Biztonságvezérlés: Irányítás és stratégia

  • Cikk

A szabályozás és a stratégia útmutatást nyújt a koherens biztonsági stratégia és a dokumentált irányítási megközelítés biztosításához a biztonsági biztosítás irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes technikai stratégiát, valamint a támogató szabályzatokat és szabványokat.

GS-1: Szervezeti szerepkörök, felelősségek és fiókképességek összehangolása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Általános útmutató: Győződjön meg arról, hogy világos stratégiát határoz meg és közöl a biztonsági szervezet szerepköreivel és felelősségeivel kapcsolatban. Fontossági sorrendbe kell helyezni a biztonsági döntések egyértelmű elszámoltathatóságát, a megosztott felelősségi modellre való oktatást, valamint a műszaki csapatokat a felhő biztonságossá tételéhez.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-2: A vállalati szegmentálás/a vámok elkülönítése stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Általános útmutató: Vállalati szintű stratégia létrehozása az eszközökhöz való hozzáférés identitás, hálózat, alkalmazás, előfizetés, felügyeleti csoport és egyéb vezérlők kombinációjával történő szegmentálására.

Gondosan egyensúlyozza ki a biztonsági elkülönítés igényét azoknak a rendszereknek a mindennapos működésével, amelyeknek kommunikálniuk kell egymással, és hozzá kell férniük az adatokhoz.

Győződjön meg arról, hogy a szegmentálási stratégia következetesen implementálva van a számítási feladatban, beleértve a hálózati biztonsági, identitás- és hozzáférési modelleket, valamint az alkalmazásengedélyezési/hozzáférési modelleket és az emberi folyamatvezérlőket.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-3: Adatvédelmi stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Általános útmutató: Vállalati szintű adatvédelmi stratégia létrehozása a felhőkörnyezetben:

  • Határozza meg és alkalmazza az adatbesorolási és védelmi szabványt a vállalati adatkezelési szabványnak és a jogszabályi megfelelőségnek megfelelően, hogy meghatározza az adatbesorolás egyes szintjeihez szükséges biztonsági ellenőrzéseket.
  • Állítsa be a felhőerőforrás-kezelési hierarchiát a vállalati szegmentálási stratégiához igazítva. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.
  • Definiálja és alkalmazza a felhőkörnyezetben érvényes, nulla megbízhatósági elveket, hogy elkerülje a megbízhatóság megvalósítását a szegélyhálózaton belüli hálózati hely alapján. Ehelyett az eszköz- és a felhasználói megbízhatósági jogcímek használatával biztosíthatja az adatokhoz és erőforrásokhoz való hozzáférést.
  • A támadási felület és az adatvédelem költségeinek csökkentése érdekében nyomon követheti és minimalizálhatja a vállalaton belüli bizalmas adatlábnyomot (tárolás, átvitel és feldolgozás). Ha lehetséges, fontolja meg az olyan technikákat, mint az egyirányú kivonatolás, csonkítás és jogkivonat-készítés a számítási feladatban, hogy elkerülje a bizalmas adatok eredeti formájában történő tárolását és továbbítását.
  • Győződjön meg arról, hogy teljes életciklus-vezérlési stratégiával rendelkezik az adatok és a hozzáférési kulcsok biztonságának biztosításához.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-4: Hálózati biztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Általános útmutató: Felhőhálózati biztonsági stratégia létrehozása a szervezet hozzáférés-vezérlésre vonatkozó általános biztonsági stratégiájának részeként. Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

  • Tervezzen egy központosított/decentralizált hálózatkezelési és biztonsági felelősségi modellt a hálózati erőforrások üzembe helyezéséhez és karbantartásához.
  • A vállalati szegmentálási stratégiához igazodó virtuális hálózati szegmentálási modell.
  • Internetes peremhálózati, bejövő és kimenő forgalomra vonatkozó stratégia.
  • Hibrid felhőbeli és helyszíni összekapcsolási stratégia.
  • Hálózati monitorozási és naplózási stratégia.
  • Naprakész hálózati biztonsági összetevők (például hálózati diagramok, referencia hálózati architektúra).

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-5: Biztonsági helyzetkezelési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Általános útmutató: Hozzon létre egy szabályzatot, eljárást és szabványt, amely biztosítja, hogy a biztonsági konfigurációk kezelése és a biztonságirés-kezelés a felhőbeli biztonsági feladatban legyen érvényben.

A felhőbeli biztonsági konfigurációkezelésnek a következő területeket kell tartalmaznia:

  • Definiálja a biztonságos konfigurációs alapkonfigurációkat a felhő különböző erőforrástípusaihoz, például a webportálhoz/konzolhoz, a felügyeleti és vezérlősíkhoz, valamint az IaaS-, PaaS- és SaaS-szolgáltatásokban futó erőforrásokhoz.
  • Győződjön meg arról, hogy a biztonsági alapkonfigurációk kezelik a különböző ellenőrzési területeken jelentkező kockázatokat, például a hálózati biztonság, az identitáskezelés, a kiemelt hozzáférés, az adatvédelem és így tovább.
  • Eszközökkel folyamatosan mérheti, naplózhatja és kényszerítheti a konfigurációt, hogy ne térjen el az alapkonfigurációtól.
  • Olyan ütemezést alakíthat ki, amellyel naprakész maradhat a biztonsági funkciókkal, például előfizethet a szolgáltatásfrissítéseire.
  • Használjon biztonsági állapot- vagy megfelelőségi ellenőrzési mechanizmust (például biztonsági pontszámot, megfelelőségi irányítópultot Microsoft Defender a felhőhöz) a biztonsági konfiguráció állapotának rendszeres áttekintéséhez és az azonosított hiányosságok elhárításához.

A felhő biztonságirés-kezelésének a következő biztonsági szempontokat kell tartalmaznia:

  • Rendszeresen értékelje és javítsa ki a biztonsági réseket az összes felhőbeli erőforrástípusban, például a natív felhőszolgáltatásokban, az operációs rendszerekben és az alkalmazás-összetevőkben.
  • Kockázatalapú megközelítéssel rangsorolhatja az értékelést és a szervizelést.
  • Iratkozzon fel a vonatkozó CSPM biztonsági tanácsadói közleményeire és blogjaira a legújabb biztonsági frissítések fogadásához.
  • Győződjön meg arról, hogy a biztonságirés-felmérés és -javítás (például az ütemezés, a hatókör és a technikák) megfelelnek a szervezet megfelelőségi követelményeinek.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-6: Identitás- és emelt szintű hozzáférési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Általános útmutató: A szervezet általános biztonsági hozzáférés-vezérlési stratégiájának részeként hozzon létre egy felhőalapú identitást és emelt szintű hozzáférési megközelítést. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontokra vonatkozóan:

  • Központosított identitás- és hitelesítési rendszer (például Azure AD) és összekapcsolása más belső és külső identitásrendszerekkel
  • Kiemelt identitás és hozzáférés szabályozása (például hozzáférési kérelem, felülvizsgálat és jóváhagyás)
  • Kiemelt fiókok vészhelyzetben (szünetmentes) helyzetben
  • Erős hitelesítési módszerek (jelszó nélküli hitelesítés és többtényezős hitelesítés) különböző használati esetekben és feltételek mellett.
  • Biztonságos hozzáférés felügyeleti műveletekkel a webes portálon/konzolon, parancssoron és API-val.

Olyan kivételes esetekben, amikor a vállalati rendszert nem használják, győződjön meg arról, hogy megfelelő biztonsági vezérlők vannak érvényben az identitás, a hitelesítés és a hozzáférés-kezelés, valamint az irányítás terén. Ezeket a kivételeket a vállalati csapatnak jóvá kell hagynia és rendszeresen felül kell vizsgálnia. Ezek a kivételek általában az alábbi esetekben fordulnak elő:

  • Nem vállalati identitás- és hitelesítési rendszer, például felhőalapú külső rendszerek használata (ismeretlen kockázatokat okozhat)
  • A kiemelt felhasználók helyileg hitelesítettek és/vagy nem erős hitelesítési módszereket használnak

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-7: Naplózási, fenyegetésészlelési és incidenskezelési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Általános útmutató: Naplózási, fenyegetésészlelési és incidensmegoldási stratégia létrehozása a fenyegetések gyors észleléséhez és elhárításához, valamint a megfelelőségi követelményeknek való megfeleléshez. A biztonsági műveletek (SecOps/SOC) csapatának fontossági sorrendbe kell helyeznie a kiváló minőségű riasztásokat és a zökkenőmentes élményeket, hogy a naplóintegráció és a manuális lépések helyett a fenyegetésekre összpontosítsanak. Ennek a stratégiának dokumentált szabályzatokat, eljárásokat és szabványokat kell tartalmaznia a következő szempontokra vonatkozóan:

  • A biztonsági műveletek (SecOps) szervezetének szerepköre és feladatai
  • Az NIST SP 800-61 -hez (számítógépes biztonsági incidenskezelési útmutató) vagy más iparági keretrendszerekhez igazodó, jól meghatározott és rendszeresen tesztelt incidenskezelési terv és kezelési folyamat.
  • Kommunikációs és értesítési terv az ügyfelekkel, a beszállítókkal és az érintett nyilvános felekkel.
  • Szimulálja a várható és a váratlan biztonsági eseményeket a felhőkörnyezetben az előkészítés hatékonyságának megértéséhez. A szimuláció eredményének iterálása a válaszhelyzet skálájának javítása, az értékhez való idő csökkentése és a kockázat további csökkentése érdekében.
  • A kiterjesztett észlelési és reagálási (XDR) képességek, például az Azure Defender képességeinek előnyben részesítése a különböző területeken előforduló fenyegetések észleléséhez.
  • Natív felhőbeli képességek (például a felhőhöz készült Microsoft Defender) és külső platformok használata incidenskezeléshez, például naplózáshoz és fenyegetésészleléshez, kriminalisztikai műveletekhez, valamint támadások elhárításához és felszámolásához.
  • Készítse elő a szükséges, manuális és automatizált runbookokat a megbízható és konzisztens válaszok biztosítása érdekében.
  • Határozza meg a legfontosabb forgatókönyveket (például a fenyegetésészlelést, az incidensmegoldást és a megfelelőséget), és állítsa be a naplórögzítést és -megőrzést a forgatókönyv követelményeinek megfelelően.
  • A fenyegetések központosított láthatósága és korrelációs információi a SIEM, a natív felhőbeli fenyegetésészlelési képesség és más források használatával.
  • Incidens utáni tevékenységek, például a tanulságok és a bizonyítékok megőrzése.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-8: Biztonsági mentési és helyreállítási stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Általános útmutató: Biztonsági mentési és helyreállítási stratégia létrehozása a szervezet számára. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontokból:

  • A helyreállítási idő célkitűzése (RTO) és a helyreállítási időkorlát (RPO) definíciói az üzleti rugalmassági célkitűzéseknek és a jogszabályi megfelelőségi követelményeknek megfelelően.
  • Redundancia tervezése (beleértve a biztonsági mentést, a visszaállítást és a replikációt) az alkalmazásokban és az infrastruktúrában a felhőben és a helyszínen egyaránt. A stratégia részeként vegye figyelembe a regionális, a régiópárokat, a régiók közötti helyreállítást és a telephelyen kívüli tárolási helyet.
  • A biztonsági másolatok jogosulatlan hozzáféréssel és temperálással szembeni védelme olyan vezérlőkkel, mint az adathozzáférés-vezérlés, a titkosítás és a hálózati biztonság.
  • A biztonsági mentés és a helyreállítás használata a felmerülő fenyegetések, például a zsarolóvírus-támadások kockázatának csökkentésére. Emellett magát a biztonsági mentési és helyreállítási adatokat is védi ezektől a támadásoktól.
  • A biztonsági mentési és helyreállítási adatok és műveletek figyelése naplózási és riasztási célokra.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-9: Végpontbiztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Általános útmutató: Hozzon létre egy felhőbeli végpont biztonsági stratégiáját, amely a következő szempontokat foglalja magában: – Helyezze üzembe a végpontészlelési és válasz- és kártevőirtó képességet a végponton, és integrálható a fenyegetésészlelési és SIEM-megoldással, valamint a biztonsági műveleti folyamattal.

  • Kövesse a Microsoft Felhőbiztonsági teljesítménytesztet, és győződjön meg arról, hogy a végponttal kapcsolatos biztonsági beállítások más területeken (például a hálózati biztonság, a biztonsági rések kezelése, az identitás- és emelt szintű hozzáférés, valamint a naplózás és a fenyegetésészlelés) is rendelkezésre állnak, hogy mélységi védelmet biztosítson a végpont számára.
  • Rangsorolja a végpontbiztonságot az éles környezetben, de győződjön meg arról, hogy a nem éles környezetek (például a DevOps-folyamatban használt teszt- és buildkörnyezet) is biztonságban vannak és monitorozottak, mivel ezek a környezetek kártevők és biztonsági rések éles környezetben való bevezetésére is használhatók.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

GS-10: DevOps biztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Általános útmutató: A biztonsági vezérlőket a szervezet DevOps mérnöki és üzemeltetési szabványának részeként kell elrendelni. A szervezet vállalati és felhőbiztonsági szabványainak megfelelően határozza meg a biztonsági célkitűzéseket, a vezérlési követelményeket és az eszközök specifikációit.

Bátorítsa a DevOps alapvető üzemeltetési modellként való használatát a szervezetében a biztonsági rések gyors azonosításában és elhárításában különböző típusú automatizálások (például az infrastruktúra, például a kódkiépítés és az automatizált SAST- és DAST-vizsgálat) használatával a CI/CD-munkafolyamat során. Ez a "balra tolódás" megközelítés emellett növeli a láthatóságot és a konzisztens biztonsági ellenőrzések kikényszerítésének képességét az üzembehelyezési folyamatban, így a biztonsági védőkorlátok időben történő üzembe helyezése a környezetbe, hogy elkerülje az utolsó pillanatban bekövetkező biztonsági meglepetéseket a számítási feladatok éles környezetben való üzembe helyezésekor.

Ha a biztonsági vezérlőket az üzembe helyezés előtti fázisokba helyezi át, biztonsági védőkorlátokat kell alkalmaznia, hogy a vezérlők a DevOps-folyamat során üzembe legyenek helyezve és kikényszeríthetők legyenek. Ez a technológia tartalmazhat erőforrás-üzembehelyezési sablonokat (például Azure ARM-sablont) az IaC-ben (infrastruktúra kódként), az erőforrás-kiépítésben és az auditálásban annak korlátozásához, hogy mely szolgáltatások vagy konfigurációk helyezhetők üzembe a környezetben.

A számítási feladat futásidejű biztonsági vezérlőihez kövesse a Microsoft Cloud Security Benchmarkot a vezérlők tervezéséhez és hatékony implementálásához, például az identitás- és emelt szintű hozzáféréshez, a hálózati biztonsághoz, a végpontbiztonsághoz és az adatvédelemhez a számítási feladatok alkalmazásaiban és szolgáltatásaiban.

Megvalósítás és további környezet:

GS-11: Többfelhős biztonsági stratégia meghatározása és implementálása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N.A. N.A. N.A.

Általános útmutató: Győződjön meg arról, hogy a többfelhős stratégia definiálva van a felhő- és biztonságirányításban, a kockázatkezelésben és a műveleti folyamatban, amelynek a következő szempontokat kell tartalmaznia:

  • Többfelhős bevezetés: A többfelhős infrastruktúrát üzemeltető és a szervezetet oktatott szervezetek számára, hogy a csapatok megértsék a felhőplatformok és a technológiai verem közötti különbségeket. Hordozható megoldások létrehozása, üzembe helyezése és/vagy migrálása. Lehetővé teszi a felhőplatformok közötti könnyű mozgást minimális szállítói zárolással, miközben a felhő natív funkcióit megfelelően használja a felhőbevezetés optimális eredményéhez.
  • Felhő- és biztonsági műveletek: Egyszerűsítheti a biztonsági műveleteket, hogy az egyes felhőkben elérhető megoldásokat a közös üzemeltetési folyamatokat megosztó irányítási és felügyeleti folyamatok központi készletén keresztül támogassa, függetlenül attól, hogy hol helyezi üzembe és üzemelteti a megoldást.
  • Eszköz- és technológiai verem: Válassza ki a többfelhős környezetet támogató megfelelő eszközt, hogy segítsen egységes és központosított felügyeleti platformok létrehozásában, amelyek a biztonsági teljesítménytesztben tárgyalt összes biztonsági tartományt magukban foglalhatják.

Megvalósítás és további környezet: