توصيات لإنشاء أساس أمان
ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework:
| SE:01 | إنشاء أساس أمان يتوافق مع متطلبات التوافق ومعايير الصناعة وتوصيات النظام الأساسي. قم بقياس بنية حمل العمل وعملياته بانتظام مقابل الأساس للحفاظ على وضع الأمان الخاص بك أو تحسينه بمرور الوقت. |
|---|
يصف هذا الدليل توصيات إنشاء أساس أمان. أساس الأمان هو مستند يحدد الحد الأدنى لمتطلبات وتوقعات الأمان الخاصة بمؤسستك عبر مجموعة من المجالات. يساعدك أساس الأمان الجيد على:
- حافظ على أمان بياناتك وأنظمتك.
- الامتثال للمتطلبات التنظيمية.
- تقليل مخاطر الإشراف.
- تقليل احتمالية الخروقات والآثار التجارية اللاحقة.
يجب نشر خطوط الأمان الأساسية على نطاق واسع في جميع أنحاء مؤسستك بحيث يكون جميع أصحاب المصلحة على دراية بالتوقعات.
يوفر هذا الدليل توصيات حول تعيين أساس أمان يستند إلى عوامل داخلية وخارجية. وتشمل العوامل الداخلية متطلبات الأعمال والمخاطر وتقييم الأصول. وتشمل العوامل الخارجية معايير الصناعة والمعايير التنظيمية.
التعريفات
| المصطلح | التعريف |
|---|---|
| الأساس | الحد الأدنى من تكاليف الأمان التي يجب أن يتجنب حمل العمل استغلالها. |
| المعيار | معيار يشير إلى الوضع الأمني الذي تطمح إليه المؤسسة. يتم تقييمه وقياسه وتحسينه بمرور الوقت. |
| عناصر التحكم | عناصر التحكم التقنية أو التشغيلية على حمل العمل التي تساعد على منع الهجمات وزيادة تكاليف المهاجمين. |
| المتطلبات التنظيمية | مجموعة من متطلبات الأعمال، مدفوعة بمعايير الصناعة، التي تفرضها القوانين والسلطات. |
استراتيجيات التصميم الرئيسية
أساس الأمان هو مستند منظم يحدد مجموعة من معايير الأمان والقدرات التي يجب أن يفي بها حمل العمل من أجل زيادة الأمان. في شكل أكثر نضجا، يمكنك توسيع خط أساس لتضمين مجموعة من النهج التي تستخدمها لتعيين حواجز الحماية.
يجب اعتبار الأساس معيارا لقياس وضع الأمان الخاص بك. وينبغي أن يكون الهدف دائما تحقيقا كاملا مع الحفاظ على نطاق واسع.
يجب ألا يكون أساس الأمان الخاص بك جهدا مخصصا. معايير الصناعة والامتثال (الداخلية أو الخارجية) أو المتطلبات التنظيمية والمتطلبات الإقليمية ومعايير النظام الأساسي السحابي هي المحركات الرئيسية للأساس. ومن الأمثلة على ذلك ضوابط مركز أمن الإنترنت (CIS)، والمعهد الوطني للمعايير والتكنولوجيا (NIST)، والمعايير المستندة إلى النظام الأساسي، مثل معيار أمان السحابة من Microsoft (MCSB). تعتبر جميع هذه المعايير نقطة بداية لخط الأساس الخاص بك. بناء الأساس من خلال دمج متطلبات الأمان من متطلبات العمل.
للحصول على ارتباطات إلى الأصول السابقة، راجع الارتباطات ذات الصلة.
الإنشاء الأساس من خلال الحصول على توافق في الآراء بين قادة الأعمال التجارية والتقنية. يجب ألا يقتصر الأساس على عناصر التحكم التقنية. وينبغي أن تشمل أيضا الجوانب التشغيلية لإدارة الوضع الأمني والحفاظ عليه. لذلك، تعمل الوثيقة الأساسية أيضا بمثابة التزام المؤسسة بالاستثمار نحو أمان حمل العمل. يجب توزيع مستند أساس الأمان على نطاق واسع داخل مؤسستك لضمان وجود وعي حول الوضع الأمني لحمل العمل.
مع نمو حمل العمل وتطور النظام البيئي، من الضروري الحفاظ على مزامنة خط الأساس مع التغييرات لضمان استمرار فعالية عناصر التحكم الأساسية.
يعد إنشاء أساس عملية منهجية. فيما يلي بعض التوصيات حول العملية:
مخزون الأصول. تحديد أصحاب المصلحة في أصول حمل العمل والأهداف الأمنية لتلك الأصول. في مخزون الأصول، يصنف حسب متطلبات الأمان والأهمية. للحصول على معلومات حول أصول البيانات، راجع توصيات حول تصنيف البيانات.
تقييم المخاطر. المخاطر المحتملة للهوية المرتبطة بكل أصل وتحديد أولوياتها.
متطلبات التوافق. وضع خط الأساس لأي تنظيم أو توافق لتلك الأصول وتطبيق أفضل ممارسات الصناعة.
معايير التكوين. تحديد وتوثيق تكوينات وإعدادات أمان محددة لكل أصل. إذا كان ذلك ممكنا، قم بتضمين طريقة تلقائية قابلة للتكرار أو العثور عليها لتطبيق الإعدادات باستمرار عبر البيئة.
التحكم في الوصول والمصادقة. حدد متطلبات التحكم في الوصول استنادا إلى الدور (RBAC) والمصادقة متعددة العوامل (MFA). توثيق ما يعنيه الوصول الكافي فقط على مستوى الأصول. ابدأ دائما بمبدأ الامتياز الأقل.
إدارة التصحيح. تطبيق أحدث الإصدارات على جميع أنواع الموارد لتعزيز ضد الهجوم.
الوثائق والاتصالات. توثيق جميع التكوينات والنهج والإجراءات. إبلاغ أصحاب المصلحة المعنيين بالتفاصيل.
الإنفاذ والمساءلة. إنشاء آليات وإنفاذ واضحة لعواقب عدم الامتثال لخط الأساس الأمني. محاسبة الأفراد والفرق على الحفاظ على معايير الأمان.
المراقبة المستمرة. تقييم فعالية أساس الأمان من خلال إمكانية الملاحظة وإجراء تحسينات على العمل الإضافي.
تكوين خط الأساس
فيما يلي بعض الفئات الشائعة التي يجب أن تكون جزءا من خط الأساس. القائمة التالية ليست شاملة. وهو مخصص كنظرة عامة على نطاق المستند.
التوافق التنظيمي
قد يخضع حمل العمل للامتثال التنظيمي لقطاعات صناعية محددة، وقد تكون هناك بعض القيود الجغرافية، وما إلى ذلك. من المهم فهم المتطلبات كما هو معطى في المواصفات التنظيمية لأن تلك تؤثر على خيارات التصميم وفي بعض الحالات يجب تضمينها في البنية.
وينبغي أن يتضمن الأساس تقييما منتظما لحمل العمل مقابل المتطلبات التنظيمية. استفد من الأدوات التي يوفرها النظام الأساسي، مثل Microsoft Defender للسحابة، والتي يمكنها تحديد مجالات عدم الامتثال. تعاون مع فريق التوافق في المؤسسة للتأكد من استيفاء جميع المتطلبات وصيانتها.
مكونات البنية
يحتاج الأساس إلى توصيات توجيهية للمكونات الرئيسية لحمل العمل. وتشمل هذه عادة عناصر التحكم التقنية للشبكات والهوية والحوسبة والبيانات. الرجوع إلى خطوط أساس الأمان التي يوفرها النظام الأساسي وإضافة عناصر التحكم المفقودة إلى البنية.
راجع مثال.
عمليات التنمية
يجب أن يحتوي الأساس على توصيات حول:
- تصنيف النظام.
- مجموعة أنواع الموارد المعتمدة.
- تعقب الموارد.
- فرض نهج لاستخدام الموارد أو تكوينها.
يحتاج فريق التطوير إلى فهم واضح لنطاق عمليات التحقق من الأمان. على سبيل المثال، تعد نمذجة المخاطر مطلبا في التأكد من تحديد التهديدات المحتملة في التعليمات البرمجية وفي مسارات التوزيع. كن محددا بشأن عمليات الفحص الثابتة وفحص الثغرات الأمنية في البنية الأساسية لبرنامج ربط العمليات التجارية الخاصة بك وكيف يحتاج الفريق بانتظام إلى إجراء عمليات الفحص هذه.
لمزيد من المعلومات، راجع توصيات حول تحليل التهديدات.
وينبغي لعملية التطوير أيضا أن تضع معايير لمختلف منهجيات الاختبار وإيقاعها. لمزيد من المعلومات، راجع توصيات حول اختبار الأمان.
العمليات
يجب أن يضع الأساس معايير لاستخدام قدرات الكشف عن التهديدات ورفع التنبيهات حول الأنشطة الشاذة التي تشير إلى الحوادث الفعلية. يجب أن يتضمن الكشف عن التهديدات جميع طبقات حمل العمل، بما في ذلك جميع نقاط النهاية التي يمكن الوصول إليها من الشبكات العدائية.
وينبغي أن يتضمن خط الأساس توصيات لإعداد عمليات الاستجابة للحوادث، بما في ذلك الاتصال وخطة الاسترداد، وأي من هذه العمليات يمكن أتمتتها لتسريع الكشف والتحليل. للحصول على أمثلة، راجع نظرة عامة على خطوط أساس الأمان ل Azure.
يجب أن تتضمن الاستجابة للحوادث أيضا خطة استرداد ومتطلبات تلك الخطة، مثل الموارد لأخذ النسخ الاحتياطية وحمايتها بانتظام.
يمكنك تطوير خطط خرق البيانات باستخدام معايير الصناعة والتوصيات التي يوفرها النظام الأساسي. ثم لدى الفريق خطة شاملة يجب اتباعها عند اكتشاف خرق. تحقق أيضا من مؤسستك لمعرفة ما إذا كانت هناك تغطية من خلال التأمين الإلكتروني.
التدريب
تطوير وصيانة برنامج تدريب أمني لضمان تزويد فريق حمل العمل بالمهارات المناسبة لدعم الأهداف والمتطلبات الأمنية. يحتاج الفريق إلى تدريب أمان أساسي، ولكن استخدم ما يمكنك من مؤسستك لدعم الأدوار المتخصصة. التوافق مع التدريب الأمني المستند إلى الأدوار والمشاركة في التدريبات جزء من أساس الأمان الخاص بك.
استخدام الأساس
استخدم الأساس لدفع المبادرات، مثل:
الاستعداد لاتخاذ قرارات التصميم. الإنشاء أساس الأمان وانشره قبل بدء عملية تصميم البنية. تأكد من أن أعضاء الفريق على دراية تامة بتوقعات مؤسستك في وقت مبكر، ما يتجنب إعادة العمل المكلفة الناجمة عن عدم الوضوح. يمكنك استخدام معايير الأساس كمتطلبات حمل العمل التي التزمت بها المؤسسة وتصميم عناصر التحكم والتحقق من صحتها مقابل هذه القيود.
قياس التصميم الخاص بك. تقييم القرارات الحالية مقابل الأساس الحالي. يعين الأساس الحدود الفعلية للمعايير. توثيق أي انحرافات مؤجلة أو تعتبر مقبولة على المدى الطويل.
تحسينات محرك الأقراص. وفي حين أن خط الأساس يحدد أهدافا يمكن تحقيقها، فإن هناك دائما فجوات. حدد أولويات الثغرات في تراكمك والمعالجة استنادا إلى ترتيب الأولويات.
تعقب تقدمك مقابل الأساس. ومن الضروري الرصد المستمر للتدابير الأمنية مقابل أساس محدد. يعد تحليل الاتجاه طريقة جيدة لمراجعة التقدم الأمني بمرور الوقت ويمكن أن يكشف عن انحرافات متسقة عن الأساس. استخدم الأتمتة قدر الإمكان، واسحب البيانات من مصادر مختلفة، داخلية وخارجية، لمعالجة المشكلات الحالية والاستعداد للتهديدات المستقبلية.
تعيين حواجز الحماية. حيثما أمكن، يجب أن تحتوي معايير الأساس على حواجز حماية. تفرض حواجز الحماية تكوينات الأمان والتقنيات والعمليات المطلوبة، استنادا إلى العوامل الداخلية والعوامل الخارجية. تتضمن العوامل الداخلية متطلبات العمل والمخاطر وتقييم الأصول. وتشمل العوامل الخارجية المعايير والمعايير التنظيمية وبيئة التهديد. تساعد حواجز الحماية على تقليل مخاطر الرقابة غير المقصودة والغرامات العقابية لعدم الامتثال.
استكشف Azure Policy للحصول على خيارات مخصصة أو استخدم المبادرات المضمنة مثل معايير CIS أو معيار أمان Azure لفرض تكوينات الأمان ومتطلبات التوافق. ضع في اعتبارك إنشاء نهج ومبادرات Azure خارج الخطوط الأساسية.
تقييم الأساس بانتظام
تحسين معايير الأمان بشكل متزايد نحو الحالة المثالية لضمان الحد المستمر من المخاطر. إجراء مراجعات دورية للتأكد من أن النظام محدث ومتوافق مع التأثيرات الخارجية. يجب أن يكون أي تغيير في خط الأساس رسميا ومتفقا عليه وإرساله من خلال عمليات إدارة التغيير المناسبة.
قياس النظام مقابل الأساس الجديد وتحديد أولويات المعالجات بناء على أهميتها وتأثيرها على حمل العمل.
تأكد من أن الوضع الأمني لا يتدهور بمرور الوقت من خلال إنشاء تدقيق ومراقبة الامتثال للمعايير التنظيمية.
تسهيل Azure
معيار أمان السحابة من Microsoft (MCSB) هو إطار عمل شامل لأفضل ممارسات الأمان يمكنك استخدامه كنقطة بداية لأساس الأمان الخاص بك. استخدمه مع الموارد الأخرى التي توفر إدخالا إلى خط الأساس الخاص بك.
لمزيد من المعلومات، راجع مقدمة إلى معيار أمان سحابة Microsoft.
استخدم لوحة معلومات التوافق التنظيمي Microsoft Defender للسحابة (MDC) لتتبع تلك الخطوط الأساسية وتنبيهها إذا تم الكشف عن نمط خارج خط الأساس. لمزيد من المعلومات، راجع تخصيص مجموعة المعايير في لوحة معلومات التوافق التنظيمي.
الميزات الأخرى التي تساعد في إنشاء الأساس وتحسينه:
مثال
يوضح هذا الرسم التخطيطي المنطقي مثالا على أساس الأمان للمكونات المعمارية التي تشمل الشبكة والبنية الأساسية ونقطة النهاية والتطبيق والبيانات والهوية لتوضيح كيفية حماية بيئة تكنولوجيا المعلومات الشائعة بشكل آمن. تستند أدلة التوصيات الأخرى إلى هذا المثال.
البنية الأساسية
بيئة تكنولوجيا المعلومات الشائعة، مع طبقة محلية مع الموارد الأساسية.
خدمات أمان Azure
خدمات وميزات أمان Azure حسب أنواع الموارد التي تحميها.
خدمات مراقبة أمان Azure
خدمات المراقبة المتوفرة على Azure والتي تتجاوز خدمات المراقبة البسيطة، بما في ذلك حلول إدارة أحداث معلومات الأمان (SIEM) والاستجابة التلقائية لتنسيق الأمان (SOAR) Microsoft Defender للسحابة.
التهديدات
تقدم هذه الطبقة توصية وتذكير بأنه قد يتم تعيين التهديدات وفقا لمخاوف مؤسستك فيما يتعلق بالتهديدات، بغض النظر عن المنهجية أو مصفوفة Mitre Attack Matrix أو سلسلة Cyber Kill.
الروابط ذات الصلة
روابط المجتمع
قائمة التحقق من الأمان
راجع المجموعة الكاملة من التوصيات.