Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Governance e strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio alla governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui definizione di ruoli e responsabilità per le diverse funzioni di sicurezza del cloud, strategia tecnica unificata e criteri e standard di supporto.
GS-1: Allineare i ruoli e le responsabilità dell'organizzazione
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Linee guida di Azure: assicurarsi di definire e comunicare una strategia chiara per i ruoli e le responsabilità nell'organizzazione di sicurezza. Classificare in ordine di priorità una chiara responsabilità per le decisioni relative alla sicurezza, educare tutti i membri del modello di responsabilità condivisa e formare i team tecnici sulla tecnologia per proteggere il cloud.
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 1 - Persone: Educare Teams nel percorso di sicurezza cloud
- Procedura consigliata per la sicurezza di Azure 2 - Persone: Informare Teams sulla tecnologia di sicurezza cloud
- Procedura consigliata per la sicurezza di Azure 3 - Processo: Assegnare la responsabilità per le decisioni relative alla sicurezza del cloud
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-2: Definire e implementare una strategia di segmentazione aziendale/separazione dei compiti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Linee guida di Azure: stabilire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.
Bilanciare attentamente la necessità di separare la sicurezza con la necessità di abilitare il funzionamento giornaliero dei sistemi che devono comunicare tra loro e accedere ai dati.
Assicurarsi che la strategia di segmentazione sia implementata in modo coerente nel carico di lavoro, tra cui sicurezza di rete, modelli di identità e accesso e modelli di autorizzazione/accesso delle applicazioni e controlli dei processi umani.
Implementazione e contesto aggiuntivo:
- Sicurezza nel Microsoft Cloud Adoption Framework per Azure - Segmentazione: separazione per proteggere
- Sicurezza in Microsoft Cloud Adoption Framework per Azure - Architettura: stabilire una singola strategia di sicurezza unificata
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-3: Definire e implementare una strategia di protezione dei dati
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Linee guida di Azure: definire una strategia a livello aziendale per la protezione dei dati in Azure:
- Definire e applicare lo standard di classificazione e protezione dei dati in base allo standard di gestione dei dati aziendali e alla conformità alle normative per determinare i controlli di sicurezza necessari per ogni livello di classificazione dei dati.
- Configurare la gerarchia di gestione delle risorse cloud allineata alla strategia di segmentazione aziendale. La strategia di segmentazione aziendale deve essere informata anche dalla posizione di dati e sistemi sensibili o critici per l'azienda.
- Definire e applicare i principi di zero trust applicabili nell'ambiente cloud per evitare di implementare l'attendibilità in base al percorso di rete all'interno di un perimetro. Usare invece attestazioni di attendibilità utente e dispositivo per controllare l'accesso ai dati e alle risorse.
- Tenere traccia e ridurre al minimo il footprint dei dati sensibili (archiviazione, trasmissione ed elaborazione) in tutta l'azienda per ridurre il costo della superficie di attacco e della protezione dei dati. Prendere in considerazione tecniche come hash unidirezionale, troncamento e tokenizzazione nel carico di lavoro, se possibile, per evitare di archiviare e trasmettere dati sensibili nel formato originale.
- Assicurarsi di disporre di una strategia completa di controllo del ciclo di vita per garantire la sicurezza dei dati e delle chiavi di accesso.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Protezione dei dati
- Cloud Adoption Framework - Procedure consigliate per la sicurezza e la crittografia dei dati di Azure
- Concetti fondamentali sulla sicurezza di Azure - Sicurezza, crittografia e archiviazione dei dati di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-4: Definire e implementare una strategia di sicurezza di rete
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Linee guida di Azure: stabilire una strategia di sicurezza di rete di Azure come parte della strategia di sicurezza complessiva dell'organizzazione per il controllo di accesso. Questa strategia deve includere linee guida, criteri e standard documentati per gli elementi seguenti:
- Progettare un modello centralizzato/decentralizzato di gestione della rete e responsabilità della sicurezza per distribuire e gestire le risorse di rete.
- Modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale.
- Una strategia per il perimetro della rete Internet e per l'ingresso e l'uscita.
- Un cloud ibrido e una strategia di interconnettività locale.
- Una strategia di monitoraggio e registrazione di rete.
- Un up-to-date componenti di sicurezza della rete (ad esempio diagrammi di rete, architettura di rete di riferimento).
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Azure Security Benchmark - Sicurezza di rete
- Panoramica della sicurezza di rete di Azure
- Strategia di architettura di rete aziendale
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-5: Definire e implementare la strategia di gestione del comportamento di sicurezza
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Linee guida di Azure: stabilire criteri, procedure e standard per garantire che la gestione della configurazione della sicurezza e la gestione delle vulnerabilità siano in vigore nel proprio mandato di sicurezza cloud.
La gestione della configurazione della sicurezza in Azure deve includere le aree seguenti:
- Definire le linee di base di configurazione sicure per diversi tipi di risorse nel cloud, ad esempio il portale di Azure, il piano di gestione e il piano di controllo e le risorse in esecuzione nei servizi IaaS, PaaS e SaaS.
- Assicurarsi che le baseline di sicurezza affrontino i rischi in diverse aree di controllo, ad esempio sicurezza di rete, gestione delle identità, accesso con privilegi, protezione dei dati e così via.
- Usare gli strumenti per misurare, controllare e applicare continuamente la configurazione per impedire la deviazione della configurazione dalla linea di base.
- Sviluppare una cadenza per rimanere aggiornati con le funzionalità di sicurezza di Azure, ad esempio, sottoscrivere gli aggiornamenti del servizio.
- Usare Secure Score in Azure Defender for Cloud per esaminare regolarmente il comportamento di configurazione della sicurezza di Azure e correggere le lacune identificate.
La gestione delle vulnerabilità in Azure deve includere gli aspetti di sicurezza seguenti:
- Valutare e correggere regolarmente le vulnerabilità in tutti i tipi di risorse cloud, ad esempio servizi nativi di Azure, sistemi operativi e componenti dell'applicazione.
- Usare un approccio basato sul rischio per classificare in ordine di priorità la valutazione e la correzione.
- Sottoscrivere gli avvisi di sicurezza di Microsoft/Azure pertinenti e blog per ricevere gli aggiornamenti della sicurezza più recenti su Azure.
- Assicurarsi che la valutazione e la correzione delle vulnerabilità (ad esempio pianificazione, ambito e tecniche) soddisfino i requisiti di conformità regolari per l'organizzazione.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Gestione della postura e della vulnerabilità
- Procedura consigliata per la sicurezza di Azure 9 - Stabilire la gestione del comportamento di sicurezza
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-6: Definire una strategia di identità e di accesso con privilegi
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Linee guida di Azure: stabilire un approccio basato sull'identità e l'accesso con privilegi di Azure come parte della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione. Questa strategia deve includere linee guida, criteri e standard documentati per gli aspetti seguenti:
- Sistema centralizzato di identità e autenticazione (Azure AD) e la sua interconnettività con altri sistemi di identità interni ed esterni
- Governance dell'identità e dell'accesso privilegiato (ad esempio, richiesta di accesso, approvazione e revisione)
- Account privilegiati in situazioni di emergenza estrema (break-glass)
- Metodi di autenticazione avanzata (autenticazione senza password e autenticazione a più fattori) in casi d'uso e condizioni diversi
- Proteggere l'accesso tramite operazioni amministrative tramite il portale di Azure, l'interfaccia della riga di comando e l'API.
Per i casi di eccezione, in cui non viene usato un sistema aziendale, assicurarsi che siano applicati controlli di sicurezza adeguati per la gestione delle identità, dell'autenticazione e dell'accesso e della governance. Queste eccezioni devono essere approvate e periodicamente esaminate dal team aziendale. Queste eccezioni sono in genere in casi come:
- Uso di un sistema di identità e autenticazione designato non aziendale, ad esempio sistemi di terze parti basati sul cloud (possono introdurre rischi sconosciuti)
- Gli utenti con privilegi autenticati in locale e/o usano metodi di autenticazione non sicuri
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Gestione delle identità
- Azure Security Benchmark - Accesso con privilegi
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Panoramica della sicurezza di Gestione delle identità di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-7: Definire e implementare una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Linee guida di Azure: stabilire una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti per rilevare e correggere rapidamente le minacce e soddisfare i requisiti di conformità. Il team delle operazioni di sicurezza (SecOps/SOC) deve classificare in ordine di priorità gli avvisi di alta qualità e le esperienze semplici in modo che possano concentrarsi sulle minacce invece di registrare l'integrazione e i passaggi manuali.
Questa strategia deve includere criteri, procedure e standard documentati per gli aspetti seguenti:
- Il ruolo e le responsabilità dell'organizzazione delle operazioni di sicurezza (SecOps)
- Un piano di risposta agli eventi imprevisti ben definito e testato regolarmente e il processo di gestione in linea con NIST o altri framework di settore.
- Piano di comunicazione e notifica con i clienti, i fornitori e le parti pubbliche di interesse.
- Preferenza di usare funzionalità XDR (Extended Detection and Response) come le funzionalità di Azure Defender per rilevare le minacce nelle varie aree.
- Uso di funzionalità native di Azure (ad esempio, come Microsoft Defender for Cloud) e piattaforme di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, le analisi forensi e la correzione e l'eliminazione degli attacchi.
- Definire scenari chiave, ad esempio rilevamento delle minacce, risposta agli eventi imprevisti e conformità, e configurare l'acquisizione e la conservazione dei log per soddisfare i requisiti dello scenario.
- Visibilità centralizzata delle informazioni di correlazione e sulle minacce, uso di SIEM, funzionalità di rilevamento delle minacce native di Azure e altre origini.
- Attività post-evento imprevisto, ad esempio lezioni apprese e conservazione delle prove.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Registrazione e rilevamento delle minacce
- Azure Security Benchmark - Risposta agli eventi imprevisti
- Procedura consigliata per la sicurezza di Azure 4 - Processo. Aggiornare i processi di risposta agli eventi imprevisti per il cloud
- Guida alle decisioni relative ad Azure Adoption Framework, registrazione e creazione di report
- Scalabilità aziendale, gestione e monitoraggio di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-8: Definire e implementare una strategia di backup e ripristino
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Linee guida di Azure: stabilire una strategia di backup e ripristino di Azure per l'organizzazione. Questa strategia deve includere indicazioni, criteri e standard documentati negli aspetti seguenti:
- Definizioni di obiettivo del tempo di ripristino (RTO) e obiettivo del punto di ripristino (RPO) in base agli obiettivi di resilienza aziendale e ai requisiti di conformità alle normative.
- Progettazione della ridondanza (inclusi backup, ripristino e replica) nelle applicazioni e nell'infrastruttura per sia nel cloud che in locale. Prendere in considerazione i fattori regionali, le coppie di aree, il ripristino tra regioni e la posizione di archiviazione fuori sede nell'ambito della vostra strategia.
- Protezione del backup da accessi non autorizzati e attenuazione usando controlli come il controllo di accesso ai dati, la crittografia e la sicurezza di rete.
- Uso del backup e del ripristino per attenuare i rischi derivanti da minacce emergenti, ad esempio attacchi ransomware. E anche proteggere i dati di backup e ripristino da questi attacchi.
- Monitoraggio dei dati e delle operazioni di backup e ripristino per scopi di controllo e avvisi.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Backup e ripristino
- Azure Well-Architecture Framework - Backup e ripristino di emergenza per le applicazioni Azure
- Continuità aziendale e ripristino di emergenza in Azure Adoption Framework
- Piano di backup e ripristino per la protezione da ransomware
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-9: Definire e implementare una strategia di sicurezza degli endpoint
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Linee guida di Azure: stabilire una strategia di sicurezza degli endpoint cloud che include gli aspetti seguenti:
- Distribuire la funzionalità di rilevamento e risposta degli endpoint e di antimalware nel tuo endpoint e integrare con la soluzione SIEM e il processo di rilevamento delle minacce e le operazioni di sicurezza.
- Seguire Azure Security Benchmark per assicurarsi che le impostazioni di sicurezza correlate agli endpoint in altre aree, ad esempio la sicurezza di rete, la gestione delle vulnerabilità del comportamento, l'identità e l'accesso con privilegi e la registrazione e i rilevamenti delle minacce, siano disponibili anche per fornire una protezione avanzata per l'endpoint.
- Classificare in ordine di priorità la sicurezza degli endpoint nell'ambiente di produzione, ma assicurarsi che anche gli ambienti non di produzione (ad esempio l'ambiente di test e di compilazione usati nel processo DevOps) siano protetti e monitorati, poiché questi ambienti possono essere usati anche per introdurre malware e vulnerabilità nell'ambiente di produzione.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Sicurezza degli endpoint
- Procedure consigliate per la sicurezza degli endpoint in Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-10: Definire e implementare una strategia di sicurezza DevOps
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Linee guida di Azure: imporre i controlli di sicurezza come parte dello standard di progettazione e funzionamento di DevOps dell'organizzazione. Definire gli obiettivi di sicurezza, i requisiti di controllo e le specifiche degli strumenti in base agli standard di sicurezza aziendali e cloud nell'organizzazione.
Incoraggiare l'uso di DevOps come modello operativo essenziale nell'organizzazione per i suoi vantaggi nell'identificazione e nella correzione rapida delle vulnerabilità usando diversi tipi di automazione (ad esempio l'infrastruttura come il provisioning del codice e l'analisi SAST automatizzata e DAST) in tutto il flusso di lavoro CI/CD. Questo approccio "shift left" aumenta anche la visibilità e la capacità di applicare controlli di sicurezza coerenti nella pipeline di distribuzione, distribuendo in modo efficace le protezioni di sicurezza nell'ambiente in anticipo per evitare sorprese di sicurezza dell'ultimo minuto durante la distribuzione di un carico di lavoro nell'ambiente di produzione.
Quando si spostano i controlli di sicurezza lasciati nelle fasi di pre-distribuzione, implementare protezioni di sicurezza per assicurarsi che i controlli vengano distribuiti e applicati durante il processo DevOps. Questa tecnologia può includere modelli di Azure Resource Manager per definire vincoli nell'IaC (infrastruttura come codice), il provisioning delle risorse e i Criteri di Azure per controllare e limitare i servizi o le configurazioni che possono essere sottoposti a provisioning nell'ambiente.
Per i controlli di sicurezza in fase di esecuzione del carico di lavoro, seguire Azure Security Benchmark per progettare e implementare controlli efficaci, ad esempio identità e accesso con privilegi, sicurezza di rete, sicurezza degli endpoint e protezione dei dati all'interno delle applicazioni e dei servizi del carico di lavoro.
Implementazione e contesto aggiuntivo:
- Azure Security Benchmark - Sicurezza DevOps
- DevOps Sicuro
- Cloud Adoption Framework - Controlli DevSecOps
Stakeholder della sicurezza dei clienti (Scopri di più):