Control de seguridad: gobernanza y estrategia
La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.
GS-1: alineación de los roles y responsabilidades de la organización
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Guía general: asegúrese de definir y comunicar una estrategia clara para roles y responsabilidades en su organización de seguridad. Dé prioridad a proporcionar una responsabilidad clara para las decisiones de seguridad, educar a todos en el modelo de responsabilidad compartida y educar a los equipos técnicos sobre la tecnología para proteger la nube.
Implementación y contexto adicional:
- Procedimiento recomendado de seguridad de Azure 1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube
- Procedimiento recomendado de seguridad de Azure 2. Personas: Formación del equipo en tecnología de seguridad de la nube
- Procedimiento recomendado de seguridad de Azure 3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube
Partes interesadas de la seguridad del cliente (más información):
GS-2: Definición e implementación de la estrategia de segmentación o separación de los derechos de acceso en la empresa
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Guía general: establezca una estrategia de toda la empresa para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.
Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.
Asegúrese de que la estrategia de segmentación se implementa de forma coherente en la carga de trabajo, incluyendo la seguridad de red, los modelos de identidad y acceso, los modelos de accesos y permisos de las aplicaciones, y los controles de los procesos humanos.
Implementación y contexto adicional:
- Seguridad en Microsoft Cloud Adoption Framework para Azure. Segmentación: separar para proteger
- Seguridad en Microsoft Cloud Adoption Framework para Azure. Arquitectura: establecimiento de una única estrategia de seguridad unificada
Partes interesadas de la seguridad del cliente (más información):
GS-3: definición e implementación de una estrategia de protección de datos
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Guía general: establezca una estrategia de toda la empresa para la protección de datos en el entorno en la nube:
- Defina y aplique el estándar de clasificación y protección de datos, de acuerdo con el estándar de administración de datos de la empresa y con el cumplimiento normativo, para dictar los controles de seguridad necesarios para cada nivel de la clasificación de datos.
- Configure la jerarquía de administración de recursos en la nube, alineada con la estrategia de segmentación de la empresa. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.
- Defina y aplique los principios de confianza cero aplicables en el entorno de la nube. Así se evita la implementación de la confianza basada en la ubicación de red dentro de un perímetro. En su lugar, use notificaciones de confianza del usuario y del dispositivo, para regular el acceso a datos y recursos.
- Realice un seguimiento y minimice la superficie de datos confidenciales (almacenamiento, transmisión y procesamiento) en toda la empresa para reducir el costo de protección de datos y superficie expuesta a ataques. Considere técnicas como el hash unidireccional, el truncamiento y la tokenización en la carga de trabajo siempre que sea posible, para evitar almacenar y transmitir datos confidenciales en su forma original.
- Asegúrese de que tiene una estrategia completa de control del ciclo de vida, para proporcionar garantía de seguridad de los datos y las claves de acceso.
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: protección de datos
- Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de los datos de Azure
- Aspectos básicos de la seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure
Partes interesadas de la seguridad del cliente (más información):
GS-4: definición e implementación de una estrategia de seguridad de red
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Guía general: establezca una estrategia de seguridad de red en la nube como parte de la estrategia de seguridad general de su organización para el control de acceso. Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:
- Diseñe un modelo centralizado o descentralizado de administración de redes y responsabilidades de seguridad, para implementar y mantener los recursos de red.
- Un modelo de segmentación de la red virtual, alineado con la estrategia de segmentación de la empresa.
- Una estrategia perimetral y de entrada y salida de Internet.
- Una estrategia de interconectividad entre el entorno local y la nube híbrida.
- Una estrategia de supervisión y registro de red.
- Artefactos de seguridad de red actualizados (como diagramas de red, arquitectura de red de referencia).
Implementación y contexto adicional:
- Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única
- Microsoft banco de pruebas de seguridad en la nube: seguridad de red
- Azure Network Security Overview (Información general sobre Azure Network Security)
- Estrategia para la arquitectura de red empresarial
Partes interesadas de la seguridad del cliente (más información):
GS-5: definición e implementación de la estrategia de administración de la postura de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Guía general: establezca una directiva, un procedimiento y un estándar para asegurarse de que la administración de la configuración de seguridad y la administración de vulnerabilidades están en su mandato de seguridad en la nube.
La administración de la configuración de seguridad en la nube debe incluir las siguientes áreas:
- Defina las líneas base de configuración seguras para diferentes tipos de recursos en la nube, como el portal web o la consola, la administración y el plano de control, y los recursos que se ejecutan en los servicios IaaS, PaaS y SaaS.
- Asegúrese de que las líneas base de seguridad abordan los riesgos en diferentes áreas de control, como la seguridad de red, la administración de identidades, el acceso con privilegios, la protección de datos, etc.
- Use herramientas para medir, auditar y aplicar continuamente la configuración, para evitar que se desvíe de la línea base.
- Desarrolle una cadencia para mantenerse actualizada con las características de seguridad, por ejemplo, suscríbase a las actualizaciones del servicio.
- Use un mecanismo de comprobación de cumplimiento o estado de seguridad (como puntuación de seguridad, panel de cumplimiento en Microsoft Defender para la nube) para revisar periódicamente la posición de configuración de seguridad y corregir las brechas identificadas.
La administración de vulnerabilidades en la nube debe incluir los siguientes aspectos de seguridad:
- Evalúe y corrija periódicamente las vulnerabilidades en todos los tipos de recursos en la nube, como los servicios nativos en la nube, los sistemas operativos y los componentes de la aplicación.
- Use un enfoque basado en riesgos para priorizar la evaluación y la corrección.
- Suscríbase a los avisos de seguridad y blogs de CSPM pertinentes para recibir las actualizaciones de seguridad más recientes.
- Asegúrese de que la evaluación y corrección de vulnerabilidades (por ejemplo, programación, ámbito y técnicas) cumplen los requisitos de cumplimiento de su organización.dule, ámbito y técnicas) cumplen los requisitos de cumplimiento periódicamente para su organización.
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: administración de posturas y vulnerabilidades
- Procedimiento recomendado de seguridad de Azure 9: establecimiento de la administración de la posición de seguridad
Partes interesadas de la seguridad del cliente (más información):
GS-6: definición e implementación de la estrategia de identidad y acceso con privilegios
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Guía general: establezca una identidad en la nube y un enfoque de acceso con privilegios como parte de la estrategia general de control de acceso de seguridad de su organización. Esta estrategia debe incluir guías, directivas y estándares documentados para los siguientes aspectos:
- Sistema centralizado de identidad y autenticación (como Azure AD) y su interconectividad con otros sistemas de identidades internos y externos
- Identidad con privilegios y gobernanza de acceso (por ejemplo, solicitud de acceso, revisión y aprobación)
- Cuentas con privilegios en situaciones de emergencia máxima
- Métodos de autenticación segura (autenticación sin contraseña y autenticación multifactor) en diferentes casos de uso y condiciones.
- Proteja el acceso mediante operaciones administrativas a través del portal web o la consola, la línea de comandos y la API.
En los casos de excepción, en los que no se usa un sistema empresarial, asegúrese de que se han implementado controles de seguridad adecuados para la administración de identidades, autenticación y acceso, y se rigen. El equipo de la empresa debe aprobar y revisar periódicamente estas excepciones. Estas excepciones se suelen encontrar en casos como:
- Uso de un sistema de autenticación e identidad no designado por la empresa, como sistemas de terceros basados en la nube (pueden presentar riesgos desconocidos)
- Los usuarios con privilegios se autentican localmente o usan métodos de autenticación no sólidos
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: administración de identidades
- Microsoft banco de pruebas de seguridad en la nube: acceso con privilegios
- Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única
- Información general sobre seguridad de administración de identidades de Azure
Partes interesadas de la seguridad del cliente (más información):
GS-7: definición e implementación de una estrategia de registro, detección de amenazas y respuesta ante incidentes
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Guía general: establezca una estrategia de registro, detección de amenazas e respuesta a incidentes para detectar y corregir rápidamente amenazas y cumplir los requisitos de cumplimiento. El equipo de operaciones de seguridad (SecOps/SOC) debe priorizar las alertas de alta calidad y las experiencias sin problemas, para que puedan centrarse en las amenazas, en lugar de en la integración de registros y los pasos manuales. Esta estrategia debe incluir directivas, procedimientos y estándares documentados para los siguientes aspectos:
- Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)
- Un plan de respuesta a incidentes bien definido y probado periódicamente y un proceso de control que se alinea con NIST SP 800-61 (Guía de control de incidentes de seguridad de equipos) u otros marcos del sector.
- Plan de comunicación y notificación con los clientes, proveedores y entidades públicas de interés.
- Simulación de eventos de seguridad esperados e inesperados en el entorno de nube para comprender la eficacia de la preparación. Itere en el resultado de la simulación para mejorar la escala de la posición de respuesta, reducir el tiempo de valor y reducir aún más el riesgo.
- Preferencia de usar funcionalidades de detección y respuesta extendidas (XDR), como las funcionalidades de Azure Defender, para detectar amenazas en varias áreas.
- Uso de la funcionalidad nativa de nube (por ejemplo, como Microsoft Defender for Cloud) y plataformas de terceros para el control de incidentes, como el registro y la detección de amenazas, análisis forenses y corrección y erradicación de ataques.
- Prepare los runbooks necesarios, tanto manuales como automatizados, para garantizar respuestas confiables y coherentes.
- Definición de escenarios clave (como la detección de amenazas, la respuesta a incidentes y el cumplimiento) y configure la captura y retención de registros para cumplir los requisitos del escenario.
- Visibilidad centralizada y la información de correlación sobre las amenazas, mediante SIEM, la funcionalidad nativa de detección de amenazas en la nube y otros orígenes.
- Actividades posteriores al incidente, como las lecciones aprendidas y la retención de pruebas.
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: registro y detección de amenazas
- Microsoft banco de pruebas de seguridad en la nube: respuesta a incidentes
- Procedimiento recomendado de seguridad de Azure 4: Proceso. Actualización de los procesos de respuesta a incidentes para la nube
- Guía de decisiones sobre registros e informes en Azure Adoption Framework
- Escala, administración y supervisión empresarial de Azure
- Guía de control de incidentes de seguridad de equipos de NIST SP 800-61
Partes interesadas de la seguridad del cliente (más información):
GS-8: definición e implementación de una estrategia de copia de seguridad y recuperación
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Guía general: establezca una estrategia de copia de seguridad y recuperación para su organización. Esta estrategia debe incluir guías, directivas y estándares documentados en los siguientes aspectos:
- Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), de acuerdo con los objetivos de resistencia y con los requisitos de cumplimiento normativo de su negocio.
- Diseño de redundancia (incluida la copia de seguridad, restauración y replicación) en las aplicaciones y en la infraestructura, tanto en la nube como en el entorno local. Considere la posibilidad de usar la ubicación regional, de pares de regiones, de recuperación entre regiones y de almacenamiento fuera del sitio, como parte de su estrategia.
- Protección de la copia de seguridad frente a accesos no autorizados y alteraciones, mediante controles como el control de acceso a datos, el cifrado y la seguridad de red.
- Uso de copias de seguridad y recuperación para mitigar los riesgos de amenazas emergentes, como ataques de ransomware. Además, proteja los propios datos de copia de seguridad y de recuperación de estos ataques.
- Supervisión de los datos y las operaciones de copia de seguridad y de recuperación con fines de auditoría y alertas.
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: copia de seguridad y recuperación de Azure Well-Architecture Framework: copia de seguridad y recuperación ante desastres para aplicaciones de Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework: continuidad empresarial y recuperación ante desastres
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
Partes interesadas de la seguridad del cliente (más información):
GS-9: definición e implementación de una estrategia de seguridad de punto de conexión
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Guía general: establezca una estrategia de seguridad de puntos de conexión en la nube que incluya los siguientes aspectos: implemente la detección de puntos de conexión y la respuesta y la funcionalidad antimalware en el punto de conexión e integre con la solución SIEM y la detección de amenazas y el proceso de operaciones de seguridad.
- Siga el Microsoft Cloud Security Benchmark para asegurarse de que la configuración de seguridad relacionada con los puntos de conexión en otras áreas respectivas (como la seguridad de red, la administración de vulnerabilidades de posición, el acceso con privilegios y la identidad, y el registro y las detecciones de amenazas) también están en vigor para proporcionar una protección en profundidad de defensa para el punto de conexión.
- Priorice la seguridad de los puntos de conexión en el entorno de producción, pero asegúrese de que los entornos que no son de producción (como el entorno de prueba y compilación que se usa en el proceso de DevOps) también están protegidos y supervisados, ya que estos entornos también se pueden usar para introducir malware y vulnerabilidades en el entorno de producción.
Implementación y contexto adicional:
- Microsoft prueba comparativa de seguridad en la nube: seguridad de los puntos de conexión
- Procedimientos recomendados para la seguridad de los puntos de conexión en Azure
Partes interesadas de la seguridad del cliente (más información):
GS-10: definición e implementación de una estrategia de seguridad de DevOps
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Guía general: exija los controles de seguridad como parte del estándar de ingeniería y operación de DevOps de la organización. Defina los objetivos de seguridad, los requisitos de control y las especificaciones de herramientas, de acuerdo con los estándares de seguridad empresarial y en la nube de su organización.
Fomente el uso de DevOps como modelo operativo esencial en su organización, por sus ventajas a la hora de identificar y corregir vulnerabilidades rápidamente, mediante diferentes tipos de automatizaciones (por ejemplo, la infraestructura como aprovisionamiento de código y el examen automatizado de SAST y DAST) en todo el flujo de trabajo de CI/CD. Este enfoque de "desplazamiento a la izquierda" también aumenta la visibilidad y la capacidad de aplicar comprobaciones de seguridad coherentes en la canalización de implementación, implementando eficazmente límites de seguridad en el entorno con antelación para evitar sorpresas de seguridad de último minuto al implementar una carga de trabajo en producción.
A la vez que desplaza a la izquierda los controles de seguridad en las fases previas a la implementación, implemente barreras de seguridad para asegurarse de que los controles se implementan y aplican a lo largo del proceso de DevOps. Esta tecnología podría incluir plantillas de implementación de recursos (como la plantilla de Azure ARM) para definir límites de protección en iaC (infraestructura como código), el aprovisionamiento de recursos y la auditoría para restringir qué servicios o configuraciones se pueden aprovisionar en el entorno.
Para los controles de seguridad en tiempo de ejecución de la carga de trabajo, siga la Microsoft Cloud Security Benchmark para diseñar e implementar los controles efectivos, como el acceso con privilegios e identidades, la seguridad de red, la seguridad de los puntos de conexión y la protección de datos dentro de las aplicaciones y servicios de carga de trabajo.
Implementación y contexto adicional:
- Microsoft banco de pruebas de seguridad en la nube: seguridad de DevOps
- Protección de DevOps
- Cloud Adoption Framework: DevSecOps controlainstrucciones generales Partesinteresadas de la seguridad del cliente (más información)**:
- Todas las partes interesadas
GS-11: Definición e implementación de una estrategia de seguridad de varias nubes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | No aplicable | No aplicable |
Guía general: asegúrese de que se define una estrategia de varias nubes en el proceso de gobernanza de la nube y seguridad, administración de riesgos y operación, que debe incluir los siguientes aspectos:
- Adopción de varias nubes: para las organizaciones que operan la infraestructura de varias nubes e Instruir a su organización para asegurarse de que los equipos comprendan la diferencia de características entre las plataformas en la nube y la pila tecnológica. Compile, implemente o migre soluciones que son portátiles. Permita la facilidad de movimiento entre plataformas en la nube con un bloqueo mínimo del proveedor mientras se usan características nativas de nube adecuadamente para obtener el resultado óptimo de la adopción de la nube.
- Operaciones de nube y seguridad: optimice las operaciones de seguridad para admitir las soluciones en cada nube, a través de un conjunto central de procesos de gobernanza y administración que comparten procesos de operaciones comunes, independientemente de dónde se implemente y funcione la solución.
- Herramientas y pila de tecnología: elija las herramientas adecuadas que admiten el entorno multinube para ayudar a establecer plataformas de administración unificadas y centralizadas que pueden incluir todos los dominios de seguridad descritos en esta prueba comparativa de seguridad.
Implementación y contexto adicional: