Security Control v3: Irányítás és stratégia
A szabályozás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált irányítási megközelítés biztosításához a biztonság garantálásához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat.
GS-1: Szervezeti szerepkörök, felelősségek és elszámoltathatóság igazítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Azure-útmutató: Győződjön meg arról, hogy egyértelmű stratégiát határoz meg és kommunikál a biztonsági szervezet szerepköreivel és felelősségeivel kapcsolatban. Kezelje kiemelten a biztonsági döntések egyértelmű elszámoltathatóságát, a megosztott felelősségi modell oktatását mindenki számára, és a technikai csapatok oktatását a felhőbeli biztonsági technikákra.
Implementáció és további környezet:
- Ajánlott Azure-biztonsági eljárások 1 – Személyek: Csapatok oktatása a felhőbeli biztonság kialakítására
- Ajánlott Azure-biztonsági eljárások 2 – Személyek: Csapatok oktatása a felhőbeli biztonsági technológiákra
- Ajánlott Azure-biztonsági eljárások 3 – Folyamat: Elszámoltathatóság hozzárendelése felhőbeli biztonsági döntésekhez
Ügyfélbiztonsági érdekelt felek (további információ):
GS-2: A vállalati szegmentálás/a feladatok elkülönítése stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Azure-útmutató: Nagyvállalati szintű stratégia létrehozása az eszközökhöz való hozzáférés szegmentálására identitás, hálózat, alkalmazás, előfizetés, felügyeleti csoport és egyéb vezérlők kombinációjával.
Gondosan egyensúlyozza ki a biztonsági elkülönítés igényét azoknak a rendszereknek a mindennapos működésével, amelyeknek kommunikálniuk kell egymással, és hozzá kell férniük az adatokhoz.
Győződjön meg arról, hogy a szegmentálási stratégia következetesen implementálva van a számítási feladatban, beleértve a hálózati biztonságot, az identitás- és hozzáférési modelleket, az alkalmazásengedélyezési/hozzáférési modelleket és az emberi folyamatvezérlőket.
Implementáció és további környezet:
- Biztonság az Azure-hoz készült Microsoft felhőadaptálási keretrendszer - Szegmentálás: Külön a védelemhez
- Biztonság az Azure-hoz készült Microsoft felhőadaptálási keretrendszer - Architektúra: egységes biztonsági stratégia létrehozása
Ügyfélbiztonsági érdekelt felek (további információ):
GS-3: Adatvédelmi stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Azure-útmutató: Nagyvállalati szintű adatvédelmi stratégia létrehozása az Azure-ban:
- Határozza meg és alkalmazza az adatbesorolási és -védelmi szabványt a vállalati adatkezelési szabványnak és a jogszabályi megfelelőségnek megfelelően, hogy meghatározza az adatbesorolás egyes szintjeihez szükséges biztonsági vezérlőket.
- Állítsa be a felhőerőforrás-kezelési hierarchiát a vállalati szegmentálási stratégiához igazítva. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.
- Definiálja és alkalmazza a felhőkörnyezetben a vonatkozó zéró megbízhatósági elveket, hogy elkerülje a megbízhatóság megvalósítását a szegélyhálózaton belüli hálózati hely alapján. Ehelyett az eszköz- és felhasználói megbízhatósági jogcímek használatával kaput nyithat az adatokhoz és erőforrásokhoz való hozzáféréshez.
- Nyomon követheti és minimalizálhatja a vállalaton belüli bizalmas adatlábnyomot (tárolás, átvitel és feldolgozás) a támadási felület és az adatvédelem költségeinek csökkentése érdekében. Ha lehetséges, fontolja meg az olyan technikákat, mint az egyirányú kivonatolás, csonkítás és tokenizálás a számítási feladatban, hogy elkerülje a bizalmas adatok eredeti formában történő tárolását és továbbítását.
- Győződjön meg arról, hogy teljes életciklus-vezérlési stratégiával rendelkezik az adatok és a hozzáférési kulcsok biztonságának biztosításához.
Implementáció és további környezet:
- Azure Security Benchmark – Adatvédelem
- Felhőadaptálási keretrendszer – Az Azure-beli adatbiztonsághoz és titkosításhoz ajánlott eljárások
- Az Azure Security alapjai – Azure-beli adatbiztonság, titkosítás és tárolás
Ügyfélbiztonsági érdekelt felek (további információ):
GS-4: Hálózati biztonsági stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure-útmutató: Hozzon létre egy Azure-beli hálózati biztonsági stratégiát a szervezet hozzáférés-vezérlésre vonatkozó általános biztonsági stratégiájának részeként. Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:
- Központosított/decentralizált hálózatkezelési és biztonsági felelősségi modell megtervezése a hálózati erőforrások üzembe helyezéséhez és karbantartásához.
- A vállalati szegmentálási stratégiához igazodó virtuális hálózati szegmentálási modell.
- Internet peremhálózati, bejövő és kimenő forgalomra vonatkozó stratégia.
- Hibrid felhő- és helyszíni összekapcsolási stratégia.
- Hálózati monitorozási és naplózási stratégia.
- Naprakész hálózati biztonsági összetevők (például hálózati diagramok, referencia hálózati architektúra).
Implementáció és további környezet:
- Azure Biztonsági ajánlott eljárás 11 – Architektúra. Egységesített biztonsági stratégia
- Azure Security Benchmark – Hálózati biztonság
- A nagyvállalati hálózati biztonság áttekintése
- Nagyvállalati hálózati architektúrára vonatkozó stratégia
Ügyfélbiztonsági érdekelt felek (további információ):
GS-5: Biztonsági helyzetkezelési stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure-útmutató: Hozzon létre egy szabályzatot, eljárást és szabványt, amely biztosítja, hogy a biztonsági konfiguráció kezelése és a biztonságirés-kezelés a felhőbeli biztonsági megbízatásban legyenek érvényben.
Az Azure-ban a biztonsági konfiguráció kezelésének a következő területeket kell tartalmaznia:
- Definiálja a biztonságos konfigurációs alapkonfigurációkat a felhő különböző erőforrástípusaihoz, például a Azure Portal, a felügyeleti és vezérlősíkhoz, valamint az IaaS-, PaaS- és SaaS-szolgáltatásokban futó erőforrásokhoz.
- Győződjön meg arról, hogy a biztonsági alapkonfigurációk különböző ellenőrzési területeken, például a hálózati biztonságban, az identitáskezelésben, a kiemelt hozzáférésben, az adatvédelemben stb. kezelik a kockázatokat.
- Eszközökkel folyamatosan mérheti, naplózhatja és kényszerítheti a konfigurációt, hogy megakadályozza az alapkonfigurációtól való eltérést.
- Olyan ütemezést fejleszthet ki, amellyel frissítheti az Azure biztonsági funkcióit, például feliratkozhat a szolgáltatásfrissítésekre.
- Használja a biztonságos pontszámot az Azure Felhőhöz készült Defender az Azure biztonsági konfigurációs állapotának rendszeres áttekintéséhez és az azonosított hiányosságok elhárításához.
Az Azure-beli biztonságirés-kezelés a következő biztonsági szempontokat kell tartalmaznia:
- Rendszeresen mérje fel és orvosolja a biztonsági réseket az összes felhőbeli erőforrástípusban, például az Azure natív szolgáltatásaiban, az operációs rendszerekben és az alkalmazásösszetevőkben.
- Kockázatalapú megközelítéssel rangsorolhatja az értékelést és a szervizelést.
- Iratkozzon fel a Microsoft/Azure vonatkozó biztonsági tanácsadói értesítéseire és blogjaira, hogy megkapja az Azure-ról szóló legújabb biztonsági frissítéseket.
- Győződjön meg arról, hogy a sebezhetőség felmérése és szervizelése (például ütemezés, hatókör és technikák) megfelelnek a szervezetre vonatkozó rendszeres megfelelőségi követelményeknek.
Implementáció és további környezet:
- Azure Security Benchmark - Biztonsági állapot és biztonsági rések felmérése
- Azure Biztonsági ajánlott eljárás 9 – Biztonsági állapot kezelésének kialakítása
Ügyfélbiztonsági érdekelt felek (további információ):
GS-6: Identitás- és emelt szintű hozzáférési stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure-útmutató: Hozzon létre egy Azure-identitás- és emelt szintű hozzáférési megközelítést a szervezet általános biztonsági hozzáférés-vezérlési stratégiájának részeként. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontokra vonatkozóan:
- Központosított identitás- és hitelesítési rendszer (Azure AD) és összekapcsolása más belső és külső identitásrendszerekkel
- Kiemelt identitás és hozzáférés szabályozása (például hozzáférési kérelem, felülvizsgálat és jóváhagyás)
- Emelt szintű fiókok vészhelyzetben (üvegtörés esetén)
- Erős hitelesítési módszerek (jelszó nélküli hitelesítés és többtényezős hitelesítés) különböző használati esetekben és feltételek mellett
- Biztonságos hozzáférés rendszergazdai műveletek révén Azure Portal, parancssori felület és API használatával.
Kivétel esetén, ha a vállalati rendszert nem használják, győződjön meg arról, hogy megfelelő biztonsági vezérlők vannak érvényben az identitás, a hitelesítés és a hozzáférés-kezelés, valamint az irányítás terén. Ezeket a kivételeket a vállalati csapatnak jóvá kell hagynia, és rendszeres időközönként felül kell vizsgálnia. Ezek a kivételek általában az alábbi esetekben fordulnak elő:
- Nem vállalati identitás- és hitelesítési rendszer, például felhőalapú külső rendszerek használata (ismeretlen kockázatokat okozhat)
- A kiemelt felhasználók helyileg hitelesítve és/vagy nem erős hitelesítési módszereket használnak
Implementáció és további környezet:
- Azure Security Benchmark – Identitáskezelés
- Azure Security Benchmark – Emelt jogosultságú hozzáférés
- Azure Biztonsági ajánlott eljárás 11 – Architektúra. Egységesített biztonsági stratégia
- Az Azure identitáskezelésének biztonsági áttekintése
Ügyfélbiztonsági érdekelt felek (további információ):
GS-7: Naplózási, fenyegetésészlelési és incidenskezelési stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Azure-útmutató: Naplózási, fenyegetésészlelési és incidensmegoldási stratégia létrehozása a fenyegetések gyors észleléséhez és elhárításához, valamint a megfelelőségi követelményeknek való megfeleléshez. A biztonsági műveletek (SecOps/ SOC) csapatának fontossági sorrendbe kell helyeznie a kiváló minőségű riasztásokat és a zökkenőmentes szolgáltatásokat, hogy a naplóintegráció és a manuális lépések helyett a fenyegetésekre összpontosítsanak.
Ennek a stratégiának a következő szempontokra vonatkozó dokumentált szabályzatokat, eljárásokat és szabványokat kell tartalmaznia:
- A biztonsági műveletek (SecOps) szervezetének szerepköre és feladatai
- Egy jól meghatározott és rendszeresen tesztelt incidensmegoldási terv és az NIST-hez vagy más iparági keretrendszerekhez igazodó kezelési folyamat.
- Kommunikációs és értesítési terv az ügyfelekkel, beszállítókkal és az érintett nyilvános felekkel.
- Az olyan kiterjesztett észlelési és válaszképességek (XDR) használatának előnyben részesítése, mint az Azure Defender képességei a különböző területeken előforduló fenyegetések észleléséhez.
- Natív Azure-képességek (például Felhőhöz készült Microsoft Defender) és külső platformok használata incidenskezeléshez, például naplózáshoz és fenyegetésészleléshez, kriminalisztikai műveletekhez, valamint támadások elhárításához és felszámolásához.
- Meghatározhat kulcsfontosságú forgatókönyveket (például fenyegetésészlelés, incidenskezelés és megfelelőség), valamint beállíthatja a naplórögzítést és a megőrzést a forgatókönyv követelményeinek megfelelően.
- A fenyegetésekre vonatkozó információk központosított láthatósága és korrelációja SIEM, natív Azure-fenyegetésészlelési képesség és egyéb források használatával.
- Incidens utáni tevékenységek, például a tanulságok és a bizonyítékok megőrzése.
Implementáció és további környezet:
- Azure Security Benchmark – Naplózás és fenyegetésészlelés
- Azure Security Benchmark – Incidenskezelés
- Azure Biztonsági ajánlott eljárás 4 – Folyamat. Incidenskezelési folyamatok frissítése a felhőhöz
- Azure-adaptálási keretrendszer, útmutató naplózási és jelentéskészítési döntésekhez
- Azure-beli nagyvállalati szintű skálázás, felügyelet és monitorozás
Ügyfélbiztonsági érdekelt felek (további információ):
GS-8: Biztonsági mentési és helyreállítási stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
11,1 | CP-1, CP-9, CP-10 | 3.4 |
Azure-útmutató: Azure biztonsági mentési és helyreállítási stratégia létrehozása a szervezet számára. Ennek a stratégiának dokumentált útmutatást, szabályzatot és szabványokat kell tartalmaznia a következő szempontok szerint:
- A helyreállítási időkorlát (RTO) és a helyreállítási pont célkitűzésének (RPO) definíciói az üzleti rugalmassági célkitűzéseknek és a jogszabályi megfelelőségi követelményeknek megfelelően.
- Redundancia tervezése (beleértve a biztonsági mentést, visszaállítást és replikációt) az alkalmazásokban és az infrastruktúrában a felhőben és a helyszínen egyaránt. A stratégia részeként fontolja meg a regionális, régiópáros, régiók közötti helyreállítást és a helyszínen kívüli tárolási helyet.
- A biztonsági mentés jogosulatlan hozzáféréssel és temperálással szembeni védelme olyan vezérlőkkel, mint az adathozzáférés-vezérlés, a titkosítás és a hálózati biztonság.
- A biztonsági mentés és a helyreállítás használata a felmerülő fenyegetések, például a zsarolóprogramok elleni támadások kockázatának csökkentésére. Emellett a biztonsági mentési és helyreállítási adatokat is védi ezektől a támadásoktól.
- A biztonsági mentési és helyreállítási adatok és műveletek figyelése naplózási és riasztási célokra.
Implementáció és további környezet:
- Azure Security Benchmark – Backup és helyreállítás
- Azure Well-Architecture Framework – Backup és vészhelyreállítás Azure-alkalmazásokhoz
- Az Azure Bevezetési keretrendszer üzletmenet-folytonossága és vészhelyreállítása
- Backup és visszaállítási terv a zsarolóprogramok elleni védelem érdekében
Ügyfélbiztonsági érdekelt felek (további információ):
GS-9: Végpontbiztonsági stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure-útmutató: Hozzon létre egy felhővégpont biztonsági stratégiáját, amely a következő szempontokat foglalja magában:
- Helyezze üzembe a végponti észlelés és reagálás és kártevőirtó képességet a végponton, és integrálható a fenyegetésészlelési és SIEM-megoldással és biztonsági üzemeltetési folyamattal.
- Kövesse az Azure Biztonsági teljesítménytesztet, hogy biztosítsa a végponttal kapcsolatos biztonsági beállításokat más vonatkozó területeken (például a hálózati biztonság, a testtartási biztonságirés-kezelés, az identitás- és emelt szintű hozzáférés, valamint a naplózás és a fenyegetésészlelés) is, hogy mélységi védelmet biztosítson a végpont számára.
- Rangsorolja a végpont biztonságát az éles környezetben, de győződjön meg arról, hogy a nem éles környezetek (például a DevOps-folyamat során használt teszt- és buildkörnyezet) is védettek és monitorozottak, mivel ezekkel a környezetekkel is be lehet vezetni a kártevőket és a biztonsági réseket az éles környezetbe.
Implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (további információ):
GS-10: DevOps biztonsági stratégia meghatározása és megvalósítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 ID(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure-útmutató: A biztonsági vezérlők a szervezet DevOps mérnöki és üzemeltetési szabványának részeként írható elő. A biztonsági célkitűzések, a vezérlési követelmények és az eszközök specifikációinak meghatározása a vállalat vállalati és felhőbiztonsági szabványainak megfelelően.
Bátorítsa a DevOps alapvető üzemeltetési modellként való használatát a szervezetében a biztonsági rések gyors azonosításában és javításában különböző típusú automatizálások (például infrastruktúra, kódkiépítés, automatizált SAST- és DAST-vizsgálat) használatával a CI/CD-munkafolyamat során. Ez a "balra tolás" megközelítés emellett növeli a láthatóságot és a konzisztens biztonsági ellenőrzések kikényszerítésének képességét az üzembehelyezési folyamatban, így a biztonsági védőkorlátok hatékony üzembe helyezése a környezetben előre, így elkerülhetők az utolsó pillanatban jelentkező biztonsági meglepetések, amikor éles környezetben helyezik üzembe a számítási feladatokat.
Ha a biztonsági vezérlőket az üzembe helyezés előtti fázisokba helyezi át, biztonsági védőkorlátokat kell alkalmaznia a vezérlők üzembe helyezésének és kikényszerítésének biztosításához a DevOps-folyamat során. Ez a technológia tartalmazhat olyan Azure ARM-sablonokat, amelyekkel védőkorlátokat definiálhat az IaC-ben (infrastruktúra kódként), erőforrás-kiépítést és Azure Policy annak naplózásához és korlátozásához, hogy mely szolgáltatások vagy konfigurációk helyezhetők üzembe a környezetben.
A számítási feladat futásidejű biztonsági vezérlőihez kövesse az Azure Biztonsági teljesítménytesztet a vezérlők hatékony megtervezéséhez és implementálásához, például identitás- és emelt szintű hozzáféréshez, hálózati biztonsághoz, végpontbiztonsághoz és adatvédelemhez a számítási feladatok alkalmazásaiban és szolgáltatásaiban.
Megvalósítás és további környezet:
- Azure Security Benchmark – DevOps-biztonság
- Biztonságos DevOps
- felhőadaptálási keretrendszer – DevSecOps-vezérlők
Ügyfélbiztonsági érdekelt felek (további információ):