Compreender a linha de base de segurança da plataforma Azure
O grupo de cibersegurança da Microsoft e o Center for Internet Security (CIS) desenvolveram práticas recomendadas para ajudar a estabelecer linhas de base de segurança para a plataforma Azure.
Inicialmente, a Microsoft fez uma parceria com a CIS para desenvolver uma máquina virtual (VM) do Azure pronta para uso. Uma iniciativa então começou a criar uma referência CIS, um documento que detalha as práticas recomendadas do CIS, para serviços e ferramentas de segurança do Azure para facilitar a segurança e a conformidade para aplicativos do cliente executados nos serviços do Azure.
Gorjeta
O CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 fornece orientação prescritiva para estabelecer uma configuração de linha de base segura para o Azure. Este guia foi testado em relação aos serviços do Azure listados em fevereiro de 2021. O escopo dessa referência é estabelecer o nível básico de segurança para qualquer pessoa que adote o Azure.
Criar uma linha de base de segurança da plataforma
Vários padrões de segurança podem ajudar os clientes de serviços de nuvem a obter segurança de carga de trabalho quando usam serviços de nuvem. Os seguintes agrupamentos de tecnologia recomendados ajudam a criar cargas de trabalho seguras habilitadas para nuvem. Essas recomendações não são uma lista exaustiva de todas as configurações e arquiteturas de segurança possíveis. Estas recomendações de linha de base de segurança são um ponto de partida.
O SIA tem dois níveis de execução e várias categorias de recomendações:
Nível 1 – definições de segurança mínimas recomendadas
- Essas configurações devem ser configuradas em todos os sistemas.
- Essas configurações devem causar pouca ou nenhuma interrupção dos serviços ou funcionalidade reduzida.
Nível 2 - Recomendações para ambientes altamente seguros
- Essas configurações podem resultar em funcionalidade reduzida.
A tabela a seguir fornece as categorias e o número de recomendações feitas para cada categoria no CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0:
| Grupo de tecnologia | Description | N.º de recomendações |
|---|---|---|
| Gestão de Identidades e Acessos (IAM) | Recomendações relacionadas com as políticas IAM | 23 |
| Microsoft Defender para Cloud | Recomendações relacionadas à configuração e uso do Microsoft Defender for Cloud | 19 |
| Contas de armazenamento | Recomendações para a definição de políticas das contas de armazenamento | 7 |
| Base de Dados SQL do Azure | Recomendações para ajudar a proteger os bancos de dados SQL do Azure | 8 |
| Registos e monitorização | Recomendações para definir políticas de registos e monitorização para as subscrições do Azure | 13 |
| Rede | Recomendações para ajudar a configurar com segurança as definições e as políticas da rede do Azure | 5 |
| VMs | Recomendações para definir políticas de segurança para serviços de computação do Azure e, especificamente, VMs | 6 |
| Outro | Recomendações relativas a controlos operacionais e de segurança gerais, incluindo recomendações relacionadas com o Cofre de Chaves do Azure e bloqueios de recursos | 3 |
| Totalmente recomendado | 84 |
Vamos explorar cada categoria em maior detalhe.