Empfehlungen zum Erstellen einer Sicherheitsbaseline
Gilt für die Empfehlung der Sicherheitsprüfliste für Azure Well-Architected Framework:
| SE:01 | Erstellen Sie eine Sicherheitsbaseline, die auf Complianceanforderungen, Branchenstandards und Plattformempfehlungen ausgerichtet ist. Messen Sie ihre Workloadarchitektur und -vorgänge regelmäßig anhand der Baseline, um Ihren Sicherheitsstatus im Laufe der Zeit aufrechtzuerhalten oder zu verbessern. |
|---|
In diesem Leitfaden werden die Empfehlungen zum Erstellen einer Sicherheitsbaseline beschrieben. Eine Sicherheitsbaseline ist ein Dokument, das die Mindestsicherheitsanforderungen und Erwartungen Ihrer organization in einer Reihe von Bereichen angibt. Eine gute Sicherheitsbaseline hilft Ihnen:
- Schützen Sie Ihre Daten und Systeme.
- Erfüllen Sie die gesetzlichen Anforderungen.
- Minimieren Sie das Aufsichtsrisiko.
- Verringern Sie die Wahrscheinlichkeit von Sicherheitsverletzungen und nachfolgenden geschäftlichen Auswirkungen.
Sicherheitsbaselines sollten im gesamten organization umfassend veröffentlicht werden, damit alle Beteiligten die Erwartungen kennen.
Dieser Leitfaden enthält Empfehlungen zum Festlegen einer Sicherheitsbaseline, die auf internen und externen Faktoren basiert. Zu den internen Faktoren gehören Geschäftsanforderungen, Risiken und Die Bewertung von Ressourcen. Zu den externen Faktoren gehören Branchenvergleichstests und regulierungsrechtliche Standards.
Definitionen
| Begriff | Definition |
|---|---|
| Grundwert | Das Mindestmaß an Sicherheitsangeboten, die eine Workload haben muss, um zu vermeiden, dass sie ausgenutzt wird. |
| Vergleichstest | Ein Standard, der den Vom organization angestrebten Sicherheitsstatus angibt. Sie wird im Laufe der Zeit ausgewertet, gemessen und verbessert. |
| Steuerelemente | Technische oder betriebliche Kontrollen für die Workload, die dazu beitragen, Angriffe zu verhindern und die Kosten für Angreifer zu erhöhen. |
| Rechtliche Anforderungen | Eine Reihe von Geschäftsanforderungen, die von Branchenstandards bestimmt werden, die von Gesetzen und Behörden vorgegeben werden. |
Wichtige Entwurfsstrategien
Eine Sicherheitsbaseline ist ein strukturiertes Dokument, das eine Reihe von Sicherheitskriterien und -funktionen definiert, die die Workload erfüllen muss, um die Sicherheit zu erhöhen. In einer ausgereifteren Form können Sie eine Baseline erweitern, um eine Reihe von Richtlinien einzuschließen, die Sie zum Festlegen von Schutzmaßnahmen verwenden.
Die Baseline sollte als Standard für die Messung Ihres Sicherheitsstatus betrachtet werden. Das Ziel sollte immer die vollständige Erreichung sein, wobei ein breiter Umfang beibehalten wird.
Ihre Sicherheitsbaseline sollte niemals ein Ad-hoc-Vorgang sein. Branchenstandards, Complianceanforderungen (intern oder extern) oder gesetzliche Anforderungen, regionale Anforderungen und die Benchmarks der Cloudplattform sind Standard Treiber für die Baseline. Beispiele hierfür sind Center for Internet Security (CIS) Controls, das National Institute of Standards and Technology (NIST) und plattformgesteuerte Standards wie Microsoft Cloud Security Benchmark (MCSB). Alle diese Standards gelten als Ausgangspunkt für Ihre Baseline. Schaffen Sie die Grundlage, indem Sie Sicherheitsanforderungen aus den Geschäftsanforderungen integrieren.
Links zu den vorherigen Ressourcen finden Sie unter Verwandte Links.
Erstellen Sie die Basislinie, indem Sie einen Konsens zwischen Unternehmens- und Technischen Führungskräften erzielen. Die Baseline sollte nicht auf technische Kontrollen beschränkt sein. Sie sollte auch die operativen Aspekte der Verwaltung und Aufrechterhaltung des Sicherheitsstatus enthalten. Daher dient das Basisdokument auch als die Verpflichtung der organization, in Die Workloadsicherheit zu investieren. Das Sicherheitsbaselinedokument sollte in Ihrem organization weit verbreitet sein, um sicherzustellen, dass der Sicherheitsstatus der Workload bekannt ist.
Wenn die Workload wächst und sich das Ökosystem weiterentwickelt, ist es wichtig, Ihre Baseline mit den Änderungen zu synchronisieren, um sicherzustellen, dass die grundlegenden Kontrollen weiterhin effektiv sind.
Das Erstellen einer Baseline ist ein methodischer Prozess. Im Folgenden finden Sie einige Empfehlungen zum Prozess:
Ressourcenbestand. Identifizieren sie Die Projektbeteiligten von Workloadressourcen und die Sicherheitsziele für diese Ressourcen. Klassifizieren Sie im Bestand nach Sicherheitsanforderungen und Kritikalität. Informationen zu Datenressourcen finden Sie unter Empfehlungen zur Datenklassifizierung.
Risikobewertung. Identifizieren Sie potenzielle Risiken, die mit den einzelnen Ressourcen verbunden sind, und priorisieren Sie sie.
Complianceanforderungen. Baseline aller gesetzlichen Bestimmungen oder Compliance für diese Ressourcen und Anwenden bewährter Methoden der Branche.
Konfigurationsstandards. Definieren und dokumentieren Sie bestimmte Sicherheitskonfigurationen und -einstellungen für jedes Medienobjekt. Wenn möglich, erstellen Oder suchen Sie nach einer wiederholbaren, automatisierten Methode, um die Einstellungen konsistent in der gesamten Umgebung anzuwenden.
Zugriffssteuerung und Authentifizierung. Geben Sie die Anforderungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) an. Dokumentieren Sie, was gerade genug Zugriff auf Ressourcenebene bedeutet. Starten Sie dabei immer nach dem Prinzip der geringsten Rechte.
Patchverwaltung: Wenden Sie die neuesten Versionen auf alle Ressourcentypen an, um angriffe zu verstärken.
Dokumentation und Kommunikation. Dokumentieren Sie alle Konfigurationen, Richtlinien und Prozeduren. Kommunizieren Sie die Details an die relevanten Projektbeteiligten.
Erzwingung und Verantwortlichkeit. Legen Sie klare Durchsetzungsmechanismen und Konsequenzen für die Nichteinhaltung der Sicherheitsbaseline fest. Personen und Teams für die Aufrechterhaltung von Sicherheitsstandards zur Rechenschaft zu halten.
Kontinuierliche Überwachung. Bewerten Sie die Effektivität der Sicherheitsbaseline durch Beobachtbarkeit, und nehmen Sie im Laufe der Zeit Verbesserungen vor.
Zusammensetzung einer Baseline
Im Folgenden finden Sie einige allgemeine Kategorien, die Teil einer Baseline sein sollten. Die folgende Liste ist nicht vollständig. Sie dient als Übersicht über den Gültigkeitsbereich des Dokuments.
Compliance
Eine Workload unterliegt möglicherweise der Einhaltung gesetzlicher Bestimmungen für bestimmte Branchensegmente, es kann einige geografische Einschränkungen geben usw. Es ist wichtig, die Anforderungen zu verstehen, die in den gesetzlichen Spezifikationen angegeben sind, da diese die Entwurfsentscheidungen beeinflussen und in einigen Fällen in die Architektur einbezogen werden müssen.
Die Baseline sollte eine regelmäßige Bewertung der Workload anhand gesetzlicher Anforderungen umfassen. Nutzen Sie die von der Plattform bereitgestellten Tools, z. B. Microsoft Defender für Cloud, mit denen Nichtkonformitätsbereiche identifiziert werden können. Arbeiten Sie mit dem Complianceteam des organization zusammen, um sicherzustellen, dass alle Anforderungen erfüllt und beibehalten werden.
Komponenten der Architektur
Die Baseline erfordert präskriptive Empfehlungen für die Standard Komponenten der Workload. Dazu gehören in der Regel technische Kontrollen für Netzwerke, Identität, Compute und Daten. Verweisen Sie auf die von der Plattform bereitgestellten Sicherheitsbaselines, und fügen Sie der Architektur die fehlenden Steuerelemente hinzu.
Weitere Informationen finden Sie unter Beispiel.
Entwicklungsprozesse
Die Baseline muss Empfehlungen zu folgenden Fragen enthalten:
- Systemklassifizierung.
- Der genehmigte Satz von Ressourcentypen.
- Nachverfolgen der Ressourcen.
- Erzwingen von Richtlinien für die Verwendung oder Konfiguration von Ressourcen.
Das Entwicklungsteam muss über ein klares Verständnis des Umfangs für Sicherheitsüberprüfungen verfügen. Beispielsweise ist die Bedrohungsmodellierung eine Anforderung, um sicherzustellen, dass potenzielle Bedrohungen im Code und in Bereitstellungspipelines identifiziert werden. Informieren Sie sich über statische Überprüfungen und Sicherheitsrisikoüberprüfungen in Ihrer Pipeline und darüber, wie regelmäßig das Team diese Überprüfungen durchführen muss.
Weitere Informationen finden Sie unter Empfehlungen zur Bedrohungsanalyse.
Der Entwicklungsprozess sollte auch Standards für verschiedene Testmethoden und deren Ablauf festlegen. Weitere Informationen finden Sie unter Empfehlungen zu Sicherheitstests.
Operations
Die Baseline muss Standards für die Verwendung von Bedrohungserkennungsfunktionen und das Auslösen von Warnungen für anomale Aktivitäten festlegen, die auf tatsächliche Vorfälle hinweisen. Die Bedrohungserkennung muss alle Ebenen der Workload umfassen, einschließlich aller Endpunkte, die von feindlichen Netzwerken aus erreichbar sind.
Die Baseline sollte Empfehlungen zum Einrichten von Prozessen zur Reaktion auf Vorfälle enthalten, einschließlich Kommunikation und eines Wiederherstellungsplans, und welche dieser Prozesse automatisiert werden können, um die Erkennung und Analyse zu beschleunigen. Beispiele finden Sie unter Übersicht über Sicherheitsbaselines für Azure.
Die Reaktion auf Vorfälle sollte auch einen Wiederherstellungsplan und die Anforderungen für diesen Plan enthalten, z. B. Ressourcen für die regelmäßige Erstellung und den Schutz von Sicherungen.
Sie entwickeln Pläne für Datenschutzverletzungen unter Verwendung von Branchenstandards und Empfehlungen, die von der Plattform bereitgestellt werden. Das Team verfügt dann über einen umfassenden Plan, den es verfolgen kann, wenn eine Sicherheitsverletzung entdeckt wird. Wenden Sie sich auch an Ihre organization, um zu überprüfen, ob es Eine Abdeckung durch Cyberversicherungen gibt.
Training
Entwickeln und verwalten Sie ein Sicherheitsschulungsprogramm, um sicherzustellen, dass das Workloadteam mit den entsprechenden Fähigkeiten ausgestattet ist, um die Sicherheitsziele und -anforderungen zu unterstützen. Das Team benötigt grundlegende Sicherheitsschulungen, aber verwenden Sie das, was Sie von Ihrem organization können, um spezialisierte Rollen zu unterstützen. Rollenbasierte Sicherheitsschulungen und die Teilnahme an Drills sind Teil Ihrer Sicherheitsbaseline.
Verwenden der Baseline
Verwenden Sie die Baseline, um Initiativen voranzutreiben, z. B.:
Vorbereitung auf Entwurfsentscheidungen. Erstellen Sie die Sicherheitsbaseline, und veröffentlichen Sie sie, bevor Sie mit dem Architekturentwurfsprozess beginnen. Stellen Sie sicher, dass die Teammitglieder die Erwartungen Ihrer organization frühzeitig vollständig kennen, wodurch kostspielige Nacharbeiten vermieden werden, die durch mangelnde Klarheit verursacht werden. Sie können Baselinekriterien als Workloadanforderungen verwenden, für die sich der organization verpflichtet hat, und Steuerelemente anhand dieser Einschränkungen entwerfen und überprüfen.
Messen Sie Ihren Entwurf. Bewerten Sie die aktuellen Entscheidungen anhand der aktuellen Baseline. Die Baseline legt tatsächliche Schwellenwerte für Kriterien fest. Dokumentieren Sie alle Abweichungen, die verzögert oder als langfristig akzeptabel erachtet werden.
Verbesserungen des Laufwerks. Während die Baseline erreichbare Ziele festlegt, gibt es immer Lücken. Priorisieren Sie die Lücken in Ihrem Backlog, und beheben Sie sie basierend auf der Priorisierung.
Verfolgen Sie Ihren Fortschritt anhand der Baseline. Eine kontinuierliche Überwachung der Sicherheitsmaßnahmen für eine festgelegte Baseline ist von entscheidender Bedeutung. Die Trendanalyse ist eine gute Möglichkeit, den Sicherheitsfortschritt im Zeitverlauf zu überprüfen und kann konsistente Abweichungen von der Baseline aufdecken. Verwenden Sie die Automatisierung so weit wie möglich, indem Sie Daten aus verschiedenen internen und externen Quellen abrufen, um aktuelle Probleme zu beheben und sich auf zukünftige Bedrohungen vorzubereiten.
Legen Sie Leitplanken fest. Nach Möglichkeit müssen Ihre Basiskriterien über Leitplanken verfügen. Guardrails erzwingen erforderliche Sicherheitskonfigurationen, Technologien und Vorgänge basierend auf internen und externen Faktoren. Interne Faktoren umfassen geschäftsspezifische Anforderungen, Risiken und Die Bewertung von Ressourcen. Externe Faktoren sind Benchmarks, regulatorische Standards und Bedrohungsumgebungen. Leitplanken tragen dazu bei, das Risiko unbeabsichtigter Aufsicht und Strafen bei Nichteinhaltung zu minimieren.
Erkunden Sie Azure Policy für benutzerdefinierte Optionen oder verwenden Sie integrierte Initiativen wie CIS-Benchmarks oder Azure Security Benchmarks, um Sicherheitskonfigurationen und Complianceanforderungen zu erzwingen. Erwägen Sie die Erstellung von Azure Policies und Initiativen aus Baselines.
Regelmäßiges Auswerten der Baseline
Verbessern Sie die Sicherheitsstandards kontinuierlich inkrementell in Richtung des idealen Zustands, um eine kontinuierliche Risikominderung sicherzustellen. Führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass das System auf dem neuesten Stand ist und externen Einflüssen entspricht. Jede Änderung der Baseline muss formal, vereinbart und über geeignete Änderungsverwaltungsprozesse gesendet werden.
Messen Sie das System anhand der neuen Baseline, und priorisieren Sie Korrekturen basierend auf ihrer Relevanz und Auswirkung auf die Workload.
Stellen Sie sicher, dass der Sicherheitsstatus im Laufe der Zeit nicht beeinträchtigt wird, indem Sie die Überwachung und Überwachung der Einhaltung der Organisationsstandards veranlassen.
Azure-Erleichterung
Der Microsoft Cloud Security Benchmark (MCSB) ist ein umfassendes Bewährtes Sicherheitsframework, das Sie als Ausgangspunkt für Ihre Sicherheitsbaseline verwenden können. Verwenden Sie es zusammen mit anderen Ressourcen, die Eingaben für Ihre Baseline bereitstellen.
Weitere Informationen finden Sie unter Einführung in den Microsoft-Cloudsicherheitstest.
Verwenden Sie die Microsoft Defender für Cloud (MDC)-Dashboard, um diese Baselines nachzuverfolgen und benachrichtigt zu werden, wenn ein Muster außerhalb einer Baseline erkannt wird. Weitere Informationen finden Sie unter Anpassen der Standards in Ihrer Dashboard.
Weitere Features, die beim Einrichten und Verbessern der Baseline helfen:
Erstellen von benutzerdefinierten Azure-Sicherheitsrichtlinien
Grundlegendes zu Sicherheitsrichtlinien, Initiativen und Empfehlungen
Beispiel
Dieses logische Diagramm zeigt eine Beispiel-Sicherheitsbaseline für Architekturkomponenten, die Netzwerk, Infrastruktur, Endpunkt, Anwendung, Daten und Identität umfassen, um zu veranschaulichen, wie eine allgemeine IT-Umgebung sicher geschützt werden kann. Andere Empfehlungshandbücher bauen auf diesem Beispiel auf.
Infrastruktur
Eine allgemeine IT-Umgebung mit einer lokalen Ebene mit grundlegenden Ressourcen.
Azure-Sicherheitsdienste
Azure-Sicherheitsdienste und -features nach den Ressourcentypen, die sie schützen.
Azure-Sicherheitsüberwachungsdienste
Die in Azure verfügbaren Überwachungsdienste, die über einfache Überwachungsdienste hinausgehen, einschließlich SIEM-Lösungen (Security Information Event Management) und SoAR (Security Orchestration Automated Response) und Microsoft Defender für Cloud.
Bedrohungen
Diese Schicht enthält eine Empfehlung und Erinnerung daran, dass Bedrohungen gemäß den Bedenken Ihrer organization bezüglich Bedrohungen zugeordnet werden können, unabhängig von der Methodik oder matrixähnlichen Mitre-Angriffsmatrix oder Cyber Kill Chain.
Organisationsausrichtung
Cloud Adoption Framework bietet Anleitungen für zentrale Teams zum Einrichten einer Baseline mit einer vorgeschlagenen Vorlage:
Verwandte Links
Communitylinks
Checkliste für die Sicherheit
Weitere Informationen finden Sie im vollständigen Satz von Empfehlungen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für