Empfehlungen zum Erstellen einer Sicherheitsbaseline
Gilt für die Empfehlung der Sicherheitsprüfliste für Azure Well-Architected Framework:
| SE:01 | Erstellen Sie eine Sicherheitsbaseline, die auf Complianceanforderungen, Branchenstandards und Plattformempfehlungen ausgerichtet ist. Messen Sie ihre Workloadarchitektur und -vorgänge regelmäßig anhand der Baseline, um Ihren Sicherheitsstatus im Laufe der Zeit aufrechtzuerhalten oder zu verbessern. |
|---|
In diesem Leitfaden werden die Empfehlungen zum Erstellen einer Sicherheitsbaseline beschrieben. Eine Sicherheitsbaseline ist ein Dokument, das die Mindestsicherheitsanforderungen und Erwartungen Ihrer organization in einer Reihe von Bereichen angibt. Eine gute Sicherheitsbaseline hilft Ihnen:
- Schützen Sie Ihre Daten und Systeme.
- Erfüllen Sie die gesetzlichen Anforderungen.
- Minimieren Sie das Aufsichtsrisiko.
- Verringern Sie die Wahrscheinlichkeit von Sicherheitsverletzungen und nachfolgenden geschäftlichen Auswirkungen.
Sicherheitsbaselines sollten im gesamten organization umfassend veröffentlicht werden, damit alle Beteiligten die Erwartungen kennen.
Dieser Leitfaden enthält Empfehlungen zum Festlegen einer Sicherheitsbaseline, die auf internen und externen Faktoren basiert. Zu den internen Faktoren gehören Geschäftsanforderungen, Risiken und Die Bewertung von Ressourcen. Zu den externen Faktoren gehören Branchenvergleichstests und regulierungsrechtliche Standards.
Definitionen
| Begriff | Definition |
|---|---|
| Grundwert | Das Mindestmaß an Sicherheitsangeboten, die eine Workload haben muss, um zu vermeiden, dass sie ausgenutzt wird. |
| Vergleichstest | Ein Standard, der den Vom organization angestrebten Sicherheitsstatus angibt. Sie wird im Laufe der Zeit ausgewertet, gemessen und verbessert. |
| Steuerelemente | Technische oder betriebliche Kontrollen für die Workload, die dazu beitragen, Angriffe zu verhindern und die Kosten für Angreifer zu erhöhen. |
| Rechtliche Anforderungen | Eine Reihe von Geschäftsanforderungen, die von Branchenstandards bestimmt werden, die von Gesetzen und Behörden vorgegeben werden. |
Wichtige Entwurfsstrategien
Eine Sicherheitsbaseline ist ein strukturiertes Dokument, das eine Reihe von Sicherheitskriterien und -funktionen definiert, die die Workload erfüllen muss, um die Sicherheit zu erhöhen. In einer ausgereifteren Form können Sie eine Baseline erweitern, um eine Reihe von Richtlinien einzuschließen, die Sie zum Festlegen von Schutzmaßnahmen verwenden.
Die Baseline sollte als Standard für die Messung Ihres Sicherheitsstatus betrachtet werden. Das Ziel sollte immer die vollständige Erreichung sein, wobei ein breiter Umfang beibehalten wird.
Ihre Sicherheitsbaseline sollte niemals ein Ad-hoc-Vorgang sein. Branchenstandards, Complianceanforderungen (intern oder extern) oder gesetzliche Anforderungen, regionale Anforderungen und die Benchmarks der Cloudplattform sind Standard Treiber für die Baseline. Beispiele hierfür sind Center for Internet Security (CIS) Controls, das National Institute of Standards and Technology (NIST) und plattformgesteuerte Standards wie Microsoft Cloud Security Benchmark (MCSB). Alle diese Standards gelten als Ausgangspunkt für Ihre Baseline. Schaffen Sie die Grundlage, indem Sie Sicherheitsanforderungen aus den Geschäftsanforderungen integrieren.
Links zu den vorherigen Ressourcen finden Sie unter Verwandte Links.
Create die Basislinie, indem sie einen Konsens zwischen Den wirtschaftlichen und technischen Führungskräften erzielen. Die Baseline sollte nicht auf technische Kontrollen beschränkt sein. Sie sollte auch die operativen Aspekte der Verwaltung und Aufrechterhaltung des Sicherheitsstatus enthalten. Daher dient das Basisdokument auch als die Verpflichtung der organization, in Die Workloadsicherheit zu investieren. Das Sicherheitsbaselinedokument sollte in Ihrem organization weit verbreitet sein, um sicherzustellen, dass der Sicherheitsstatus der Workload bekannt ist.
Wenn die Workload wächst und sich das Ökosystem weiterentwickelt, ist es wichtig, Ihre Baseline mit den Änderungen zu synchronisieren, um sicherzustellen, dass die grundlegenden Kontrollen weiterhin effektiv sind.
Das Erstellen einer Baseline ist ein methodischer Prozess. Im Folgenden finden Sie einige Empfehlungen zum Prozess:
Ressourcenbestand. Identifizieren sie Die Projektbeteiligten von Workloadressourcen und die Sicherheitsziele für diese Ressourcen. Klassifizieren Sie im Bestand nach Sicherheitsanforderungen und Kritikalität. Informationen zu Datenressourcen finden Sie unter Empfehlungen zur Datenklassifizierung.
Risikobewertung. Identifizieren Sie potenzielle Risiken, die mit den einzelnen Ressourcen verbunden sind, und priorisieren Sie sie.
Complianceanforderungen. Baseline aller gesetzlichen Bestimmungen oder Compliance für diese Ressourcen und Anwenden bewährter Methoden der Branche.
Konfigurationsstandards. Definieren und dokumentieren Sie bestimmte Sicherheitskonfigurationen und -einstellungen für jedes Medienobjekt. Wenn möglich, erstellen Oder suchen Sie nach einer wiederholbaren, automatisierten Methode, um die Einstellungen konsistent in der gesamten Umgebung anzuwenden.
Zugriffssteuerung und Authentifizierung. Geben Sie die Anforderungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) an. Dokumentieren Sie, was gerade genug Zugriff auf Ressourcenebene bedeutet. Starten Sie dabei immer nach dem Prinzip der geringsten Rechte.
Patchverwaltung: Wenden Sie die neuesten Versionen auf alle Ressourcentypen an, um angriffe zu verstärken.
Dokumentation und Kommunikation. Dokumentieren Sie alle Konfigurationen, Richtlinien und Prozeduren. Kommunizieren Sie die Details an die relevanten Projektbeteiligten.
Erzwingung und Verantwortlichkeit. Legen Sie klare Durchsetzungsmechanismen und Konsequenzen für die Nichteinhaltung der Sicherheitsbaseline fest. Personen und Teams für die Aufrechterhaltung von Sicherheitsstandards zur Rechenschaft zu halten.
Kontinuierliche Überwachung. Bewerten Sie die Effektivität der Sicherheitsbaseline durch Beobachtbarkeit, und nehmen Sie im Laufe der Zeit Verbesserungen vor.
Zusammensetzung einer Baseline
Im Folgenden finden Sie einige allgemeine Kategorien, die Teil einer Baseline sein sollten. Die folgende Liste ist nicht vollständig. Sie dient als Übersicht über den Gültigkeitsbereich des Dokuments.
Compliance
Eine Workload unterliegt möglicherweise der Einhaltung gesetzlicher Bestimmungen für bestimmte Branchensegmente, es kann einige geografische Einschränkungen geben usw. Es ist wichtig, die Anforderungen zu verstehen, die in den gesetzlichen Spezifikationen angegeben sind, da diese die Entwurfsentscheidungen beeinflussen und in einigen Fällen in die Architektur einbezogen werden müssen.
Die Baseline sollte eine regelmäßige Bewertung der Workload anhand gesetzlicher Anforderungen umfassen. Nutzen Sie die von der Plattform bereitgestellten Tools, z. B. Microsoft Defender für Cloud, mit denen Nichtkonformitätsbereiche identifiziert werden können. Arbeiten Sie mit dem Complianceteam des organization zusammen, um sicherzustellen, dass alle Anforderungen erfüllt und beibehalten werden.
Komponenten der Architektur
Die Baseline erfordert präskriptive Empfehlungen für die Standard Komponenten der Workload. Dazu gehören in der Regel technische Kontrollen für Netzwerke, Identität, Compute und Daten. Verweisen Sie auf die von der Plattform bereitgestellten Sicherheitsbaselines, und fügen Sie der Architektur die fehlenden Steuerelemente hinzu.
Weitere Informationen finden Sie unter Beispiel.
Entwicklungsprozesse
Die Baseline muss Empfehlungen zu folgenden Fragen enthalten:
- Systemklassifizierung.
- Der genehmigte Satz von Ressourcentypen.
- Nachverfolgen der Ressourcen.
- Erzwingen von Richtlinien für die Verwendung oder Konfiguration von Ressourcen.
Das Entwicklungsteam muss über ein klares Verständnis des Umfangs für Sicherheitsüberprüfungen verfügen. Beispielsweise ist die Bedrohungsmodellierung eine Anforderung, um sicherzustellen, dass potenzielle Bedrohungen im Code und in Bereitstellungspipelines identifiziert werden. Informieren Sie sich über statische Überprüfungen und Sicherheitsrisikoüberprüfungen in Ihrer Pipeline und darüber, wie regelmäßig das Team diese Überprüfungen durchführen muss.
Weitere Informationen finden Sie unter Empfehlungen zur Bedrohungsanalyse.
Der Entwicklungsprozess sollte auch Standards für verschiedene Testmethoden und deren Rhythmus festlegen. Weitere Informationen finden Sie unter Empfehlungen zu Sicherheitstests.
Operations
Die Baseline muss Standards für die Verwendung von Bedrohungserkennungsfunktionen und das Auslösen von Warnungen zu anomalen Aktivitäten festlegen, die auf tatsächliche Vorfälle hinweisen. Die Bedrohungserkennung muss alle Ebenen der Workload umfassen, einschließlich aller Endpunkte, die von feindlichen Netzwerken aus erreichbar sind.
Die Baseline sollte Empfehlungen für die Einrichtung von Prozessen zur Reaktion auf Vorfälle enthalten, einschließlich Kommunikation und eines Wiederherstellungsplans, und welche dieser Prozesse automatisiert werden können, um die Erkennung und Analyse zu beschleunigen. Beispiele finden Sie unter Übersicht über Sicherheitsbaselines für Azure.
Die Reaktion auf Vorfälle sollte auch einen Wiederherstellungsplan und die Anforderungen für diesen Plan enthalten, z. B. Ressourcen für die regelmäßige Erstellung und den Schutz von Sicherungen.
Sie entwickeln Pläne für Datenschutzverletzungen unter Verwendung von Branchenstandards und Empfehlungen, die von der Plattform bereitgestellt werden. Das Team verfügt dann über einen umfassenden Plan, der verfolgt werden muss, wenn eine Sicherheitsverletzung entdeckt wird. Überprüfen Sie auch mit Ihrem organization, ob es eine Abdeckung durch Cyberversicherung gibt.
Training
Entwickeln und verwalten Sie ein Sicherheitsschulungsprogramm, um sicherzustellen, dass das Workloadteam mit den entsprechenden Fähigkeiten ausgestattet ist, um die Sicherheitsziele und -anforderungen zu unterstützen. Das Team benötigt grundlegende Sicherheitsschulungen, aber nutzen Sie das, was Sie von Ihrem organization können, um spezialisierte Rollen zu unterstützen. Die Compliance von rollenbasierten Sicherheitsschulungen und die Teilnahme an Drills sind Teil Ihrer Sicherheitsbaseline.
Verwenden der Baseline
Verwenden Sie die Baseline, um Initiativen zu fördern, z. B.:
Bereitschaft für Entwurfsentscheidungen. Create die Sicherheitsbaseline aus, und veröffentlichen Sie sie, bevor Sie mit dem Architekturentwurfsprozess beginnen. Stellen Sie sicher, dass die Teammitglieder die Erwartungen Ihrer organization frühzeitig vollständig kennen, wodurch kostspielige Nacharbeiten aufgrund mangelnder Klarheit vermieden werden. Sie können Basiskriterien als Workloadanforderungen verwenden, für die der organization ein Commit ausgeführt hat, sowie Steuerelemente für diese Einschränkungen entwerfen und überprüfen.
Messen Sie Ihren Entwurf. Bewerten Sie die aktuellen Entscheidungen anhand der aktuellen Baseline. Die Baseline legt tatsächliche Schwellenwerte für Kriterien fest. Dokumentieren Sie alle Abweichungen, die verzögert oder als langfristig akzeptabel angesehen werden.
Verbesserungen fördern. Während die Baseline erreichbare Ziele festlegt, gibt es immer Lücken. Priorisieren Sie die Lücken in Ihrem Backlog, und beheben Sie sie basierend auf der Priorisierung.
Verfolgen Sie Ihren Fortschritt anhand der Baseline. Eine kontinuierliche Überwachung der Sicherheitsmaßnahmen für eine festgelegte Baseline ist von entscheidender Bedeutung. Die Trendanalyse ist eine gute Möglichkeit, den Sicherheitsfortschritt im Zeitverlauf zu überprüfen und kann konsistente Abweichungen von der Baseline aufdecken. Verwenden Sie die Automatisierung so weit wie möglich, indem Sie Daten aus verschiedenen internen und externen Quellen abrufen, um aktuelle Probleme zu beheben und sich auf zukünftige Bedrohungen vorzubereiten.
Legen Sie Die Leitplanke fest. Nach Möglichkeit müssen Ihre Basiskriterien über Leitplanlinien verfügen. Schutzmaßnahmen erzwingen erforderliche Sicherheitskonfigurationen, -technologien und -vorgänge basierend auf internen und externen Faktoren. Zu den internen Faktoren gehören Geschäftsanforderungen, Risiken und Die Bewertung von Ressourcen. Externe Faktoren sind Benchmarks, regulierungsrechtliche Standards und Bedrohungsumfeld. Schutzvorrichtungen tragen dazu bei, das Risiko unbeabsichtigter Aufsicht und Strafen bei Nichtkonformität zu minimieren.
Erkunden Sie Azure Policy für benutzerdefinierte Optionen, oder verwenden Sie integrierte Initiativen wie CIS-Benchmarks oder Azure-Sicherheitsvergleichstest, um Sicherheitskonfigurationen und Complianceanforderungen zu erzwingen. Erwägen Sie die Erstellung von Azure-Richtlinien und -Initiativen aus Baselines.
Regelmäßiges Auswerten der Baseline
Fortlaufende Verbesserung der Sicherheitsstandards inkrementell in Richtung des idealen Zustands, um eine kontinuierliche Risikominderung sicherzustellen. Führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass das System auf dem neuesten Stand und in Übereinstimmung mit externen Einflüssen ist. Jede Änderung der Baseline muss formal, vereinbart und über geeignete Change Management-Prozesse gesendet werden.
Messen Sie das System anhand der neuen Baseline, und priorisieren Sie Korrekturen basierend auf ihrer Relevanz und Auswirkung auf die Workload.
Stellen Sie sicher, dass sich der Sicherheitsstatus im Laufe der Zeit nicht verschlechtert, indem Sie die Überwachung und Überwachung der Einhaltung von Organisationsstandards initiieren.
Azure-Erleichterung
Der Microsoft Cloud Security Benchmark (MCSB) ist ein umfassendes Framework für bewährte Sicherheit, das Sie als Ausgangspunkt für Ihre Sicherheitsbaseline verwenden können. Verwenden Sie es zusammen mit anderen Ressourcen, die Eingaben für Ihre Baseline bereitstellen.
Weitere Informationen finden Sie unter Einführung in den Microsoft Cloud Security Benchmark.
Verwenden Sie die Microsoft Defender für Die Einhaltung gesetzlicher Bestimmungen (MDC) Dashboard, um diese Baselines nachzuverfolgen und eine Warnung zu erhalten, wenn ein Muster außerhalb einer Baseline erkannt wird. Weitere Informationen finden Sie im Dashboard Anpassen des Standardssatzes in Der Einhaltung gesetzlicher Bestimmungen.
Weitere Features, die beim Einrichten und Verbessern der Baseline helfen:
Erstellen von benutzerdefinierten Azure-Sicherheitsrichtlinien
Grundlegendes zu Sicherheitsrichtlinien, Initiativen und Empfehlungen
Beispiel
Dieses logische Diagramm zeigt eine Beispielsicherheitsbaseline für Architekturkomponenten, die Netzwerk, Infrastruktur, Endpunkt, Anwendung, Daten und Identität umfassen, um zu veranschaulichen, wie eine gemeinsame IT-Umgebung sicher geschützt werden kann. Andere Empfehlungsleitfäden bauen auf diesem Beispiel auf.
Infrastruktur
Eine allgemeine IT-Umgebung mit einer lokalen Ebene mit grundlegenden Ressourcen.
Azure-Sicherheitsdienste
Azure-Sicherheitsdienste und -features nach den Ressourcentypen, die sie schützen.
Azure-Sicherheitsüberwachungsdienste
Die in Azure verfügbaren Überwachungsdienste, die über einfache Überwachungsdienste hinausgehen, einschließlich SIEM-Lösungen (Security Information Event Management) und SOAR-Lösungen (Security Orchestration Automated Response) und Microsoft Defender für Cloud.
Bedrohungen
Diese Ebene bietet eine Empfehlung und Erinnerung, dass Bedrohungen gemäß den Bedenken Ihrer organization in Bezug auf Bedrohungen zugeordnet werden können, unabhängig von der Methodik oder matrixähnlichen Mitre Attack Matrix oder Cyber Kill Chain.
Verwandte Links
Communitylinks
Checkliste für die Sicherheit
Sehen Sie sich den vollständigen Satz von Empfehlungen an.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für