Melhores Práticas de Segurança do Azure – Para Conformidade (Lista de Verificação). O Microsoft Azure é a base da infraestrutura em nuvem de muitas empresas em todo o mundo. Manter a conformidade é uma parte importante da segurança em nuvem do Azure e é fundamental na provisão de garantias sobre a proteção de seus dados. Portanto, é crucial para as empresas terem uma compreensão aprofundada das melhores práticas de segurança do Azure e dos padrões de conformidade.
Então, há algumas coisas que você precisa fazer para alcançar isso.
Então, qual é a primeira coisa que você precisa fazer?
Primeiro de tudo, você precisa definir seus objetivos de conformidade objetivos. Quais padrões e regulamentações (por exemplo, PCI-DSS, ISO 27001 e HIPAA) se aplicam à sua organização? Respondendo a esta pergunta claramente e certificando-se de que seus objetivos de conformidade estão claramente definidos é sempre o primeiro passo.
Há várias normas de conformidade e regulamentos quando se trata do Azure. Essas normas e regulamentos dependem da sua indústria específica – ou seja, serviços financeiros, cuidados de saúde e serviços vitais – e da sua região. Existem também normas de conformidade dedicadas a garantir que o seu negócio esteja em conformidade com vários regulamentos do governo dos EUA.
Neste artigo, você deverá aprender como utilizar o Painel de Conformidade Regulatória do Azure para avaliar a sua conformidade regulatória e as melhores práticas de segurança para garantir que você cumpra a maioria dos requisitos da lista de conformidade.
8 Melhores Práticas de Segurança do Azure para Cumprimento de Objetivos
Apesar dos numerosos padrões de conformidade do Azure disponíveis, há requisitos de checklist presentes na maioria dos padrões. Aqui está uma análise abrangente das melhores práticas a seguir para garantir que você esteja em conformidade.
1. Realizar Testes Regulares de seus Sistemas e Processos de Segurança
Todo profissional de segurança lá fora lhe dirá para ter um cronograma regular de varredura de ameaças para todas as suas máquinas. Este é um requisito principal de checklist para uma ampla variedade de padrões de conformidade, incluindo PCI DSS, ISO 27001, HIPAA, SOC 2 e outros padrões de conformidade.
<É, portanto, recomendável garantir que as seguintes práticas sejam implementadas em sua estratégia de segurança:
- Assegure-se de que todos os IPs e domínios externos sejam regularmente escaneados. Por exemplo, o PCI DSS padrão requer que todos os IPs e domínios externos expostos no CDE sejam escaneados pelo menos trimestralmente por um Fornecedor de Escaneamento Aprovado pelo PCI (ASV).
Assegure-se de que todos os IPs e domínios externos sejam submetidos a testes de penetração extensivos e regulares de aplicativos e redes. - Certifique-se de que todos os IPs e domínios externos sejam submetidos a testes de penetração de aplicativos e rede extensivos e regulares.
- Tenha uma estratégia robusta de monitoramento de arquivos. Certifique-se de que seu sistema realize comparações regulares de arquivos para detectar alterações que de outra forma passariam despercebidas.
2. Tenha uma Estratégia de Gerenciamento de Patches Consistente
Esta é uma lista de verificação comum que precisa ser verificada para estar em conformidade com várias normas e regulamentações Azure. Sistemas operacionais antigos são muito vulneráveis a exploração e ataques. É por isso que eles estão desatualizados em primeiro lugar!
As empresas de software lançam regularmente novos patches para sistemas operacionais sempre que vulnerabilidades são descobertas. Portanto, certifique-se de que você configurou atualizações automáticas do sistema para suas máquinas virtuais ou tenha um cronograma de remendos manuais regular.
3. Utilizar e atualizar regularmente o software antivírus com forte política de firewall
Esta é uma lista de verificação de conformidade principal para a maioria das normas de conformidade do Azure. Este requisito de verificação de lista se concentra na proteção do sistema contra todos os tipos de malware.
Para garantir que você esteja em conformidade, verifique se todos os sistemas estão equipados com uma solução antivirus. Isso inclui estações de trabalho, laptops e dispositivos móveis que os funcionários podem usar para acessar o sistema localmente e remotamente.
Para garantir que o programa antivírus seja eficaz, você também precisa garantir que os programas antivírus ou anti-malware sejam atualizados regularmente.
Sempre certifique-se de que seus mecanismos antivírus estejam sempre ativos, gerando logs auditable e estão usando as assinaturas mais recentes.
Quando se trata de ter uma política de firewall robusta, é sempre recomendado fechar sempre as portas administrativas. O acesso aos SSH, RDP, WinRM e outras portas administrativas deve ser restrito, a menos que seja absolutamente necessário. Isso é vital para proteger suas máquinas virtuais.
4. Use Procedimentos de Criptografia Adequados
Mesmo as maiores corporações com os maiores orçamentos de segurança cibernética são vítimas de violações de dados. Portanto, a importância da criptografia não pode ser exagerada. Muitas vezes, os ataques de homem-no-meio ocorrem explorando políticas de criptografia pobres ou inexistentes.
No Azure, a criptografia é fundamental para as empresas atualmente, pois permite proteger dados sensíveis convertendo-os em texto cifrado, que é incompreensível sem uma chave de criptografia. Isso é conhecido como “codificação”.
Como apenas aqueles com uma chave de criptografia podem decifrar os dados e revelar as informações verdadeiras, a criptografia torna praticamente impossível para criminosos cibernéticos ou outras pessoas não autorizadas roubarem e abusarem dos dados.
Portanto, para garantir que esta lista de verificação de conformidade seja cumprida, você precisa garantir que:
- Aplique apenas os protocolos de criptografia modernos mais recentes para proteger seus dados.
- Certifique-se de usar o TLS sobre o SSL, pois o SSL contém várias vulnerabilidades exploráveis.
- Certifique-se de que seus pontos finais também sejam criptografados. Sim, criptografe até mesmo dados que já estão armazenados com segurança. Isso torna inútil para os atacantes caso os dados sejam roubados.
5. Manter a confidencialidade estrita da informação
Informação confidencial refere-se a qualquer informação considerada sensível devido à sua natureza pessoal. A confidencialidade da informação é um requisito principal da lista de verificação para SOC 2, PCI DSS e outros padrões de conformidade.
Para cumprir este requisito de conformidade, várias práticas de segurança precisam ser implementadas. Por exemplo, se sua empresa coleta informações sensíveis, você deve:
- Obter a permissão do sujeito.
- Tanto quanto possível, limite a quantidade de informações privadas que você coleta e apenas a obtenha por meios legais.
- Use os dados apenas para os propósitos para os quais foram coletados e descarte-os no final de um período especificado de retenção de dados.
- Para evitar vazamentos e perda de dados, limite o acesso a essas informações a apenas alguns funcionários autorizados possíveis.
6. Ter senhas fortes e complexas e habilitar a Autenticação Multifator (MFA)
Fonte de imagem: Itro
Isso é sempre de importância crítica, especialmente se houver tráfego de entrada para suas máquinas virtuais por razões comerciais. Por exemplo, isso é um requisito de conformidade principal para empresas que prestam serviços financeiros e precisam cumprir o Payment Card Industry Data Security Standard (PCI DSS).
Além disso, SOC 2 e outros padrões de conformidade exigem que você pelo menos habilite a autenticação de dois fatores para seus sistemas. Para garantir que esse requisito de verificação seja cumprido, verifique se cada conta de usuário que tem permissão para acessar suas máquinas virtuais possui uma combinação de nome de usuário e senha complexas.
Se sua máquina virtual também estiver associada a um domínio, verifique que cada conta que tenha permissão para fazer login em sua máquina virtual siga este procedimento de segurança e também tenha autenticação multifator.
7. Sempre tenha um backup de seus dados
É sempre aconselhável ter um backup de seus dados para proteger contra perda de dados. Os dados podem ser perdidos devido a má gestão de dados involuntária ou até mesmo uma violação do sistema por parte de atacantes.
O dano que isso pode causar a sua empresa, tanto financeiramente quanto em termos de reputação, pode ser enorme. É por isso que a maioria das normas de conformidade do Azure compliance standards exige que você sempre tenha um backup confiável de seus dados.
Felizmente, isso está à apenas um clique de distância no Azure. Além disso, o Azure fornece aos usuários um serviço de backup de dados que podem ser usados. Para usá-lo, você simplesmente precisa ativar o Serviço de Backup do Azure.
8. Certifique-se de que seus sistemas estejam sempre disponíveis
O conceito de disponibilidade na computação refere-se à garantia de que um sistema computacional possa ser acessado por um usuário autorizado sempre que necessário. Um alto grau de disponibilidade de um sistema garante que ele funcione conforme o esperado quando solicitado.
Não é surpresa, então, que isso esteja no topo da lista de verificação de conformidade para muitos padrões Azure AD.
Existem dois principais riscos para a disponibilidade de um sistema, que são ou um ataque de negação de serviço ou uma perda de capacidades de processamento de dados. Para sempre estar em conformidade, é, portanto, aconselhável que você fortaleça as defesas do seu sistema e infraestrutura de rede para garantir que seu sistema não enfrente indisponibilidade devido a isso.
Para fazer isso, certifique-se de que você:
- Tenha planos de contingência em caso de indisponibilidade.
- Certifique-se de realizar manutenção rotineira no sistema quando a traffic é baixo e sempre tenha um sistema alternativo que possa ser usado temporariamente.
- Evite erros humanos (que são mais comuns) exigindo que várias pessoas estejam envolvidas ao tomar decisões chave que afetarão seu sistema.
Em seguida, com as Melhores Práticas de Segurança do Azure – Para Conformidade, é explicar o Painel de Conformidade Regulatória do Azure.
O Painel de Conformidade Regulatória do Azure
Para garantir que os usuários estejam em conformidade com diversos padrões de conformidade, o Azure implementou um painel de conformidade regulatória para que eles possam avaliar sua conformidade regulatória e garantir que estejam em conformidade.
O Painel de Conformidade Regulatória no Azure fornece insights sobre a posição do seu ambiente Azure em relação aos padrões de segurança atualmente suportados: Azure CIS, SOC TSP, ISO 27001 e PCI DSS 3.2.
Aqui está uma visão do Painel de Conformidade do Azure:
Também Leia Red Team vs Blue Team em Segurança Cibernética – Qual a Diferença?
Controles do Painel e Resolução
O recurso de Conformidade Regulatória no Azure realiza avaliações para determinar o seu status de conformidade. O painel exibe a pontuação de avaliação de conformidade regulatória em número de avaliações falhadas e aprovadas e a porcentagem, se você passar o mouse sobre as cores do gráfico.
O status de conformidade com os padrões regulatórios e o número de regras que passaram na avaliação aparecem ao lado da pontuação geral.
Todas as regras no painel verde são aquelas que passaram na avaliação. O painel vermelho indica que pelo menos uma regra falhou na avaliação.
Se você expandir uma regra, é possível ver as avaliações individuais, tipo de recurso, recursos totais e representação gráfica das avaliações.
A terceira cor, cinza, indica que a avaliação de conformidade não se aplica ou ainda não é suportada. Para aprimorar este painel, a Microsoft garante que os dados do Painel de Conformidade Regulatória do ASC estejam disponíveis no Gerenciador de Conformidade .
Para resolver um problema, basta clicar no nome da avaliação, e você será direcionado para uma página onde poderá resolvê-lo. Os problemas que precisam ser resolvidos, por exemplo, podem ser determinar quais máquinas virtuais precisam ser atualizadas e instalar as atualizações necessárias ou instalar um agente de monitoramento em uma máquina virtual.
O Compliance Manager coleta dados do Office 365 e dos ambientes do Azure em um único lugar, a partir do qual você melhora a proteção e conformidade dos dados seguindo as recomendações. É bom observar que a Microsoft está lançando atualizações para o painel e em breve as funcionalidades de relatórios de conformidade (uma funcionalidade muito útil) serão incorporadas.
Obrigado por ler as Melhores Práticas de Segurança do Azure – Para Conformidade (Lista de Verificação). Concluiremos este artigo do blog.
Conclusão das Melhores Práticas de Segurança do Azure – Para conformidade (Lista de Verificação)
Como usuário do Microsoft Azure, é sempre importante manter a conformidade com várias normas e regulamentos de conformidade. Felizmente, este guia está aqui para lhe fornecer uma análise abrangente do Azure melhores práticas de segurança para garantir que você esteja em conformidade com a maioria das normas de conformidade.
O Microsoft Azure também lançou um painel de conformidade e regulamentação que você pode utilizar para garantir que esteja em conformidade com as melhores práticas de segurança.
O não cumprimento das melhores práticas de segurança do Azure pode resultar em multas, penalidades legais e perda de oportunidades de negócios. Também pode resultar em seu sistema ficar vulnerável a ataques cibernéticos, o que pode ser custoso para sua empresa.
Siga as práticas acima, utilize o Painel de Conformidade Regulatória no Azure e eduque-se sobre as normas de conformidade e regulamentos do Azure que são específicos para você para estar do lado seguro.
Source:
https://infrasos.com/azure-security-best-practices-for-compliance-checklist/