Controllo di sicurezza v3: governance e strategia
La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto.
GS-1: Allineare ruoli, responsabilità e responsabilità dell'organizzazione
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Linee guida di Azure: assicurarsi di definire e comunicare una strategia chiara per ruoli e responsabilità nell'organizzazione della sicurezza. Definire le priorità specificando una chiara responsabilità per le decisioni relative alla sicurezza, informare tutti gli utenti sul modello di responsabilità condivisa e informare i team tecnici sulla tecnologia per la protezione del cloud.
Implementazione e contesto aggiuntivo:
- Procedura di sicurezza consigliata di Azure 1 - Utenti: informare i team sul percorso di sicurezza del cloud
- Procedura di sicurezza consigliata di Azure 2 - Utenti: informare i team sulla tecnologia di sicurezza del cloud
- Procedura di sicurezza consigliata di Azure 3 - Processo: assegnare la responsabilità per le decisioni sulla sicurezza del cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-2: Definire e implementare la segmentazione/separazione dei compiti aziendali
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Linee guida di Azure: definire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.
Bilanciare accuratamente la necessità di separazione di sicurezza con la necessità di abilitare le operazioni giornaliere dei sistemi che devono comunicare tra loro e accedere ai dati.
Assicurarsi che la strategia di segmentazione venga implementata in modo coerente nel carico di lavoro, tra cui sicurezza di rete, modelli di identità e accesso e modelli di autorizzazione/accesso dell'applicazione e controlli dei processi umani.
Implementazione e contesto aggiuntivo:
- Sicurezza in Microsoft Cloud Adoption Framework per Azure - Segmentazione: separata da proteggere
- Sicurezza in Microsoft Cloud Adoption Framework per Azure - Architettura: stabilire una singola strategia di sicurezza unificata
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-3: Definire e implementare la strategia di protezione dei dati
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Linee guida di Azure: definire una strategia a livello aziendale per la protezione dei dati in Azure:
- Definire e applicare lo standard di classificazione e protezione dei dati in conformità allo standard di gestione dei dati aziendali e alla conformità alle normative per determinare i controlli di sicurezza necessari per ogni livello della classificazione dei dati.
- Configurare la gerarchia di gestione delle risorse cloud allineata alla strategia di segmentazione aziendale. Questa strategia deve inoltre tenere conto della posizione dei dati e dei sistemi sensibili o business critical.
- Definire e applicare i principi di zero trust applicabili nell'ambiente cloud per evitare di implementare l'attendibilità in base al percorso di rete all'interno di un perimetro. Usare invece attestazioni di attendibilità utente e dispositivo per controllare l'accesso ai dati e alle risorse.
- Tenere traccia e ridurre al minimo il footprint dei dati sensibili (archiviazione, trasmissione ed elaborazione) nell'organizzazione per ridurre la superficie di attacco e i costi di protezione dei dati. Prendere in considerazione tecniche come hashing unidirezionale, troncamento e tokenizzazione nel carico di lavoro, ove possibile, per evitare di archiviare e trasmettere dati sensibili nel formato originale.
- Assicurarsi di avere una strategia di controllo del ciclo di vita completa per garantire la sicurezza dei dati e delle chiavi di accesso.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Protezione dei dati
- Cloud Adoption Framework - Procedure consigliate per la sicurezza dei dati e la crittografia in Azure
- Nozioni fondamentali sulla sicurezza di Azure - Sicurezza, crittografia e archiviazione dei dati di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-4: Definire e implementare la strategia di sicurezza di rete
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Linee guida di Azure: stabilire una strategia di sicurezza di rete di Azure come parte della strategia di sicurezza complessiva dell'organizzazione per il controllo di accesso. La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:
- Progettare un modello centralizzato/decentralizzato di gestione della rete e responsabilità di sicurezza per distribuire e gestire le risorse di rete.
- Un modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale.
- Una strategia internet edge e in ingresso e in uscita.
- Un cloud ibrido e una strategia di interconnettività locale.
- Una strategia di monitoraggio e registrazione di rete.
- Artefatti di sicurezza di rete aggiornati, ad esempio diagrammi di rete, architettura di rete di riferimento.
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Azure Security Benchmark - Sicurezza di rete
- Panoramica della sicurezza di rete di Azure
- Strategia di architettura di rete aziendale
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-5: Definire e implementare la strategia di gestione del comportamento di sicurezza
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Linee guida di Azure: definire criteri, procedure e standard per garantire che la gestione della configurazione della sicurezza e i gestione delle vulnerabilità siano applicati nel mandato di sicurezza cloud.
La gestione della configurazione della sicurezza in Azure deve includere le aree seguenti:
- Definire le linee di base di configurazione sicure per diversi tipi di risorse nel cloud, ad esempio l'portale di Azure, il piano di gestione e controllo e le risorse in esecuzione nei servizi IaaS, PaaS e SaaS.
- Assicurarsi che le baseline di sicurezza affrontino i rischi in aree di controllo diverse, ad esempio sicurezza di rete, gestione delle identità, accesso con privilegi, protezione dei dati e così via.
- Usare strumenti per misurare, controllare e applicare continuamente la configurazione per impedire la deviazione della configurazione dalla linea di base.
- Sviluppare una cadenza per rimanere aggiornati con le funzionalità di sicurezza di Azure, ad esempio sottoscrivere gli aggiornamenti del servizio.
- Usare Secure Score in Azure Defender per il cloud per esaminare regolarmente il comportamento di configurazione della sicurezza di Azure e correggere le lacune identificate.
Il gestione delle vulnerabilità in Azure deve includere gli aspetti di sicurezza seguenti:
- Valutare e correggere regolarmente le vulnerabilità in tutti i tipi di risorse cloud, ad esempio servizi nativi di Azure, sistemi operativi e componenti dell'applicazione.
- Usare un approccio basato sul rischio per assegnare priorità alla valutazione e alla correzione.
- Sottoscrivere gli avvisi di sicurezza di Microsoft/Azure e i blog pertinenti per ricevere gli aggiornamenti della sicurezza più recenti su Azure.
- Assicurarsi che la valutazione e la correzione delle vulnerabilità (ad esempio pianificare, ambito e tecniche) soddisfino i requisiti di conformità regolari per l'organizzazione.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Gestione del comportamento e della vulnerabilità
- Procedura consigliata per la sicurezza di Azure 9 - Stabilire la gestione del comportamento di sicurezza
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-6: Definire e implementare la strategia di accesso con privilegi e identità
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Linee guida di Azure: stabilire un approccio di identità e accesso con privilegi di Azure nell'ambito della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione. Questa strategia deve includere indicazioni documentate, criteri e standard per gli aspetti seguenti:
- Sistema di identità e autenticazione centralizzato (Azure AD) e la sua interconnettività con altri sistemi di identità interni ed esterni
- Governance delle identità e degli accessi con privilegi (ad esempio, richiesta di accesso, revisione e approvazione)
- Account con privilegi in situazioni di emergenza (break-glass)
- Metodi di autenticazione avanzata (autenticazione senza password e autenticazione a più fattori) in casi d'uso e condizioni diversi
- Proteggere l'accesso tramite operazioni amministrative tramite portale di Azure, interfaccia della riga di comando e API.
Per i casi di eccezione, in cui non viene usato un sistema aziendale, assicurarsi che siano applicati controlli di sicurezza adeguati per la gestione delle identità, dell'autenticazione e dell'accesso e della governance. Queste eccezioni devono essere approvate e periodicamente esaminate dal team aziendale. Queste eccezioni sono in genere in casi come:
- Uso di un sistema di autenticazione e identità non aziendale designato, ad esempio sistemi di terze parti basati sul cloud (possono introdurre rischi sconosciuti)
- Gli utenti con privilegi autenticati in locale e/o usano metodi di autenticazione non sicuri
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Gestione delle identità
- Azure Security Benchmark - Accesso con privilegi
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Informazioni generali sulla sicurezza della gestione delle identità di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-7: definire e implementare la registrazione, il rilevamento delle minacce e la strategia di risposta agli eventi imprevisti
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Linee guida di Azure: stabilire una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti per rilevare e correggere rapidamente le minacce e soddisfare i requisiti di conformità. Il team delle operazioni di sicurezza (SecOps/SOC) deve classificare in ordine di priorità gli avvisi di alta qualità e le esperienze senza problemi in modo che possano concentrarsi sulle minacce anziché sull'integrazione dei log e sui passaggi manuali.
Questa strategia deve includere criteri documentati, procedure e standard per gli aspetti seguenti:
- Il ruolo e le responsabilità dell'organizzazione delle operazioni di sicurezza (SecOps)
- Un piano di risposta agli eventi imprevisti ben definito e testato regolarmente e il processo di gestione in linea con NIST o altri framework di settore.
- Piano di comunicazione e notifica con clienti, fornitori e parti pubbliche di interesse.
- Preferenza per l'uso di funzionalità XDR (Extended Detection and Response) come le funzionalità di Azure Defender per rilevare le minacce nelle varie aree.
- Uso della funzionalità nativa di Azure (ad esempio, come Microsoft Defender per il cloud) e delle piattaforme di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, le analisi forensi e la correzione e l'eliminazione degli attacchi.
- Definire scenari chiave, ad esempio rilevamento delle minacce, risposta agli eventi imprevisti e conformità, e configurare l'acquisizione e la conservazione dei log per soddisfare i requisiti dello scenario.
- Visibilità centralizzata delle informazioni di correlazione e sulle minacce, uso di SIEM, funzionalità di rilevamento delle minacce native di Azure e altre origini.
- Attività post-evento imprevisto, ad esempio lezioni apprese e conservazione delle prove.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Registrazione e rilevamento delle minacce
- Azure Security Benchmark - Risposta agli eventi imprevisti
- Procedura consigliata per la sicurezza di Azure 4 - Processo. Aggiornare i processi di risposta agli eventi imprevisti per il cloud
- Azure Adoption Framework e guida alle decisioni di registrazione e creazione di report
- Scalabilità, gestione e monitoraggio di Azure Enterprise
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-8: definire e implementare la strategia di backup e ripristino
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
11,1 | CP-1, CP-9, CP-10 | 3.4 |
Linee guida di Azure: stabilire una strategia di backup e ripristino di Azure per l'organizzazione. Questa strategia deve includere indicazioni documentate, criteri e standard negli aspetti seguenti:
- Definizioni di obiettivo del tempo di ripristino (RTO) e obiettivo del punto di ripristino (RPO) in base agli obiettivi di resilienza aziendale e ai requisiti di conformità alle normative.
- Progettazione della ridondanza (inclusi backup, ripristino e replica) nelle applicazioni e nell'infrastruttura sia nel cloud che in locale. Prendere in considerazione le coppie di aree, il ripristino tra aree e la posizione di archiviazione all'esterno del sito come parte della strategia.
- Protezione del backup da accessi non autorizzati e attenuazione usando controlli come il controllo di accesso ai dati, la crittografia e la sicurezza di rete.
- Uso del backup e del ripristino per attenuare i rischi derivanti da minacce emergenti, ad esempio attacchi ransomware. E anche proteggere i dati di backup e ripristino stessi da questi attacchi.
- Monitoraggio dei dati e delle operazioni di backup e ripristino per scopi di controllo e avviso.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Backup e ripristino
- Azure Well-Architecture Framework - Backup e ripristino di emergenza per le applicazioni Azure
- Continuità aziendale e ripristino di emergenza di Azure Adoption Framework
- Backup e piano di ripristino per la protezione da ransomware
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-9: Definire e implementare la strategia di sicurezza degli endpoint
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Linee guida di Azure: stabilire una strategia di sicurezza degli endpoint cloud che include gli aspetti seguenti:
- Distribuire la funzionalità rilevamento e reazione dagli endpoint e antimalware nell'endpoint e integrarsi con il processo di rilevamento delle minacce e soluzioni SIEM e operazioni di sicurezza.
- Seguire Azure Security Benchmark per assicurarsi che le impostazioni di sicurezza correlate agli endpoint in altre aree , ad esempio sicurezza di rete, comportamento gestione delle vulnerabilità, accesso con identità e privilegi e rilevamento delle minacce, siano disponibili anche per fornire una protezione avanzata per l'endpoint.
- Classificare in ordine di priorità la sicurezza degli endpoint nell'ambiente di produzione, ma assicurarsi che anche gli ambienti non di produzione (ad esempio l'ambiente di test e compilazione usati nel processo di DevOps) siano protetti e monitorati, perché questi ambienti possono essere usati anche per introdurre malware e vulnerabilità nell'ambiente di produzione.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Sicurezza degli endpoint
- Procedure consigliate per la sicurezza degli endpoint in Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
GS-10: definire e implementare DevOps strategia di sicurezza
CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Linee guida di Azure: imporre i controlli di sicurezza come parte dello standard di progettazione e operazione dell'organizzazione DevOps. Definire gli obiettivi di sicurezza, i requisiti di controllo e le specifiche degli strumenti in conformità agli standard di sicurezza enterprise e cloud nell'organizzazione.
Incoraggiare l'uso di DevOps come modello operativo essenziale nell'organizzazione per i vantaggi offerti dall'identificazione e correzione rapida delle vulnerabilità usando diversi tipi di automazione,ad esempio il provisioning del codice e l'analisi SAST automatizzata in tutto il flusso di lavoro CI/CD. Questo approccio "shift left" aumenta anche la visibilità e la capacità di applicare controlli di sicurezza coerenti nella pipeline di distribuzione, distribuendo in modo efficace i guardrail di sicurezza nell'ambiente in anticipo per evitare sorprese di sicurezza dell'ultimo minuto quando si distribuisce un carico di lavoro in produzione.
Quando si spostano i controlli di sicurezza lasciati nelle fasi di pre-distribuzione, implementare guardrail di sicurezza per assicurarsi che i controlli vengano distribuiti e applicati in tutto il processo di DevOps. Questa tecnologia può includere modelli di Azure ARM per definire guardrail nell'ambiente IaC (infrastruttura come codice), provisioning delle risorse e Criteri di Azure per controllare e limitare quali servizi o configurazioni possono essere sottoposti a provisioning nell'ambiente.
Per i controlli di sicurezza in fase di esecuzione del carico di lavoro, seguire Azure Security Benchmark per progettare e implementare i controlli efficaci, ad esempio identità e accesso con privilegi, sicurezza di rete, sicurezza degli endpoint e protezione dei dati all'interno delle applicazioni e dei servizi del carico di lavoro.
Implementazione e contesto aggiuntivo:
- Benchmark di sicurezza di Azure - sicurezza DevOps
- Secure DevOps
- Cloud Adoption Framework - Controlli DevSecOps
Stakeholder della sicurezza dei clienti (altre informazioni):