Sicherheitskontrolle v3: Governance und Strategie

  • Artikel

Governance und Strategie bietet Leitlinien für die Gewährleistung einer stimmigen Sicherheitsstrategie und eines dokumentierten Governance-Ansatzes zur Lenkung und Aufrechterhaltung der Sicherheitsgarantie, einschließlich Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einer einheitlichen technischen Strategie und der Unterstützung von Richtlinien und Standards.

GS-1: Ausrichten von Organisationsrollen, Zuständigkeiten und Verantwortlichkeiten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Azure-Leitfaden: Stellen Sie sicher, dass Sie eine klare Strategie für Rollen und Zuständigkeiten in Ihrer Sicherheitsorganisation definieren und kommunizieren. Priorisieren Sie durch Zuweisung klarer Verantwortlichkeiten für Sicherheitsentscheidungen, Schulung aller Beteiligten für das Modell der gemeinsamen Verantwortung und Schulung von technischen Teams hinsichtlich der Technologie zum Sichern der Cloud.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-2: Definieren und Umsetzen einer Strategie für Unternehmenssegmentierung/Aufgabentrennung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3,12 AC-4, SC-7, SC-2 1.2, 6.4

Azure-Leitfaden: Erstellen Sie eine unternehmensweite Strategie zum Segmentieren des Zugriffs auf Ressourcen durch eine Kombination aus Identität, Netzwerk, Anwendung, Abonnement, Verwaltungsgruppe und anderen Kontrollen.

Wägen Sie die Notwendigkeit einer Sicherheitstrennung sorgfältig gegen die Notwendigkeit ab, den täglichen Betrieb der Systeme zu ermöglichen, die miteinander kommunizieren und auf Daten zugreifen müssen.

Stellen Sie sicher, dass die Segmentierungsstrategie in der Workload einheitlich implementiert wird, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsmodelle, Berechtigungs-/Zugriffsmodelle für Anwendungen sowie Kontrollen für Benutzerprozesse.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-3: Definieren und Umsetzen einer Strategie für Datenschutz

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Azure-Leitfaden: Einrichten einer unternehmensweiten Strategie für den Schutz von Daten in Azure:

  • Definieren Sie den Datenklassifizierungs- und Schutzstandard in Übereinstimmung mit dem Verwaltungsstandard für Unternehmensdaten und der Einhaltung gesetzlicher Bestimmungen, und wenden Sie ihn an, um die für die einzelnen Ebenen der Datenklassifizierung erforderlichen Sicherheitskontrollen vorzuschreiben.
  • Richten Sie die Hierarchie der Cloudressourcenverwaltung entsprechend der Strategie für die Unternehmenssegmentierung ein. Bei der Segmentierungsstrategie des Unternehmens sollte auch der Speicherort vertraulicher und unternehmenskritischer Daten und Systeme berücksichtigt werden.
  • Definieren Sie die anwendbaren Zero-Trust-Prinzipien in Ihrer Cloudumgebung, und wenden Sie sie an, um die Implementierung von Vertrauensstellungen basierend auf dem Netzwerkstandort innerhalb eines Umkreisnetzwerks zu vermeiden. Verwenden Sie stattdessen Geräte- und Benutzervertrauensansprüche, um den Zugriff auf Daten und Ressourcen zu schützen.
  • Verfolgen und minimieren Sie den Speicherbedarf für sensible Daten (Speicherung, Übertragung und Verarbeitung) im gesamten Unternehmen, um die Angriffsfläche und die Kosten für den Schutz von Daten zu reduzieren. Erwägen Sie nach Möglichkeit Techniken wie unidirektionales Hashing, Datenkürzung und Tokenisierung in der Workload, um zu vermeiden, dass vertrauliche Daten in ihrer ursprünglichen Form gespeichert und übertragen werden.
  • Stellen Sie sicher, dass Sie über eine vollständige Strategie für die Lebenszyklussteuerung verfügen, um die Sicherheit der Daten und Zugriffsschlüssel zu gewährleisten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-4: Definieren und Umsetzen einer Strategie für Netzwerksicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Azure-Leitfaden: Richten Sie im Rahmen der allgemeinen Sicherheitsstrategie Ihrer Organisation für die Zugriffssteuerung eine Azure-Netzwerksicherheitsstrategie ein. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Elemente umfassen:

  • Entwurf eines zentralisierten/dezentralisierten Modells für Netzwerkverwaltung und Sicherheitszuständigkeiten, um Netzwerkressourcen bereitzustellen und zu verwalten
  • Ein Segmentierungsmodell für virtuelle Netzwerke, das auf die Segmentierungsstrategie des Unternehmens abgestimmt ist
  • Eine Strategie für Internetedge sowie Dateneingang und -ausgang
  • Eine Strategie für Konnektivität zwischen Hybrid Cloud und lokalen Systemen
  • Eine Netzwerküberwachungs- und -protokollierungsstrategie
  • Aktuelle Netzwerksicherheitsartefakte (z. B. Netzwerkdiagramme, Referenznetzwerkarchitektur)

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-5: Definieren und Umsetzen einer Strategie für die Verwaltung des Sicherheitsstatus

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Azure-Leitfaden: Richten Sie eine Richtlinie, ein Verfahren und einen Standard ein, um sicherzustellen, dass die Sicherheitskonfigurationsverwaltung und das Sicherheitsrisikomanagement in Ihrem Cloudsicherheitsauftrag eingesetzt werden.

Die Sicherheitskonfigurationsverwaltung in Azure sollte die folgenden Bereiche umfassen:

  • Definieren Sie die Baselines für eine sichere Konfiguration für verschiedene Ressourcentypen in der Cloud, z. B. Azure-Portal, Verwaltungs- und Steuerungsebene sowie Ressourcen, die in den IaaS-, PaaS- und SaaS-Diensten ausgeführt werden.
  • Stellen Sie sicher, dass die Sicherheitsbaselines die Risiken in verschiedenen Kontrollbereichen abdecken. Dazu zählen beispielsweise Netzwerksicherheit, Identitätsverwaltung, privilegierter Zugriff und Datenschutz.
  • Verwenden Sie Tools, um die Konfiguration kontinuierlich zu messen, zu überwachen und durchzusetzen und so ein Abweichen der Konfiguration von der Baseline zu verhindern.
  • Entwickeln Sie ein Intervall, um mit Azure-Sicherheitsfeatures auf dem neuesten Stand zu bleiben. Abonnieren Sie beispielsweise Dienstupdates.
  • Verwenden Sie die Sicherheitsbewertung in Azure Defender für Cloud, um den Sicherheitskonfigurationsstatus von Azure regelmäßig zu überprüfen und die ermittelten Lücken zu beheben.

Das Sicherheitsrisikomanagement in Azure sollte die folgenden Sicherheitsaspekte umfassen:

  • Bewerten und beheben Sie Sicherheitsrisiken regelmäßig in allen Cloudressourcentypen wie nativen Azure-Diensten, Betriebssystemen und Anwendungskomponenten.
  • Verwenden Sie einen risikobasierten Ansatz, um die Bewertung und Korrektur zu priorisieren.
  • Abonnieren Sie die relevanten Microsoft-/Azure-Sicherheitshinweise und -Blogs, um die neuesten Sicherheitsupdates für Azure zu erhalten.
  • Stellen Sie sicher, dass die Sicherheitsrisikobewertung und -korrektur (z. B. Zeitplan, Umfang und Techniken) die regulären Complianceanforderungen für Ihre Organisation erfüllt.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-6: Definieren und Umsetzen einer Strategie für Identität und privilegierten Zugriff

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Azure-Leitfaden: Richten Sie einen Ansatz für Azure-Identität und privilegierten Zugriff im Rahmen der Gesamtstrategie Ihrer Organisation für die Sicherheitszugriffssteuerung ein. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Aspekte umfassen:

  • Zentralisiertes Identitäts- und Authentifizierungssystem (Azure AD) mit Interkonnektivität mit anderen internen und externen Identitätssystemen
  • Privilegierte Identität und Zugriffsgovernance (z. B. Zugriffsanforderung, Überprüfung und Genehmigung)
  • Privilegierte Konten in Notfallsituationen
  • Sichere Authentifizierungsmethoden (kennwortlose Authentifizierung und Multi-Faktor-Authentifizierung) in unterschiedlichen Anwendungsfällen und unter verschiedenen Bedingungen
  • Sicherer Zugriff durch administrative Vorgänge über das Azure-Portal, die CLI und eine API.

Stellen Sie für Ausnahmefälle, in denen kein Unternehmenssystem verwendet wird, sicher, dass geeignete Sicherheitskontrollen für die Identitäts-, Authentifizierungs- und Zugriffsverwaltung sowie Governance vorhanden sind. Diese Ausnahmen sollten vom Unternehmensteam genehmigt und regelmäßig überprüft werden. Diese Ausnahmen gelten in der Regel in folgenden Fällen:

  • Verwendung eines bestimmten nicht zum Unternehmen gehörenden Identitäts- und Authentifizierungssystems, z. B. eines cloudbasierten Drittanbietersystems (kann zu unbekannten Risiken führen)
  • Lokale Authentifizierung privilegierter Benutzer und/oder Verwendung unsicherer Authentifizierungsmethoden

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-7: Definieren und Umsetzen einer Strategie für Protokollierung, Bedrohungserkennung und Vorfallsreaktion

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Azure-Leitfaden: Richten Sie eine Strategie für Protokollierung, Bedrohungserkennung und Reaktion auf Vorfälle ein, um Bedrohungen schnell zu erkennen und zu beheben und Complianceanforderungen zu erfüllen. Das Sicherheitsteam (Security Operations, SecOps/SOC) sollte hochwertige Warnungen und eine nahtlose Funktionalität priorisieren, damit es sich auf Bedrohungen konzentrieren kann, anstatt sich mit der Protokollintegration und manuellen Schritten zu befassen.

In dieser Strategie sollten dokumentierte Richtlinien, Verfahren und Standards für die folgenden Aspekte berücksichtigt werden:

  • Rolle und Verantwortlichkeiten der Organisation für Sicherheitsvorgänge (SecOps)
  • Ein klar definierter und regelmäßig getesteter Plan für die Reaktion auf Vorfälle und ein Verarbeitungsprozess, der auf NIST oder andere Branchenframeworks ausgerichtet ist
  • Kommunikations- und Benachrichtigungsplan für Ihre Kunden, Lieferanten und öffentliche Interessengruppen
  • Bevorzugte Verwendung von XDR-Funktionen (Extended Detection and Response), z. B. Azure Defender-Funktionen zum Erkennen von Bedrohungen in den verschiedenen Bereichen
  • Verwendung von nativen Azure-Funktionen (z. B. Microsoft Defender für Cloud) und Plattformen von Drittanbietern für die Behandlung von Vorfällen, wie z. B. Protokollierung und Bedrohungserkennung, Forensik sowie Reduzierung und Bekämpfung von Angriffen
  • Definieren wichtiger Szenarien (z. B. Bedrohungserkennung, Reaktion auf Vorfälle und Konformität) und Einrichten der Protokollerfassung und -aufbewahrung zum Erfüllen der Anforderungen des jeweiligen Szenarios
  • Zentralisierte Sichtbarkeit von und Korrelationsinformationen zu Bedrohungen unter Verwendung von SIEM, nativen Azure-Funktionen zur Bedrohungserkennung und anderen Quellen
  • Aktivitäten nach einem Vorfall, z. B. gewonnene Erkenntnisse und Beweisaufbewahrung

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-8: Definieren und Umsetzen einer Strategie für Sicherung und Wiederherstellung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Azure-Leitfaden: Richten Sie eine Azure-Sicherungs- und Wiederherstellungsstrategie für Ihre Organisation ein. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Aspekte umfassen:

  • Definitionen für Recovery Time Objective (RTO) und Recovery Point Objective (RPO) in Übereinstimmung mit den Resilienzzielen Ihres Unternehmens und den Anforderungen zur Einhaltung gesetzlicher Bestimmungen.
  • Redundanzentwurf (einschließlich Sicherung, Wiederherstellung und Replikation) in Ihren Anwendungen und in der Infrastruktur sowohl in der Cloud als auch lokal. Berücksichtigen Sie bei Ihrer Strategie die regionale, regionspaarweise und regionsübergreifende Wiederherstellung sowie Speicherorte außerhalb des Standorts.
  • Schutz der Sicherung vor nicht autorisiertem Zugriff und Manipulation mithilfe von Kontrollen wie Datenzugriffssteuerung, Verschlüsselung und Netzwerksicherheit.
  • Verwendung von Sicherung und Wiederherstellung, um die Risiken durch neu entstehende Bedrohungen wie Ransomware-Angriffe zu minimieren. Schützen Sie außerdem die Sicherungs- und Wiederherstellungsdaten selbst vor diesen Angriffen.
  • Überwachen der Sicherungs- und Wiederherstellungsdaten und -vorgänge zu Überprüfungs- und Warnungszwecken.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-9: Definieren und Umsetzen einer Strategie für Endpunktsicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Azure-Leitfaden: Richten Sie eine Sicherheitsstrategie für Cloudendpunkte ein, die die folgenden Aspekte umfasst:

  • Stellen Sie die EDR- und Antischadsoftwarefunktion in Ihrem Endpunkt bereit, und integrieren Sie sie in die Bedrohungserkennung, die SIEM-Lösung und Sicherheitsvorgänge.
  • Befolgen Sie den Azure-Sicherheitsvergleichstest, um sicherzustellen, dass endpunktbezogene Sicherheitseinstellungen in anderen entsprechenden Bereichen (z. B. Netzwerksicherheit, Sicherheitsrisikomanagement, Identität und privilegierter Zugriff sowie Protokollierung und Bedrohungserkennung) ebenfalls vorhanden sind, um einen tiefgehenden Schutz für Ihren Endpunkt bereitzustellen.
  • Priorisieren Sie die Endpunktsicherheit in Ihrer Produktionsumgebung, aber stellen Sie sicher, dass auch die Nicht-Produktionsumgebungen (z. B. im DevOps-Prozess verwendete Test- und Buildumgebungen) geschützt und überwacht werden, da auch diese verwendet werden können, um Schadsoftware und Sicherheitsrisiken in die Produktion einzuschleusen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

GS-10: Definieren und Umsetzen einer Strategie für DevOps-Sicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Azure-Leitfaden: Sie müssen die Sicherheitskontrollen im Rahmen des DevOps-Engineering- und Betriebsstandards der Organisation anordnen. Definieren Sie die Sicherheitsziele, Kontrollanforderungen und Toolspezifikationen gemäß den Unternehmens- und Cloudsicherheitsstandards in Ihrer Organisation.

Fördern Sie die Verwendung von DevOps als wesentliches Betriebsmodell in Ihrer Organisation aufgrund der Vorteile im Hinblick auf die schnelle Identifikation und Korrektur von Sicherheitsrisiken mithilfe verschiedener Automatisierungstypen (z. B. Infrastruktur als Codebereitstellung und automatisierte SAST- und DAST-Scans) im gesamten CI/CD-Workflow. Dieser Shift-Left-Ansatz verbessert zudem die Sichtbarkeit und die Möglichkeit zum Erzwingen konsistenter Sicherheitsüberprüfungen in Ihrer Bereitstellungspipeline und stellt Sicherheitsmaßnahmen effektiv im Voraus in der Umgebung bereit, um unvorhergesehene Sicherheitsvorfälle bei der Bereitstellung einer Workload in der Produktion zu vermeiden.

Wenn Sie Sicherheitskontrollen in die Phasen vor der Bereitstellung verschieben (Shift Left), implementieren Sie Sicherheitsmaßnahmen, um sicherzustellen, dass die Kontrollen während des gesamten DevOps-Prozesses bereitgestellt und erzwungen werden. Diese Technologie kann Azure ARM-Vorlagen beinhalten, um Schutzmaßnahmen in der IaC (Infrastructure-as-Code), in der Ressourcenbereitstellung und in Azure Policy zu definieren. So können Sie überwachen und einschränken, welche Dienste oder Konfigurationen in der Umgebung bereitgestellt werden können.

Befolgen Sie den Azure-Sicherheitsvergleichstest für die Laufzeitsicherheitskontrollen Ihrer Workload, um effektive Kontrollen wie Identität und privilegierten Zugriff, Netzwerksicherheit, Endpunktsicherheit und Datenschutz in Ihren Workloadanwendungen und -diensten zu entwerfen und zu implementieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):