Controllo di sicurezza v3: governance e strategia

  • Articolo

La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto.

GS-1: Allineare ruoli, responsabilità e responsabilità dell'organizzazione

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Linee guida di Azure: assicurarsi di definire e comunicare una strategia chiara per ruoli e responsabilità nell'organizzazione della sicurezza. Definire le priorità specificando una chiara responsabilità per le decisioni relative alla sicurezza, informare tutti gli utenti sul modello di responsabilità condivisa e informare i team tecnici sulla tecnologia per la protezione del cloud.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-2: Definire e implementare la segmentazione/separazione dei compiti aziendali

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Linee guida di Azure: definire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.

Bilanciare accuratamente la necessità di separazione di sicurezza con la necessità di abilitare le operazioni giornaliere dei sistemi che devono comunicare tra loro e accedere ai dati.

Assicurarsi che la strategia di segmentazione venga implementata in modo coerente nel carico di lavoro, tra cui sicurezza di rete, modelli di identità e accesso e modelli di autorizzazione/accesso dell'applicazione e controlli dei processi umani.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-3: Definire e implementare la strategia di protezione dei dati

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Linee guida di Azure: definire una strategia a livello aziendale per la protezione dei dati in Azure:

  • Definire e applicare lo standard di classificazione e protezione dei dati in conformità allo standard di gestione dei dati aziendali e alla conformità alle normative per determinare i controlli di sicurezza necessari per ogni livello della classificazione dei dati.
  • Configurare la gerarchia di gestione delle risorse cloud allineata alla strategia di segmentazione aziendale. Questa strategia deve inoltre tenere conto della posizione dei dati e dei sistemi sensibili o business critical.
  • Definire e applicare i principi di zero trust applicabili nell'ambiente cloud per evitare di implementare l'attendibilità in base al percorso di rete all'interno di un perimetro. Usare invece attestazioni di attendibilità utente e dispositivo per controllare l'accesso ai dati e alle risorse.
  • Tenere traccia e ridurre al minimo il footprint dei dati sensibili (archiviazione, trasmissione ed elaborazione) nell'organizzazione per ridurre la superficie di attacco e i costi di protezione dei dati. Prendere in considerazione tecniche come hashing unidirezionale, troncamento e tokenizzazione nel carico di lavoro, ove possibile, per evitare di archiviare e trasmettere dati sensibili nel formato originale.
  • Assicurarsi di avere una strategia di controllo del ciclo di vita completa per garantire la sicurezza dei dati e delle chiavi di accesso.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-4: Definire e implementare la strategia di sicurezza di rete

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Linee guida di Azure: stabilire una strategia di sicurezza di rete di Azure come parte della strategia di sicurezza complessiva dell'organizzazione per il controllo di accesso. La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:

  • Progettare un modello centralizzato/decentralizzato di gestione della rete e responsabilità di sicurezza per distribuire e gestire le risorse di rete.
  • Un modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale.
  • Una strategia internet edge e in ingresso e in uscita.
  • Un cloud ibrido e una strategia di interconnettività locale.
  • Una strategia di monitoraggio e registrazione di rete.
  • Artefatti di sicurezza di rete aggiornati, ad esempio diagrammi di rete, architettura di rete di riferimento.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-5: Definire e implementare la strategia di gestione del comportamento di sicurezza

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Linee guida di Azure: definire criteri, procedure e standard per garantire che la gestione della configurazione della sicurezza e i gestione delle vulnerabilità siano applicati nel mandato di sicurezza cloud.

La gestione della configurazione della sicurezza in Azure deve includere le aree seguenti:

  • Definire le linee di base di configurazione sicure per diversi tipi di risorse nel cloud, ad esempio l'portale di Azure, il piano di gestione e controllo e le risorse in esecuzione nei servizi IaaS, PaaS e SaaS.
  • Assicurarsi che le baseline di sicurezza affrontino i rischi in aree di controllo diverse, ad esempio sicurezza di rete, gestione delle identità, accesso con privilegi, protezione dei dati e così via.
  • Usare strumenti per misurare, controllare e applicare continuamente la configurazione per impedire la deviazione della configurazione dalla linea di base.
  • Sviluppare una cadenza per rimanere aggiornati con le funzionalità di sicurezza di Azure, ad esempio sottoscrivere gli aggiornamenti del servizio.
  • Usare Secure Score in Azure Defender per il cloud per esaminare regolarmente il comportamento di configurazione della sicurezza di Azure e correggere le lacune identificate.

Il gestione delle vulnerabilità in Azure deve includere gli aspetti di sicurezza seguenti:

  • Valutare e correggere regolarmente le vulnerabilità in tutti i tipi di risorse cloud, ad esempio servizi nativi di Azure, sistemi operativi e componenti dell'applicazione.
  • Usare un approccio basato sul rischio per assegnare priorità alla valutazione e alla correzione.
  • Sottoscrivere gli avvisi di sicurezza di Microsoft/Azure e i blog pertinenti per ricevere gli aggiornamenti della sicurezza più recenti su Azure.
  • Assicurarsi che la valutazione e la correzione delle vulnerabilità (ad esempio pianificare, ambito e tecniche) soddisfino i requisiti di conformità regolari per l'organizzazione.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-6: Definire e implementare la strategia di accesso con privilegi e identità

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Linee guida di Azure: stabilire un approccio di identità e accesso con privilegi di Azure nell'ambito della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione. Questa strategia deve includere indicazioni documentate, criteri e standard per gli aspetti seguenti:

  • Sistema di identità e autenticazione centralizzato (Azure AD) e la sua interconnettività con altri sistemi di identità interni ed esterni
  • Governance delle identità e degli accessi con privilegi (ad esempio, richiesta di accesso, revisione e approvazione)
  • Account con privilegi in situazioni di emergenza (break-glass)
  • Metodi di autenticazione avanzata (autenticazione senza password e autenticazione a più fattori) in casi d'uso e condizioni diversi
  • Proteggere l'accesso tramite operazioni amministrative tramite portale di Azure, interfaccia della riga di comando e API.

Per i casi di eccezione, in cui non viene usato un sistema aziendale, assicurarsi che siano applicati controlli di sicurezza adeguati per la gestione delle identità, dell'autenticazione e dell'accesso e della governance. Queste eccezioni devono essere approvate e periodicamente esaminate dal team aziendale. Queste eccezioni sono in genere in casi come:

  • Uso di un sistema di autenticazione e identità non aziendale designato, ad esempio sistemi di terze parti basati sul cloud (possono introdurre rischi sconosciuti)
  • Gli utenti con privilegi autenticati in locale e/o usano metodi di autenticazione non sicuri

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-7: definire e implementare la registrazione, il rilevamento delle minacce e la strategia di risposta agli eventi imprevisti

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Linee guida di Azure: stabilire una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti per rilevare e correggere rapidamente le minacce e soddisfare i requisiti di conformità. Il team delle operazioni di sicurezza (SecOps/SOC) deve classificare in ordine di priorità gli avvisi di alta qualità e le esperienze senza problemi in modo che possano concentrarsi sulle minacce anziché sull'integrazione dei log e sui passaggi manuali.

Questa strategia deve includere criteri documentati, procedure e standard per gli aspetti seguenti:

  • Il ruolo e le responsabilità dell'organizzazione delle operazioni di sicurezza (SecOps)
  • Un piano di risposta agli eventi imprevisti ben definito e testato regolarmente e il processo di gestione in linea con NIST o altri framework di settore.
  • Piano di comunicazione e notifica con clienti, fornitori e parti pubbliche di interesse.
  • Preferenza per l'uso di funzionalità XDR (Extended Detection and Response) come le funzionalità di Azure Defender per rilevare le minacce nelle varie aree.
  • Uso della funzionalità nativa di Azure (ad esempio, come Microsoft Defender per il cloud) e delle piattaforme di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, le analisi forensi e la correzione e l'eliminazione degli attacchi.
  • Definire scenari chiave, ad esempio rilevamento delle minacce, risposta agli eventi imprevisti e conformità, e configurare l'acquisizione e la conservazione dei log per soddisfare i requisiti dello scenario.
  • Visibilità centralizzata delle informazioni di correlazione e sulle minacce, uso di SIEM, funzionalità di rilevamento delle minacce native di Azure e altre origini.
  • Attività post-evento imprevisto, ad esempio lezioni apprese e conservazione delle prove.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-8: definire e implementare la strategia di backup e ripristino

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Linee guida di Azure: stabilire una strategia di backup e ripristino di Azure per l'organizzazione. Questa strategia deve includere indicazioni documentate, criteri e standard negli aspetti seguenti:

  • Definizioni di obiettivo del tempo di ripristino (RTO) e obiettivo del punto di ripristino (RPO) in base agli obiettivi di resilienza aziendale e ai requisiti di conformità alle normative.
  • Progettazione della ridondanza (inclusi backup, ripristino e replica) nelle applicazioni e nell'infrastruttura sia nel cloud che in locale. Prendere in considerazione le coppie di aree, il ripristino tra aree e la posizione di archiviazione all'esterno del sito come parte della strategia.
  • Protezione del backup da accessi non autorizzati e attenuazione usando controlli come il controllo di accesso ai dati, la crittografia e la sicurezza di rete.
  • Uso del backup e del ripristino per attenuare i rischi derivanti da minacce emergenti, ad esempio attacchi ransomware. E anche proteggere i dati di backup e ripristino stessi da questi attacchi.
  • Monitoraggio dei dati e delle operazioni di backup e ripristino per scopi di controllo e avviso.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-9: Definire e implementare la strategia di sicurezza degli endpoint

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Linee guida di Azure: stabilire una strategia di sicurezza degli endpoint cloud che include gli aspetti seguenti:

  • Distribuire la funzionalità rilevamento e reazione dagli endpoint e antimalware nell'endpoint e integrarsi con il processo di rilevamento delle minacce e soluzioni SIEM e operazioni di sicurezza.
  • Seguire Azure Security Benchmark per assicurarsi che le impostazioni di sicurezza correlate agli endpoint in altre aree , ad esempio sicurezza di rete, comportamento gestione delle vulnerabilità, accesso con identità e privilegi e rilevamento delle minacce, siano disponibili anche per fornire una protezione avanzata per l'endpoint.
  • Classificare in ordine di priorità la sicurezza degli endpoint nell'ambiente di produzione, ma assicurarsi che anche gli ambienti non di produzione (ad esempio l'ambiente di test e compilazione usati nel processo di DevOps) siano protetti e monitorati, perché questi ambienti possono essere usati anche per introdurre malware e vulnerabilità nell'ambiente di produzione.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

GS-10: definire e implementare DevOps strategia di sicurezza

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Linee guida di Azure: imporre i controlli di sicurezza come parte dello standard di progettazione e operazione dell'organizzazione DevOps. Definire gli obiettivi di sicurezza, i requisiti di controllo e le specifiche degli strumenti in conformità agli standard di sicurezza enterprise e cloud nell'organizzazione.

Incoraggiare l'uso di DevOps come modello operativo essenziale nell'organizzazione per i vantaggi offerti dall'identificazione e correzione rapida delle vulnerabilità usando diversi tipi di automazione,ad esempio il provisioning del codice e l'analisi SAST automatizzata in tutto il flusso di lavoro CI/CD. Questo approccio "shift left" aumenta anche la visibilità e la capacità di applicare controlli di sicurezza coerenti nella pipeline di distribuzione, distribuendo in modo efficace i guardrail di sicurezza nell'ambiente in anticipo per evitare sorprese di sicurezza dell'ultimo minuto quando si distribuisce un carico di lavoro in produzione.

Quando si spostano i controlli di sicurezza lasciati nelle fasi di pre-distribuzione, implementare guardrail di sicurezza per assicurarsi che i controlli vengano distribuiti e applicati in tutto il processo di DevOps. Questa tecnologia può includere modelli di Azure ARM per definire guardrail nell'ambiente IaC (infrastruttura come codice), provisioning delle risorse e Criteri di Azure per controllare e limitare quali servizi o configurazioni possono essere sottoposti a provisioning nell'ambiente.

Per i controlli di sicurezza in fase di esecuzione del carico di lavoro, seguire Azure Security Benchmark per progettare e implementare i controlli efficaci, ad esempio identità e accesso con privilegi, sicurezza di rete, sicurezza degli endpoint e protezione dei dati all'interno delle applicazioni e dei servizi del carico di lavoro.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):