Raccomandazioni per la definizione di una baseline di sicurezza
Si applica alla raccomandazione dell'elenco di controllo per la sicurezza di Azure Well-Architected Framework:
| SE:01 | Stabilire una baseline di sicurezza allineata ai requisiti di conformità, agli standard del settore e alle raccomandazioni della piattaforma. Misurare regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla baseline per sostenere o migliorare il comportamento di sicurezza nel tempo. |
|---|
Questa guida descrive le raccomandazioni per stabilire una baseline di sicurezza. Una baseline di sicurezza è un documento che specifica i requisiti minimi di sicurezza e le aspettative dell'organizzazione in un'ampia gamma di aree. Una buona baseline di sicurezza consente di:
- Mantenere protetti i dati e i sistemi.
- Rispettare i requisiti normativi.
- Ridurre al minimo il rischio di supervisione.
- Ridurre la probabilità di violazioni e effetti aziendali successivi.
Le baseline di sicurezza devono essere pubblicate ampiamente in tutta l'organizzazione in modo che tutti gli stakeholder siano consapevoli delle aspettative.
Questa guida fornisce suggerimenti sull'impostazione di una baseline di sicurezza basata su fattori interni ed esterni. I fattori interni includono requisiti aziendali, rischi e valutazione degli asset. I fattori esterni includono benchmark del settore e standard normativi.
Definizioni
| Termine | Definizione |
|---|---|
| Baseline | Il livello minimo di inviti di sicurezza che un carico di lavoro deve dover evitare di essere sfruttato. |
| Benchmark | Uno standard che indica il comportamento di sicurezza a cui l'organizzazione aspira. Viene valutata, misurata e migliorata nel tempo. |
| Controlli | Controlli tecnici o operativi sul carico di lavoro che consentono di prevenire gli attacchi e aumentare i costi degli utenti malintenzionati. |
| Requisiti normativi | Una serie di requisiti aziendali, basati sugli standard del settore, che le leggi e le autorità impongono. |
Strategie di progettazione chiave
Una baseline di sicurezza è un documento strutturato che definisce un set di criteri di sicurezza e funzionalità che il carico di lavoro deve soddisfare per aumentare la sicurezza. In un formato più maturo, è possibile estendere una linea di base per includere un set di criteri usati per impostare protezioni.
La baseline deve essere considerata lo standard per misurare il comportamento di sicurezza. L'obiettivo deve sempre essere pieno di raggiungimento mantenendo un ampio ambito.
La baseline di sicurezza non deve mai essere un'operazione ad hoc. Gli standard di settore, la conformità (interna o esterna) o i requisiti normativi, i requisiti regionali e i benchmark della piattaforma cloud sono i principali fattori chiave per la baseline. Alcuni esempi includono Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e standard basati sulla piattaforma, ad esempio Microsoft Cloud Security Benchmark (MCSB). Tutti questi standard sono considerati un punto di partenza per la baseline. Creare le basi incorporando i requisiti di sicurezza dai requisiti aziendali.
Per i collegamenti agli asset precedenti, vedere Collegamenti correlati.
Creare la linea di base ottenendo il consenso tra i responsabili aziendali e tecnici. La baseline non deve essere limitata ai controlli tecnici. Deve includere anche gli aspetti operativi della gestione e della gestione del comportamento di sicurezza. Quindi, il documento di base funge anche da impegno dell'organizzazione per l'investimento verso la sicurezza del carico di lavoro. Il documento della baseline di sicurezza deve essere distribuito ampiamente all'interno dell'organizzazione per garantire la consapevolezza del comportamento di sicurezza del carico di lavoro.
Man mano che il carico di lavoro cresce e l'ecosistema si evolve, è fondamentale mantenere sincronizzata la baseline con le modifiche per garantire che i controlli fondamentali siano ancora efficaci.
La creazione di una linea di base è un processo metodico. Ecco alcuni consigli sul processo:
Inventario asset. Identificare gli stakeholder degli asset del carico di lavoro e gli obiettivi di sicurezza per tali asset. Nell'inventario degli asset classificare in base ai requisiti di sicurezza e alla criticità. Per informazioni sugli asset di dati, vedere Raccomandazioni sulla classificazione dei dati.
Valutazione dei rischi. I potenziali rischi di identità associati a ogni asset e li assegnano priorità.
Requisiti di conformità. Fare riferimento a eventuali normative o conformità per tali asset e applicare le procedure consigliate del settore.
Standard di configurazione. Definire e documentare configurazioni e impostazioni di sicurezza specifiche per ogni asset. Se possibile, templatize o trovare un modo ripetibile e automatizzato per applicare le impostazioni in modo coerente nell'ambiente.
Controllo di accesso e autenticazione. Specificare i requisiti di controllo degli accessi in base al ruolo e autenticazione a più fattori. Documentare ciò che significa l'accesso sufficiente a livello di asset. Iniziare sempre con il principio dei privilegi minimi.
Gestione delle patch. Applicare le versioni più recenti a tutti i tipi di risorse per rafforzare l'attacco.
Documentazione e comunicazione. Documentare tutte le configurazioni, i criteri e le procedure. Comunicare i dettagli agli stakeholder pertinenti.
Imposizione e responsabilità. Stabilire meccanismi di imposizione chiari e conseguenze per la mancata conformità con la baseline di sicurezza. Mantenere i singoli utenti e i team responsabili della gestione degli standard di sicurezza.
Monitoraggio continuo. Valutare l'efficacia della baseline di sicurezza tramite l'osservabilità e apportare miglioramenti nel tempo.
Definire la linea di base
Ecco alcune categorie comuni che devono far parte di una baseline. L'elenco seguente non è esaustivo. È destinato a una panoramica dell'ambito del documento.
Conformità alle normative
Un carico di lavoro potrebbe essere soggetto alla conformità alle normative per segmenti di settore specifici, potrebbero esserci alcune restrizioni geografiche e così via. È fondamentale comprendere i requisiti in base alle specifiche normative, perché questi influiscono sulle scelte di progettazione e in alcuni casi devono essere inclusi nell'architettura.
La baseline deve includere una valutazione regolare del carico di lavoro rispetto ai requisiti normativi. Sfruttare i vantaggi degli strumenti forniti dalla piattaforma, ad esempio Microsoft Defender per il cloud, che possono identificare aree di non conformità. Collaborare con il team di conformità dell'organizzazione per assicurarsi che tutti i requisiti siano soddisfatti e mantenuti.
Componenti dell'architettura
La baseline richiede raccomandazioni prescrittive per i componenti principali del carico di lavoro. Questi in genere includono controlli tecnici per la rete, l'identità, il calcolo e i dati. Fare riferimento alle baseline di sicurezza fornite dalla piattaforma e aggiungere i controlli mancanti all'architettura.
Fare riferimento a Esempio.
Processi di sviluppo
La baseline deve avere raccomandazioni su:
- Classificazione del sistema.
- Set di risorse approvato.
- Rilevamento delle risorse.
- Applicazione di criteri per l'uso o la configurazione delle risorse.
Il team di sviluppo deve avere una chiara comprensione dell'ambito per i controlli di sicurezza. Ad esempio, la modellazione delle minacce è un requisito per assicurarsi che le potenziali minacce vengano identificate nel codice e nelle pipeline di distribuzione. Essere specifici dei controlli statici e dell'analisi delle vulnerabilità nella pipeline e della frequenza con cui il team deve eseguire tali analisi.
Per altre informazioni, vedere Raccomandazioni sull'analisi delle minacce.
Il processo di sviluppo deve anche definire standard su varie metodologie di test e la loro cadenza. Per altre informazioni, vedere Raccomandazioni sui test di sicurezza.
Operazioni
La baseline deve impostare standard sull'uso delle funzionalità di rilevamento delle minacce e generare avvisi su attività anomale che indicano eventi imprevisti effettivi. Il rilevamento delle minacce deve includere tutti i livelli del carico di lavoro, inclusi tutti gli endpoint raggiungibili da reti ostili.
La baseline deve includere raccomandazioni per la configurazione dei processi di risposta agli eventi imprevisti, incluse le comunicazioni e un piano di ripristino, e quali di questi processi possono essere automatizzati per accelerare il rilevamento e l'analisi. Per esempi, vedere Panoramica delle baseline di sicurezza per Azure.
La risposta agli eventi imprevisti deve includere anche un piano di ripristino e i requisiti per tale piano, ad esempio le risorse per eseguire regolarmente e proteggere i backup.
Si sviluppano piani di violazione dei dati usando gli standard di settore e le raccomandazioni fornite dalla piattaforma. Il team ha quindi un piano completo da seguire quando viene individuata una violazione. Inoltre, rivolgersi all'organizzazione per verificare se è presente una copertura attraverso la sicurezza informatica.
Formazione
Sviluppare e gestire un programma di formazione sulla sicurezza per garantire che il team del carico di lavoro sia dotato delle competenze appropriate per supportare gli obiettivi e i requisiti di sicurezza. Il team necessita di formazione fondamentale sulla sicurezza, ma si consiglia di usare ciò che si può dall'organizzazione per supportare ruoli specializzati. La conformità e la partecipazione alla formazione sulla sicurezza basata sui ruoli fanno parte della baseline di sicurezza.
Applicare la linea di base
Usare la linea di base per promuovere iniziative, ad esempio:
Preparazione alle decisioni di progettazione. Creare la baseline di sicurezza e pubblicarla prima di avviare il processo di progettazione dell'architettura. Assicurarsi che i membri del team siano pienamente consapevoli delle aspettative dell'organizzazione in anticipo, evitando costose rielaborazioni causate dalla mancanza di chiarezza. È possibile usare i criteri di base come requisiti del carico di lavoro di cui l'organizzazione si è impegnata a progettare e convalidare i controlli in base a tali vincoli.
Misurare la progettazione. Assegnare un grado alle decisioni correnti rispetto alla baseline corrente. La linea di base imposta le soglie effettive per i criteri. Documentare eventuali deviazioni posticipate o ritenute accettabili a lungo termine.
Miglioramenti dell'unità. Mentre la baseline imposta obiettivi raggiungibili, esistono sempre lacune. Classificare in ordine di priorità le lacune nel backlog e correggere in base alla definizione delle priorità.
Tenere traccia dello stato di avanzamento rispetto alla baseline. Il monitoraggio continuo delle misure di sicurezza rispetto a una baseline impostata è essenziale. L'analisi delle tendenze è un buon modo per esaminare lo stato di sicurezza nel tempo e può rivelare deviazioni coerenti dalla baseline. Usare l'automazione il più possibile, il pull dei dati da varie origini, interne ed esterne, per risolvere i problemi correnti e prepararsi alle minacce future.
Impostare protezioni. Dove possibile, i criteri di base devono avere protezioni. Le protezioni applicano le configurazioni di sicurezza, le tecnologie e le operazioni necessarie, in base a fattori interni ed esterni. I fattori interni includono requisiti aziendali, rischi e valutazione degli asset. I fattori esterni includono benchmark, standard normativi e ambiente di minaccia. Le guardrail aiutano a ridurre al minimo il rischio di inavvertita supervisione e multe irreversibili per la mancata conformità.
Esplorare Criteri di Azure per le opzioni personalizzate o usare iniziative predefinite come benchmark CIS o Azure Security Benchmark per applicare configurazioni di sicurezza e requisiti di conformità. Valutare la possibilità di creare criteri e iniziative di Azure fuori dalle linee di base.
Valutare regolarmente la baseline
Migliorare continuamente gli standard di sicurezza in modo incrementale verso lo stato ideale per garantire una riduzione continua dei rischi. Condurre revisioni periodiche per garantire che il sistema sia aggiornato e conforme alle influenze esterne. Qualsiasi modifica alla linea di base deve essere formale, concordata e inviata tramite processi di gestione dei cambiamenti appropriati.
Misurare il sistema in base alla nuova baseline e classificare in ordine di priorità le correzioni in base alla pertinenza e all'effetto sul carico di lavoro.
Assicurarsi che il comportamento di sicurezza non si degradi nel tempo introducendo il controllo e il monitoraggio della conformità agli standard dell'organizzazione.
Facilitazione di Azure
Microsoft Cloud Security Benchmark (MCSB) è un framework completo di procedure consigliate per la sicurezza che è possibile usare come punto di partenza per la baseline di sicurezza. Usarlo insieme ad altre risorse che forniscono input alla baseline.
Per altre informazioni, vedere Introduzione al benchmark della sicurezza cloud Microsoft.
Usare il dashboard di conformità alle normative Microsoft Defender per il cloud (MDC) per tenere traccia di tali baseline e ricevere avvisi se viene rilevato un modello esterno a una baseline. Per altre informazioni, vedere Personalizzare il set di standard nel dashboard di conformità alle normative.
Altre funzionalità che consentono di stabilire e migliorare la baseline:
Esempio
Questo diagramma logico illustra una baseline di sicurezza di esempio per i componenti dell'architettura che includono rete, infrastruttura, endpoint, applicazione, dati e identità per illustrare come un ambiente IT comune possa essere protetto in modo sicuro. Altre guide consigliate si basano su questo esempio.
Infrastruttura
Un ambiente IT comune, con un livello locale con risorse di base.
Servizi di sicurezza di Azure
Servizi e funzionalità di sicurezza di Azure in base ai tipi di risorse che proteggono.
Servizi di monitoraggio della sicurezza di Azure
I servizi di monitoraggio disponibili in Azure che vanno oltre i semplici servizi di monitoraggio, tra cui soluzioni SIEM (Security Information Event Management) e soluzioni SOAR (Security Orchestration Automated Response) e Microsoft Defender per il cloud.
Minacce
Questo livello offre un suggerimento e promemoria che le minacce possono essere mappate in base alle preoccupazioni dell'organizzazione relative alle minacce, indipendentemente dalla metodologia o dalla matrice mitre attack matrix o cyber kill chain.
Collegamenti correlati
Collegamenti della community
Elenco di controllo relativo alla sicurezza
Fare riferimento al set completo di raccomandazioni.