Beveiligingsbeheer: Governance en strategie
Governance en strategie bieden richtlijnen voor het waarborgen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiligingsgaranties te begeleiden en te onderhouden, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden.
GS-1: Organisatierollen, verantwoordelijkheden en verantwoordelijkheden afstemmen
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Algemene richtlijnen: Zorg ervoor dat u een duidelijke strategie voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie definieert en communiceert. Geef prioriteit aan duidelijke verantwoordelijkheid voor beveiligingsbeslissingen, informeer iedereen over het model voor gedeelde verantwoordelijkheid en informeer technische teams over technologie om de cloud te beveiligen.
Implementatie en aanvullende context:
- Best practice voor Azure-beveiliging 1: personen: Teams trainen inzake het cloudbeveiligingstraject
- Best practice voor Azure-beveiliging 2: personen: Teams trainen inzake cloudbeveiligingstechnologie
- Azure Security Best Practice 3 - proces: Aansprakelijkheid toewijzen voor beslissingen over cloudbeveiliging
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-2: Strategie voor bedrijfssegmentatie/scheiding van taken definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Algemene richtlijnen: Stel een bedrijfsbrede strategie in om de toegang tot assets te segmenteren met behulp van een combinatie van identiteit, netwerk, toepassing, abonnement, beheergroep en andere besturingselementen.
Zorg dat u een nauwgezette afweging maakt tussen de noodzaak om de beveiliging van de rest te scheiden en de noodzaak om systemen die met elkaar moeten kunnen communiceren en toegang moeten hebben tot gegevens, in staat te stellen om hun dagelijkse werklast uit te voeren.
Zorg ervoor dat de segmentatiestrategie consistent wordt geïmplementeerd in de workload, met inbegrip van netwerkbeveiliging, identiteits- en toegangsmodellen, toepassingsmachtigings-/toegangsmodellen en besturingselementen voor menselijke processen.
Implementatie en aanvullende context:
- Beveiliging in de Microsoft Cloud Adoption Framework voor Azure - Segmentatie: afzonderlijk om te beveiligen
- Beveiliging in de Microsoft Cloud Adoption Framework voor Azure - Architectuur: één uniforme beveiligingsstrategie instellen
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-3: Strategie voor gegevensbescherming definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Algemene richtlijnen: Stel een bedrijfsbrede strategie voor gegevensbeveiliging in uw cloudomgeving in:
- Definieer en pas de standaard voor gegevensclassificatie en -beveiliging toe in overeenstemming met de bedrijfsstandaard voor gegevensbeheer en naleving van regelgeving om de beveiligingscontroles te dicteren die vereist zijn voor elk niveau van de gegevensclassificatie.
- Stel uw hiërarchie voor cloudresourcebeheer in op basis van de segmentatiestrategie van de onderneming. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.
- Definieer en pas de toepasselijke nulvertrouwensprincipes toe in uw cloudomgeving om te voorkomen dat vertrouwen wordt geïmplementeerd op basis van de netwerklocatie binnen een perimeter. Gebruik in plaats daarvan apparaat- en gebruikersvertrouwensclaims om toegang tot gegevens en resources te instellen.
- Houd de footprint van gevoelige gegevens (opslag, overdracht en verwerking) in de hele onderneming bij en minimaliseer deze om de kwetsbaarheid voor aanvallen en de kosten voor gegevensbescherming te verminderen. Overweeg waar mogelijk technieken zoals hashing in één richting, afkapping en tokenisatie in de workload, om te voorkomen dat gevoelige gegevens in de oorspronkelijke vorm worden opgeslagen en verzonden.
- Zorg ervoor dat u een strategie voor volledig levenscyclusbeheer hebt om beveiliging van de gegevens en toegangssleutels te bieden.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Gegevensbescherming
- Cloud Adoption Framework - Azure data security and encryption best practices (Cloud Adoption Framework: best practices voor Azure-gegevensbeveiliging en -versleuteling)
- Azure Security Fundamentals - Azure Data security, encryption, and storage (Basisprincipes van Azure-beveiliging: Azure-gegevensbeveiliging, -versleuteling en -opslag)
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-4: Netwerkbeveiligingsstrategie definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Algemene richtlijnen: Stel een beveiligingsstrategie voor cloudnetwerk in als onderdeel van de algemene beveiligingsstrategie van uw organisatie voor toegangsbeheer. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
- Ontwerp een gecentraliseerd/gedecentraliseerd model voor netwerkbeheer en verantwoordelijkheid voor beveiliging om netwerkresources te implementeren en te onderhouden.
- Een segmentatiemodel voor virtuele netwerken dat is afgestemd op de segmentatiestrategie van de onderneming.
- Een internetrand- en toegangs- en uitgaand verkeersstrategie.
- Een hybride cloud- en on-premises interconnectiviteitsstrategie.
- Een strategie voor netwerkbewaking en logboekregistratie.
- Up-to-date netwerkbeveiligingartefacten (zoals netwerkdiagrammen, referentienetwerkarchitectuur).
Implementatie en aanvullende context:
- Best practice voor Azure-beveiliging 11 - Architectuur. Eén geïntegreerde beveiligingsstrategie
- Microsoft cloudbeveiligingsbenchmark - Netwerkbeveiliging
- Overzicht van Azure-netwerkbeveiliging
- Strategie voor architectuur van bedrijfsnetwerk
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-5: Strategie voor beveiligingspostuurbeheer definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Algemene richtlijnen: Stel een beleid, procedure en standaard in om ervoor te zorgen dat het beveiligingsconfiguratiebeheer en het beheer van beveiligingsproblemen in uw cloudbeveiligingsmandaat zijn opgenomen.
Het beveiligingsconfiguratiebeheer in de cloud moet de volgende gebieden omvatten:
- Definieer de beveiligde configuratiebasislijnen voor verschillende resourcetypen in de cloud, zoals de webportal/-console, het beheer- en besturingsvlak en resources die worden uitgevoerd in de IaaS-, PaaS- en SaaS-services.
- Zorg ervoor dat de beveiligingsbasislijnen de risico's aanpakken in verschillende beheergebieden, zoals netwerkbeveiliging, identiteitsbeheer, bevoegde toegang, gegevensbescherming, enzovoort.
- Gebruik hulpprogramma's om de configuratie continu te meten, te controleren en af te dwingen om te voorkomen dat de configuratie afwijkt van de basislijn.
- Ontwikkel een frequentie om op de hoogte te blijven van beveiligingsfuncties, bijvoorbeeld om u te abonneren op de service-updates.
- Gebruik een mechanisme voor beveiligingsstatus- of nalevingscontrole (zoals beveiligingsscore, nalevingsdashboard in Microsoft Defender voor cloud) om regelmatig de beveiligingsconfiguratiepostuur te controleren en de geïdentificeerde hiaten te verhelpen.
Het beheer van beveiligingsproblemen in de cloud moet de volgende beveiligingsaspecten omvatten:
- Evalueer en herstel regelmatig beveiligingsproblemen in alle typen cloudresources, zoals cloudeigen services, besturingssystemen en toepassingsonderdelen.
- Gebruik een op risico's gebaseerde benadering om prioriteit te geven aan evaluatie en herstel.
- Abonneer u op de relevante beveiligingsadviesberichten en -blogs van CSPM om de nieuwste beveiligingsupdates te ontvangen.
- Zorg ervoor dat de evaluatie en het herstel van beveiligingsproblemen (zoals planning, bereik en technieken) voldoen aan de nalevingsvereisten voor uw organisatie.dule, bereik en technieken) voldoen aan de nalevingsvereisten voor uw organisatie.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Houding en beheer van beveiligingsproblemen
- Best practice voor Azure-beveiliging 9 - Beheer van beveiligingspostuur instellen
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-6: Identiteit en strategie voor bevoegde toegang definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Algemene richtlijnen: Stel een benadering voor cloudidentiteit en bevoegde toegang in als onderdeel van de algemene strategie voor beveiligingstoegangsbeheer van uw organisatie. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende aspecten:
- Gecentraliseerd identiteits- en verificatiesysteem (zoals Azure AD) en de interconnectiviteit ervan met andere interne en externe identiteitssystemen
- Bevoegde identiteit en toegangsbeheer (zoals toegangsaanvraag, beoordeling en goedkeuring)
- Bevoegde accounts in noodsituatie (break-glass)
- Sterke verificatiemethoden (verificatie zonder wachtwoord en meervoudige verificatie) in verschillende gebruiksscenario's en voorwaarden.
- Beveiligde toegang door beheerbewerkingen via webportal/console, opdrachtregel en API.
Voor uitzonderingsgevallen, waarin geen bedrijfssysteem wordt gebruikt, moet u ervoor zorgen dat er adequate beveiligingscontroles zijn ingesteld voor identiteits-, verificatie- en toegangsbeheer en beheerd. Deze uitzonderingen moeten worden goedgekeurd en periodiek worden gecontroleerd door het ondernemingsteam. Deze uitzonderingen zijn meestal in gevallen zoals:
- Gebruik van een niet-enterprise aangewezen identiteits- en verificatiesysteem, zoals cloudsystemen van derden (kan onbekende risico's met zich meebrengen)
- Bevoegde gebruikers die lokaal zijn geverifieerd en/of niet-sterke verificatiemethoden gebruiken
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Identiteitsbeheer
- Microsoft cloudbeveiligingsbenchmark - Bevoegde toegang
- Best practice voor Azure-beveiliging 11 - Architectuur. Eén geïntegreerde beveiligingsstrategie
- Overzicht van beveiliging met Azure-identiteitsbeheer
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-7: De strategie voor logboekregistratie, bedreigingsdetectie en incidentrespons definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Algemene richtlijnen: Stel een strategie voor logboekregistratie, bedreigingsdetectie en incidentrespons in om snel bedreigingen te detecteren en te herstellen en te voldoen aan de nalevingsvereisten. Het beveiligingsteam (SecOps/SOC) moet prioriteit geven aan waarschuwingen van hoge kwaliteit en naadloze ervaringen, zodat ze zich kunnen richten op bedreigingen in plaats van logboekintegratie en handmatige stappen. Deze strategie moet gedocumenteerd beleid, procedures en normen omvatten voor de volgende aspecten:
- De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)
- Een goed gedefinieerd en regelmatig getest incidentresponsplan en -verwerkingsproces dat is afgestemd op NIST SP 800-61 (Computer Security Incident Handling Guide) of andere brancheframeworks.
- Communicatie- en meldingsplan met uw klanten, leveranciers en openbare partijen van belang.
- Simuleer zowel verwachte als onverwachte beveiligingsgebeurtenissen binnen uw cloudomgeving om inzicht te hebben in de effectiviteit van uw voorbereiding. Herhalen op het resultaat van uw simulatie om de schaal van uw reactiepostuur te verbeteren, de time-to-value te verkorten en het risico verder te verminderen.
- Voorkeur voor het gebruik van XDR-mogelijkheden (Extended Detection and Response), zoals Azure Defender-mogelijkheden, om bedreigingen op verschillende gebieden te detecteren.
- Gebruik van systeemeigen cloudfuncties (bijvoorbeeld als Microsoft Defender voor cloud) en platformen van derden voor incidentafhandeling, zoals logboekregistratie en bedreigingsdetectie, forensisch onderzoek en herstel en uitroeiing van aanvallen.
- Bereid de benodigde runbooks voor, zowel handmatig als geautomatiseerd, om betrouwbare en consistente antwoorden te garanderen.
- Definieer belangrijke scenario's (zoals bedreigingsdetectie, reactie op incidenten en naleving) en stel logboekopname en retentie in om te voldoen aan de scenariovereisten.
- Gecentraliseerde zichtbaarheid van en correlatie-informatie over bedreigingen, met behulp van SIEM, systeemeigen cloudbedreigingendetectie en andere bronnen.
- Activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijs.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Logboekregistratie en detectie van bedreigingen
- Microsoft cloudbeveiligingsbenchmark - Reactie op incidenten
- Best practice voor Azure-beveiliging 4 - Proces. Processen voor reactie op incidenten bijwerken voor de cloud
- Handleiding framework voor Azure-acceptatie, logboekregistratie en rapportagebeslissingen
- Schaalaanpassing, beheer en bewaking van Azure Enterprise
- NIST SP 800-61 Computer Security Incident Handling Guide
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-8: Back-up- en herstelstrategie definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
11,1 | CP-1, CP-9, CP-10 | 3.4 |
Algemene richtlijnen: Stel een back-up- en herstelstrategie voor uw organisatie in. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden omvatten met betrekking tot de volgende aspecten:
- RTO-definities (Recovery Time Objective) en RPO-definities (Recovery Point Objective) in overeenstemming met uw bedrijfstolerantiedoelstellingen en nalevingsvereisten voor regelgeving.
- Redundantieontwerp (inclusief back-up, herstel en replicatie) in uw toepassingen en infrastructuur voor zowel in de cloud als on-premises. Overweeg regionale, regio-paren, cross-regional recovery en off-site opslaglocatie als onderdeel van uw strategie.
- Bescherming van back-ups tegen onbevoegde toegang en tempering met behulp van besturingselementen zoals gegevenstoegangsbeheer, versleuteling en netwerkbeveiliging.
- Gebruik van back-up en herstel om de risico's van opkomende bedreigingen, zoals ransomware-aanvallen, te beperken. En beveilig ook de back-up- en herstelgegevens zelf tegen deze aanvallen.
- De back-up- en herstelgegevens en -bewerkingen bewaken voor controle- en waarschuwingsdoeleinden.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Back-up en herstel Azure Well-Architecture Framework - Back-up en herstel na noodgevallen voor Azure-toepassingen: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework- bedrijfscontinuïteit en herstel na noodgevallen
- Back-up- en herstelplan ter bescherming tegen ransomware
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-9: Eindpuntbeveiligingsstrategie definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Algemene richtlijnen: Stel een beveiligingsstrategie voor cloudeindpunten in die de volgende aspecten omvat:- Implementeer de mogelijkheid voor eindpuntdetectie en -respons en antimalware in uw eindpunt en integreer met de bedreigingsdetectie en SIEM-oplossing en het beveiligingsbewerkingsproces.
- Volg de Microsoft Cloud Security Benchmark om ervoor te zorgen dat eindpuntgerelateerde beveiligingsinstellingen op andere respectieve gebieden (zoals netwerkbeveiliging, beveiligingsbeheer voor postuur, identiteits- en bevoegde toegang en logboekregistratie en bedreigingsdetectie) ook aanwezig zijn om een diepgaande beveiliging voor uw eindpunt te bieden.
- Geef prioriteit aan de eindpuntbeveiliging in uw productieomgeving, maar zorg ervoor dat niet-productieomgevingen (zoals test- en buildomgevingen die worden gebruikt in het DevOps-proces) ook worden beveiligd en bewaakt, omdat deze omgevingen ook kunnen worden gebruikt om malware en beveiligingsproblemen in de productieomgeving te introduceren.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - Eindpuntbeveiliging
- Best practices voor eindpuntbeveiliging in Azure
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
GS-10: DevOps-beveiligingsstrategie definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Algemene richtlijnen: De beveiligingscontroles verplichten als onderdeel van de DevOps-engineering- en bewerkingsstandaard van de organisatie. Definieer de beveiligingsdoelstellingen, controlevereisten en hulpprogrammaspecificaties in overeenstemming met bedrijfs- en cloudbeveiligingsstandaarden in uw organisatie.
Stimuleer het gebruik van DevOps als een essentieel operationeel model in uw organisatie voor de voordelen ervan bij het snel identificeren en oplossen van beveiligingsproblemen met behulp van verschillende soorten automatiseringen (zoals infrastructuur zoals het inrichten van code en geautomatiseerde SAST- en DAST-scan) in de CI/CD-werkstroom. Deze 'shift left'-benadering verhoogt ook de zichtbaarheid en de mogelijkheid om consistente beveiligingscontroles in uw implementatiepijplijn af te dwingen, waardoor beveiligingsbeveiligingsregels effectief van tevoren in de omgeving worden geïmplementeerd om beveiligingsverrassingen op het laatste moment te voorkomen bij het implementeren van een workload in productie.
Wanneer u beveiligingscontroles verschuift naar de fasen vóór de implementatie, moet u beveiligingsmechanismen implementeren om ervoor te zorgen dat de besturingselementen tijdens uw DevOps-proces worden geïmplementeerd en afgedwongen. Deze technologie kan sjablonen voor resource-implementatie (zoals Azure ARM-sjabloon) omvatten voor het definiëren van kaders in de IaC (infrastructuur als code), resourceinrichting en controle om te beperken welke services of configuraties in de omgeving kunnen worden ingericht.
Volg de Microsoft Cloud Security Benchmark voor het ontwerpen en implementeren van effectieve besturingselementen, zoals identiteit en bevoegde toegang, netwerkbeveiliging, eindpuntbeveiliging en gegevensbeveiliging binnen uw workloadtoepassingen en -services voor de beveiliging van runtimebeveiliging.
Implementatie en aanvullende context:
- Microsoft cloudbeveiligingsbenchmark - DevOps-beveiliging
- Beveiligde DevOps
- Cloud Adoption Framework - DevSecOps-controlesAlgemene richtlijnen Belanghebbendenbij de beveiliging van klanten (meer informatie)**:
- Alle belanghebbenden
GS-11: Beveiligingsstrategie voor meerdere clouds definiëren en implementeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
N.v.t. | N.v.t. | N.v.t. |
Algemene richtlijnen: Zorg ervoor dat een strategie voor meerdere clouds is gedefinieerd in uw cloud- en beveiligingsgovernance, risicobeheer en bewerkingsproces, dat de volgende aspecten moet omvatten:
- Ingebruikname van meerdere clouds: voor organisaties die een infrastructuur voor meerdere clouds gebruiken en uw organisatie informeren om ervoor te zorgen dat teams het functieverschil tussen de cloudplatforms en technologiestack begrijpen. Bouw, implementeer en/of migreer oplossingen die draagbaar zijn. Zorg voor een gemakkelijke verplaatsing tussen cloudplatforms met minimale vergrendeling van leveranciers terwijl u voldoende gebruikmaakt van cloudeigen functies voor het optimale resultaat van de overstap naar de cloud.
- Cloud- en beveiligingsbewerkingen: Stroomlijn beveiligingsbewerkingen om de oplossingen in elke cloud te ondersteunen, via een centrale set governance- en beheerprocessen die algemene operationele processen delen, ongeacht waar de oplossing wordt geïmplementeerd en gebruikt.
- Hulpprogramma's en technologiestack: kies de juiste hulpprogramma's die ondersteuning bieden voor een omgeving met meerdere clouds om te helpen bij het opzetten van geïntegreerde en gecentraliseerde beheerplatforms die mogelijk alle beveiligingsdomeinen bevatten die in deze beveiligingsbenchmark worden besproken.
Implementatie en aanvullende context: