Control de seguridad v3: gobernanza y estrategia
La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.
GS-1: alineación de los roles y responsabilidades de la organización
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Guía de Azure: asegúrese de definir y comunicar una estrategia clara para los roles y las responsabilidades de la organización de seguridad. Dé prioridad a ofrecer una responsabilidad clara en las decisiones de seguridad, a proporcionar a todos los usuarios formación sobre el modelo de responsabilidad compartida y a los equipos técnicos sobre la tecnología para proteger la nube.
Implementación y contexto adicional:
- Procedimiento recomendado de seguridad de Azure 1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube
- Procedimiento recomendado de seguridad de Azure 2. Personas: Formación del equipo en tecnología de seguridad de la nube
- Procedimiento recomendado de seguridad de Azure 3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube
Partes interesadas de la seguridad del cliente (Más información):
GS-2: Definición e implementación de la estrategia de segmentación o separación de los derechos de acceso en la empresa
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Guía de Azure: establezca una estrategia, en toda la empresa, para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.
Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.
Asegúrese de que la estrategia de segmentación se implementa de forma coherente en la carga de trabajo, incluyendo la seguridad de red, los modelos de identidad y acceso, los modelos de accesos y permisos de las aplicaciones, y los controles de los procesos humanos.
Implementación y contexto adicional:
- Seguridad en Microsoft Cloud Adoption Framework para Azure. Segmentación: separar para proteger
- Seguridad en Microsoft Cloud Adoption Framework para Azure. Arquitectura: establecimiento de una única estrategia de seguridad unificada
Partes interesadas de la seguridad del cliente (Más información):
GS-3: definición e implementación de una estrategia de protección de datos
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Guía de Azure: establezca una estrategia en toda la empresa para la protección de datos en Azure:
- Defina y aplique el estándar de clasificación y protección de datos, de acuerdo con el estándar de administración de datos de la empresa y con el cumplimiento normativo, para dictar los controles de seguridad necesarios para cada nivel de la clasificación de datos.
- Configure la jerarquía de administración de recursos en la nube, alineada con la estrategia de segmentación de la empresa. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.
- Defina y aplique los principios de confianza cero aplicables en el entorno de la nube. Así se evita la implementación de la confianza basada en la ubicación de red dentro de un perímetro. En su lugar, use notificaciones de confianza del usuario y del dispositivo, para regular el acceso a datos y recursos.
- Supervise y minimice la superficie de datos confidenciales (almacenamiento, transmisión y procesamiento) en toda la empresa, para reducir la superficie de ataque y el coste de la protección de datos. Considere técnicas como el hash unidireccional, el truncamiento y la tokenización en la carga de trabajo siempre que sea posible, para evitar almacenar y transmitir datos confidenciales en su forma original.
- Asegúrese de que tiene una estrategia completa de control del ciclo de vida, para proporcionar garantía de seguridad de los datos y las claves de acceso.
Implementación y contexto adicional:
- Azure Security Benchmark: protección de datos
- Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de los datos de Azure
- Aspectos básicos de la seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure
Partes interesadas de la seguridad del cliente (Más información):
GS-4: definición e implementación de una estrategia de seguridad de red
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Guía de Azure: establezca una estrategia de seguridad de red de Azure, como parte de la estrategia de seguridad general de su organización para el control de acceso. Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:
- Diseñe un modelo centralizado o descentralizado de administración de redes y responsabilidades de seguridad, para implementar y mantener los recursos de red.
- Un modelo de segmentación de la red virtual, alineado con la estrategia de segmentación de la empresa.
- Una estrategia perimetral y de entrada y salida de Internet.
- Una estrategia de interconectividad entre el entorno local y la nube híbrida.
- Una estrategia de supervisión y registro de red.
- Unos artefactos de seguridad de red actualizados (por ejemplo, diagramas de red y arquitectura de red de referencia).
Implementación y contexto adicional:
- Procedimiento recomendado de seguridad de Azure 11: arquitectura. Estrategia de seguridad unificada única
- Azure Security Benchmark: seguridad de red
- Azure Network Security Overview (Información general sobre Azure Network Security)
- Estrategia para la arquitectura de red empresarial
Partes interesadas de la seguridad del cliente (Más información):
GS-5: definición e implementación de la estrategia de administración de la postura de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Guía de Azure: establezca una directiva, un procedimiento y un estándar, para garantizar que la administración de la configuración de seguridad y la administración de vulnerabilidades están donde deben, respecto a su obligación de seguridad en la nube.
La administración de la configuración de seguridad en Azure debe incluir las siguientes áreas:
- Defina las líneas base de configuración seguras para diferentes tipos de recursos en la nube, como el Azure Portal, el plano de administración y control, y los recursos que se ejecutan en los servicios IaaS, PaaS y SaaS.
- Asegúrese de que las líneas base de seguridad abordan los riesgos en diferentes áreas de control, como la seguridad de red, la administración de identidades, el acceso con privilegios, la protección de datos, etc.
- Use herramientas para medir, auditar y aplicar continuamente la configuración, para evitar que se desvíe de la línea base.
- Desarrolle una cadencia para mantenerse al día con las características de seguridad de Azure. Por ejemplo, suscríbase a las actualizaciones del servicio.
- Use Secure Score (Puntuación de seguridad) en Azure Defender for Cloud, para revisar periódicamente la posición de la configuración de seguridad de Azure y corregir las brechas identificadas.
La administración de vulnerabilidades en Azure debe incluir los siguientes aspectos de seguridad:
- Evalúe y corrija periódicamente las vulnerabilidades en todos los tipos de recursos en la nube, como los servicios nativos de Azure, los sistemas operativos y los componentes de la aplicación.
- Use un enfoque basado en riesgos para priorizar la evaluación y la corrección.
- Suscríbase a los blogs y avisos de seguridad pertinentes de Microsoft o Azure, para recibir las actualizaciones de seguridad más recientes sobre Azure.
- Asegúrese regularmente de que la evaluación y corrección de vulnerabilidades (por ejemplo, programación, ámbito y técnicas) cumplen los requisitos de cumplimiento de su organización.
Implementación y contexto adicional:
- Azure Security Benchmark: administración de posturas y vulnerabilidades
- Procedimiento recomendado de seguridad de Azure 9: establecimiento de la administración de la posición de seguridad
Partes interesadas de la seguridad del cliente (Más información):
GS-6: definición e implementación de la estrategia de identidad y acceso con privilegios
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Guía de Azure: establezca una identidad de Azure y un enfoque de acceso con privilegios como parte de la estrategia general de control de acceso de seguridad de su organización. Esta estrategia debe incluir guías, directivas y estándares documentados para los siguientes aspectos:
- Sistema de identidad y autenticación centralizado (Azure AD) y su interconectividad con otros sistemas de identidad internos y externos
- Identidad con privilegios y gobernanza de acceso (por ejemplo, solicitud de acceso, revisión y aprobación)
- Cuentas con privilegios en situaciones de emergencia máxima
- Métodos de autenticación sólida (autenticación sin contraseña y autenticación multifactor) en diferentes casos de uso y condiciones
- Proteja el acceso mediante operaciones administrativas con Azure Portal, su CLI y su API.
En los casos de excepción, en los que no se usa un sistema de la empresa, asegúrese de que los controles de seguridad adecuados están donde deben, para la identidad, la autenticación y la administración del acceso y la gobernanza. El equipo de la empresa debe aprobar y revisar periódicamente estas excepciones. Estas excepciones se suelen encontrar en casos como:
- Uso de un sistema de autenticación e identidad no designado por la empresa, como sistemas de terceros basados en la nube (pueden presentar riesgos desconocidos)
- Los usuarios con privilegios se autentican localmente o usan métodos de autenticación no sólidos
Implementación y contexto adicional:
- Azure Security Benchmark: administración de identidades
- Azure Security Benchmark: acceso con privilegios
- Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única
- Información general sobre seguridad de administración de identidades de Azure
Partes interesadas de la seguridad del cliente (Más información):
GS-7: definición e implementación de una estrategia de registro, detección de amenazas y respuesta ante incidentes
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Guía de Azure: establezca una estrategia de registro, detección de amenazas y respuesta ante incidentes, para detectar y corregir rápidamente las amenazas y cumplir los requisitos de cumplimiento. El equipo de operaciones de seguridad (SecOps/SOC) debe priorizar las alertas de alta calidad y las experiencias sin problemas, para que puedan centrarse en las amenazas, en lugar de en la integración de registros y los pasos manuales.
Esta estrategia debe incluir directivas, procedimientos y estándares documentados para los siguientes aspectos:
- Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)
- Un proceso de control y plan de respuesta a incidentes bien definido y probado con regularidad, que se alinea con NIST o con otros marcos del sector.
- Plan de comunicación y notificación con los clientes, proveedores y entidades públicas de interés.
- Preferencia por el uso de funcionalidades de detección y respuesta extendidas (XDR), como las funcionalidades de Azure Defender para detectar amenazas en las distintas áreas.
- Uso de la funcionalidad nativa de Azure (como en Microsoft Defender for Cloud) y de plataformas de terceros para el tratamiento de incidentes, como el registro y la detección de amenazas, los análisis forenses y la corrección y erradicación de ataques.
- Definición de escenarios clave (como la detección de amenazas, la respuesta a incidentes y el cumplimiento) y configure la captura y retención de registros para cumplir los requisitos del escenario.
- Visibilidad y correlación centralizada de la información sobre amenazas, mediante el uso de SIEM, de la funcionalidad nativa de detección de amenazas de Azure y de otros orígenes.
- Actividades posteriores al incidente, como las lecciones aprendidas y la retención de pruebas.
Implementación y contexto adicional:
- Azure Security Benchmark: registro y detección de amenazas
- Azure Security Benchmark: respuesta a incidentes
- Procedimiento recomendado de seguridad de Azure 4: Proceso. Actualización de los procesos de respuesta a incidentes para la nube
- Guía de decisiones sobre registros e informes en Azure Adoption Framework
- Escala, administración y supervisión empresarial de Azure
Partes interesadas de la seguridad del cliente (Más información):
GS-8: definición e implementación de una estrategia de copia de seguridad y recuperación
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Guía de Azure: establezca una estrategia de copia de seguridad y recuperación de Azure para su organización. Esta estrategia debe incluir guías, directivas y estándares documentados en los siguientes aspectos:
- Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), de acuerdo con los objetivos de resistencia y con los requisitos de cumplimiento normativo de su negocio.
- Diseño de redundancia (incluida la copia de seguridad, restauración y replicación) en las aplicaciones y en la infraestructura, tanto en la nube como en el entorno local. Considere la posibilidad de usar la ubicación regional, de pares de regiones, de recuperación entre regiones y de almacenamiento fuera del sitio, como parte de su estrategia.
- Protección de la copia de seguridad frente a accesos no autorizados y alteraciones, mediante controles como el control de acceso a datos, el cifrado y la seguridad de red.
- Uso de copias de seguridad y de la recuperación para mitigar los riesgos de amenazas emergentes, como el ataque de ransomware. Además, proteja los propios datos de copia de seguridad y de recuperación de estos ataques.
- Supervisión de los datos y las operaciones de copia de seguridad y de recuperación con fines de auditoría y alertas.
Implementación y contexto adicional:
- Azure Security Benchmark: copia de seguridad y recuperación
- Marco de buena arquitectura de Azure: copia de seguridad y recuperación ante desastres para aplicaciones de Azure
- Azure Adoption Framework: continuidad empresarial y recuperación ante desastres
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
Partes interesadas de la seguridad del cliente (Más información):
GS-9: definición e implementación de una estrategia de seguridad de punto de conexión
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Guía de Azure: establezca una estrategia de seguridad de punto de conexión de nube, que incluya los siguientes aspectos:
- Implemente la funcionalidad de detección y respuesta de puntos de conexión y antimalware en el punto de conexión, e intégrela con la detección de amenazas, la solución de SIEM y el proceso de operaciones de seguridad.
- Siga Azure Security Benchmark para asegurarse de que la configuración de seguridad relacionada con los puntos de conexión en otras áreas respectivas (como la seguridad de red, la administración de vulnerabilidades de posición, la identidad y el acceso con privilegios, y el registro y las detecciones de amenazas) también están donde deben, para proporcionar una protección de defensa en profundidad para el punto de conexión.
- Dé prioridad a la seguridad del punto de conexión en el entorno de producción, pero asegúrese de que los entornos que no son de producción (como el entorno de prueba y compilación usado en el proceso de DevOps) también están protegidos y supervisados, ya que estos entornos también se pueden usar para introducir el malware y las vulnerabilidades en la producción.
Implementación y contexto adicional:
- Azure Security Benchmark: seguridad del punto de conexión
- Procedimientos recomendados para la seguridad de los puntos de conexión en Azure
Partes interesadas de la seguridad del cliente (Más información):
GS-10: definición e implementación de una estrategia de seguridad de DevOps
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Guía de Azure: exija los controles de seguridad como parte del estándar de operación e ingeniería del DevOps de la organización. Defina los objetivos de seguridad, los requisitos de control y las especificaciones de herramientas, de acuerdo con los estándares de seguridad empresarial y en la nube de su organización.
Fomente el uso de DevOps como modelo operativo esencial en su organización, por sus ventajas a la hora de identificar y corregir vulnerabilidades rápidamente, mediante diferentes tipos de automatizaciones (por ejemplo, la infraestructura como aprovisionamiento de código y el examen automatizado de SAST y DAST) en todo el flujo de trabajo de CI/CD. Este enfoque de "desplazamiento a la izquierda" también aumenta la visibilidad y la capacidad de aplicar comprobaciones de seguridad coherentes en la canalización de implementación. Esto se debe a la implementación eficaz y con antelación de barreras de seguridad en el entorno, para evitar sorpresas de seguridad de última hora al implementar una carga de trabajo en producción.
A la vez que desplaza a la izquierda los controles de seguridad en las fases previas a la implementación, implemente barreras de seguridad para asegurarse de que los controles se implementan y aplican a lo largo del proceso de DevOps. Esta tecnología podría incluir plantillas de ARM de Azure para definir barreras de protección en IaC (infraestructura como código), aprovisionamiento de recursos y Azure Policy, para auditar y restringir qué servicios o configuraciones se pueden aprovisionar en el entorno.
Para los controles de seguridad en tiempo de ejecución de la carga de trabajo, siga a Azure Security Benchmark para diseñar e implementar con eficacia los controles, como la identidad y el acceso con privilegios, la seguridad de red, la seguridad de los puntos de conexión y la protección de datos dentro de las aplicaciones y servicios de la carga de trabajo.
Implementación y contexto adicional:
- Azure Security Benchmark: seguridad de DevOps
- Protección de DevOps
- Cloud Adoption Framework: controles de DevSecOps
Partes interesadas de la seguridad del cliente (Más información):