Security Control v3: Irányítás és stratégia

  • Cikk

A szabályozás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált irányítási megközelítés biztosításához a biztonság garantálásához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat.

GS-1: Szervezeti szerepkörök, felelősségek és elszámoltathatóság igazítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Azure-útmutató: Győződjön meg arról, hogy egyértelmű stratégiát határoz meg és kommunikál a biztonsági szervezet szerepköreivel és felelősségeivel kapcsolatban. Kezelje kiemelten a biztonsági döntések egyértelmű elszámoltathatóságát, a megosztott felelősségi modell oktatását mindenki számára, és a technikai csapatok oktatását a felhőbeli biztonsági technikákra.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-2: A vállalati szegmentálás/a feladatok elkülönítése stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Azure-útmutató: Nagyvállalati szintű stratégia létrehozása az eszközökhöz való hozzáférés szegmentálására identitás, hálózat, alkalmazás, előfizetés, felügyeleti csoport és egyéb vezérlők kombinációjával.

Gondosan egyensúlyozza ki a biztonsági elkülönítés igényét azoknak a rendszereknek a mindennapos működésével, amelyeknek kommunikálniuk kell egymással, és hozzá kell férniük az adatokhoz.

Győződjön meg arról, hogy a szegmentálási stratégia következetesen implementálva van a számítási feladatban, beleértve a hálózati biztonságot, az identitás- és hozzáférési modelleket, az alkalmazásengedélyezési/hozzáférési modelleket és az emberi folyamatvezérlőket.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-3: Adatvédelmi stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Azure-útmutató: Nagyvállalati szintű adatvédelmi stratégia létrehozása az Azure-ban:

  • Határozza meg és alkalmazza az adatbesorolási és -védelmi szabványt a vállalati adatkezelési szabványnak és a jogszabályi megfelelőségnek megfelelően, hogy meghatározza az adatbesorolás egyes szintjeihez szükséges biztonsági vezérlőket.
  • Állítsa be a felhőerőforrás-kezelési hierarchiát a vállalati szegmentálási stratégiához igazítva. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.
  • Definiálja és alkalmazza a felhőkörnyezetben a vonatkozó zéró megbízhatósági elveket, hogy elkerülje a megbízhatóság megvalósítását a szegélyhálózaton belüli hálózati hely alapján. Ehelyett az eszköz- és felhasználói megbízhatósági jogcímek használatával kaput nyithat az adatokhoz és erőforrásokhoz való hozzáféréshez.
  • Nyomon követheti és minimalizálhatja a vállalaton belüli bizalmas adatlábnyomot (tárolás, átvitel és feldolgozás) a támadási felület és az adatvédelem költségeinek csökkentése érdekében. Ha lehetséges, fontolja meg az olyan technikákat, mint az egyirányú kivonatolás, csonkítás és tokenizálás a számítási feladatban, hogy elkerülje a bizalmas adatok eredeti formában történő tárolását és továbbítását.
  • Győződjön meg arról, hogy teljes életciklus-vezérlési stratégiával rendelkezik az adatok és a hozzáférési kulcsok biztonságának biztosításához.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-4: Hálózati biztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Azure-útmutató: Hozzon létre egy Azure-beli hálózati biztonsági stratégiát a szervezet hozzáférés-vezérlésre vonatkozó általános biztonsági stratégiájának részeként. Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

  • Központosított/decentralizált hálózatkezelési és biztonsági felelősségi modell megtervezése a hálózati erőforrások üzembe helyezéséhez és karbantartásához.
  • A vállalati szegmentálási stratégiához igazodó virtuális hálózati szegmentálási modell.
  • Internet peremhálózati, bejövő és kimenő forgalomra vonatkozó stratégia.
  • Hibrid felhő- és helyszíni összekapcsolási stratégia.
  • Hálózati monitorozási és naplózási stratégia.
  • Naprakész hálózati biztonsági összetevők (például hálózati diagramok, referencia hálózati architektúra).

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-5: Biztonsági helyzetkezelési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Azure-útmutató: Hozzon létre egy szabályzatot, eljárást és szabványt, amely biztosítja, hogy a biztonsági konfiguráció kezelése és a biztonságirés-kezelés a felhőbeli biztonsági megbízatásban legyenek érvényben.

Az Azure-ban a biztonsági konfiguráció kezelésének a következő területeket kell tartalmaznia:

  • Definiálja a biztonságos konfigurációs alapkonfigurációkat a felhő különböző erőforrástípusaihoz, például a Azure Portal, a felügyeleti és vezérlősíkhoz, valamint az IaaS-, PaaS- és SaaS-szolgáltatásokban futó erőforrásokhoz.
  • Győződjön meg arról, hogy a biztonsági alapkonfigurációk különböző ellenőrzési területeken, például a hálózati biztonságban, az identitáskezelésben, a kiemelt hozzáférésben, az adatvédelemben stb. kezelik a kockázatokat.
  • Eszközökkel folyamatosan mérheti, naplózhatja és kényszerítheti a konfigurációt, hogy megakadályozza az alapkonfigurációtól való eltérést.
  • Olyan ütemezést fejleszthet ki, amellyel frissítheti az Azure biztonsági funkcióit, például feliratkozhat a szolgáltatásfrissítésekre.
  • Használja a biztonságos pontszámot az Azure Felhőhöz készült Defender az Azure biztonsági konfigurációs állapotának rendszeres áttekintéséhez és az azonosított hiányosságok elhárításához.

Az Azure-beli biztonságirés-kezelés a következő biztonsági szempontokat kell tartalmaznia:

  • Rendszeresen mérje fel és orvosolja a biztonsági réseket az összes felhőbeli erőforrástípusban, például az Azure natív szolgáltatásaiban, az operációs rendszerekben és az alkalmazásösszetevőkben.
  • Kockázatalapú megközelítéssel rangsorolhatja az értékelést és a szervizelést.
  • Iratkozzon fel a Microsoft/Azure vonatkozó biztonsági tanácsadói értesítéseire és blogjaira, hogy megkapja az Azure-ról szóló legújabb biztonsági frissítéseket.
  • Győződjön meg arról, hogy a sebezhetőség felmérése és szervizelése (például ütemezés, hatókör és technikák) megfelelnek a szervezetre vonatkozó rendszeres megfelelőségi követelményeknek.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-6: Identitás- és emelt szintű hozzáférési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Azure-útmutató: Hozzon létre egy Azure-identitás- és emelt szintű hozzáférési megközelítést a szervezet általános biztonsági hozzáférés-vezérlési stratégiájának részeként. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontokra vonatkozóan:

  • Központosított identitás- és hitelesítési rendszer (Azure AD) és összekapcsolása más belső és külső identitásrendszerekkel
  • Kiemelt identitás és hozzáférés szabályozása (például hozzáférési kérelem, felülvizsgálat és jóváhagyás)
  • Emelt szintű fiókok vészhelyzetben (üvegtörés esetén)
  • Erős hitelesítési módszerek (jelszó nélküli hitelesítés és többtényezős hitelesítés) különböző használati esetekben és feltételek mellett
  • Biztonságos hozzáférés rendszergazdai műveletek révén Azure Portal, parancssori felület és API használatával.

Kivétel esetén, ha a vállalati rendszert nem használják, győződjön meg arról, hogy megfelelő biztonsági vezérlők vannak érvényben az identitás, a hitelesítés és a hozzáférés-kezelés, valamint az irányítás terén. Ezeket a kivételeket a vállalati csapatnak jóvá kell hagynia, és rendszeres időközönként felül kell vizsgálnia. Ezek a kivételek általában az alábbi esetekben fordulnak elő:

  • Nem vállalati identitás- és hitelesítési rendszer, például felhőalapú külső rendszerek használata (ismeretlen kockázatokat okozhat)
  • A kiemelt felhasználók helyileg hitelesítve és/vagy nem erős hitelesítési módszereket használnak

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-7: Naplózási, fenyegetésészlelési és incidenskezelési stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Azure-útmutató: Naplózási, fenyegetésészlelési és incidensmegoldási stratégia létrehozása a fenyegetések gyors észleléséhez és elhárításához, valamint a megfelelőségi követelményeknek való megfeleléshez. A biztonsági műveletek (SecOps/ SOC) csapatának fontossági sorrendbe kell helyeznie a kiváló minőségű riasztásokat és a zökkenőmentes szolgáltatásokat, hogy a naplóintegráció és a manuális lépések helyett a fenyegetésekre összpontosítsanak.

Ennek a stratégiának a következő szempontokra vonatkozó dokumentált szabályzatokat, eljárásokat és szabványokat kell tartalmaznia:

  • A biztonsági műveletek (SecOps) szervezetének szerepköre és feladatai
  • Egy jól meghatározott és rendszeresen tesztelt incidensmegoldási terv és az NIST-hez vagy más iparági keretrendszerekhez igazodó kezelési folyamat.
  • Kommunikációs és értesítési terv az ügyfelekkel, beszállítókkal és az érintett nyilvános felekkel.
  • Az olyan kiterjesztett észlelési és válaszképességek (XDR) használatának előnyben részesítése, mint az Azure Defender képességei a különböző területeken előforduló fenyegetések észleléséhez.
  • Natív Azure-képességek (például Felhőhöz készült Microsoft Defender) és külső platformok használata incidenskezeléshez, például naplózáshoz és fenyegetésészleléshez, kriminalisztikai műveletekhez, valamint támadások elhárításához és felszámolásához.
  • Meghatározhat kulcsfontosságú forgatókönyveket (például fenyegetésészlelés, incidenskezelés és megfelelőség), valamint beállíthatja a naplórögzítést és a megőrzést a forgatókönyv követelményeinek megfelelően.
  • A fenyegetésekre vonatkozó információk központosított láthatósága és korrelációja SIEM, natív Azure-fenyegetésészlelési képesség és egyéb források használatával.
  • Incidens utáni tevékenységek, például a tanulságok és a bizonyítékok megőrzése.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-8: Biztonsági mentési és helyreállítási stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Azure-útmutató: Azure biztonsági mentési és helyreállítási stratégia létrehozása a szervezet számára. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontok szerint:

  • A helyreállítási időkorlát (RTO) és a helyreállítási pont célkitűzésének (RPO) definíciói az üzleti rugalmassági célkitűzéseknek és a jogszabályi megfelelőségi követelményeknek megfelelően.
  • Redundancia tervezése (beleértve a biztonsági mentést, visszaállítást és replikációt) az alkalmazásokban és az infrastruktúrában a felhőben és a helyszínen egyaránt. A stratégia részeként fontolja meg a regionális, régiópáros, régiók közötti helyreállítást és a helyszínen kívüli tárolási helyet.
  • A biztonsági mentés jogosulatlan hozzáféréssel és temperálással szembeni védelme olyan vezérlőkkel, mint az adathozzáférés-vezérlés, a titkosítás és a hálózati biztonság.
  • A biztonsági mentés és a helyreállítás használata a felmerülő fenyegetések, például a zsarolóprogramok elleni támadások kockázatának csökkentésére. Emellett a biztonsági mentési és helyreállítási adatokat is védi ezektől a támadásoktól.
  • A biztonsági mentési és helyreállítási adatok és műveletek figyelése naplózási és riasztási célokra.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-9: Végpontbiztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Azure-útmutató: Hozzon létre egy felhővégpont biztonsági stratégiáját, amely a következő szempontokat foglalja magában:

  • Helyezze üzembe a végponti észlelés és reagálás és kártevőirtó képességet a végponton, és integrálható a fenyegetésészlelési és SIEM-megoldással és biztonsági üzemeltetési folyamattal.
  • Kövesse az Azure Biztonsági teljesítménytesztet, hogy biztosítsa a végponttal kapcsolatos biztonsági beállításokat más vonatkozó területeken (például a hálózati biztonság, a testtartási biztonságirés-kezelés, az identitás- és emelt szintű hozzáférés, valamint a naplózás és a fenyegetésészlelés) is, hogy mélységi védelmet biztosítson a végpont számára.
  • Rangsorolja a végpont biztonságát az éles környezetben, de győződjön meg arról, hogy a nem éles környezetek (például a DevOps-folyamat során használt teszt- és buildkörnyezet) is védettek és monitorozottak, mivel ezekkel a környezetekkel is be lehet vezetni a kártevőket és a biztonsági réseket az éles környezetbe.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

GS-10: DevOps biztonsági stratégia meghatározása és megvalósítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Azure-útmutató: A biztonsági vezérlők a szervezet DevOps mérnöki és üzemeltetési szabványának részeként írható elő. A biztonsági célkitűzések, a vezérlési követelmények és az eszközök specifikációinak meghatározása a vállalat vállalati és felhőbiztonsági szabványainak megfelelően.

Bátorítsa a DevOps alapvető üzemeltetési modellként való használatát a szervezetében a biztonsági rések gyors azonosításában és javításában különböző típusú automatizálások (például infrastruktúra, kódkiépítés, automatizált SAST- és DAST-vizsgálat) használatával a CI/CD-munkafolyamat során. Ez a "balra tolás" megközelítés emellett növeli a láthatóságot és a konzisztens biztonsági ellenőrzések kikényszerítésének képességét az üzembehelyezési folyamatban, így a biztonsági védőkorlátok hatékony üzembe helyezése a környezetben előre, így elkerülhetők az utolsó pillanatban jelentkező biztonsági meglepetések, amikor éles környezetben helyezik üzembe a számítási feladatokat.

Ha a biztonsági vezérlőket az üzembe helyezés előtti fázisokba helyezi át, biztonsági védőkorlátokat kell alkalmaznia a vezérlők üzembe helyezésének és kikényszerítésének biztosításához a DevOps-folyamat során. Ez a technológia tartalmazhat olyan Azure ARM-sablonokat, amelyekkel védőkorlátokat definiálhat az IaC-ben (infrastruktúra kódként), erőforrás-kiépítést és Azure Policy annak naplózásához és korlátozásához, hogy mely szolgáltatások vagy konfigurációk helyezhetők üzembe a környezetben.

A számítási feladat futásidejű biztonsági vezérlőihez kövesse az Azure Biztonsági teljesítménytesztet a vezérlők hatékony megtervezéséhez és implementálásához, például identitás- és emelt szintű hozzáféréshez, hálózati biztonsághoz, végpontbiztonsághoz és adatvédelemhez a számítási feladatok alkalmazásaiban és szolgáltatásaiban.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):