Doporučení pro stanovení standardních hodnot zabezpečení

Platí pro doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:

SE:01	Vytvořte standardní hodnoty zabezpečení odpovídající požadavkům na dodržování předpisů, oborovým standardům a doporučením platformy. Pravidelně změřujte architekturu a provoz úloh podle směrného plánu, abyste udrželi nebo zlepšili stav zabezpečení v průběhu času.

Tato příručka popisuje doporučení pro vytvoření standardních hodnot zabezpečení. Standardní hodnoty zabezpečení jsou dokument, který určuje minimální požadavky a očekávání vaší organizace v celé řadě oblastí. Dobrý směrný plán zabezpečení vám pomůže:

• Udržujte svá data a systémy v bezpečí.
• Splnění zákonných požadavků.
• Minimalizujte riziko dohledu.
• Snižte pravděpodobnost porušení zabezpečení a následných obchodních účinků.

Standardní hodnoty zabezpečení by se měly publikovat v celé organizaci široce, aby všichni účastníci věděli o očekáváních.

Tato příručka obsahuje doporučení k nastavení standardních hodnot zabezpečení založených na interních a externích faktorech. Mezi interní faktory patří obchodní požadavky, rizika a vyhodnocení prostředků. Mezi externí faktory patří oborové srovnávací testy a regulační standardy.

Definice

Pojem	definice
Standardní hodnoty	Minimální úroveň dostupnosti zabezpečení, kterou musí mít úloha, aby se zabránilo zneužití.
Srovnávací test	Standard, který označuje stav zabezpečení, na který se organizace snaží. V průběhu času se vyhodnocuje, měří a vylepšuje.
Ovládací prvky	Technické nebo provozní kontroly úloh, které pomáhají zabránit útokům a zvýšit náklady na útočníka.
Zákonné požadavky	Sada obchodních požadavků řízených oborovými standardy, které ukládají zákony a orgány.

Klíčové strategie návrhu

Standardní hodnoty zabezpečení jsou strukturovaný dokument, který definuje sadu kritérií zabezpečení a schopností, které musí úloha splnit, aby se zvýšilo zabezpečení. Ve vyspělejší podobě můžete rozšířit směrný plán tak, aby zahrnoval sadu zásad, které používáte k nastavení mantinely.

Standardní hodnoty by měly být považovány za standard pro měření stavu zabezpečení. Cílem by mělo být vždy úplné dosažení a přitom zachovat široký rozsah.

Standardní hodnoty zabezpečení by nikdy neměly být jednorázové úsilí. Hlavními faktory směrného plánu jsou oborové standardy, dodržování předpisů (interní nebo externí) nebo zákonné požadavky, regionální požadavky a srovnávací testy cloudové platformy. Mezi příklady patří kontroly Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) a standardy řízené platformou, jako je srovnávací test zabezpečení cloudu Microsoftu (MCSB). Všechny tyto standardy jsou považovány za výchozí bod pro váš směrný plán. Vytvořte základ začleněním požadavků na zabezpečení z obchodních požadavků.

Odkazy na předchozí prostředky najdete v tématu Související odkazy.

Vytvořte směrný plán získáním konsensu mezi obchodními a technickými vedoucími pracovníky. Směrný plán by neměl být omezen na technické kontroly. Měla by také zahrnovat provozní aspekty správy a údržby stavu zabezpečení. Základní dokument tedy slouží také jako závazek organizace investovat do zabezpečení úloh. Dokument standardních hodnot zabezpečení by měl být ve vaší organizaci distribuovaný široce, aby se zajistilo povědomí o stavu zabezpečení úlohy.

S růstem úloh a vývojem ekosystému je důležité udržovat základní hodnoty v synchronizaci se změnami, aby se zajistilo, že základní kontroly budou stále účinné.

Vytvoření směrného plánu je metodický proces. Tady je několik doporučení k procesu:

• Inventarizace aktiv Identifikujte zúčastněné strany prostředků úloh a cíle zabezpečení těchto prostředků. V inventáři prostředků klasifikujte požadavky na zabezpečení a důležitost. Informace o datových prostředcích najdete v tématu Doporučení ke klasifikaci dat.

• Posouzení rizik. Potenciální rizika identit spojená s jednotlivými prostředky a jejich stanovení priority

• Požadavky na dodržování předpisů Směrný plán všech regulačních nebo dodržování předpisů pro tyto prostředky a použití osvědčených postupů v odvětví.

• Standardy konfigurace. Definujte a zdokumentujte konkrétní konfigurace a nastavení zabezpečení pro každý prostředek. Pokud je to možné, šablonujte nebo najděte opakovatelný automatizovaný způsob, jak použít nastavení konzistentně v celém prostředí.

• Řízení přístupu a ověřování Zadejte požadavky na řízení přístupu na základě role (RBAC) a vícefaktorové ověřování (MFA). Zdokumentujte, co jen dostatečný přístup znamená na úrovni prostředku. Vždy začněte principem nejnižších oprávnění.

• Správa oprav: Použijte nejnovější verze pro všechny typy prostředků pro posílení proti útoku.

• Dokumentace a komunikace. Zdokumentování všech konfigurací, zásad a postupů Sdělte podrobnosti příslušným zúčastněným stranám.

• Vynucování a odpovědnost. Stanovit jasné mechanismy vynucení a důsledky pro nedodržení předpisů se standardními hodnotami zabezpečení. Za udržování standardů zabezpečení zodpovídají jednotlivci a týmy.

• Průběžné monitorování. Vyhodnoťte efektivitu standardních hodnot zabezpečení prostřednictvím pozorovatelnosti a proveďte vylepšení přesčas.

Definování směrného plánu

Tady jsou některé běžné kategorie, které by měly být součástí směrného plánu. Následující seznam není vyčerpávající. Je určen jako přehled rozsahu dokumentu.

Dodržování legislativní předpisů

Úloha může podléhat dodržování právních předpisů pro konkrétní oborové segmenty, můžou existovat určitá geografická omezení atd. Je klíčové porozumět požadavkům uvedeným v regulačních specifikacích, protože ty ovlivňují volby návrhu a v některých případech musí být součástí architektury.

Směrný plán by měl zahrnovat pravidelné vyhodnocení úlohy proti zákonným požadavkům. Využijte výhod nástrojů poskytovaných platformou, jako je Microsoft Defender for Cloud, které můžou identifikovat oblasti nedodržení předpisů. Spolupracujte s týmem pro dodržování předpisů organizace a ujistěte se, že jsou splněné a udržované všechny požadavky.

Komponenty architektury

Základní hodnoty potřebují doporučení pro hlavní komponenty úlohy. Obvykle se jedná o technické kontroly sítí, identit, výpočetních prostředků a dat. Odkazujte na standardní hodnoty zabezpečení poskytované platformou a přidejte do architektury chybějící ovládací prvky.

Podívejte se na příklad.

Procesy vývoje

Směrný plán musí obsahovat doporučení týkající se:

• Systémová klasifikace.
• Schválená sada typů prostředků.
• Sledování prostředků
• Vynucení zásad pro použití nebo konfiguraci prostředků

Vývojový tým musí jasně porozumět rozsahu kontrol zabezpečení. Modelování hrozeb je například požadavek na zajištění toho, aby se potenciální hrozby identifikovaly v kódu a v kanálech nasazení. Konkrétní informace o statických kontrolách a kontrole ohrožení zabezpečení v kanálu a o tom, jak pravidelně tým potřebuje provést tyto kontroly.

Další informace najdete v tématu Doporučení k analýze hrozeb.

Proces vývoje by měl také stanovit standardy pro různé metodologie testování a jejich četnost. Další informace najdete v tématu Doporučení k testování zabezpečení.

Operace

Standardní hodnoty musí nastavit standardy pro používání funkcí detekce hrozeb a vyvolávání výstrah o neobvyklých aktivitách, které indikují skutečné incidenty. Detekce hrozeb musí zahrnovat všechny vrstvy úlohy, včetně všech koncových bodů, které jsou dostupné z nepřátelských sítí.

Směrný plán by měl zahrnovat doporučení pro nastavení procesů reakce na incidenty, včetně komunikace a plánu obnovení a které z těchto procesů je možné automatizovat, aby se urychlilo zjišťování a analýza. Příklady najdete v přehledu standardních hodnot zabezpečení pro Azure.

Reakce na incident by také měla zahrnovat plán obnovení a požadavky na tento plán, například prostředky pro pravidelné přijímání a ochranu záloh.

Plány úniků dat vyvíjíte pomocí oborových standardů a doporučení poskytovaných platformou. Tým pak má komplexní plán sledovat, když dojde k porušení zabezpečení. Také se obraťte na vaši organizaci a zjistěte, jestli je pokrytí prostřednictvím kybernetického zajištění.

Školení

Vytvořte a udržujte program školení zabezpečení, který zajistí, aby tým úloh byl vybaven odpovídajícími dovednostmi pro podporu cílů zabezpečení a požadavků. Tým potřebuje základní školení zabezpečení, ale použijte to, co můžete z vaší organizace použít k podpoře specializovaných rolí. Dodržování předpisů zabezpečení na základě rolí a účast v podrobnostech jsou součástí standardních hodnot zabezpečení.

Použití směrného plánu

Směrný plán použijte k řízení iniciativ, například:

• Připravenost k rozhodování o návrhu Vytvořte standardní hodnoty zabezpečení a publikujte ho před zahájením procesu návrhu architektury. Zajistěte, aby členové týmu plně věděli o očekáváních vaší organizace včas, což zabraňuje nákladnému přepracování způsobené nedostatkem srozumitelnosti. Základní kritéria můžete použít jako požadavky na úlohy, které organizace zavázala k jejich návrhu a návrhu a ověření kontrolních mechanismů v těchto omezeních.

• Změřte svůj návrh. Ohodnocete aktuální rozhodnutí proti aktuálnímu směrnému plánu. Směrný plán nastavuje skutečné prahové hodnoty pro kritéria. Zdokumentovat všechny odchylky, které jsou odloženy nebo považovány za dlouhodobé přijatelné.

• Vylepšení jednotek. I když směrný plán nastavuje dosažitelné cíle, vždy existují mezery. Upřednostněte mezery v backlogu a napravte je na základě stanovení priority.

• Sledujte svůj pokrok oproti směrnému plánu. Nepřetržité monitorování bezpečnostních opatření proti nastavenému směrnému plánu je nezbytné. Analýza trendu je dobrý způsob kontroly průběhu zabezpečení v průběhu času a může odhalit konzistentní odchylky od směrného plánu. Využijte automatizaci co nejvíce a za účelem řešení aktuálních problémů a přípravy na budoucí hrozby načítáte data z různých zdrojů, interních i externích.

• Nastavte mantinely. Pokud je to možné, musí mít základní kritéria ochranné mantinely. Mantinely vynucují požadované konfigurace zabezpečení, technologie a operace na základě interních faktorů a externích faktorů. Mezi interní faktory patří obchodní požadavky, rizika a vyhodnocení prostředků. Mezi externí faktory patří srovnávací testy, regulační standardy a prostředí hrozeb. Mantinely pomáhají minimalizovat riziko neúmyslného dohledu a pokut v oblasti trestů za nedodržení předpisů.

Prozkoumejte službu Azure Policy, kde najdete vlastní možnosti nebo můžete použít integrované iniciativy, jako jsou srovnávací testy CIS nebo srovnávací test zabezpečení Azure, a vynucovat konfigurace zabezpečení a požadavky na dodržování předpisů. Zvažte vytvoření zásad Azure a iniciativ mimo směrné plány.

Pravidelné vyhodnocování směrného plánu

Nepřetržitě vylepšujte standardy zabezpečení postupně směrem k ideálnímu stavu, aby se zajistilo průběžné snížení rizika. Pravidelně kontrolujte, aby byl systém aktuální a v souladu s vnějšími vlivy. Jakákoli změna směrného plánu musí být formální, dohodnutá a odeslána prostřednictvím správných procesů správy změn.

Změřte systém proti novému směrnému plánu a na základě jejich relevance a vlivu na úlohu určete prioritu náprav.

Ujistěte se, že stav zabezpečení v průběhu času nezpůsobí snížení výkonu tím, že ustavení auditování a monitorování dodržování standardů organizace.

Usnadnění azure

Srovnávací test zabezpečení cloudu Microsoftu (MCSB) je komplexní architektura osvědčených postupů zabezpečení, kterou můžete použít jako výchozí bod pro standardní hodnoty zabezpečení. Použijte ho spolu s dalšími prostředky, které poskytují vstup do směrného plánu.

Další informace najdete v tématu Úvod do srovnávacího testu zabezpečení cloudu Microsoftu.

Řídicí panel dodržování právních předpisů v programu Microsoft Defender for Cloud (MDC) slouží ke sledování těchto směrných plánů a k upozornění, pokud se zjistí vzor mimo směrný plán. Další informace najdete v tématu Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Další funkce, které pomáhají při vytváření a vylepšování směrného plánu:

• Vytvoření vlastních zásad zabezpečení Azure

• Principy zásad zabezpečení, iniciativ a doporučení

• Kontroly dodržování právních předpisů

Příklad

Tento logický diagram znázorňuje příklad standardních hodnot zabezpečení pro komponenty architektury, které zahrnují síť, infrastrukturu, koncový bod, aplikaci, data a identitu, a ukazuje, jak může být běžné IT prostředí bezpečně chráněné. Další průvodci doporučeními vycházejí z tohoto příkladu.

Infrastruktura

Běžné IT prostředí s místní vrstvou se základními prostředky.

Služby zabezpečení Azure

Služby a funkce zabezpečení Azure podle typů prostředků, které chrání.

Služby monitorování zabezpečení Azure

Monitorovací služby dostupné v Azure, které překračují rámec jednoduchých monitorovacích služeb, včetně správy událostí zabezpečení (SIEM) a řešení automatizované reakce na zabezpečení (SOAR) a Microsoft Defenderu pro cloud.

Hrozby

Tato vrstva přináší doporučení a připomenutí, že hrozby se můžou mapovat podle obav vaší organizace týkajících se hrozeb bez ohledu na metodiku nebo matici jako Mitre Attack Matrix nebo Cyber Kill Chain.

Související odkazy

• Dodržování předpisů Microsoftu

• Přehled standardních hodnot zabezpečení pro Azure

• Co je reakce na incidenty? Plánování a kroky

• Srovnávací testy zabezpečení Azure

Komunitní odkazy

• Srovnávací test CIS Microsoft Azure Foundations

• Architektura kybernetické bezpečnosti | NIST

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.

Kontrolní seznam zabezpečení