Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Governance en strategie bieden richtlijnen voor het garanderen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiliging te begeleiden en te ondersteunen, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden.
GS-1: Organisatierollen, verantwoordelijkheden en accountabiliteiten afstemmen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Azure-richtlijnen: zorg ervoor dat u een duidelijke strategie definieert en communiceert voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie. Prioriteit geven aan het bieden van duidelijke verantwoordelijkheid voor beveiligingsbeslissingen, het opleiden van iedereen over het model voor gedeelde verantwoordelijkheid en het informeren van technische teams over technologie om de cloud te beveiligen.
Implementatie en aanvullende context:
- Best Practice voor Azure Security 1 : Personen: Teams informeren over cloudbeveiligingstraject
- Best Practice voor Azure-beveiliging 2 - Personen: Teams informeren over cloudbeveiligingstechnologie
- Best Practice voor Azure-beveiliging 3: Proces: Verantwoordelijkheid toewijzen voor beslissingen over cloudbeveiliging
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-2: Segmentatie/scheiding van taken voor ondernemingen definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Azure-richtlijnen: stel een bedrijfsbrede strategie in om toegang tot assets te segmenteren met behulp van een combinatie van identiteit, netwerk, toepassing, abonnement, beheergroep en andere besturingselementen.
Zorg ervoor dat de noodzaak van scheiding van beveiliging zorgvuldig wordt afgestemd op de noodzaak om de dagelijkse werking van de systemen mogelijk te maken die met elkaar moeten communiceren en toegang moeten krijgen tot gegevens.
Zorg ervoor dat de segmentatiestrategie consistent wordt geïmplementeerd in de workload, waaronder netwerkbeveiliging, identiteits- en toegangsmodellen, en toepassingsmachtigings-/toegangsmodellen en besturingselementen voor menselijk proces.
Implementatie en aanvullende context:
- Beveiliging in het Microsoft Cloud Adoption Framework voor Azure - Segmentatie: scheiden om te beschermen
- Beveiliging in het Microsoft Cloud Adoption Framework voor Azure - Architectuur: één geïntegreerde beveiligingsstrategie opzetten
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-3: Strategie voor gegevensbescherming definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Azure-richtlijnen: een bedrijfsbrede strategie opzetten voor gegevensbeveiliging in Azure:
- Definieer en pas de standaard voor gegevensclassificatie en -beveiliging toe overeenkomstig de standaard voor ondernemingsgegevensbeheer en naleving van regelgeving om de beveiligingscontroles te bepalen die vereist zijn voor elk niveau van de gegevensclassificatie.
- Stel uw cloudresourcebeheerhiërarchie in die is afgestemd op de strategie voor bedrijfssegmentatie. De strategie voor bedrijfssegmentatie moet ook worden geïnformeerd door de locatie van gevoelige of bedrijfskritieke gegevens en systemen.
- Definieer en pas de toepasselijke nulvertrouwensprincipes toe in uw cloudomgeving om te voorkomen dat vertrouwen wordt geïmplementeerd op basis van netwerklocatie binnen een perimeter. Gebruik in plaats daarvan claims voor apparaat- en gebruikersvertrouwen om de toegang tot gegevens en resources te beperken.
- Houd de footprint van gevoelige gegevens (opslag, overdracht en verwerking) in de hele onderneming bij en minimaliseer deze om de kosten voor aanvallen en gegevensbescherming te verminderen. Overweeg waar mogelijk technieken zoals hashing in één richting, afkapping en tokenisatie in de workload, om te voorkomen dat gevoelige gegevens in de oorspronkelijke vorm worden opgeslagen en verzonden.
- Zorg ervoor dat u een volledige strategie voor levenscyclusbeheer hebt om de beveiliging van de gegevens en toegangssleutels te garanderen.
Implementatie en aanvullende context:
- Azure Security Benchmark - Gegevensbescherming
- Cloud Adoption Framework - Best practices voor Azure-gegevensbeveiliging en -versleuteling
- Grondbeginselen van Azure-beveiliging : Azure Data Security, Encryption en Storage
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-4: Netwerkbeveiligingsstrategie definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure-richtlijnen: stel een Azure-netwerkbeveiligingsstrategie in als onderdeel van de algehele beveiligingsstrategie van uw organisatie voor toegangsbeheer. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
- Ontwerp een gecentraliseerd/gedecentraliseerd model voor netwerkbeheer en beveiligingsverantwoordelijkheid voor het implementeren en onderhouden van netwerkbronnen.
- Een segmentatiemodel voor virtuele netwerken dat is afgestemd op de strategie voor bedrijfssegmentatie.
- Een strategie voor de internetperimeter en inkomend en uitgaand verkeer.
- Een hybride cloud en on-premises interconnectiviteitsstrategie.
- Een strategie voor netwerkbewaking en logboekregistratie.
- Een up-to-date netwerkbeveiligingsartefacten (zoals netwerkdiagrammen, referentienetwerkarchitectuur).
Implementatie en aanvullende context:
- Azure Security Best Practice 11 - Architectuur. Eén geïntegreerde beveiligingsstrategie
- Azure Security Benchmark - Netwerkbeveiliging
- Overzicht van Azure-netwerkbeveiliging
- Strategie voor bedrijfsnetwerkarchitectuur
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-5: Strategie voor beveiligingspostuurbeheer definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure-richtlijnen: een beleid, procedure en standaard instellen om ervoor te zorgen dat het beveiligingsconfiguratiebeheer en beveiligingsbeheer worden toegepast in uw cloudbeveiligingsmandaat.
Het beveiligingsconfiguratiebeheer in Azure moet de volgende gebieden bevatten:
- Definieer de veilige configuratiebasislijnen voor verschillende resourcetypen in de cloud, zoals Azure Portal, beheer- en besturingsvlak en resources die worden uitgevoerd in de IaaS-, PaaS- en SaaS-services.
- Zorg ervoor dat de beveiligingsbasislijnen de risico's in verschillende beheergebieden aanpakken, zoals netwerkbeveiliging, identiteitsbeheer, bevoegde toegang, gegevensbescherming, enzovoort.
- Gebruik hulpprogramma's om de configuratie continu te meten, te controleren en af te dwingen om te voorkomen dat de configuratie afwijkt van de basislijn.
- Ontwikkel een frequentie om bij te blijven met Azure-beveiligingsfuncties, bijvoorbeeld om u te abonneren op de service-updates.
- Gebruik Secure Score in Azure Defender for Cloud om regelmatig het beveiligingsconfiguratiepostuur van Azure te controleren en de geïdentificeerde hiaten op te heffen.
Het beveiligingsbeheer in Azure moet de volgende beveiligingsaspecten bevatten:
- Evalueer en herstel regelmatig beveiligingsproblemen in alle typen cloudresources, zoals systeemeigen Azure-services, besturingssystemen en toepassingsonderdelen.
- Gebruik een op risico's gebaseerde benadering om prioriteit te geven aan evaluatie en herstel.
- Abonneer u op de relevante kennisgevingen van Microsoft/Azure-beveiligingsadvies en blogs om de meest recente beveiligingsupdates over Azure te ontvangen.
- Zorg ervoor dat de evaluatie en herstel van beveiligingsproblemen (zoals planning, bereik en technieken) voldoen aan de regelmatig nalevingsvereisten voor uw organisatie.
Implementatie en aanvullende context:
- Azure Security Benchmark - Postuur- en beveiligingsproblemenbeheer
- Best Practice 9 voor Azure-beveiliging: beveiligingspostuurbeheer instellen
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-6: Identiteit en geprivilegieerde toegangsstrategie definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure-richtlijnen: stel een Benadering voor Azure-identiteit en bevoegde toegang in als onderdeel van de algehele strategie voor beveiligingstoegangsbeheer van uw organisatie. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende aspecten:
- Gecentraliseerd identiteits- en verificatiesysteem (Azure AD) en de interconnectiviteit ervan met andere interne en externe identiteitssystemen
- Bevoorrechte identiteit en toegangsbeheer (zoals toegangsaanvraag, beoordeling en goedkeuring)
- Geprivilegieerde accounts in noodsituaties (break-glass)
- Sterke verificatiemethoden (verificatie zonder wachtwoord en meervoudige verificatie) in verschillende use cases en voorwaarden
- Beveilig toegang door beheerbewerkingen via Azure Portal, CLI en API.
Voor uitzonderingsgevallen, waarbij een bedrijfssysteem niet wordt gebruikt, moet u ervoor zorgen dat er adequate beveiligingscontroles worden toegepast voor identiteits-, verificatie- en toegangsbeheer en governance. Deze uitzonderingen moeten worden goedgekeurd en periodiek worden gecontroleerd door het ondernemingsteam. Deze uitzonderingen zijn doorgaans in gevallen zoals:
- Gebruik van een niet-onderneming aangewezen identiteits- en verificatiesysteem, zoals systemen van derden in de cloud (kan onbekende risico's veroorzaken)
- Bevoegde gebruikers die lokaal zijn geverifieerd en/of niet-sterke verificatiemethoden gebruiken
Implementatie en aanvullende context:
- Azure Security Benchmark - Identiteitsbeheer
- Azure Security Benchmark - Bevoegde toegang
- Azure Security Best Practice 11 - Architectuur. Eén geïntegreerde beveiligingsstrategie
- Overzicht van Azure Identity Management-beveiliging
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-7: Logboekregistratie, detectie van bedreigingen en reactiestrategie voor incidenten definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Azure-richtlijnen: stel een strategie voor logboekregistratie, bedreigingsdetectie en incidentrespons in om bedreigingen snel te detecteren en op te lossen en te voldoen aan de nalevingsvereisten. Het secops-/SOC-team (Beveiligingsbewerkingen) moet prioriteit geven aan waarschuwingen van hoge kwaliteit en naadloze ervaringen, zodat ze zich kunnen richten op bedreigingen in plaats van logboekintegratie en handmatige stappen.
Deze strategie moet gedocumenteerd beleid, procedures en standaarden omvatten voor de volgende aspecten:
- De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)
- Een goed gedefinieerd en regelmatig getest plan voor het reageren op incidenten en het afhandelen van processen die zijn afgestemd op NIST- of andere brancheframeworks.
- Communicatie- en meldingsplan met uw klanten, leveranciers en openbare partijen van belang.
- Voorkeur voor het gebruik van XDR-mogelijkheden (Extended Detection and Response), zoals Mogelijkheden van Azure Defender om bedreigingen op de verschillende gebieden te detecteren.
- Gebruik van systeemeigen Azure-mogelijkheden (bijvoorbeeld als Microsoft Defender voor Cloud) en platformen van derden voor incidentafhandeling, zoals logboekregistratie en detectie van bedreigingen, forensische gegevens en herstel en uitroeiing van aanvallen.
- Definieer belangrijke scenario's (zoals detectie van bedreigingen, reactie op incidenten en naleving) en stel logboekopname en -retentie in om te voldoen aan de scenariovereisten.
- Gecentraliseerde zichtbaarheid van en correlatie-informatie over bedreigingen, met behulp van SIEM, systeemeigen Mogelijkheden voor detectie van Azure-bedreigingen en andere bronnen.
- Activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaal.
Implementatie en aanvullende context:
- Azure Security Benchmark - Logboekregistratie en detectie van bedreigingen
- Azure Security Benchmark - Reactie op incidenten
- Best Practice voor Azure-beveiliging 4: proces. Processen voor reactie op incidenten bijwerken voor de cloud
- Handleiding voor beslissingen over azure Adoption Framework, logboekregistratie en rapportage
- Azure Enterprise-schaal, -beheer en -bewaking
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-8: Back-up- en herstelstrategie definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Azure-richtlijnen: een Strategie voor Back-up en herstel van Azure instellen voor uw organisatie. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden omvatten in de volgende aspecten:
- RTO-definities (Recovery Time Objective) en Recovery Point Objective (RPO) in overeenstemming met de tolerantiedoelstellingen van uw bedrijf en nalevingsvereisten voor regelgeving.
- Redundantieontwerp (inclusief back-up, herstel en replicatie) in uw toepassingen en infrastructuur voor zowel in de cloud als on-premises. Overweeg regionale, regioparen, trans-regionaal herstel en off-site opslaglocatie als onderdeel van uw strategie.
- Bescherming van back-ups tegen onbevoegde toegang en manipulatie met behulp van maatregelen zoals gegevenstoegangsbeheer, versleuteling en netwerkbeveiliging.
- Gebruik van back-up en herstel om de risico's van opkomende bedreigingen, zoals ransomware-aanvallen, te beperken. En beveilig ook de back-up- en herstelgegevens zelf van deze aanvallen.
- Bewaking van de back-up- en herstelgegevens en -bewerkingen voor controle- en waarschuwingsdoeleinden.
Implementatie en aanvullende context:
- Azure Security Benchmark - Back-up en herstel
- Azure Well-Architecture Framework - Back-up en herstel na noodgevallen voor Azure-toepassingen
- Azure Adoption Framework-bedrijfscontinuïteit en herstel na noodgevallen
- Back-up- en herstelplan ter bescherming tegen ransomware
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-9: Eindpuntbeveiligingsstrategie definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure-richtlijnen: een strategie voor cloudeindpuntbeveiliging tot stand brengen die de volgende aspecten omvat:
- Implementeer de mogelijkheid voor eindpuntdetectie en -respons en antimalware in uw eindpunt en integreer met het bedreigingsdetectie- en SIEM-oplossings- en beveiligingsbewerkingsproces.
- Volg Azure Security Benchmark om ervoor te zorgen dat beveiligingsinstellingen met betrekking tot eindpunten in andere respectieve gebieden (zoals netwerkbeveiliging, beveiligingsbeheer van postuur, identiteits- en bevoegde toegang, en logboekregistratie en detectie van bedreigingen) ook een diepgaande beveiliging voor uw eindpunt bieden.
- Geef prioriteit aan de eindpuntbeveiliging in uw productieomgeving, maar zorg ervoor dat de niet-productieomgevingen (zoals test- en buildomgeving die in het DevOps-proces worden gebruikt) ook worden beveiligd en bewaakt, omdat deze omgeving ook kan worden gebruikt om de malware en beveiligingsproblemen in de productie te introduceren.
Implementatie en aanvullende context:
- Azure Security Benchmark - Eindpuntbeveiliging
- Aanbevolen procedures voor eindpuntbeveiliging in Azure
Belanghebbenden voor klantbeveiliging (Meer informatie):
GS-10: DevOps-beveiligingsstrategie definiëren en implementeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure-richtlijnen: de beveiligingscontroles verplichten als onderdeel van de DevOps-engineering- en operationele standaard van de organisatie. Definieer de beveiligingsdoelstellingen, controlevereisten en hulpprogrammaspecificaties in overeenstemming met bedrijfs- en cloudbeveiligingsstandaarden in uw organisatie.
Moedig het gebruik van DevOps aan als een essentieel operationeel model in uw organisatie voor de voordelen ervan bij het snel identificeren en oplossen van beveiligingsproblemen met behulp van verschillende soorten automatiseringen (zoals infrastructuur als code inrichten en geautomatiseerde SAST- en DAST-scan) in de CI/CD-werkstroom. Deze 'shift left'-benadering verhoogt ook de zichtbaarheid en de mogelijkheid om consistente beveiligingscontroles in uw implementatiepijplijn af te dwingen, waardoor beveiligingsmaatregelen effectief vooraf in de omgeving worden geïmplementeerd om last-minute beveiligingsverrassingen te voorkomen bij de ingebruikname van een werklast in productie.
Door beveiligingsmaatregelen naar de fasen vóór de implementatie te verplaatsen, implementeert u beveiligingsrichtlijnen om ervoor te zorgen dat de maatregelen worden uitgevoerd en gehandhaafd tijdens uw DevOps-proces. Deze technologie kan Azure ARM-sjablonen bevatten voor het definiëren van kaders in de IaC (infrastructuur als code), het inrichten van resources en Azure Policy om te controleren welke services of configuraties in de omgeving kunnen worden ingericht.
Voor de runtimebeveiligingscontroles van uw workload volgt u de Azure Security Benchmark om effectieve besturingselementen te ontwerpen en implementeren, zoals identiteits- en bevoegde toegang, netwerkbeveiliging, eindpuntbeveiliging en gegevensbescherming binnen uw workloadtoepassingen en -services.
Implementatie en aanvullende context:
- Azure Security Benchmark - DevOps-beveiliging
- DevOps beveiligen
- Cloud Adoption Framework - DevSecOps-richtlijnen
Belanghebbenden voor klantbeveiliging (Meer informatie):