Controllo della sicurezza: governance e strategia
La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la sicurezza della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e il supporto di criteri e standard.
GS-1: Allineare ruoli dell'organizzazione, responsabilità e responsabilità
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Linee guida generali: assicurarsi di definire e comunicare una strategia chiara per ruoli e responsabilità nell'organizzazione di sicurezza. Definire la priorità fornendo una chiara responsabilità per le decisioni di sicurezza, informare tutti i membri del modello di responsabilità condivisa e informare i team tecnici sulla tecnologia per proteggere il cloud.
Implementazione e contesto aggiuntivo:
- Procedura di sicurezza consigliata di Azure 1 - Utenti: informare i team sul percorso di sicurezza del cloud
- Procedura di sicurezza consigliata di Azure 2 - Utenti: informare i team sulla tecnologia di sicurezza del cloud
- Procedura di sicurezza consigliata di Azure 3 - Processo: assegnare la responsabilità per le decisioni sulla sicurezza del cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-2: Definire e implementare la segmentazione/separazione delle attività aziendali
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Linee guida generali: stabilire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.
Bilanciare accuratamente la necessità di separazione di sicurezza con la necessità di abilitare le operazioni giornaliere dei sistemi che devono comunicare tra loro e accedere ai dati.
Assicurarsi che la strategia di segmentazione venga implementata in modo coerente nel carico di lavoro, tra cui sicurezza di rete, modelli di identità e accesso e modelli di autorizzazione/accesso dell'applicazione e controlli dei processi umani.
Implementazione e contesto aggiuntivo:
- Sicurezza nell'Cloud Adoption Framework Microsoft per Azure - Segmentazione: separare per proteggere
- Sicurezza nell'Cloud Adoption Framework Microsoft per Azure - Architettura: stabilire una singola strategia di sicurezza unificata
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-3: Definire e implementare la strategia di protezione dei dati
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Linee guida generali: stabilire una strategia a livello aziendale per la protezione dei dati nell'ambiente cloud:
- Definire e applicare lo standard di classificazione e protezione dei dati in conformità allo standard di gestione dei dati aziendale e alla conformità alle normative per determinare i controlli di sicurezza necessari per ogni livello della classificazione dei dati.
- Configurare la gerarchia di gestione delle risorse cloud allineata alla strategia di segmentazione aziendale. Questa strategia deve inoltre tenere conto della posizione dei dati e dei sistemi sensibili o business critical.
- Definire e applicare i principi di zero trust applicabili nell'ambiente cloud per evitare di implementare l'attendibilità in base alla posizione di rete all'interno di un perimetro. Usare invece attestazioni di attendibilità utente e dispositivo per accedere ai dati e alle risorse.
- Tenere traccia e ridurre al minimo il footprint dei dati sensibili (archiviazione, trasmissione ed elaborazione) in tutta l'azienda per ridurre il costo di protezione dei dati e della superficie di attacco. Si considerino tecniche come hashing, troncamento e tokenizzazione unidirezionale nel carico di lavoro, se possibile, per evitare l'archiviazione e la trasmissione di dati sensibili nel formato originale.
- Assicurarsi di avere una strategia di controllo del ciclo di vita completa per garantire la sicurezza dei dati e delle chiavi di accesso.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Protezione dei dati
- Cloud Adoption Framework - Procedure consigliate per la sicurezza dei dati e la crittografia in Azure
- Nozioni fondamentali sulla sicurezza di Azure - Sicurezza, crittografia e archiviazione dei dati di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-4: Definire e implementare la strategia di sicurezza di rete
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Linee guida generali: stabilire una strategia di sicurezza della rete cloud come parte della strategia di sicurezza complessiva dell'organizzazione per il controllo degli accessi. La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:
- Progettare un modello di responsabilità di rete centralizzato/decentralizzato per distribuire e gestire le risorse di rete.
- Modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale.
- Una strategia internet perimetrale e in ingresso e uscita.
- Una strategia di interconnessione ibrida e cloud locale.
- Strategia di monitoraggio e registrazione della rete.
- Elementi di sicurezza di rete aggiornati, ad esempio diagrammi di rete, architettura di rete di riferimento.
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Strategia di sicurezza unificata singola
- Benchmark della sicurezza cloud Microsoft - Sicurezza di rete
- Panoramica della sicurezza di rete di Azure
- Strategia di architettura di rete aziendale
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-5: Definire e implementare la strategia di gestione del comportamento di sicurezza
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Indicazioni generali: stabilire criteri, procedure e standard per garantire che la gestione della configurazione della sicurezza e la gestione delle vulnerabilità siano presenti nel mandato di sicurezza cloud.
La gestione della configurazione della sicurezza nel cloud deve includere le aree seguenti:
- Definire le baseline di configurazione sicure per diversi tipi di risorse nel cloud, ad esempio il portale Web/console, il piano di gestione e il piano di controllo e le risorse in esecuzione nei servizi IaaS, PaaS e SaaS.
- Assicurarsi che le baseline di sicurezza rispondano ai rischi in diverse aree di controllo, ad esempio sicurezza di rete, gestione delle identità, accesso con privilegi, protezione dei dati e così via.
- Usare strumenti per misurare, controllare e applicare la configurazione per impedire la deviazione della configurazione dalla baseline.
- Sviluppare una cadenza per rimanere aggiornati con le funzionalità di sicurezza, ad esempio sottoscrivere gli aggiornamenti del servizio.
- Usare un meccanismo di controllo dell'integrità o della conformità della sicurezza (ad esempio Secure Score, Compliance Dashboard in Microsoft Defender for Cloud) per esaminare regolarmente il comportamento di configurazione della sicurezza e correggere le lacune identificate.
La gestione delle vulnerabilità nel cloud deve includere gli aspetti di sicurezza seguenti:
- Valutare e correggere regolarmente le vulnerabilità in tutti i tipi di risorse cloud, ad esempio servizi nativi del cloud, sistemi operativi e componenti dell'applicazione.
- Usare un approccio basato sui rischi per assegnare priorità alla valutazione e alla correzione.
- Sottoscrivere gli avvisi di sicurezza e i blog pertinenti di CSPM per ricevere gli aggiornamenti della sicurezza più recenti.
- Assicurarsi che la valutazione della vulnerabilità e la correzione (ad esempio pianificazione, ambito e tecniche) soddisfino i requisiti di conformità per l'organizzazione.dule, l'ambito e le tecniche) soddisfano regolarmente i requisiti di conformità per l'organizzazione.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Gestione delle vulnerabilità e del comportamento
- Procedure consigliate per la sicurezza di Azure 9 - Stabilire la gestione del comportamento di sicurezza
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-6: Definire e implementare la strategia di accesso con privilegi e identità
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Linee guida generali: stabilire un approccio di accesso con identità cloud e accesso con privilegi come parte della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione. Questa strategia deve includere indicazioni, criteri e standard documentati per gli aspetti seguenti:
- Sistema di identità e autenticazione centralizzato (ad esempio Azure AD) e la sua interconnessione con altri sistemi di identità interni ed esterni
- Governance dell'identità e dell'accesso con privilegi (ad esempio richiesta di accesso, revisione e approvazione)
- Account con privilegi in caso di emergenza (vetro di interruzione)
- Autenticazione avanzata (autenticazione senza password e autenticazione a più fattori) in diversi casi d'uso e condizioni.
- Proteggere l'accesso tramite operazioni amministrative tramite il portale Web o la console, la riga di comando e l'API.
Per i casi di eccezione, in cui non viene usato un sistema aziendale, assicurarsi che siano presenti controlli di sicurezza adeguati per identità, autenticazione e gestione degli accessi e regolati. Queste eccezioni devono essere approvate e periodicamente esaminate dal team aziendale. Queste eccezioni sono in genere in casi come:
- Uso di un sistema di identità e autenticazione designato non aziendale, ad esempio sistemi di terze parti basati sul cloud (possono introdurre rischi sconosciuti)
- Utenti con privilegi autenticati in locale e/o usano metodi di autenticazione non sicuri
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Gestione delle identità
- Benchmark della sicurezza cloud Microsoft - Accesso con privilegi
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Strategia di sicurezza unificata singola
- Informazioni generali sulla sicurezza della gestione delle identità di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-7: Definire e implementare la registrazione, il rilevamento delle minacce e la strategia di risposta agli eventi imprevisti
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Indicazioni generali: stabilire una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti per rilevare rapidamente e correggere le minacce e soddisfare i requisiti di conformità. Il team delle operazioni di sicurezza (SecOps/SOC) deve assegnare priorità agli avvisi di alta qualità e alle esperienze semplici in modo che possano concentrarsi sulle minacce anziché sull'integrazione dei log e sui passaggi manuali. Questa strategia deve includere criteri, procedure e standard documentati per gli aspetti seguenti:
- Le operazioni di sicurezza (SecOps) del ruolo e delle responsabilità dell'organizzazione
- Piano di risposta e gestione degli eventi imprevisti ben definiti e regolarmente testati e allineati a NIST SP 800-61 (Guida alla gestione degli eventi imprevisti di sicurezza computer) o ad altri framework di settore.
- Piano di comunicazione e notifica con i clienti, i fornitori e le parti pubbliche di interesse.
- Simulare sia gli eventi di sicurezza previsti che imprevisti all'interno dell'ambiente cloud per comprendere l'efficacia della preparazione. Eseguire l'iterazione del risultato della simulazione per migliorare la scalabilità della postura di risposta, ridurre il tempo al valore e ridurre ulteriormente il rischio.
- Preferenza per l'uso di funzionalità di rilevamento e risposta estese, ad esempio le funzionalità di Azure Defender, per rilevare le minacce in varie aree.
- Uso delle funzionalità native del cloud (ad esempio, come Microsoft Defender per cloud) e piattaforme di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, le forensi e la correzione degli attacchi e l'eradicazione.
- Preparare i runbook necessari, sia manuali che automatizzati, per garantire risposte affidabili e coerenti.
- Definire scenari chiave (ad esempio rilevamento delle minacce, risposta agli eventi imprevisti e conformità) e configurare l'acquisizione e la conservazione dei log per soddisfare i requisiti dello scenario.
- Visibilità centralizzata delle informazioni di correlazione e sulle minacce, usando la funzionalità di rilevamento delle minacce siem, il cloud nativo e altre origini.
- Attività post-evento impreviste, ad esempio lezioni apprese e conservazione delle prove.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Rilevamento delle minacce e registrazione
- Benchmark della sicurezza cloud Microsoft - Risposta agli eventi imprevisti
- Procedura consigliata per la sicurezza di Azure 4 - Processo. Aggiornare i processi di risposta agli eventi imprevisti per il cloud
- Azure Adoption Framework e guida alle decisioni di registrazione e creazione di report
- Scalabilità, gestione e monitoraggio di Azure Enterprise
- Guida alla gestione degli eventi imprevisti di sicurezza computer NIST SP 800-61
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-8: Definire e implementare la strategia di backup e ripristino
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Indicazioni generali: stabilire una strategia di backup e ripristino per l'organizzazione. Questa strategia deve includere indicazioni, criteri e standard documentati negli aspetti seguenti:
- Definizioni dell'obiettivo del tempo di ripristino (RTO) e dell'obiettivo del punto di ripristino (RPO) in conformità agli obiettivi di resilienza aziendale e ai requisiti di conformità alle normative.
- Progettazione della ridondanza (inclusi backup, ripristino e replica) nelle applicazioni e nell'infrastruttura sia nel cloud che in locale. Prendere in considerazione le coppie di aree, il ripristino tra aree e la posizione di archiviazione off-site come parte della strategia.
- Protezione del backup da accesso non autorizzato e tempramento usando controlli come il controllo di accesso ai dati, la crittografia e la sicurezza di rete.
- Uso del backup e del ripristino per attenuare i rischi delle minacce emergenti, ad esempio attacchi ransomware. E anche proteggere i dati di backup e ripristino da questi attacchi.
- Monitoraggio dei dati e delle operazioni di backup e ripristino per scopi di controllo e avviso.
Implementazione e contesto aggiuntivo:
- Benchmark di sicurezza cloud Microsoft - Backup e ripristino Azure Well-Architecture Framework - Backup e ripristino di emergenza per le applicazioni di Azure: /azure/architecture/framework/resilienza/backup-and-recovery
- Continuità aziendale e ripristino di emergenza di Azure Adoption Framework
- Piano di backup e ripristino da proteggere da ransomware
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-9: Definire e implementare la strategia di sicurezza degli endpoint
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Indicazioni generali: stabilire una strategia di sicurezza degli endpoint cloud che include gli aspetti seguenti: distribuire il rilevamento e la risposta degli endpoint e la funzionalità anti-malware nell'endpoint e integrarsi con la soluzione di rilevamento delle minacce e la soluzione SIEM e il processo di operazioni di sicurezza.
- Seguire Microsoft Cloud Security Benchmark per garantire che le impostazioni di sicurezza correlate agli endpoint in altre aree (ad esempio sicurezza di rete, gestione delle vulnerabilità del comportamento, gestione delle vulnerabilità, identità e accesso con privilegi e rilevamento delle minacce) siano disponibili anche per fornire una protezione approfondita della difesa per l'endpoint.
- Definire la priorità della sicurezza degli endpoint nell'ambiente di produzione, ma assicurarsi che gli ambienti non di produzione (ad esempio il test e l'ambiente di compilazione usati nel processo DevOps) siano protetti e monitorati, poiché questi ambienti possono essere usati anche per introdurre malware e vulnerabilità nell'ambiente di produzione.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Sicurezza degli endpoint
- Procedure consigliate per la sicurezza degli endpoint in Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-10: Definire e implementare la strategia di sicurezza DevOps
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Indicazioni generali: imporre i controlli di sicurezza come parte dello standard di progettazione e funzionamento devOps dell'organizzazione. Definire gli obiettivi di sicurezza, i requisiti di controllo e le specifiche degli strumenti in conformità agli standard di sicurezza enterprise e cloud nell'organizzazione.
Incoraggiare l'uso di DevOps come modello operativo essenziale nell'organizzazione per i suoi vantaggi nell'identificazione rapida e correzione delle vulnerabilità usando diversi tipi di automazione (ad esempio infrastruttura come provisioning del codice e analisi SAST automatizzata) in tutto il flusso di lavoro CI/CD. Questo approccio "shift left" aumenta anche la visibilità e la capacità di applicare controlli di sicurezza coerenti nella pipeline di distribuzione, distribuendo in modo efficace i guardrail di sicurezza nell'ambiente in anticipo per evitare sorprese di sicurezza dell'ultimo minuto quando si distribuisce un carico di lavoro in produzione.
Quando si spostano i controlli di sicurezza lasciati nelle fasi di pre-distribuzione, implementare guardrail di sicurezza per assicurarsi che i controlli vengano distribuiti e applicati durante il processo DevOps. Questa tecnologia può includere modelli di distribuzione delle risorse (ad esempio il modello di Azure ARM) per definire i guardrail nell'ambiente IaC (infrastruttura come codice), il provisioning delle risorse e il controllo per limitare i servizi o le configurazioni che possono essere sottoposti a provisioning nell'ambiente.
Per i controlli di sicurezza in fase di esecuzione del carico di lavoro, seguire Microsoft Cloud Security Benchmark per progettare e implementare controlli efficaci, ad esempio identità e accesso con privilegi, sicurezza di rete, sicurezza degli endpoint e protezione dei dati all'interno delle applicazioni e dei servizi del carico di lavoro.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza cloud Microsoft - Sicurezza DevOps
- Secure DevOps
- Cloud Adoption Framework - DevSecOps controllalinee guida generaliper gli stakeholder della sicurezza dei clienti (Altre informazioni)**:
- Tutti gli stakeholder
GS-11: Definire e implementare la strategia di sicurezza multi-cloud
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | N/D | N/D |
Linee guida generali: assicurarsi che una strategia multi-cloud sia definita nel cloud e nella governance della sicurezza, nella gestione dei rischi e nel processo operativo che deve includere gli aspetti seguenti:
- Adozione multi-cloud: per le organizzazioni che operano l'infrastruttura multi-cloud e Informare l'organizzazione per garantire ai team di comprendere la differenza di funzionalità tra le piattaforme cloud e lo stack di tecnologie. Compilare, distribuire e/o eseguire la migrazione di soluzioni portabili. Consente di facilitare lo spostamento tra le piattaforme cloud con blocco minimo del fornitore durante l'uso di funzionalità native del cloud in modo adeguato per il risultato ottimale dall'adozione del cloud.
- Operazioni di sicurezza e cloud: semplificare le operazioni di sicurezza per supportare le soluzioni in ogni cloud, tramite un set centrale di processi di governance e gestione che condividono processi operativi comuni, indipendentemente dalla posizione in cui viene distribuita e gestita la soluzione.
- Stack di strumenti e tecnologie: scegliere gli strumenti appropriati che supportano l'ambiente multi-cloud per aiutare a stabilire piattaforme di gestione unificata e centralizzate che possono includere tutti i domini di sicurezza illustrati in questo benchmark di sicurezza.
Implementazione e contesto aggiuntivo: