Mapping dei controlli di sicurezza con le zone di destinazione di Azure

Molte organizzazioni devono rispettare determinate normative di settore/regionali prima di adottare e caricare i servizi cloud di Azure. Queste normative di conformità sono identificate rispettivamente dal dominio di conformità e dai controlli. Ad esempio, CMMC L3 AC 1.001 dove AC è Controllo di accesso dominio e 1.001 è un ID di controllo nel framework CMMC (Cybersecurity Maturity Model Certification). La procedura consigliata consiste nel eseguire il mapping dei controlli di conformità necessari a McSB (Microsoft Cloud Security Benchmark) e identificare il set personalizzato dei controlli non coperti da MCSB.

Inoltre, MCSB fornisce anche l'elenco dei GUID predefiniti di criteri e iniziative di criteri per risolvere i controlli necessari. Per i controlli non trattati in MCSB, le linee guida per il mapping dei controlli includono un processo dettagliato su come creare criteri e iniziative.

Il mapping dei controlli necessari al benchmark della sicurezza cloud Microsoft può accelerare notevolmente l'esperienza di onboarding sicuro di Azure. Microsoft Cloud Security Benchmark offre un set canonico di controlli tecnici incentrati sul cloud basati su framework di controllo di conformità ampiamente usati, ad esempio NIST, CIS, PCI. Sono già disponibili iniziative di conformità alle normative predefinite. Se si è interessati a un dominio di conformità specifico, vedere Iniziative predefinite per la conformità alle normative.

Nota

I mapping dei controlli tra benchmark di sicurezza cloud Microsoft e benchmark del settore, ad esempio CIS, NIST e PCI, indicano solo che una funzionalità specifica di Azure può essere usata per soddisfare completamente o parzialmente un requisito di controllo definito in questi benchmark del settore. È necessario tenere presente che tale implementazione non si traduce necessariamente nella conformità completa dei controlli corrispondenti in questi benchmark del settore.

Il diagramma seguente illustra il flusso di processo del mapping dei controlli:

Passaggi di mapping dei controlli

1. Identificare i controlli necessari.
2. Eseguire il mapping dei controlli necessari al benchmark della sicurezza del cloud Microsoft.
3. Identificare i controlli non mappati al benchmark della sicurezza cloud Microsoft e ai rispettivi criteri.
4. Eseguire la valutazione a livello di piattaforma e di servizio.
5. Implementare protezioni con iniziative di criteri usando strumenti della zona di destinazione di Azure, strumenti nativi o strumenti di terze parti.

Suggerimento

È consigliabile esaminare le linee guida per personalizzare l'architettura della zona di destinazione di Azure per supportare i requisiti di mapping dei controlli.

1. Identificare i controlli necessari

Raccogliere tutti gli elenchi di controlli di conformità esistenti e necessari dal team di sicurezza. Se l'elenco non esiste, acquisire i requisiti di controllo in un foglio di calcolo di Excel. Usare il formato seguente come materiale sussidiario per compilare l'elenco. Un elenco è costituito da controlli di uno o più framework di conformità. Usare il modello di mapping dei controlli di sicurezza per acquisire i controlli necessari e i framework correlati.

Esempio di elenco di controlli formalizzati.

2. Eseguire il mapping dei controlli al benchmark della sicurezza cloud Microsoft e creare un set di controlli personalizzati

Per ogni controllo acquisito, usare i titoli di controllo, le categorie di dominio e le linee guida/descrizione appropriati per identificare i controlli correlati. Allineare la finalità di ogni controllo il più vicino possibile e annotare la devianza o le lacune nel foglio di calcolo.

È anche possibile usare framework comuni di cui è stato eseguito il mapping sia al benchmark di sicurezza cloud microsoft dell'organizzazione che al punto in cui esistono. Ad esempio, se sia i controlli benchmark di sicurezza cloud di Microsoft sono già mappati a NIST 800-53 r4 o CIS 7.1, è possibile unire insieme i set di dati in tale pivot. I framework comuni intermedi sono disponibili nella sezione risorse

Esempio di mapping dei controlli singoli: obiettivi di controllo dell'organizzazione

La tabella precedente mostra uno degli obiettivi di controllo univoci con le parole chiave evidenziate.

In questo esempio è possibile esaminare la categorizzazione esistente di un determinato controllo "Sicurezza delle applicazioni" per identificarlo come controllo correlato all'applicazione. Il contenuto nel campo requisito consiste nell'implementare firewall dell'applicazione e per rafforzare e applicare patch alle applicazioni. Esaminando i controlli e le linee guida del benchmark di sicurezza cloud Microsoft per una corrispondenza corretta, è possibile notare che esistono molti controlli che potrebbero essere applicati e mappati in modo appropriato.

Per eseguire rapidamente una ricerca in una determinata versione del benchmark di sicurezza del cloud Microsoft, forniamo i file di download di Excel per ogni versione che è possibile cercare rapidamente in base all'ID di controllo o a una parte della descrizione dettagliata. In questo passaggio il processo identifica e esegue il mapping dei controlli coperti da Microsoft Cloud Security Benchmark.

3. Identificare i controlli non mappati con il benchmark di sicurezza cloud Microsoft e i rispettivi criteri

Tutti i controlli identificati che potrebbero non mappare direttamente devono essere contrassegnati come necessari per l'automazione della mitigazione e devono essere sviluppati criteri personalizzati o script di automazione nel processo di implementazione della protezione.

Suggerimento

AzAdvertizer è uno strumento basato sulla community approvato da Cloud Adoption Framework. Consente di individuare i criteri predefiniti, dalle zone di destinazione di Azure o dalla community Criteri di Azure repository in un'unica posizione.

4. Eseguire la valutazione della piattaforma e del livello di servizio

Una volta che i controlli e gli obiettivi sono chiaramente mappati al benchmark della sicurezza del cloud Microsoft e hanno raccolto le informazioni di supporto su responsabilità, indicazioni e monitoraggio, l'ufficio di sicurezza IT o l'organizzazione di supporto devono esaminare tutte le informazioni fornite in una valutazione ufficiale della piattaforma.

Questa valutazione della piattaforma determinerà se il benchmark della sicurezza cloud Microsoft soddisfa la soglia minima per l'utilizzo e se può soddisfare tutti i requisiti di sicurezza e conformità imposti dalle normative.

Se sono state identificate lacune, è comunque possibile usare il benchmark della sicurezza cloud Microsoft, ma potrebbe essere necessario sviluppare controlli di mitigazione fino a quando questi gap non vengono chiusi e il benchmark può rilasciare gli aggiornamenti per risolverli. Inoltre, è possibile eseguire il mapping dei controlli personalizzati creando una definizione di criteri e, facoltativamente, aggiungendo a una definizione di iniziativa.

Elenchi di controllo per l'approvazione

1. Il team di sicurezza ha approvato la piattaforma Azure per l'utilizzo.

2. Sarà necessario aggiungere una singola baseline del servizio Microsoft Cloud Security Benchmark Excel ai mapping di controllo a livello di piattaforma completati in precedenza.

   • Aggiungere colonne per supportare la valutazione, ad esempio copertura, imposizione, effetti consentiti.

3. Eseguire un'analisi line-by-line del modello di valutazione baseline del servizio risultante:

   • Per ogni obiettivo di controllo, indicare:

     • Se può essere soddisfatta dal servizio o da un rischio.
     • Valore del rischio, se disponibile.
     • Stato della revisione per l'elemento della riga.
     • Controlli di mitigazione necessari, se presenti.
     • Quali Criteri di Azure possono applicare/monitorare il controllo.

   • In caso di lacune nel monitoraggio o nell'applicazione per il servizio e il controllo:

     • Segnalare al team di benchmark della sicurezza cloud Microsoft le lacune nel contenuto, nel monitoraggio o nell'applicazione.

   • Per tutte le aree che non soddisfano i requisiti, tenere presente il rischio interessato se si sceglie di esentare tale requisito, l'impatto e se è accettabile approvare o se si è bloccati a causa del gap.

4. Lo stato del servizio è determinato:

   • Il servizio soddisfa tutti i requisiti o che il rischio è accettabile e viene inserito in un elenco di elementi consentiti da utilizzare dopo la protezione.
   • OPPURE, le lacune del servizio sono troppo grandi/ il rischio è troppo grande e il servizio viene inserito in un elenco di blocchi. Non può essere usato fino a quando le lacune non vengono chiuse da Microsoft.

Input - livello piattaforma

• Modello di valutazione dei servizi (Excel)
• Controllare gli obiettivi per il mapping dei benchmark di sicurezza del cloud Microsoft
• Servizio di destinazione

Output - livello piattaforma

• Valutazione del servizio completata (Excel)
• Mitigazione dei controlli
• Lacune
• Approvazione/non approvazione per l'utilizzo del servizio

Dopo l'approvazione del team di sicurezza/controllo interno che la piattaforma e i servizi di base soddisfano le loro esigenze, è necessario implementare il monitoraggio e le protezioni appropriate concordate. Durante il processo di mapping e valutazione, se sono presenti controlli di mitigazione che si estendono oltre il benchmark di sicurezza del cloud Microsoft, sarà necessario implementare controlli predefiniti o Criteri di Azure usando definizioni di criteri e, facoltativamente, aggiungendo a una definizione di iniziativa.

Elenco di controllo - Livello di servizio

1. Riepilogare i criteri identificati come necessari come output delle valutazioni della piattaforma e dei servizi.
2. Sviluppare le definizioni di criteri personalizzate necessarie per supportare la mitigazione di controlli/lacune.
3. Creare un'iniziativa di criteri personalizzata.
4. Assegnare l'iniziativa di criteri con gli strumenti della zona di destinazione di Azure, gli strumenti nativi o gli strumenti di terze parti.

Input - livello di servizio

• Valutazione del servizio completata (Excel)

Output - Livello di servizio

• Iniziativa di criteri personalizzati

5. Implementare protezioni usando la zona di destinazione di Azure o gli strumenti nativi

Le sezioni seguenti descrivono il processo di identificazione, mapping e implementazione di controlli correlati alla conformità alle normative come parte della distribuzione della zona di destinazione di Azure. La distribuzione copre i criteri allineati al benchmark della sicurezza cloud Microsoft per i controlli di sicurezza a livello di piattaforma.

Suggerimento

Come parte degli acceleratori di zona di destinazione di Azure (portale, Bicep e Terraform), l'iniziativa dei criteri di benchmark della sicurezza cloud Microsoft viene assegnata al gruppo di gestione radice intermedio per impostazione predefinita.

È possibile ottenere informazioni sui criteri assegnati come parte di una distribuzione dell'acceleratore di zona di destinazione di Azure.

Linee guida per i criteri di implementazione

A seconda degli obiettivi di controllo, potrebbe essere necessario creare definizioni di criteri personalizzate, definizioni di iniziative di criteri e assegnazioni di criteri.

Per ogni opzione di implementazione dell'acceleratore, vedere le indicazioni seguenti.

Portale dell'acceleratore di zona di destinazione di Azure

Quando si usa l'esperienza basata sul portale della zona di destinazione di Azure:

• Creare criteri di sicurezza personalizzati in Microsoft Defender per il cloud
• Esercitazione: Creare una definizione di criteri personalizzata
• Assegnare iniziative di criteri o Criteri di Azure

Azure Resource Manager con AzOps

Quando si usano i modelli di Resource Manager con AzOps Accelerator, vedere l'articolo sulla distribuzione per informazioni su come usare la piattaforma Azure usando l'infrastruttura come codice.

• Aggiunta di definizioni e iniziative di Criteri di Azure personalizzate
• Assegnazione di Criteri di Azure

Modulo Terraform

Quando si usa il modulo Terraform zone di destinazione di Azure, vedere il wiki del repository per indicazioni su come gestire definizioni e assegnazioni di criteri aggiuntive.

• Aggiunta di definizioni e assegnazioni di Criteri di Azure personalizzate
• Assegnazione di un Criteri di Azure predefinito
• Espandere le definizioni archetipo predefinite

Bicep

Quando si usa l'implementazione Bicep delle zone di destinazione di Azure, informazioni su come creare definizioni e assegnazioni di criteri personalizzate.

• Aggiunta di definizioni e iniziative di Criteri di Azure personalizzate
• Assegnazione di criteri di Azure

Implementare criteri personalizzati quando non si usa un'implementazione delle zone di destinazione di Azure

Azure portal

Quando si usa la portale di Azure, vedere gli articoli seguenti.

• Creare criteri di sicurezza personalizzati in Microsoft Defender per il cloud
• Creare una definizione di criteri personalizzata
• Creare e gestire i criteri per applicare la conformità
• Assegnare iniziative di criteri

Modelli di Gestione risorse di Azure

Quando si usano i modelli di Resource Manager, vedere gli articoli seguenti.

• Creare una definizione di criteri personalizzata
• Assegnare iniziative di criteri
• Creare un'assegnazione di criteri per identificare le risorse non conformi tramite un modello di Azure Resource Manager
• Informazioni di riferimento sul modello di definizione dei criteri Bicep e Resource Manager
• Informazioni di riferimento sul modello set di Bicep e Resource Manager (iniziativa)
• Informazioni di riferimento sui modelli di assegnazione dei criteri di Bicep e Resource Manager

Terraform

Quando si usa Terraform, fare riferimento agli articoli seguenti.

• Aggiunta di definizioni e iniziative personalizzate di Criteri di Azure
• Aggiunta della definizione del set di Criteri di Azure
• Assegnazione di criteri di gruppo di gestione
• Assegnazione di Criteri di Azure o iniziativa di criteri

Bicep

Quando si usano i modelli Bicep, vedere gli articoli seguenti.

• Guida introduttiva: Creare un'assegnazione di criteri per identificare le risorse non conformi usando un file Bicep
• Informazioni di riferimento sul modello di definizione dei criteri Bicep e Resource Manager
• Informazioni di riferimento sul set di criteri di Bicep e Resource Manager (iniziativa)
• Informazioni di riferimento sui modelli di assegnazione dei criteri di Bicep e Resource Manager

Linee guida per l'uso di Microsoft Defender per il cloud

Microsoft Defender per il cloud confronta continuamente la configurazione delle risorse con i requisiti degli standard, delle normative e dei benchmark del settore. Il dashboard di conformità alle normative fornisce informazioni dettagliate sul comportamento di conformità. Altre informazioni sul miglioramento della conformità alle normative.

Domande frequenti

Si usa un framework non mappato al benchmark della sicurezza cloud Microsoft, come è comunque possibile eseguire l'onboarding degli obiettivi di controllo?

Microsoft offre mapping di benchmark della sicurezza cloud Microsoft a molti dei framework di settore più richiesti. Tuttavia, per i controlli non coperti, è necessario un esercizio di mapping manuale. In questi casi, fare riferimento ai passaggi per eseguire un mapping manuale dei controlli.

[Esempio] È necessario soddisfare la conformità del Canada Federal Protected B (PBMM) e il benchmark della sicurezza cloud Microsoft non ha ancora un mapping a PBMM. Per colmare questo mapping, è possibile trovare un mapping di framework condiviso, ad esempio NIST SP 800-53 R4, disponibile e mappato sia a PBMM che a MCSB v2. Usando questo framework comune, è possibile comprendere quali raccomandazioni e indicazioni è necessario seguire in Azure per soddisfare il framework desiderato.

Gli obiettivi di controllo non sono coperti dai controlli del benchmark della sicurezza cloud Microsoft, come è possibile sbloccarli dall'onboarding?

Microsoft Cloud Security Benchmark è incentrato sui controlli tecnici di Azure. Le aree obiettivo che circondano elementi non tecnici, ad esempio il training o gli elementi che non sono diretti per la sicurezza tecnica, ad esempio la sicurezza del data center, vengono omessi dalla progettazione. Questi elementi possono essere contrassegnati come responsabilità Microsoft e la prova della conformità può essere fornita dal contenuto del benchmark della sicurezza cloud Microsoft o dai report di controllo Microsoft. Se si scopre che l'obiettivo è veramente un controllo tecnico, creare un controllo di mitigazione oltre alla base per il rilevamento e inviare una richiesta a MCSBteam@microsoft.com per risolvere i controlli mancanti nelle versioni future.

Risorse

Portale Service Trust

Cloud Security Alliance

Panoramica della sicurezza dei data center

Panoramica di Servizi finanziari

Panoramica della valutazione dei rischi dell'istituto finanziario

Contratto di servizio