Biztonságvezérlés v2: Irányítás és stratégia

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

A szabályozás és a stratégia útmutatást nyújt a koherens biztonsági stratégia és dokumentált szabályozási megközelítés biztosításához a biztonság garantálásának irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat.

GS-1: Eszközkezelési és adatvédelmi stratégia

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-1	2, 13	SC, AC

A rendszerek és adatok folyamatos monitorozására és védelmére vonatkozó egyértelmű stratégia dokumentálásának és közlésének biztosítása. Állítsa fel az üzletileg kritikus adatok és rendszerek felmérésének, védelmének és monitorozásának fontossági sorrendjét.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Az üzleti kockázattal összhangban lévő adatbesorolási szabványok

• A kockázatok és az eszközleltár biztonsági szervezet általi láthatósága

• A használandó Azure-szolgáltatások biztonsági szervezet általi jóváhagyása

• Az biztonsága azok teljes életciklusában

• A szükséges hozzáférés-vezérlési stratégia a szervezeti adatbesorolásnak megfelelően

• Az Azure natív védelmi funkcióinak és külső védelmi funkciók használata

• Adattitkosítási követelmények a használatban lévő és a jelenleg nem használt használati esetekhez

• A megfelelő titkosítási szabványok

További információkat az alábbi hivatkozásokon találhat:

• Az Azure Security architektúrára vonatkozó ajánlásai – Tárolás, adatok és titkosítás

• Az Azure Security alapjai – Azure-beli adatbiztonság, titkosítás és tárolás

• Felhőadaptálási keretrendszer – Az Azure-beli adatbiztonsághoz és titkosításhoz ajánlott eljárások

• Azure Security Benchmark – Eszközkezelés

• Azure Security Benchmark – Adatvédelem

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-2: Nagyvállalati szegmentálási stratégia definiálása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-2	4, 9, 16	AC, CA, SC

Vállalati szintű stratégia kialakítása az eszközökhöz való hozzáférés szegmentálására identitás, hálózat, alkalmazás, előfizetés, felügyeleti csoport és egyéb vezérlők kombinációjával.

Gondosan egyensúlyozza ki a biztonsági elkülönítés igényét azoknak a rendszereknek a mindennapos működésével, amelyeknek kommunikálniuk kell egymással, és hozzá kell férniük az adatokhoz.

Gondoskodjon róla, hogy a szegmentálási stratégia következetesen meg legyen valósítva az olyan vezérlőtípusokon, mint a hálózati biztonság, az identitás- és hozzáférés-modellek, az alkalmazások jogosultsági és hozzáférési modelljei és az emberi folyamatokra vonatkozó vezérlők.

• Útmutató Azure-beli szegmentálási stratégiához (videó)

• Útmutató Azure-beli szegmentálási stratégiához (dokumentum)

• Hálózati szegmentálás vállalati szegmentálási stratégiához igazítása

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-3: Biztonsági állapotot felügyelő stratégiája definiálása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-3	20, 3, 5	RA, CM, SC

Folyamatosan mérheti és csökkentheti az egyes eszközökre és a környezetre vonatkozó kockázatokat. Kezelje kiemelten az olyan nagy értékű összetevőket és leginkább elérhetővé tett támadási felületeket, mint a közzétett alkalmazások, a hálózat be- és kilépési pontjai, a felhasználói és rendszergazdai végpontok stb.

• Azure Security Benchmark - Biztonsági állapot és biztonsági rések felmérése

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-4: A vállalati szerepkörök, a felelősség és az elszámoltathatóság összehangolása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-4	N/A	PL, PM

Győződjön meg arról, hogy a biztonsági szervezet szerepköreinek és felelősségeinek egyértelmű stratégiáját dokumentálja és kommunikálja. Kezelje kiemelten a biztonsági döntések egyértelmű elszámoltathatóságát, a megosztott felelősségi modell oktatását mindenki számára, és a technikai csapatok oktatását a felhőbeli biztonsági technikákra.

• Ajánlott Azure-biztonsági eljárások 1 – Személyek: Csapatok oktatása a felhőbeli biztonság kialakítására

• Ajánlott Azure-biztonsági eljárások 2 – Személyek: Csapatok oktatása a felhőbeli biztonsági technológiákra

• Ajánlott Azure-biztonsági eljárások 3 – Folyamat: Elszámoltathatóság hozzárendelése felhőbeli biztonsági döntésekhez

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-5: Hálózati biztonsági stratégia definiálása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-5	9	CA, SC

Az Azure hálózati biztonsági megközelítésének kialakítása a szervezet általános biztonsági hozzáférés-vezérlési stratégiájának részeként.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Központosított hálózatkezelési és biztonsági felelősség

• A vállalati szegmentálási stratégiának megfelelő virtuális hálózati szegmentálási modell

• Szervizelési stratégia különböző fenyegetési és támadási helyzetekre

• Internetes peremhálózati, bejövő és kimenő forgalomra vonatkozó stratégia

• Hibrid felhős és helyszíni kapcsolódási stratégia

• Naprakész hálózati biztonsági összetevők (például hálózati diagramok, referenciahálózati architektúra)

További információkat az alábbi hivatkozásokon találhat:

• Az Azure ajánlott biztonsági gyakorlata 11 – Architektúra. Egységesített biztonsági stratégia

• Azure Security Benchmark – Hálózati biztonság

• A nagyvállalati hálózati biztonság áttekintése

• Nagyvállalati hálózati architektúrára vonatkozó stratégia

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-6: Identitáskezelési és emelt jogosultságú hozzáférési stratégia definiálása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-6	16, 4	AC, AU, SC

A szervezet általános biztonsági hozzáférés-vezérlési stratégiájának részeként hozzon létre egy Azure-identitás- és emelt szintű hozzáférés-vezérlési megközelítést.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Központosított identitáskezelési és hitelesítési rendszer és annak kapcsolatai más belső és külső identitásrendszerekkel

• Erős hitelesítési módszerek különböző használati helyzetek és feltételek esetén

• Emelt jogosultságú felhasználók védelme

• Rendellenes felhasználói tevékenységek monitorozása és kezelése

• Felhasználói identitások és hozzáférések felülvizsgálati és egyeztetési folyamata

További információkat az alábbi hivatkozásokon találhat:

• Azure Security Benchmark – Identitáskezelés

• Azure Security Benchmark – Emelt jogosultságú hozzáférés

• Az Azure ajánlott biztonsági gyakorlata 11 – Architektúra. Egységesített biztonsági stratégia

• Az Azure identitáskezelésének biztonsági áttekintése

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-7: Naplózási és veszélyforrás-kezelési stratégia definiálása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-7	19	IR, AU, RA, SC

Hozzon létre egy naplózási és fenyegetésmegoldási stratégiát a fenyegetések gyors észleléséhez és elhárításához, miközben megfelel a megfelelőségi követelményeknek. Biztosítson jó minőségű riasztásokat és zökkenőmentes élményt az elemzőknek, így a fenyegetésekre összpontosíthatnak az integráció és a manuális lépések helyett.

Ennek a stratégiának tartalmaznia kell az alábbi elemek dokumentált útmutatóit, szabályzatait és szabványait:

• A biztonsági műveletek (SecOps) szervezetének szerepe és feladatai

• Jól definiált incidenskezelési folyamat az NIST-vel vagy más iparági keretrendszerrel összhangban

• Naplórögzítés és -megőrzés a veszélyforrások észlelése, az incidensek kezelése és a megfelelőségi igények támogatására

• A fenyegetésekkel kapcsolatos információk központosított láthatósága és összevetése SIEM, natív Azure-képességek és más források használatával

• Kommunikációs és értesítési terv az ügyfelek, szállítók és külső érdekelt felek számára

• Natív Azure-beli és külső platformok használata incidensek kezelésére, például naplózásra és veszélyforrások észlelésére, kivizsgálásra és a támadások megfékezésére és megszüntetésére

• Folyamatok az olyan incidenskezelési és incidens utáni tevékenységekhez, mint a tanulságok levonása és a nyomok megőrzése

További információkat az alábbi hivatkozásokon találhat:

• Azure Security Benchmark – Naplózás és fenyegetésészlelés

• Azure Security Benchmark – Incidenskezelés

• Az Azure ajánlott biztonsági gyakorlata 4 – Folyamat. Incidenskezelési folyamatok frissítése a felhőhöz

• Azure-adaptálási keretrendszer, útmutató naplózási és jelentéskészítési döntésekhez

• Azure-beli nagyvállalati szintű skálázás, felügyelet és monitorozás

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél

GS-8: Biztonsági mentési és helyreállítási stratégia meghatározása

Azure-azonosító	CIS-vezérlők 7.1-s verziójú azonosító(k)	NIST SP 800-53 r4 AZONOSÍTÓ(k)
GS-8	10	CP

Hozzon létre egy Azure biztonsági mentési és helyreállítási stratégiát a szervezet számára.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• A helyreállítási idő célkitűzése (RTO) és a helyreállítási időkorlát (RPO) definíciói az üzleti rugalmassági célkitűzéseknek megfelelően

• Redundancia tervezése az alkalmazásokban és az infrastruktúra beállításakor

• A biztonsági mentés védelme hozzáférés-vezérléssel és adattitkosítással

További információkat az alábbi hivatkozásokon találhat:

• Azure Biztonsági teljesítményteszt – Biztonsági mentés és helyreállítás

• Azure Well-Architecture Framework – Biztonsági mentés és vészhelyreállítás Azure-alkalmazásokhoz

• Azure bevezetési keretrendszer – üzletmenet-folytonosság és vészhelyreállítás

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Minden érdekelt fél