Raccomandazioni per la definizione di una baseline di sicurezza

Si applica alla raccomandazione per l'elenco di controllo di sicurezza di Azure Well-Architected Framework:

SE:01	Stabilire una baseline di sicurezza allineata ai requisiti di conformità, agli standard del settore e alle raccomandazioni sulla piattaforma. Misurare regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla baseline per sostenere o migliorare il comportamento di sicurezza nel tempo.

Questa guida descrive i consigli per stabilire una baseline di sicurezza. Una baseline di sicurezza è un documento che specifica i requisiti minimi di sicurezza e le aspettative dell'organizzazione in un intervallo di aree. Una buona baseline di sicurezza consente di:

• Mantenere sicuri i dati e i sistemi.
• Rispettare i requisiti normativi.
• Ridurre al minimo il rischio di supervisione.
• Ridurre la probabilità di violazioni e di effetti aziendali successivi.

Le baseline di sicurezza devono essere pubblicate ampiamente in tutta l'organizzazione in modo che tutti gli stakeholder siano consapevoli delle aspettative.

Questa guida fornisce raccomandazioni sull'impostazione di una baseline di sicurezza basata su fattori interni ed esterni. I fattori interni includono requisiti aziendali, rischi e valutazione degli asset. I fattori esterni includono benchmark del settore e standard normativi.

Definizioni

Termine	Definizione
Di base	Livello minimo di offerte di sicurezza che deve essere necessario che un carico di lavoro debba evitare di essere sfruttato.
Benchmark	Standard che indica il comportamento di sicurezza a cui l'organizzazione aspira. Viene valutata, misurata e migliorata nel tempo.
Controlli	Controlli tecnici o operativi sul carico di lavoro che consentono di impedire attacchi e aumentare i costi degli utenti malintenzionati.
Requisiti normativi	Un set di requisiti aziendali, basati sugli standard del settore, che le leggi e le autorità impongono.

Strategie di progettazione chiave

Una baseline di sicurezza è un documento strutturato che definisce un set di criteri di sicurezza e funzionalità che il carico di lavoro deve soddisfare per aumentare la sicurezza. In un formato più maturo è possibile estendere una linea di base per includere un set di criteri usati per impostare guardrail.

La baseline deve essere considerata lo standard per misurare il comportamento di sicurezza. L'obiettivo deve sempre essere pieno di raggiungimento mantenendo un ampio ambito.

La baseline di sicurezza non deve mai essere un impegno ad hoc. Gli standard del settore, la conformità (interna o esterna) o i requisiti normativi, i requisiti regionali e i benchmark della piattaforma cloud sono i principali driver per la baseline. Esempi includono Centro per i controlli CIS (Center for Internet Security), National Institute of Standards and Technology (NIST) e standard basati sulla piattaforma, ad esempio il benchmark di sicurezza cloud Microsoft (MCSB). Tutti questi standard sono considerati un punto di partenza per la linea di base. Creare la base incorporando i requisiti di sicurezza dai requisiti aziendali.

Per i collegamenti agli asset precedenti, vedere Collegamenti correlati.

Creare la linea di base ottenendo consenso tra i leader aziendali e tecnici. La linea di base non deve essere limitata ai controlli tecnici. Deve includere anche gli aspetti operativi della gestione e della gestione del comportamento di sicurezza. Il documento di base funge quindi anche dall'impegno dell'organizzazione per l'investimento verso la sicurezza del carico di lavoro. Il documento della baseline di sicurezza deve essere distribuito ampiamente all'interno dell'organizzazione per garantire la consapevolezza del comportamento di sicurezza del carico di lavoro.

Man mano che il carico di lavoro cresce e l'ecosistema evolve, è fondamentale mantenere la baseline in sincronizzazione con le modifiche per garantire che i controlli fondamentali siano ancora efficaci.

La creazione di una baseline è un processo metodico. Ecco alcuni consigli sul processo:

• Inventario asset. Identificare gli stakeholder degli asset del carico di lavoro e gli obiettivi di sicurezza per tali asset. Nell'inventario degli asset classificare in base ai requisiti di sicurezza e alla criticità. Per informazioni sugli asset dei dati, vedere Raccomandazioni sulla classificazione dei dati.

• Valutazione dei rischi. Rischi potenziali di identità associati a ogni asset e priorità.

• Requisiti di conformità. Linee di base per le normative o la conformità per tali asset e applicare le procedure consigliate del settore.

• Standard di configurazione. Definire e documentare configurazioni e impostazioni di sicurezza specifiche per ogni asset. Se possibile, templatize o trovare un modo ripetibile, automatizzato per applicare le impostazioni in modo coerente nell'ambiente.

• Controllo di accesso e autenticazione. Specificare i requisiti di controllo degli accessi in base al ruolo e l'autenticazione a più fattori. Documentare l'accesso sufficiente significa a livello di asset. Iniziare sempre con il principio dei privilegi minimi.

• Gestione delle patch. Applicare le versioni più recenti su tutti i tipi di risorse per rafforzare contro l'attacco.

• Documentazione e comunicazione. Documentare tutte le configurazioni, i criteri e le procedure. Comunicare i dettagli agli stakeholder pertinenti.

• Imposizione e responsabilità. Stabilire meccanismi di imposizione chiari e conseguenze per la mancata conformità con la baseline di sicurezza. Tenere i singoli utenti e i team responsabili della gestione degli standard di sicurezza.

• Monitoraggio continuo. Valutare l'efficacia della baseline di sicurezza attraverso l'osservabilità e apportare miglioramenti al tempo straordinario.

Composizione di una linea di base

Ecco alcune categorie comuni che devono far parte di una baseline. L'elenco seguente non è esaustivo. È destinata a una panoramica dell'ambito del documento.

Conformità alle normative

Un carico di lavoro potrebbe essere soggetto alla conformità alle normative per segmenti di settore specifici, potrebbe verificarsi alcune restrizioni geografiche e così via. È fondamentale comprendere i requisiti indicati nelle specifiche normative perché influiscono sulle scelte di progettazione e in alcuni casi devono essere inclusi nell'architettura.

La baseline deve includere una valutazione regolare del carico di lavoro rispetto ai requisiti normativi. Sfruttare gli strumenti forniti dalla piattaforma, ad esempio Microsoft Defender per Cloud, che consente di identificare le aree di non conformità. Collaborare con il team di conformità dell'organizzazione per assicurarsi che tutti i requisiti siano soddisfatti e mantenuti.

Componenti dell'architettura

La baseline richiede raccomandazioni prescrittive per i componenti principali del carico di lavoro. Questi in genere includono controlli tecnici per la rete, l'identità, il calcolo e i dati. Fare riferimento alle baseline di sicurezza fornite dalla piattaforma e aggiungere i controlli mancanti all'architettura.

Fare riferimento ad esempio.

Processi di sviluppo

La baseline deve avere raccomandazioni su:

• Classificazione del sistema.
• Set di risorse approvato.
• Rilevamento delle risorse.
• Applicazione di criteri per l'uso o la configurazione delle risorse.

Il team di sviluppo deve avere una chiara comprensione dell'ambito per i controlli di sicurezza. Ad esempio, la modellazione delle minacce è un requisito per assicurarsi che le potenziali minacce siano identificate nel codice e nelle pipeline di distribuzione. Specificare i controlli statici e l'analisi delle vulnerabilità nella pipeline e come regolarmente il team deve eseguire tali analisi.

Per altre informazioni, vedere Raccomandazioni sull'analisi delle minacce.

Il processo di sviluppo deve anche impostare standard su varie metodologie di test e la loro cadenza. Per altre informazioni, vedere Raccomandazioni sui test di sicurezza.

Gestione operativa

La baseline deve impostare gli standard sull'uso delle funzionalità di rilevamento delle minacce e la generazione di avvisi su attività anomale che indicano eventi imprevisti effettivi. Il rilevamento delle minacce deve includere tutti i livelli del carico di lavoro, inclusi tutti gli endpoint raggiungibili dalle reti ostili.

La baseline deve includere raccomandazioni per configurare i processi di risposta agli eventi imprevisti, tra cui la comunicazione e un piano di ripristino e quale di questi processi può essere automatizzato per accelerare il rilevamento e l'analisi. Per esempi, vedere Baseline di sicurezza per La panoramica di Azure.

La risposta agli eventi imprevisti deve includere anche un piano di ripristino e i requisiti per tale piano, ad esempio le risorse per eseguire regolarmente e proteggere i backup.

Si sviluppano piani di violazione dei dati usando gli standard e le raccomandazioni del settore forniti dalla piattaforma. Il team ha quindi un piano completo da seguire quando viene individuata una violazione. Controllare anche con l'organizzazione di verificare se esiste una copertura tramite cyber-resistenza.

Formazione

Sviluppare e gestire un programma di formazione sulla sicurezza per garantire che il team del carico di lavoro sia dotato delle competenze appropriate per supportare gli obiettivi e i requisiti di sicurezza. Il team richiede un training di sicurezza fondamentale, ma usa ciò che è possibile dall'organizzazione per supportare ruoli specializzati. La conformità e la partecipazione ai training sulla sicurezza basata sui ruoli fanno parte della baseline di sicurezza.

Usare la baseline

Usare la baseline per guidare le iniziative, ad esempio:

• Preparazione verso decisioni di progettazione. Creare la baseline di sicurezza e pubblicarla prima di avviare il processo di progettazione dell'architettura. Assicurarsi che i membri del team siano completamente consapevoli delle aspettative dell'organizzazione in anticipo, che evita di rielaborare in modo costoso causata da una mancanza di chiarezza. È possibile usare i criteri di base come requisiti del carico di lavoro che l'organizzazione ha eseguito il commit e la progettazione e convalidare i controlli rispetto a tali vincoli.

• Misurare la progettazione. Assegnare un livello alle decisioni correnti rispetto alla baseline corrente. La baseline imposta le soglie effettive per i criteri. Documentare le deviazioni posticipate o considerate accettabili a lungo termine.

• Miglioramenti dell'unità. Mentre il set di base imposta obiettivi raggiungibili, ci sono sempre lacune. Priorità delle lacune nel backlog e correzione in base alla priorità.

• Tenere traccia dello stato di avanzamento rispetto alla baseline. Il monitoraggio continuo delle misure di sicurezza rispetto a una baseline impostata è essenziale. L'analisi delle tendenze è un buon modo per esaminare lo stato di avanzamento della sicurezza nel tempo e può rivelare deviazioni coerenti dalla baseline. Usare l'automazione il più possibile, il pull dei dati da varie origini, interne ed esterne, per risolvere i problemi correnti e preparare le minacce future.

• Impostare guardrail. Se possibile, i criteri di base devono avere guardrail. Le guardrail applicano configurazioni di sicurezza, tecnologie e operazioni necessarie, in base a fattori interni e fattori esterni. I fattori interni includono requisiti aziendali, rischi e valutazione degli asset. I fattori esterni includono benchmark, standard normativi e ambiente di minaccia. I guardrail aiutano a ridurre al minimo il rischio di supervisione inavvertita e multe punitive per la non conformità.

Esplorare Criteri di Azure per le opzioni personalizzate o usare iniziative predefinite come benchmark CIS o Benchmark di Sicurezza di Azure per applicare configurazioni e requisiti di conformità per la sicurezza. Prendere in considerazione la creazione di criteri e iniziative di Azure fuori dalle linee di base.

Valutare regolarmente la baseline

Migliorare continuamente gli standard di sicurezza in modo incrementale verso lo stato ideale per garantire una riduzione continua dei rischi. Condurre revisioni periodiche per garantire che il sistema sia aggiornato e conforme alle influenze esterne. Qualsiasi modifica alla baseline deve essere formale, concordata e inviata tramite processi di gestione delle modifiche appropriati.

Misurare il sistema rispetto alla nuova baseline e assegnare priorità alle correzioni in base alla pertinenza e all'effetto del carico di lavoro.

Assicurarsi che il comportamento di sicurezza non degradi nel tempo mediante l'istituzione del controllo e il monitoraggio della conformità con gli standard dell'organizzazione.

Facilitazione di Azure

Microsoft Cloud Security Benchmark (MCSB) è un framework di procedure consigliate per la sicurezza completo che è possibile usare come punto di partenza per la baseline di sicurezza. Usarlo insieme ad altre risorse che forniscono input alla linea di base.

Per altre informazioni, vedere Introduzione al benchmark di sicurezza cloud Microsoft.

Usare il dashboard di conformità alle normative Microsoft Defender for Cloud (MDC) per tenere traccia di tali baseline e ricevere avvisi se viene rilevato un modello esterno a una baseline. Per altre informazioni, vedere Personalizzare il set di standard nel dashboard di conformità alle normative.

Altre funzionalità che consentono di stabilire e migliorare la baseline:

• Creare criteri di sicurezza di Azure personalizzati

• Informazioni sui criteri di sicurezza, le iniziative e le raccomandazioni

• Controlli di conformità alle normative

Esempio

Questo diagramma logico illustra una baseline di sicurezza di esempio per i componenti dell'architettura che includono rete, infrastruttura, endpoint, applicazione, dati e identità per illustrare come un ambiente IT comune può essere protetto in modo sicuro. Altre guide di raccomandazione si basano su questo esempio.

Infrastruttura

Un ambiente IT comune, con un livello locale con risorse di base.

Servizi di sicurezza di Azure

Servizi e funzionalità di sicurezza di Azure per i tipi di risorse che proteggono.

Servizi di monitoraggio della sicurezza di Azure

I servizi di monitoraggio disponibili in Azure che superano i semplici servizi di monitoraggio, tra cui la gestione degli eventi di sicurezza (SIEM) e le soluzioni SOAR (Security Orchestration Automation Response) e Microsoft Defender for Cloud.

Minacce

Questo livello offre una raccomandazione e un promemoria che le minacce possono essere mappate in base alle preoccupazioni dell'organizzazione relative alle minacce, indipendentemente dalla metodologia o dalla matrice mitre Attack Matrix o cyber kill chain.

Allineamento dell'organizzazione

Cloud Adoption Framework fornisce indicazioni per i team centrali sulla definizione di una baseline con un modello suggerito:

• Panoramica sulla disciplina Baseline di sicurezza

• Modello di disciplina Baseline di sicurezza

Collegamenti correlati

• Conformità Microsoft

• Panoramica delle baseline di sicurezza per Azure

• Che cos'è la risposta a un evento imprevisto? Pianificare e passaggi

• Benchmark di sicurezza di Azure

Collegamenti della community

• CIS Microsoft Azure Foundations Benchmark

• Framework di sicurezza informatica | NIST

Elenco di controllo relativo alla sicurezza

Fare riferimento al set completo di raccomandazioni.

Elenco di controllo della sicurezza