Aanbevelingen voor het tot stand brengen van een beveiligingsbasislijn
Is van toepassing op de aanbeveling voor azure Well-Architected Framework Security-controlelijst:
| SE:01 | Stel een beveiligingsbasislijn vast die is afgestemd op nalevingsvereisten, industriestandaarden en platformaan aanbevelingen. Meet regelmatig uw workloadarchitectuur en -bewerkingen op basis van de basislijn om uw beveiligingspostuur in de loop van de tijd te ondersteunen of te verbeteren. |
|---|
In deze handleiding worden de aanbevelingen beschreven voor het instellen van een beveiligingsbasislijn. Een beveiligingsbasislijn is een document dat de minimale beveiligingsvereisten en verwachtingen van uw organisatie op verschillende gebieden aangeeft. Een goede beveiligingsbasislijn helpt u bij het volgende:
- Houd uw gegevens en systemen veilig.
- Voldoen aan wettelijke vereisten.
- Minimaliseer het risico van toezicht.
- Verminder de kans op schendingen en daaropvolgende bedrijfseffecten.
Beveiligingsbasislijnen moeten overal in uw organisatie algemeen worden gepubliceerd, zodat alle belanghebbenden op de hoogte zijn van de verwachtingen.
Deze handleiding bevat aanbevelingen voor het instellen van een beveiligingsbasislijn die is gebaseerd op interne en externe factoren. Interne factoren omvatten bedrijfsvereisten, risico's en evaluatie van activa. Externe factoren omvatten benchmarks voor de industrie en regelgevingsstandaarden.
Definities
| Termijn | Definitie |
|---|---|
| Basislijn | Het minimale beveiligingsniveau dat een workload moet hebben om misbruik te voorkomen. |
| Benchmark | Een standaard die de beveiligingspostuur aantekent waarnaar de organisatie streeft. Deze wordt geëvalueerd, gemeten en verbeterd in de loop van de tijd. |
| Besturingselementen | Technische of operationele controles op de workload die helpen aanvallen te voorkomen en de kosten van aanvallers te verhogen. |
| Wettelijke vereisten | Een reeks zakelijke vereisten, op basis van industriestandaarden, die wetten en autoriteiten opleggen. |
Belangrijke ontwerpstrategieën
Een beveiligingsbasislijn is een gestructureerd document dat een set beveiligingscriteria en mogelijkheden definieert waaraan de workload moet voldoen om de beveiliging te vergroten. In een meer volwassen vorm kunt u een basislijn uitbreiden met een set beleidsregels die u gebruikt om kaders in te stellen.
De basislijn moet worden beschouwd als de standaard voor het meten van uw beveiligingspostuur. Het doel moet altijd volledig worden bereikt en tegelijkertijd een breed bereik behouden.
Uw beveiligingsbasislijn mag nooit een ad-hoc-inspanning zijn. Industriestandaarden, naleving (intern of extern) of wettelijke vereisten, regionale vereisten en de benchmarks voor het cloudplatform zijn belangrijke factoren voor de basislijn. Voorbeelden hiervan zijn Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) en platformgestuurde standaarden, zoals Microsoft Cloud Security Benchmark (MCSB). Al deze standaarden worden beschouwd als uitgangspunt voor uw basislijn. Bouw de basis door beveiligingsvereisten van de bedrijfsvereisten op te nemen.
Zie Verwante koppelingen voor koppelingen naar de voorgaande assets.
Maak de basislijn door consensus te verkrijgen tussen zakelijke en technische leiders. De basislijn mag niet worden beperkt tot technische controles. Het moet ook de operationele aspecten omvatten van het beheren en onderhouden van de beveiligingspostuur. Het basislijndocument fungeert dus ook als de toezegging van de organisatie om te investeren in de beveiliging van workloads. Het document over de beveiligingsbasislijn moet op grote schaal binnen uw organisatie worden gedistribueerd om ervoor te zorgen dat er bewustzijn is over de beveiligingspostuur van de workload.
Naarmate de workload groeit en het ecosysteem zich ontwikkelt, is het essentieel om uw basislijn gesynchroniseerd te houden met de wijzigingen om ervoor te zorgen dat de fundamentele controles nog steeds effectief zijn.
Het maken van een basislijn is een methodisch proces. Hier volgen enkele aanbevelingen voor het proces:
Inventaris van activa. Identificeer belanghebbenden van workloadassets en de beveiligingsdoelstellingen voor deze assets. In de assetinventaris kunt u classificeren op beveiligingsvereisten en kritiek. Zie Aanbevelingen voor gegevensclassificatie voor informatie over gegevensassets.
Risicoanalyse. Mogelijke risico's van identiteiten die aan elke asset zijn gekoppeld en prioriteren.
Nalevingsvereisten. Basislijn voor elke regelgeving of naleving voor deze assets en pas aanbevolen procedures voor de branche toe.
Configuratiestandaarden. Definieer en documenteer specifieke beveiligingsconfiguraties en -instellingen voor elke asset. Indien mogelijk kunt u een herhaalbare, geautomatiseerde manier vinden om de instellingen consistent toe te passen in de omgeving.
Toegangsbeheer en verificatie. Geef de vereisten voor op rollen gebaseerd toegangsbeheer (RBAC) en meervoudige verificatie (MFA) op. Documenteer wat precies genoeg toegang betekent op assetniveau. Begin altijd met het principe van minimale bevoegdheden.
Patchbeheer. Pas de nieuwste versies toe op alle resourcetypen om aanvallen te versterken.
Documentatie en communicatie. Documenteer alle configuraties, beleidsregels en procedures. Geef de details door aan de relevante belanghebbenden.
Afdwinging en verantwoordelijkheid. Stel duidelijke afdwingingsmechanismen en -gevolgen vast voor niet-naleving met de beveiligingsbasislijn. Houd personen en teams verantwoordelijk voor het onderhouden van beveiligingsstandaarden.
Continue bewaking. Evalueer de effectiviteit van de beveiligingsbasislijn door middel van waarneembaarheid en breng verbeteringen aan in de overuren.
De basislijn definiëren
Hier volgen enkele algemene categorieën die deel moeten uitmaken van een basislijn. De volgende lijst is niet volledig. Het is bedoeld als een overzicht van het bereik van het document.
Naleving van regelgeving
Een workload kan onderhevig zijn aan naleving van regelgeving voor specifieke branchesegmenten, er zijn mogelijk enkele geografische beperkingen, enzovoort. Het is essentieel om inzicht te krijgen in de vereisten zoals vermeld in de regelgevingsspecificaties, omdat deze invloed hebben op de ontwerpkeuzen en in sommige gevallen moeten worden opgenomen in de architectuur.
De basislijn moet een regelmatige evaluatie van de workload bevatten op basis van wettelijke vereisten. Profiteer van de platformhulpprogramma's, zoals Microsoft Defender voor Cloud, waarmee gebieden van niet-naleving kunnen worden geïdentificeerd. Werk samen met het complianceteam van de organisatie om ervoor te zorgen dat aan alle vereisten wordt voldaan en onderhouden.
Architectuuronderdelen
De basislijn heeft prescriptieve aanbevelingen nodig voor de belangrijkste onderdelen van de workload. Dit zijn meestal technische controles voor netwerken, identiteit, berekening en gegevens. Verwijs naar de beveiligingsbasislijnen die door het platform worden geleverd en voeg de ontbrekende besturingselementen toe aan de architectuur.
Ontwikkelingsprocessen
De basislijn moet aanbevelingen hebben over:
- Systeemclassificatie.
- De goedgekeurde set resourcetypen.
- De resources bijhouden.
- Beleid afdwingen voor het gebruik of configureren van resources.
Het ontwikkelteam moet een duidelijk inzicht hebben in het bereik voor beveiligingscontroles. Bedreigingsmodellering is bijvoorbeeld een vereiste om ervoor te zorgen dat potentiële bedreigingen worden geïdentificeerd in code en in implementatiepijplijnen. Wees specifiek over statische controles en scannen op beveiligingsproblemen in uw pijplijn en hoe regelmatig het team deze scans moet uitvoeren.
Zie Aanbevelingen voor bedreigingsanalyse voor meer informatie.
Het ontwikkelingsproces moet ook standaarden instellen voor verschillende testmethoden en hun frequentie. Zie Aanbevelingen voor beveiligingstests voor meer informatie.
Operations
De basislijn moet standaarden instellen voor het gebruik van mogelijkheden voor het detecteren van bedreigingen en het genereren van waarschuwingen voor afwijkende activiteiten die duiden op werkelijke incidenten. Detectie van bedreigingen moet alle lagen van de workload bevatten, inclusief alle eindpunten die bereikbaar zijn vanuit vijandige netwerken.
De basislijn moet aanbevelingen bevatten voor het instellen van processen voor het reageren op incidenten, waaronder communicatie en een herstelplan, en welke van deze processen kunnen worden geautomatiseerd om detectie en analyse te versnellen. Zie Beveiligingsbasislijnen voor Azure-overzicht voor voorbeelden.
De reactie op incidenten moet ook een herstelplan en de vereisten voor dat plan bevatten, zoals resources voor het regelmatig maken en beveiligen van back-ups.
U ontwikkelt plannen voor gegevenslekken met behulp van industriestandaarden en aanbevelingen van het platform. Het team heeft vervolgens een uitgebreid plan om te volgen wanneer een inbreuk wordt gedetecteerd. Neem ook contact op met uw organisatie om te zien of er dekking is via cyberverzekering.
Training
Ontwikkel en onderhoud een beveiligingstrainingsprogramma om ervoor te zorgen dat het workloadteam is uitgerust met de juiste vaardigheden om de beveiligingsdoelen en -vereisten te ondersteunen. Het team heeft fundamentele beveiligingstraining nodig, maar gebruik wat u van uw organisatie kunt gebruiken om gespecialiseerde rollen te ondersteunen. Naleving van op rollen gebaseerde beveiligingstraining en deelname aan drills maken deel uit van uw beveiligingsbasislijn.
De basislijn toepassen
Gebruik de basislijn om initiatieven te stimuleren, zoals:
Voorbereid op ontwerpbeslissingen. Maak de beveiligingsbasislijn en publiceer deze voordat u begint met het ontwerpproces voor architectuur. Zorg ervoor dat teamleden zich al vroeg bewust zijn van de verwachtingen van uw organisatie, waardoor kostbare herwerkbewerkingen worden voorkomen die worden veroorzaakt door een gebrek aan duidelijkheid. U kunt basislijncriteria gebruiken als workloadvereisten waaraan de organisatie heeft toegezegd en controles op basis van deze beperkingen heeft ontworpen en gevalideerd.
Meet uw ontwerp. Beoordeel de huidige beslissingen op basis van de huidige basislijn. De basislijn stelt de werkelijke drempelwaarden voor criteria in. Documenteer eventuele afwijkingen die worden uitgesteld of die op lange termijn aanvaardbaar worden geacht.
Verbeteringen aan de schijf. Hoewel de basislijn haalbare doelen stelt, zijn er altijd hiaten. Geef prioriteit aan de hiaten in uw achterstand en herstel op basis van prioriteitstelling.
Houd uw voortgang bij op basis van de basislijn. Continue bewaking van beveiligingsmaatregelen op basis van een setbasislijn is essentieel. Trendanalyse is een goede manier om de voortgang van de beveiliging in de loop van de tijd te controleren en kan consistente afwijkingen van de basislijn blootleggen. Gebruik automatisering zoveel mogelijk, het ophalen van gegevens uit verschillende bronnen, intern en extern, om huidige problemen op te lossen en toekomstige bedreigingen voor te bereiden.
Stel kaders in. Waar mogelijk moeten uw basislijncriteria kaders hebben. Kaders dwingen vereiste beveiligingsconfiguraties, technologieën en bewerkingen af, op basis van interne factoren en externe factoren. Interne factoren omvatten bedrijfsvereisten, risico's en evaluatie van activa. Externe factoren omvatten benchmarks, regelgevingsstandaarden en bedreigingsomgeving. Kaders helpen het risico op onbedoeld toezicht en strafbare boetes voor niet-naleving te minimaliseren.
Verken Azure Policy voor aangepaste opties of gebruik ingebouwde initiatieven zoals CIS-benchmarks of Azure Security Benchmark om beveiligingsconfiguraties en nalevingsvereisten af te dwingen. Overweeg om Azure-beleid en initiatieven te maken op basislijnen.
De basislijn regelmatig evalueren
Verbeter voortdurend beveiligingsstandaarden stapsgewijs naar de ideale status om een continue risicovermindering te garanderen. Voer periodieke beoordelingen uit om ervoor te zorgen dat het systeem up-to-date is en in overeenstemming is met externe invloeden. Elke wijziging in de basislijn moet formeel, overeengekomen zijn en worden verzonden via de juiste processen voor wijzigingsbeheer.
Meet het systeem op basis van de nieuwe basislijn en geef prioriteit aan herstelbewerkingen op basis van hun relevantie en effect op de workload.
Zorg ervoor dat het beveiligingspostuur na verloop van tijd niet afneemt door controle en controle te instellen op naleving van de organisatiestandaarden.
Azure-facilitering
De Microsoft Cloud Security Benchmark (MCSB) is een uitgebreid framework voor best practice voor beveiliging dat u kunt gebruiken als uitgangspunt voor uw beveiligingsbasislijn. Gebruik deze samen met andere resources die invoer bieden voor uw basislijn.
Zie Inleiding tot de Microsoft-cloudbeveiligingsbenchmark voor meer informatie.
Gebruik het dashboard voor naleving van regelgeving (MDC) Microsoft Defender voor Cloud om deze basislijnen bij te houden en te worden gewaarschuwd als er een patroon buiten een basislijn wordt gedetecteerd. Zie de set standaarden aanpassen in uw dashboard voor naleving van regelgeving voor meer informatie.
Andere functies die u helpen bij het vaststellen en verbeteren van de basislijn:
Opmerking
Dit logische diagram toont een voorbeeld van een beveiligingsbasislijn voor architectuuronderdelen die netwerk, infrastructuur, eindpunt, toepassing, gegevens en identiteit omvatten om te laten zien hoe een algemene IT-omgeving veilig kan worden beveiligd. Andere aanbevelingshandleidingen zijn gebaseerd op dit voorbeeld.
Infrastructuur
Een algemene IT-omgeving, met een on-premises laag met basisbronnen.
Azure-beveiligingsservices
Azure-beveiligingsservices en -functies door de typen resources die ze beveiligen.
Azure-beveiligingsbewakingsservices
De bewakingsservices die beschikbaar zijn in Azure, gaan verder dan eenvoudige bewakingsservices, waaronder SIEM-oplossingen (Security Information Event Management) en SOAR-oplossingen (Security Orchestration Automated Response) en Microsoft Defender voor Cloud.
Bedreigingen
Deze laag brengt een aanbeveling en herinnering dat bedreigingen kunnen worden toegewezen op basis van de zorgen van uw organisatie met betrekking tot bedreigingen, ongeacht de methodologie of matrixachtige Mitre Attack Matrix of Cyber Kill Chain.
Verwante koppelingen
Communitykoppelingen
Controlelijst voor beveiliging
Raadpleeg de volledige set aanbevelingen.