Sdílet prostřednictvím

Řízení zabezpečení v3: Zásady správného řízení a strategie

  • Článek

Zásady správného řízení a strategie poskytují pokyny k zajištění koherentní strategie zabezpečení a zdokumentovaného přístupu k zásadám správného řízení, včetně vytváření rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpůrné zásady a standardy.

GS-1: Sladění rolí organizace, odpovědností a závazků účtu

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Pokyny k Azure: Ujistěte se, že definujete a komunikujete jasnou strategii pro role a odpovědnosti ve vaší organizaci zabezpečení. Stanovte prioritu poskytování jasné odpovědnosti při rozhodování o zabezpečení, zároveň vyškolte všechny uživatele na model sdílené odpovědnosti a vyškolte technické týmy na technologii pro zabezpečení cloudu.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-2: Definování a implementace segmentace podniku / oddělení strategie povinností

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Pokyny k Azure: Vytvoření podnikové strategie pro segmentaci přístupu k prostředkům pomocí kombinace identit, sítí, aplikací, předplatného, skupiny pro správu a dalších ovládacích prvků

Pečlivě vyvažte nutnost oddělení zabezpečení s nutností povolit každodenní provoz systémů, které musí vzájemně komunikovat a pracovat s daty.

Ujistěte se, že strategie segmentace je v úloze implementovaná konzistentně, včetně zabezpečení sítě, modelů identit a přístupu k aplikacím a přístupových modelů a řízení lidských procesů.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-3: Definování a implementace strategie ochrany dat

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Pokyny k Azure: Vytvoření podnikové strategie pro ochranu dat v Azure:

  • Definujte a použijte standard klasifikace a ochrany dat v souladu se standardem pro správu podnikových dat a dodržováním právních předpisů, které určují bezpečnostní mechanismy potřebné pro každou úroveň klasifikace dat.
  • Nastavte hierarchii správy cloudových prostředků v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
  • Definujte a použijte platné principy nulové důvěryhodnosti ve vašem cloudovém prostředí, abyste se vyhnuli implementaci důvěryhodnosti na základě síťového umístění v hraniční síti. Místo toho použijte deklarace identity důvěryhodnosti zařízení a uživatelů k bráně přístupu k datům a prostředkům.
  • Sledujte a minimalizujte citlivé nároky na data (úložiště, přenos a zpracování) v rámci podniku, abyste snížili náklady na útok a ochranu dat. Pokud je to možné, zvažte techniky, jako je jednosměrné hashování, zkrácení a tokenizace v úloze, abyste se vyhnuli ukládání a přenosu citlivých dat v původní podobě.
  • Ujistěte se, že máte úplnou strategii řízení životního cyklu pro zajištění zabezpečení dat a přístupových klíčů.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-4: Definování a implementace strategie zabezpečení sítě

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Pokyny k Azure: Vytvořte strategii zabezpečení sítě Azure jako součást celkové strategie zabezpečení vaší organizace pro řízení přístupu. Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:

  • Návrh centralizovaného nebo decentralizovaného modelu správy sítě a odpovědnosti za zabezpečení pro nasazení a údržbu síťových prostředků
  • Model segmentace virtuální sítě v souladu se strategií segmentace podniku.
  • Strategie internetového hraničního přenosu a příchozího přenosu dat a výchozího přenosu dat.
  • Strategie hybridního cloudu a místního propojení
  • Strategie monitorování sítě a protokolování
  • Aktuální artefakty zabezpečení sítě (například síťové diagramy, referenční síťová architektura).

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-5: Definování a implementace strategie správy stavu zabezpečení

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Pokyny k Azure: Vytvořte zásadu, postup a standard, abyste zajistili, že se správa konfigurace zabezpečení a správa ohrožení zabezpečení budou používat ve vašem mandátu zabezpečení cloudu.

Správa konfigurace zabezpečení v Azure by měla zahrnovat následující oblasti:

  • Definujte standardní hodnoty zabezpečené konfigurace pro různé typy prostředků v cloudu, jako jsou Azure Portal, správa a řídicí rovina a prostředky spuštěné ve službách IaaS, PaaS a SaaS.
  • Ujistěte se, že standardní hodnoty zabezpečení řeší rizika v různých oblastech řízení, jako je zabezpečení sítě, správa identit, privilegovaný přístup, ochrana dat atd.
  • Pomocí nástrojů můžete průběžně měřit, auditovat a vynucovat konfiguraci, aby se zabránilo odchylování konfigurace od směrného plánu.
  • Vytvořte tempo, abyste zůstali v aktualizovaném stavu pomocí funkcí zabezpečení Azure, například se přihlaste k odběru aktualizací služby.
  • Využijte skóre zabezpečení v Azure Defender for Cloud k pravidelné kontrole stavu konfigurace zabezpečení Azure a nápravě zjištěných mezer.

Součástí správa ohrožení zabezpečení v Azure by měly být následující aspekty zabezpečení:

  • Pravidelně vyhodnocovat a opravovat ohrožení zabezpečení ve všech typech cloudových prostředků, jako jsou nativní služby Azure, operační systémy a komponenty aplikací.
  • Použijte přístup založený na riziku k určení priorit posouzení a nápravy.
  • Přihlaste se k odběru příslušných oznámení microsoftu nebo poradce pro zabezpečení Azure a blogů, abyste získali nejnovější aktualizace zabezpečení o Azure.
  • Ujistěte se, že posouzení a náprava ohrožení zabezpečení (například plán, rozsah a techniky) splňují pravidelné požadavky na dodržování předpisů pro vaši organizaci.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-6: Definování a implementace strategie identit a privilegovaného přístupu

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Pokyny k Azure: Vytvoření přístupu k identitě Azure a privilegovanému přístupu v rámci celkové strategie řízení přístupu k zabezpečení vaší organizace Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující aspekty:

  • Centralizovaný systém identit a ověřování (Azure AD) a jeho propojení s jinými interními a externími systémy identit
  • Privilegovaná identita a zásady správného řízení přístupu (například žádost o přístup, kontrola a schválení)
  • Privilegované účty v nouzové situaci (zalomení skla)
  • Metody silného ověřování (bez hesla a vícefaktorového ověřování) v různých případech použití a podmínkách
  • Zabezpečený přístup pomocí operací správy prostřednictvím Azure Portal, rozhraní příkazového řádku a rozhraní příkazového řádku a rozhraní API

V případě výjimek, kdy se podnikový systém nepoužívá, se ujistěte, že jsou k dispozici odpovídající kontrolní mechanismy zabezpečení pro identitu, ověřování a správu přístupu a zásady správného řízení. Tyto výjimky by měly být schváleny a pravidelně kontrolovány podnikovým týmem. Tyto výjimky jsou obvykle v případech, jako jsou:

  • Použití nepodnikového určeného systému identit a ověřování, jako jsou cloudové systémy třetích stran (mohou představovat neznámá rizika)
  • Privilegovaní uživatelé ověření místně nebo používají metody ověřování, které nejsou silné

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-7: Definování a implementace protokolování, detekce hrozeb a strategie reakce na incidenty

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Pokyny k Azure: Vytvoření strategie protokolování, detekce hrozeb a reakce na incidenty pro rychlé zjišťování a nápravu hrozeb a splnění požadavků na dodržování předpisů Tým operací zabezpečení (SecOps / SOC) by měl upřednostnit vysoce kvalitní výstrahy a bezproblémové prostředí, aby se mohli soustředit na hrozby místo integrace protokolů a ručních kroků.

Tato strategie by měla zahrnovat zdokumentovanou zásadu, postup a standardy pro následující aspekty:

  • Role a odpovědnost organizace v oblasti zabezpečení (SecOps)
  • Dobře definovaný a pravidelně testovaný plán reakce na incidenty a zpracování procesů v souladu s NIST nebo jinými oborovými architekturami.
  • Komunikační a oznamovací plán s vašimi zákazníky, dodavateli a veřejnými stranami zájmu.
  • Předvolba používání rozšířených možností detekce a odpovědí (XDR), jako jsou možnosti Azure Defenderu k detekci hrozeb v různých oblastech.
  • Použití nativních funkcí Azure (např. jako Microsoft Defender for Cloud) a platforem třetích stran pro zpracování incidentů, jako je protokolování a detekce hrozeb, forenzní prostředky a náprava útoků a eradikace útoků.
  • Definujte klíčové scénáře (jako je detekce hrozeb, reakce na incidenty a dodržování předpisů) a nastavte zachytávání a uchovávání protokolů tak, aby splňovaly požadavky na scénář.
  • Centralizovaná viditelnost informací o hrozbách a korelaci o hrozbách pomocí SIEM, nativních možností detekce hrozeb Azure a dalších zdrojů
  • Aktivity po incidentu, jako jsou poznatky získané a uchovávání důkazů.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-8: Definování a implementace strategie zálohování a obnovení

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Pokyny k Azure: Vytvoření strategie zálohování a obnovení Azure pro vaši organizaci Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy v následujících aspektech:

  • Definice cíle doby obnovení (RTO) a cíle bodu obnovení (RPO) v souladu s vašimi cíli odolnosti podniku a požadavky na dodržování předpisů.
  • Návrh redundance (včetně zálohování, obnovení a replikace) ve vašich aplikacích a infrastruktuře pro cloud i místní prostředí. Jako součást vaší strategie zvažte regionální, páry oblastí, obnovení mezi oblastmi a umístění úložiště mimo lokalitu.
  • Ochrana zálohy před neoprávněným přístupem a temperováním pomocí ovládacích prvků, jako je řízení přístupu k datům, šifrování a zabezpečení sítě.
  • Použití zálohování a obnovení ke zmírnění rizik vznikajících hrozeb, jako je útok ransomwarem. A také zabezpečte samotná data zálohování a obnovení před těmito útoky.
  • Monitorování dat a operací zálohování a obnovení pro účely auditování a upozorňování

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-9: Definování a implementace strategie zabezpečení koncových bodů

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Pokyny k Azure: Vytvoření strategie zabezpečení koncových bodů cloudu, která zahrnuje následující aspekty:

  • Nasaďte do koncového bodu detekce a reakce u koncových bodů a antimalwarovou funkci a integrujte ji s procesem detekce hrozeb a řešení SIEM a operací zabezpečení.
  • Postupujte podle srovnávacího testu zabezpečení Azure, abyste zajistili nastavení zabezpečení související s koncovým bodem v jiných příslušných oblastech (jako je zabezpečení sítě, stav správa ohrožení zabezpečení, identita a privilegovaný přístup a detekce hrozeb) a zajistili pro váš koncový bod hloubkovou ochranu.
  • Upřednostněte zabezpečení koncových bodů ve vašem produkčním prostředí, ale ujistěte se, že neprodukční prostředí (například testovací a buildové prostředí používané v procesu DevOps) jsou také zabezpečená a monitorovaná, protože toto prostředí se dá použít také k zavedení malwaru a ohrožení zabezpečení do produkčního prostředí.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

GS-10: Definování a implementace strategie zabezpečení DevOps

Ovládací prvky CIS v8 ID NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Pokyny k Azure: Mandát bezpečnostních mechanismů v rámci DevOps technického standardu a provozního standardu organizace. Definujte cíle zabezpečení, požadavky na řízení a specifikace nástrojů v souladu se standardy podnikového a cloudového zabezpečení ve vaší organizaci.

Povzbuďte použití DevOps jako základní provozní model ve vaší organizaci za účelem rychlé identifikace a nápravy ohrožení zabezpečení pomocí různých typů automatizací (například infrastruktury jako zřizování kódu a automatizované kontroly SAST a DAST) v rámci pracovního postupu CI/CD. Tento přístup "posun doleva" také zvyšuje viditelnost a schopnost vynucovat konzistentní kontroly zabezpečení v kanálu nasazení a efektivně nasazuje ochranné mantinely zabezpečení do prostředí předem, aby se zabránilo překvapením zabezpečení poslední minuty při nasazování úlohy do produkčního prostředí.

Při přesouvání bezpečnostních mechanismů do fází před nasazením implementujte bezpečnostní mantinely, abyste zajistili nasazení a vynucování ovládacích prvků v průběhu procesu DevOps. Tato technologie může zahrnovat šablony Azure ARM, které definují ochranné mantinely v IaC (infrastruktura jako kód), zřizování prostředků a Azure Policy k auditování a omezení služeb nebo konfigurací, které je možné v prostředí zřídit.

Pro kontroly zabezpečení úloh za běhu postupujte podle srovnávacího testu zabezpečení Azure k návrhu a implementaci efektivních ovládacích prvků, jako je identita a privilegovaný přístup, zabezpečení sítě, zabezpečení koncových bodů a ochrana dat uvnitř vašich aplikací a služeb úloh.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):