Recomendações para estabelecer uma linha de base de segurança
Aplica-se à recomendação da lista de verificação do Azure Well-Architected Framework Security:
| SE:01 | Estabeleça uma linha de base de segurança alinhada com os requisitos de conformidade, as normas do setor e as recomendações da plataforma. Meça regularmente a arquitetura e as operações da carga de trabalho em relação à linha de base para manter ou melhorar a postura de segurança ao longo do tempo. |
|---|
Este guia descreve as recomendações para estabelecer uma linha de base de segurança. Uma linha de base de segurança é um documento que especifica os requisitos mínimos de segurança e expetativas da sua organização em várias áreas. Uma boa linha de base de segurança ajuda-o:
- Mantenha os seus dados e sistemas seguros.
- Cumprir os requisitos regulamentares.
- Minimizar o risco de supervisão.
- Reduza a probabilidade de falhas de segurança e efeitos comerciais subsequentes.
As linhas de base de segurança devem ser publicadas amplamente em toda a sua organização para que todos os intervenientes estejam cientes das expectativas.
Este guia fornece recomendações sobre a definição de uma linha de base de segurança baseada em fatores internos e externos. Os fatores internos incluem requisitos empresariais, riscos e avaliação de ativos. Os fatores externos incluem referências do setor e normas regulamentares.
Definições
| Termo | Definição |
|---|---|
| Linha de base | O nível mínimo de acessibilidades de segurança que uma carga de trabalho tem de ter para evitar ser explorada. |
| Referência | Um padrão que significa a postura de segurança que a organização aspira. É avaliado, medido e melhorado ao longo do tempo. |
| Controlos | Controlos técnicos ou operacionais na carga de trabalho que ajudam a evitar ataques e a aumentar os custos do atacante. |
| Requisitos regulamentares | Um conjunto de requisitos comerciais, impulsionados pelas normas do setor, que as leis e as autoridades impõem. |
Principais estratégias de conceção
Uma linha de base de segurança é um documento estruturado que define um conjunto de critérios e capacidades de segurança que a carga de trabalho tem de cumprir para aumentar a segurança. Numa forma mais madura, pode expandir uma linha de base para incluir um conjunto de políticas que utiliza para definir proteções.
A linha de base deve ser considerada a norma para medir a sua postura de segurança. O objectivo deve ser sempre a realização total, mantendo um âmbito amplo.
A linha de base de segurança nunca deve ser um esforço ad hoc. As normas do setor, a conformidade (interna ou externa) ou os requisitos regulamentares, os requisitos regionais e os testes de referência da plataforma cloud são os principais fatores para a linha de base. Os exemplos incluem Controlos do Centro de Segurança da Internet (CIS), Instituto Nacional de Normas e Tecnologia (NIST) e padrões orientados para a plataforma, como a referência de segurança na cloud da Microsoft (MCSB). Todas estas normas são consideradas um ponto de partida para a linha de base. Crie a base ao incorporar requisitos de segurança a partir dos requisitos empresariais.
Para obter ligações para os recursos anteriores, veja Ligações relacionadas.
Create a linha de base ao obter consenso entre os líderes empresariais e técnicos. A linha de base não deve ser restrita a controlos técnicos. Deve também incluir os aspetos operacionais da gestão e manutenção da postura de segurança. Assim, o documento de linha de base também serve como o compromisso da organização em investir na segurança da carga de trabalho. O documento de linha de base de segurança deve ser distribuído amplamente na sua organização para garantir que existe consciência sobre a postura de segurança da carga de trabalho.
À medida que a carga de trabalho cresce e o ecossistema evolui, é vital manter a linha de base sincronizada com as alterações para garantir que os controlos fundamentais ainda são eficazes.
Criar uma linha de base é um processo metódico. Eis algumas recomendações sobre o processo:
Inventário de recursos. Identifique os intervenientes dos recursos de carga de trabalho e os objetivos de segurança desses recursos. No inventário de recursos, classifique por requisitos de segurança e criticidade. Para obter informações sobre recursos de dados, veja Recomendações sobre classificação de dados.
Avaliação de riscos. Identificar potenciais riscos associados a cada recurso e priorizá-los.
Requisitos de conformidade. Basee qualquer regulamentação ou conformidade para esses recursos e aplique as melhores práticas do setor.
Padrões de configuração. Defina e documente definições e configurações de segurança específicas para cada recurso. Se possível, templatize ou encontre uma forma repetida e automatizada de aplicar as definições de forma consistente em todo o ambiente.
Controlo de acesso e autenticação. Especifique os requisitos de controlo de acesso baseado em funções (RBAC) e autenticação multifator (MFA). Documente o que significa acesso suficiente ao nível do recurso. Comece sempre com o princípio do menor privilégio.
Gestão de patches. Aplique as versões mais recentes em todos os tipos de recursos para reforçar contra ataques.
Documentação e comunicação. Documente todas as configurações, políticas e procedimentos. Comunique os detalhes aos intervenientes relevantes.
Imposição e responsabilidade. Estabeleça mecanismos de imposição claros e consequências para não conformidade com a linha de base de segurança. Reponsabilize as pessoas e as equipas pela manutenção dos padrões de segurança.
Monitorização contínua. Avalie a eficácia da linha de base de segurança através da observabilidade e melhore as horas extraordinárias.
Composição de uma linha de base
Seguem-se algumas categorias comuns que devem fazer parte de uma linha de base. A lista seguinte não é exaustiva. Destina-se a ser uma descrição geral do âmbito do documento.
Conformidade regulamentar
Uma carga de trabalho pode estar sujeita a conformidade regulamentar para segmentos específicos do setor, podem existir algumas restrições geográficas, etc. É fundamental compreender os requisitos conforme indicado nas especificações regulamentares, uma vez que estes influenciam as escolhas de design e, em alguns casos, têm de ser incluídos na arquitetura.
A linha de base deve incluir uma avaliação regular da carga de trabalho em relação aos requisitos regulamentares. Tire partido das ferramentas fornecidas pela plataforma, como Microsoft Defender para a Cloud, que podem identificar áreas de não conformidade. Trabalhe com a equipa de conformidade da organização para garantir que todos os requisitos são cumpridos e mantidos.
Componentes de arquitetura
A linha de base precisa de recomendações prescritivas para os principais componentes da carga de trabalho. Geralmente, estes incluem controlos técnicos para redes, identidade, computação e dados. Referencie as linhas de base de segurança fornecidas pela plataforma e adicione os controlos em falta à arquitetura.
Veja Exemplo.
Processos de desenvolvimento
A linha de base tem de ter recomendações sobre:
- Classificação do sistema.
- O conjunto aprovado de tipos de recursos.
- Controlar os recursos.
- Impor políticas para utilizar ou configurar recursos.
A equipa de desenvolvimento precisa de ter uma compreensão clara do âmbito das verificações de segurança. Por exemplo, a modelação de ameaças é um requisito para garantir que as potenciais ameaças são identificadas no código e nos pipelines de implementação. Seja específico sobre as verificações estáticas e a análise de vulnerabilidades no pipeline e a regularidade com que a equipa precisa para efetuar essas análises.
Para obter mais informações, veja Recomendações sobre a análise de ameaças.
O processo de desenvolvimento deve também definir normas sobre várias metodologias de teste e a sua cadência. Para obter mais informações, veja Recomendações sobre testes de segurança.
Operações
A linha de base tem de definir normas sobre a utilização de capacidades de deteção de ameaças e a criação de alertas sobre atividades anómalas que indiquem incidentes reais. A deteção de ameaças tem de incluir todas as camadas da carga de trabalho, incluindo todos os pontos finais que estão acessíveis a partir de redes hostis.
A linha de base deve incluir recomendações para configurar processos de resposta a incidentes, incluindo comunicação e um plano de recuperação, e quais desses processos podem ser automatizados para acelerar a deteção e análise. Para obter exemplos, veja Security baselines for Azure overview (Linhas de base de segurança para o Azure).
A resposta a incidentes também deve incluir um plano de recuperação e os requisitos para esse plano, como recursos para tomar e proteger regularmente cópias de segurança.
O utilizador desenvolve planos de violação de dados através de normas e recomendações do setor fornecidas pela plataforma. A equipa tem então um plano abrangente a seguir quando for detetada uma falha de segurança. Além disso, contacte a sua organização para ver se há cobertura através da cibersegurança.
Formação
Desenvolva e mantenha um programa de formação de segurança para garantir que a equipa de carga de trabalho está equipada com as competências adequadas para suportar os objetivos e requisitos de segurança. A equipa precisa de formação de segurança fundamental, mas utilize o que puder da sua organização para suportar funções especializadas. A conformidade e a participação na preparação de segurança baseada em funções em exercícios fazem parte da sua linha de base de segurança.
Utilizar a linha de base
Utilize a linha de base para impulsionar iniciativas, tais como:
Preparação para decisões de design. Create a linha de base de segurança e publique-a antes de iniciar o processo de conceção da arquitetura. Certifique-se de que os membros da equipa estão plenamente cientes das expectativas da sua organização mais cedo, o que evita uma reformulação dispendiosa causada pela falta de clareza. Pode utilizar critérios de linha de base como requisitos de carga de trabalho que a organização se comprometeu e conceber e validar controlos em relação a essas restrições.
Meça a sua estrutura. Classificar as decisões atuais em relação à linha de base atual. A linha de base define limiares reais para critérios. Documente quaisquer desvios que sejam diferidos ou considerados aceitáveis a longo prazo.
Melhorias na unidade. Embora a linha de base defina objetivos alcançáveis, existem sempre lacunas. Priorize as lacunas no seu atraso e remediar com base na atribuição de prioridades.
Controle o seu progresso em relação à linha de base. A monitorização contínua de medidas de segurança relativamente a uma linha de base definida é essencial. A análise de tendências é uma boa forma de rever o progresso da segurança ao longo do tempo e pode revelar desvios consistentes da linha de base. Utilize a automatização o máximo possível, solicitando dados de várias origens, internas e externas, para resolver problemas atuais e preparar-se para ameaças futuras.
Definir proteções. Sempre que possível, os critérios de linha de base têm de ter proteções. As proteções impõem as configurações, tecnologias e operações de segurança necessárias, com base em fatores internos e fatores externos. Os fatores internos incluem requisitos empresariais, riscos e avaliação de ativos. Os fatores externos incluem referências, normas regulamentares e ambiente de ameaças. Os proteções ajudam a minimizar o risco de supervisão inadvertida e multas punitivas por incumprimento.
Explore Azure Policy para obter opções personalizadas ou utilize iniciativas incorporadas, como referências cis ou Referência de Segurança do Azure para impor configurações de segurança e requisitos de conformidade. Considere criar Políticas e iniciativas do Azure a partir de linhas de base.
Avaliar a linha de base regularmente
Melhore continuamente os padrões de segurança de forma incremental em relação ao estado ideal para garantir uma redução contínua do risco. Realize revisões periódicas para garantir que o sistema está atualizado e em conformidade com influências externas. Qualquer alteração à linha de base tem de ser formal, acordada e enviada através de processos de gestão de alterações adequados.
Meça o sistema em relação à nova linha de base e dê prioridade às remediações com base na sua relevância e efeito na carga de trabalho.
Certifique-se de que a postura de segurança não se degrada ao longo do tempo ao instituir a auditoria e monitorizar a conformidade com as normas organizacionais.
Facilitação do Azure
A referência de segurança da cloud da Microsoft (MCSB) é uma arquitetura abrangente de melhores práticas de segurança que pode utilizar como ponto de partida para a sua linha de base de segurança. Utilize-o juntamente com outros recursos que fornecem entrada para a linha de base.
Para obter mais informações, veja Introdução à referência de segurança na cloud da Microsoft.
Utilize o dashboard de conformidade regulamentar Microsoft Defender para a Cloud (MDC) para controlar essas linhas de base e ser alertado se for detetado um padrão fora de uma linha de base. Para obter mais informações, veja Personalizar o conjunto de normas no dashboard de conformidade regulamentar.
Outras funcionalidades que ajudam a estabelecer e melhorar a linha de base:
Exemplo
Este diagrama lógico mostra uma linha de base de segurança de exemplo para componentes de arquitetura que abrangem rede, infraestrutura, ponto final, aplicação, dados e identidade para demonstrar como um ambiente de TI comum pode ser protegido de forma segura. Outros guias de recomendação baseiam-se neste exemplo.
Infraestrutura
Um ambiente de TI comum, com uma camada no local com recursos básicos.
Serviços de Segurança do Azure
Serviços e funcionalidades de segurança do Azure pelos tipos de recursos que protegem.
Serviços de monitorização de segurança do Azure
Os serviços de monitorização disponíveis no Azure que vão além dos serviços de monitorização simples, incluindo soluções de gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR) e Microsoft Defender para a Cloud.
Ameaças
Esta camada traz uma recomendação e um lembrete de que as ameaças podem ser mapeadas de acordo com as preocupações da sua organização relativamente a ameaças, independentemente da metodologia ou matriz como a Matriz de Ataque Mitre ou a cadeia cyber kill.
Ligações relacionadas
Ligações da comunidade
Lista de verificação de segurança
Veja o conjunto completo de recomendações.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários