuvem do Azure. Os dados de Diagnóstico serão transferidos para uma conta de armazenamento de sua preferência. Ative o diagnóstico nos projetos de Serviços de Nuvem do Azure antes da implantação.

Veja o histórico de Alterações de alguns eventos no log de atividades dentro do Azure Monitor. Execute uma auditoria de quais alterações ocorreram durante um período do evento. Escolha um evento no Log de Atividades para executar uma inspeção mais detalhada usando a guia Histórico de alterações (Versão Prévia). Envie os dados de diagnóstico ao Application Insights durante a publicação de Serviços de Nuvem do Azure do Visual Studio. Crie um recurso do Azure do Application Insights a qualquer momento ou envie os dados a um recurso existente do Azure.

Os Serviços de Nuvem do Azure podem ser monitorados pelo Application Insights para obter uma análise da disponibilidade, do desempenho, de falhas e do uso. É possível adicionar gráficos personalizados ao Application Insights, para que você veja os dados mais importantes. Os dados da instância de função podem ser coletados usando o SDK do Application Insights em seu projeto de Serviços de Nuvem do Azure.

Responsabilidade: Cliente

2.5: Configurar a retenção de armazenamento do log de segurança

Diretrizes: é possível usar um monitoramento avançado com Serviços de Nuvem do Azure. Isso permite coletar uma amostra de métricas adicionais em intervalos de 5 minutos, 1 hora e 12 horas. Os dados agregados são armazenados em uma conta de armazenamento, bem como em tabelas, depois são excluídos após 10 dias. No entanto, a conta de armazenamento usada é configurada pela função. Além disso, é possível usar diferentes contas de armazenamento em funções distintas. Isso é configurado com uma cadeia de conexão nos arquivos .csdef e .cscfg.

Observe que o monitoramento avançado envolve usar uma extensão do Diagnóstico do Azure (o SDK do Application Insights é opcional) na função que você deseja monitorar. A extensão de diagnóstico usa um arquivo de configuração (por função) chamado diagnostics.wadcfgx para configurar as métricas de diagnóstico monitoradas. A extensão Diagnóstico do Azure coleta e armazena dados em uma conta de Armazenamento do Azure. Essas configurações são definidas nos arquivos .wadcfgx, .csdef e .cscfg.

Responsabilidade: Cliente

2.6: monitorar e revisar logs

Diretrizes: modos de monitoramento básico ou avançado estão disponíveis em Serviços de Nuvem do Azure. Os Serviços de Nuvem do Azure coletam de modo automático dados básicos de monitoramento (percentual de CPU, entrada/saída de rede e leitura/gravação de disco) de uma máquina virtual do host. Veja os dados de monitoramento coletados nas páginas de visão geral e métricas do serviço de nuvem no portal do Azure.

Habilite o diagnóstico em Serviços de Nuvem do Azure ao usar a extensão do Diagnóstico do Azure para coletar dados de diagnóstico, como logs de aplicativo, contadores de desempenho e muito mais. Habilite ou atualize a configuração de diagnóstico em um serviço de nuvem que já esteja em execução usando o cmdlet Set-AzureServiceDiagnosticsExtension ou implante um serviço de nuvem com a extensão de diagnóstico de modo automático. Como alternativa, instale o SDK do Application Insights. Envie contadores de desempenho ao Azure Monitor.

A extensão Diagnóstico do Azure coleta e armazena dados em uma conta de Armazenamento do Azure. Transfira os dados de Diagnóstico para o Emulador de Armazenamento do Microsoft Azure ou o Armazenamento do Azure, já que eles não serão armazenados de modo permanente. Após ser armazenamento, os dados poderão ser vistos usando uma das várias ferramentas disponíveis, como o Gerenciador de Servidores no Visual Studio, o Gerenciador de Armazenamento do Microsoft Azure e o Management Studio do Azure. Configure as métricas de diagnóstico a serem monitoradas usando um arquivo de configuração (por função) chamado diagnostics.wadcfgx na extensão de diagnóstico.

Responsabilidade: Cliente

2.7: Habilitar alertas sobre atividades anormais

Diretrizes: é possível monitorar dados de logs de Serviços de Nuvem do Azure por meio de uma integração com o Microsoft Sentinel ou com um SIEM de terceiros habilitando o alerta para atividades anômalas.

Responsabilidade: Cliente

2.8: centralizar o registro em log de antimalware

Diretrizes: o Microsoft Antimalware para Azure protege máquinas virtuais e Serviços de Nuvem do Azure. Opte por implantar soluções adicionais de segurança de terceiros, como firewalls de aplicativos Web, firewalls de redes, antimalware, IDS ou IPS (sistemas de detecção e prevenção de intrusões) e muito mais.

Responsabilidade: Cliente

Identidade e controle de acesso

Para obter mais informações, confira Azure Security Benchmark: controle de acesso e identidade.

3.1: Manter um inventário de contas administrativas

Diretrizes: a Microsoft recomenda gerenciar o acesso aos recursos do Azure usando o RBAC do Azure (controle de acesso baseado em função do Azure). No entanto, os Serviços de Nuvem do Azure não são compatíveis com o modelo RBAC do Azure, pois ele não é um serviço baseado no Azure Resource Manager, além disso, é necessário usar uma assinatura clássica

Por padrão, há três funções de administrador da assinatura clássica no Azure: o Administrador da Conta, o Administrador de Serviços e o Coadministrador.

Os administradores de assinatura clássicos têm acesso total à assinatura do Azure. Eles podem gerenciar recursos usando o portal do Azure, as APIs do Azure Resource Manager e as APIs do modelo de implantação clássico. A conta que é usada para se inscrever no Azure é definida automaticamente como o Administrador da Conta e o Administrador de Serviços. Será possível adicionar Coadministradores posteriormente.

O Administrador de Serviços, os Coadministradores e os usuários que receberam a função de Proprietário (uma função do Azure) têm um acesso equivalente no escopo da assinatura. Gerencie os Coadministradores ou veja o Administrador de Serviços usando a guia de Administradores clássicos no portal do Azure.

Liste as atribuições de função do administrador de serviços e de coadministradores clássicos com o PowerShell usando o comando:

Get-AzRoleAssignment -IncludeClassicAdministrators

Responsabilidade: Cliente

3.3: Usar contas administrativas dedicadas

Diretrizes: recomendamos criar procedimentos operacionais padrão em relação ao uso de contas administrativas dedicadas, com base em funções disponíveis e permissões necessárias para operar e gerenciar recursos de Serviços de Nuvem do Azure.

Responsabilidade: Cliente

3.4: usar o SSO (logon único) com o Azure Active Directory

Diretrizes: evite gerenciar identidades separadas para aplicativos em execução nos Serviços de Nuvem do Azure. Implemente um logon único para evitar exigir que os usuários gerenciem várias identidades e credenciais.

Responsabilidade: Cliente

3.6: usar computadores dedicados (estações de trabalho com acesso privilegiado) para todas as tarefas administrativas

Diretrizes: recomendamos usar uma estação de trabalho segura e gerenciada pelo Azure (também conhecida como uma Estação de Trabalho com Acesso Privilegiado) para executar tarefas administrativas que exijam privilégios elevados.

Responsabilidade: Cliente

Proteção de dados

Para obter mais informações, confira o Azure Security Benchmark: proteção de dados.

4.1: Manter um inventário de informações confidenciais

Diretrizes: use APIs REST do Serviço de Nuvem do Azure para inventariar recursos do Serviço de Nuvem do Azure a fim de obter informações confidenciais. Execute uma pesquisa em recursos implantados do serviço de nuvem para obter a configuração e os recursos de arquivos .pkg.

Algumas APIs estão listadas abaixo como exemplo:

  • Obter Implantação – A operação Obter Implantação retorna informações de configuração, status e propriedades do sistema para executar uma implantação.
  • Obter Pacote – A operação Obter Pacote recupera um pacote de serviços de nuvem de uma implantação e armazena os arquivos do pacote no Armazenamento de Blobs do Microsoft Azure
  • Obter Propriedades do Serviço de Nuvem – A operação Obter Propriedades de Serviço de Nuvem recupera propriedades de um serviço de nuvem específico

Examine a documentação de APIs REST do Serviço de Nuvem do Azure e crie um processo para executar a proteção de dados de informações confidenciais com base em seus requisitos organizacionais.

Responsabilidade: Cliente

4.2: isolar sistemas que armazenam ou processam informações confidenciais

Diretrizes: implemente um isolamento usando assinaturas e grupos de gerenciamento separados para obter domínios de segurança individuais, como o tipo de ambiente e o nível de confidencialidade de dados para Serviços de Nuvem do Azure.

Também é possível editar o "permissionLevel" no elemento do Certificado do Serviço de Nuvem do Azure para especificar as permissões de acesso concedidas aos processos de função. Caso deseje que somente processos com privilégios elevados possam acessar a chave privada, especifique a permissão elevada. A permissão limitedOrElevated permite que todos os processos de função acessem a chave privada. Os valores possíveis são limitedOrElevated ou elevado. O valor padrão é o limitedOrElevated.

Responsabilidade: Cliente

4.3: monitorar e bloquear a transferência não autorizada de informações confidenciais

Diretrizes: recomendamos usar uma solução de terceiros do Azure Marketplace em perímetros de rede para monitorar e bloquear a transferência não autorizada de informações confidenciais, alertando os profissionais de segurança da informação.

Responsabilidade: Compartilhado

4.4: criptografar todas as informações confidenciais em trânsito

Diretrizes: configurar o TLS v2 para Serviços de Nuvem do Azure. Use o portal do Azure para adicionar o certificado à implantação de teste de Serviços de Nuvem do Azure, bem como incluir informações do certificado nos arquivos CSDEF e CSCFG dos serviços. Empacote novamente seu aplicativo e atualize a implantação de teste para usar o novo pacote.

No Azure, use certificados de serviço que serão anexados a Serviços de Nuvem do Azure para estabelecer uma comunicação segura com o serviço. Forneça um certificado que possa autenticar um ponto de extremidade HTTPS exposto. Defina os Certificados de serviço na definição de serviço do serviço de nuvem e implante-os de modo automático na Máquina Virtual, executando uma instância de sua função.

Executar uma autenticação usando determinada API de gerenciamento com certificados de gerenciamento permite executar uma autenticação com o modelo de implantação clássico. Muitos programas e ferramentas (como o Visual Studio ou o SDK do Azure) usam esses certificados para automatizar a configuração e a implantação de diversos serviços do Azure.

Para referência adicional, uma API do modelo de implantação clássico fornece acesso programático à funcionalidade do modelo de implantação clássico disponível no portal do Azure. O SDK do Azure para Python pode ser usado para gerenciar Serviços de Nuvem do Azure e Contas de Armazenamento do Azure. O SDK do Azure para Python encapsula uma API REST, API do modelo de implantação clássico. Todas as operações da API são executadas por meio do TLS e autenticadas respectivamente usando certificados X.509 v3. O serviço de gerenciamento pode ser acessado dentro de um serviço em execução no Azure. Ele também pode ser acessado diretamente pela Internet em qualquer aplicativo que possa enviar uma solicitação HTTPS e receber uma resposta HTTPS.

Responsabilidade: Compartilhado

4.5: Usar uma ferramenta de descoberta ativa para identificar dados confidenciais

Diretrizes: recomendamos usar uma ferramenta de descoberta ativa de terceiros para identificar todas as informações confidenciais armazenadas e processadas nos sistemas de tecnologia da organização ou transmitidas por eles, incluindo as informações localizadas no local ou em um provedor de serviço remoto, depois atualizar o inventário de informações confidenciais da organização.

Responsabilidade: Compartilhado

4.7: usar a prevenção contra perda de dados baseada em host para impor controle de acesso

Diretrizes: não aplicável ao Serviço de Nuvem (Clássico). Ele não impõe a prevenção contra perda de dados.

Recomendamos implementar uma ferramenta de terceiros, como uma solução automatizada de prevenção contra perda de dados baseada em host para impor controles de acesso aos dados, mesmo quando eles forem copiados de um sistema.

Para a plataforma subjacente que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e faz todo o esforço possível para proteger contra perda e exposição de dados do cliente. Para garantir que os dados do cliente permaneçam seguros no Azure, a Microsoft implementou um conjunto de funcionalidades e controles robustos de proteção de dados. Além disso, a empresa executa a manutenção desse conjunto.

Responsabilidade: Compartilhado

4.8: Criptografar informações confidenciais em repouso

Diretrizes: os Serviços de Nuvem do Azure não são compatíveis com a criptografia em repouso. Isso ocorre porque os Serviços de Nuvem do Azure foram projetados como um serviço sem estado. Os Serviços de Nuvem do Azure são compatíveis com o armazenamento externo, por exemplo, o Armazenamento do Azure, que é criptografado em repouso por padrão.

Os dados do aplicativo armazenados em discos temporários não são criptografados. O cliente é responsável pelo gerenciamento e pela criptografia desses dados, conforme necessário.

Responsabilidade: Cliente

4.9: Registrar e alertar sobre alterações em recursos críticos do Azure

Diretrizes: é possível usar alertas de métrica clássicos no Azure Monitor para ser notificado quando uma de suas métricas aplicadas a recursos críticos ultrapassar um limite. Os alertas de métrica clássicos são uma funcionalidade anterior que permite receber alertas somente em métricas não dimensionais. Há uma funcionalidade mais recente chamada Alertas de métrica, que aprimorou a funcionalidade em relação aos alertas de métrica clássicos.

Além disso, o Application Insights pode monitorar aplicativos de Serviços de Nuvem do Azure para analisar a disponibilidade, o desempenho, o uso e falhas. Ele usa dados combinados de SDKs do Application Insights com os dados de Diagnóstico do Azure de Serviços de Nuvem do Azure.

Responsabilidade: Cliente

Gerenciamento de vulnerabilidades

Para obter mais informações, confira Azure Security Benchmark: gerenciamento de vulnerabilidades.

5.2: implantar solução automatizada de gerenciamento de patch de sistema operacional

Diretrizes: observe que essas informações estão relacionadas ao sistema operacional convidado do Azure para executar funções Web e de trabalho de Serviços de Nuvem do Azure com PaaS (Plataforma como Serviço). No entanto, elas não se aplicam às Máquinas Virtuais com IaaS (Infraestrutura como Serviço).

Por padrão, o Azure atualiza o sistema operacional convidado do cliente de modo periódico para obter a imagem mais recente e compatível com a família do sistema operacional indicado na configuração de serviço (.cscfg), como o Windows Server 2016.

Quando um cliente escolhe uma versão específica do sistema operacional para executar uma implantação de Serviços de Nuvem do Azure, ele desabilita as atualizações automáticas do sistema operacional, bem como se responsabiliza pela aplicação de patch. O cliente deverá garantir que as instâncias de função estejam recebendo atualizações ou elas poderão expor o aplicativo a vulnerabilidades de segurança.

Responsabilidade: Compartilhado

5.3: implantar uma solução automatizada de gerenciamento de patch em títulos de software de terceiros

Diretrizes: use uma solução de gerenciamento de patches de terceiros. Os clientes que já usam o Configuration Manager no ambiente também podem usar o System Center Updates Publisher. Isso permite publicar atualizações personalizadas no Serviço de Atualização do Windows Server.

Esse cenário permite que o Gerenciamento de Atualizações aplique patch em computadores que usam o Configuration Manager como repositório de atualização com um software de terceiros.

Responsabilidade: Cliente

5.5: usar um processo de avaliação de risco para priorizar a correção das vulnerabilidades descobertas

Diretrizes: Recomendamos que os clientes entendam o escopo do risco de um DDoS ocorrendo de modo contínuo.

Sugerimos refletir sobre estes cenários:

  • Quais novos recursos do Azure disponíveis publicamente precisam de proteção?
  • Há um ponto único de falha no serviço?
  • Como os serviços podem ser isolados para limitar o impacto de um ataque e ainda disponibilizá-los para os clientes válidos?
  • Há redes virtuais em que a Proteção contra DDoS Standard deve ser habilitada, mas ainda não está?
  • Meu serviços são ativo/ativo com failover em várias regiões?

Documentação de suporte:

Responsabilidade: Cliente

Inventário e gerenciamento de ativos

Para obter mais informações, confira Azure Security Benchmark: gerenciamento de inventário e ativos.

6.1: Usar uma solução de descoberta de ativos automatizada

Diretrizes: não aplicável a Serviços de Nuvem do Azure. Essa recomendação é aplicável a recursos de computação de IaaS.

Responsabilidade: Cliente

6.3: Excluir recursos do Azure não autorizados

Diretrizes: recomendamos reconciliar o inventário com regularidade e garantir que os recursos não autorizados sejam excluídos da assinatura de modo oportuno.

Responsabilidade: Cliente

6.4: definir e manter um inventário de recursos aprovados do Azure

Diretrizes: o cliente deverá configurar os recursos aprovados do Azure e o software aprovado para obter recursos de computação.

Responsabilidade: Cliente

6.5: Monitorar recursos do Azure não aprovados

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.6: Monitorar aplicativos de software não aprovados nos recursos de computação

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.7: Remover recursos e aplicativos de software não aprovados do Azure

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.8: Usar somente aplicativos aprovados

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.10: Manter um inventário de nomes de software aprovados

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.12: Limitar a capacidade de os usuários executar scripts nos recursos de computação

Diretrizes: use o recurso de Controle de Aplicativos Adaptáveis, disponível no Microsoft Defender para Nuvem. Ele é uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem que ajuda a controlar quais aplicativos podem ser executados em computadores Windows e Linux, bem como Azure e não Azure. Ele também ajuda a proteger seus computadores contra malware.

Esse recurso está disponível para computadores Azure e não Azure, bem como Windows e Linux (todas as versões: clássicas ou do Azure Resource Manager).

O Microsoft Defender para Nuvem usa o aprendizado de máquina para analisar aplicativos em execução nos computadores, bem como cria uma lista de permitidos dessa inteligência. Essa funcionalidade simplifica bastante o processo de configuração e manutenção de políticas da lista de permitidos do aplicativo. Além disso, ela permite:

  • Bloquear ou alertar sobre tentativas de executar aplicativos mal-intencionados, incluindo aqueles que, de outra forma, poderiam ser perdidos por soluções antimalware.

  • Cumpra a política de segurança da sua organização que impõe o uso somente de software licenciado.

  • Evite o uso de softwares indesejados em seu ambiente.

  • Evite a execução de aplicativos antigos e sem suporte.

  • Impeça o uso de ferramentas de software específicas que não são permitidas em sua organização.

  • Habilite a TI a controlar o acesso a dados confidenciais pelo uso do aplicativo.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

6.13: separar física ou logicamente os aplicativos de alto risco

Diretrizes: implemente assinaturas ou grupos de gerenciamento separados a fim de fornecer isolamento para aplicativos confidenciais ou de alto risco usando Serviços de Nuvem do Azure.

Use um grupo de segurança de rede, crie uma regra de segurança de entrada, escolha um serviço como HTTP, escolha uma porta personalizada, bem como atribua uma prioridade e um nome a ela. A prioridade afetará a ordem em que as regras serão aplicadas: quanto menor for o valor numérico, mais cedo a regra será aplicada. Será preciso associar seu grupo de segurança de rede a uma sub-rede ou adaptador de rede específico para isolar ou segmentar o tráfego de rede com base em suas necessidades de negócios.

Mais detalhes estão disponíveis nos links de referência.

Responsabilidade: Cliente

Configuração segura

Para obter mais informações, confira Azure Security Benchmark: configuração segura.

7.1: Estabelecer configurações seguras para todos os recursos do Azure

Diretrizes: use as recomendações do Microsoft Defender para Nuvem como uma linha de base de configuração segura para recursos de Serviços de Nuvem do Azure.

No portal do Azure, escolha a opção Microsoft Defender para Nuvem, depois Computação & aplicativos e Serviços de Nuvem do Azure para conferir recomendações aplicáveis aos seus recursos de serviço.

Responsabilidade: Cliente

7.3: Manter configurações seguras de recursos do Azure

Diretrizes: não aplicável a Serviços de Nuvem do Azure. Ele é baseado no modelo de implantação clássico. Recomendamos usar uma solução de terceiros para manter a segurança das configurações de recursos do Azure

Responsabilidade: Cliente

7.5: Armazenar configuração de recursos do Azure com segurança

Diretrizes: o arquivo de configuração do Serviço de Nuvem do Azure armazena os atributos operacionais de um recurso. É possível armazenar uma cópia dos arquivos de configuração em uma conta de armazenamento segura.

Responsabilidade: Cliente

7.7: Implantar ferramentas de gerenciamento de configuração para recursos do Azure

Diretrizes: não aplicável a Serviços de Nuvem do Azure. Ele é baseado no modelo de implantação clássico e não pode ser gerenciado por ferramentas de configuração baseadas na implantação do Azure Resource Manager.

Responsabilidade: Cliente

7.8: Implantar ferramentas de gerenciamento de configuração para sistemas operacionais

Diretrizes: não aplicável a Serviços de Nuvem do Azure. Essa recomendação é aplicável aos recursos de computação baseados em IaaS (Infraestrutura como Serviço).

Responsabilidade: Cliente

7.9: Implementar o monitoramento automatizado de configuração para recursos do Azure

Diretrizes: use o Microsoft Defender para Nuvem para realizar verificações de linha de base dos recursos do Azure.

Responsabilidade: Cliente

7.10: Implementar monitoramento automatizado de configuração para sistemas operacionais

Diretrizes: no Microsoft Defender para Nuvem, escolha o recurso de Computação & Aplicativos, depois siga as recomendações para analisar máquinas virtuais, servidores e contêineres.

Responsabilidade: Cliente

7.11: Gerenciar segredos do Azure com segurança

Diretrizes: os Serviços de Nuvem do Azure são baseados em um modelo de implantação clássico. Além disso, eles não se integram ao Azure Key Vault.

É possível proteger segredos, como credenciais usadas em Serviços de Nuvem do Azure, para que não seja necessário digitar uma senha todas as vezes. Para começar, especifique uma senha de texto sem formatação, depois converta essa senha em uma cadeia de caracteres segura usando o comando ConvertTo-SecureString do PowerShell. Depois, converta essa cadeia de caracteres segura em uma cadeia de caracteres padrão e criptografada usando o comando ConvertFrom-SecureString. Agora é possível salvar essa cadeia de caracteres padrão e criptografada em um arquivo usando o comando Set-Content.

Além disso, recomendamos armazenar as chaves privadas de certificados usados nos Serviços de Nuvem do Azure em um armazenamento protegido.

Responsabilidade: Cliente

7.13: eliminar a exposição involuntária de credenciais

Diretrizes: proteja segredos, como credenciais usadas em Serviços de Nuvem do Azure, para que não seja necessário digitar uma senha todas as vezes.

Para começar, especifique uma senha de texto sem formatação, depois altere essa senha para obter uma cadeia de caracteres segura usando o comando ConvertTo-SecureString do PowerShell. Depois, converta essa cadeia de caracteres segura em uma cadeia de caracteres padrão e criptografada usando o comando ConvertFrom-SecureString. Agora salve essa cadeia de caracteres padrão e criptografada em um arquivo usando o comando Set-Content.

Armazene as chaves privadas dos certificados usados nos Serviços de Nuvem do Azure em um local de armazenamento seguro.

Responsabilidade: Cliente

Defesa contra malwares

Para obter mais informações, confira Azure Security Benchmark: defesa contra malware.

8.1: usar um software antimalware gerenciado de modo centralizado

Diretrizes: o Microsoft Antimalware para Azure está disponível para Serviços de Nuvem do Azure e Máquinas Virtuais. Ele é uma proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares maliciosos. Ele gera alertas quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure.

Use o cmdlet do Antimalware baseado no PowerShell para obter a configuração do Antimalware usando o comando "Get-AzureServiceAntimalwareConfig".

Habilite a extensão do Antimalware com um script do PowerShell na Tarefa de Inicialização de Serviços de Nuvem do Azure.

Escolha o recurso de Controle de aplicativos adaptáveis, uma solução de ponta a ponta, automatizada e inteligente do Microsoft Defender para Nuvem. Ele ajudará a proteger seus computadores contra malware e permitirá que você receba alertas ou bloqueie tentativas de execução de aplicativos maliciosos, incluindo tentativas que poderão passar desapercebidas por soluções antimalware.

Responsabilidade: Cliente

Resposta a incidentes

Para obter mais informações, confira o Azure Security Benchmark: resposta a incidentes.

10.1: criar um guia de resposta a incidentes

Diretriz: crie um guia de resposta a incidentes para sua organização. Verifique se há planos de resposta a incidentes escritos que definem todas as funções de pessoal, bem como as fases de tratamento/gerenciamento de incidentes, desde a detecção até a revisão após o incidente.

Responsabilidade: Cliente

10.2: criar um procedimento de pontuação e priorização de incidentes

Diretrizes: o Microsoft Defender para Nuvem atribui um nível de severidade a cada alerta para ajudar a priorizar quais alertas deverão ser investigados primeiro. A severidade se baseia na confiança que o Microsoft Defender para Nuvem tem na localização ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve uma ação mal-intencionada por trás da atividade que gerou o alerta.

Marque as assinaturas de modo evidente (por exemplo: produção ou não produção) e crie um sistema de nomeação para identificar e categorizar recursos do Azure com clareza.

Responsabilidade: Cliente

10.3: testar procedimentos de resposta de segurança

Diretriz: conduza exercícios para testar os recursos de resposta a incidentes de seus sistemas em uma cadência regular. Identifique pontos fracos e lacunas e revise o plano conforme necessário.

Responsabilidade: Cliente

10.4: Fornecer detalhes de contato do incidente de segurança e configurar notificações de alerta para incidentes de segurança

Diretriz: as informações de contato do incidente serão usadas pela Microsoft para contatá-lo se o MSRC (Microsoft Security Response Center) descobrir que os dados do cliente foram acessados por uma pessoa não autorizada ou ilegal. Examine os incidentes após o fato para garantir que os problemas sejam resolvidos.

Responsabilidade: Cliente

10.5: incorporar alertas de segurança em seu sistema de resposta a incidentes

Diretrizes: exporte os alertas e as recomendações do Microsoft Defender para Nuvem usando o recurso de Exportação Contínua. A exportação contínua permite exportar alertas e recomendações de forma manual ou contínua. É possível usar o conector de dados do Microsoft Defender para Nuvem para transmitir os alertas para o Microsoft Sentinel.

Responsabilidade: Cliente

10.6: automatizar a resposta a alertas de segurança

Diretrizes: use o recurso de Automação de Fluxo de Trabalho no Microsoft Defender para Nuvem para disparar automaticamente respostas por meio de "Aplicativos Lógicos" em alertas e recomendações de segurança.

Responsabilidade: Cliente

Testes de penetração e exercícios de Red Team

Para obter mais informações, confira Azure Security Benchmark: testes de penetração e exercícios de Red Team.

11.1: Realizar testes de penetração regulares dos recursos do Azure e garantir a correção de todas as conclusões de segurança críticas

Diretrizes: siga as Regras de Participação do Teste de Penetração na Nuvem da Microsoft para garantir que seus testes de penetração não violam as políticas da Microsoft. Use a estratégia da Microsoft, a execução de Equipes Vermelhas e os testes de penetração de sites online na infraestrutura, nos serviços e nos aplicativos de nuvem gerenciados pela Microsoft.

Responsabilidade: Compartilhado

Próximas etapas