Aanbevelingen voor het instellen van een beveiligingsbasislijn

Is van toepassing op aanbeveling van de controlelijst voor beveiliging van Azure Well-Architected Framework:

SE:01	Stel een beveiligingsbasislijn in die is afgestemd op nalevingsvereisten, industriestandaarden en platformaanbeveling. Meet regelmatig uw workloadarchitectuur en -bewerkingen ten opzichte van de basislijn om uw beveiligingspostuur in de loop van de tijd te behouden of te verbeteren.

In deze handleiding worden de aanbevelingen beschreven voor het instellen van een beveiligingsbasislijn. Een beveiligingsbasislijn is een document waarin de minimale beveiligingsvereisten en -verwachtingen van uw organisatie worden aangegeven voor verschillende gebieden. Een goede beveiligingsbasislijn helpt u bij het volgende:

• Houd uw gegevens en systemen veilig.
• Voldoen aan wettelijke vereisten.
• Minimaliseer het risico op toezicht.
• Verminder de kans op schendingen en daaropvolgende bedrijfseffecten.

Beveiligingsbasislijnen moeten overal in uw organisatie worden gepubliceerd, zodat alle belanghebbenden op de hoogte zijn van de verwachtingen.

Deze handleiding bevat aanbevelingen voor het instellen van een beveiligingsbasislijn die is gebaseerd op interne en externe factoren. Interne factoren zijn onder andere bedrijfsvereisten, risico's en assetevaluatie. Externe factoren zijn onder andere industriebenchmarks en regelgevingsstandaarden.

Definities

Termijn	Definitie
Basislijn	Het minimale beveiligingsniveau dat een workload moet hebben om te voorkomen dat er misbruik van wordt gemaakt.
Benchmark	Een standaard die de beveiligingspostuur aantekent waarnaar de organisatie streeft. Het wordt geëvalueerd, gemeten en verbeterd in de loop van de tijd.
Besturingselementen	Technische of operationele controles op de workload die aanvallen helpen voorkomen en de kosten van aanvallers verhogen.
Wettelijke vereisten	Een reeks zakelijke vereisten, gebaseerd op industrienormen, die door wetten en autoriteiten worden opgelegd.

Belangrijke ontwerpstrategieën

Een beveiligingsbasislijn is een gestructureerd document waarin een set beveiligingscriteria en -mogelijkheden wordt gedefinieerd waaraan de workload moet voldoen om de beveiliging te verbeteren. In een meer volwassen vorm kunt u een basislijn uitbreiden met een set beleidsregels die u gebruikt om kaders in te stellen.

De basislijn moet worden beschouwd als de standaard voor het meten van uw beveiligingspostuur. Het doel moet altijd volledig worden bereikt met behoud van een breed bereik.

Uw beveiligingsbasislijn mag nooit een ad-hoc inspanning zijn. Industrienormen, naleving (intern of extern) of wettelijke vereisten, regionale vereisten en de cloudplatformbenchmarks zijn belangrijke factoren voor de basislijn. Voorbeelden hiervan zijn controles van het Center for Internet Security (CIS), het National Institute of Standards and Technology (NIST) en platformgestuurde standaarden, zoals Microsoft Cloud Security Benchmark (MCSB). Al deze standaarden worden beschouwd als een uitgangspunt voor uw basislijn. Bouw de basis door beveiligingsvereisten uit de bedrijfsvereisten op te nemen.

Zie Verwante koppelingen voor koppelingen naar de voorgaande assets.

Creëer de basislijn door consensus te bereiken tussen zakelijke en technische leiders. De basislijn mag niet worden beperkt tot technische controles. Het moet ook de operationele aspecten van het beheren en onderhouden van de beveiligingspostuur omvatten. Het basislijndocument fungeert dus ook als de toezegging van de organisatie om te investeren in workloadbeveiliging. Het document over de beveiligingsbasislijn moet op grote schaal binnen uw organisatie worden gedistribueerd om ervoor te zorgen dat u zich bewust bent van de beveiligingspostuur van de workload.

Naarmate de workload toeneemt en het ecosysteem zich ontwikkelt, is het essentieel om uw basislijn gesynchroniseerd te houden met de wijzigingen om ervoor te zorgen dat de fundamentele controles nog steeds effectief zijn.

Het maken van een basislijn is een methodisch proces. Hier volgen enkele aanbevelingen over het proces:

• Inventaris van activa. Identificeer belanghebbenden van workloadassets en de beveiligingsdoelstellingen voor die assets. Classificeer in de assetinventaris op beveiligingsvereisten en kritiek. Zie Aanbevelingen voor gegevensclassificatie voor informatie over gegevensassets.

• Risicoanalyse. Stel potentiële risico's in verband met elke asset en geef prioriteit aan deze risico's.

• Nalevingsvereisten. Een basislijn voor regelgeving of naleving voor deze assets en het toepassen van best practices voor de branche.

• Configuratiestandaarden. Definieer en documenteer specifieke beveiligingsconfiguraties en -instellingen voor elke asset. Indien mogelijk kunt u een herhaalbare, geautomatiseerde manier vinden om de instellingen consistent toe te passen in de omgeving.

• Toegangsbeheer en verificatie. Geef de vereisten voor op rollen gebaseerd toegangsbeheer (RBAC) en meervoudige verificatie (MFA) op. Documenteer wat precies genoeg toegang betekent op assetniveau. Begin altijd met het principe van minimale bevoegdheden.

• Patchbeheer. Pas de nieuwste versies toe op alle resourcetypen om aanvallen te versterken.

• Documentatie en communicatie. Documenteer alle configuraties, beleidsregels en procedures. Geef de details door aan de relevante belanghebbenden.

• Afdwingen en verantwoordelijkheid. Duidelijke afdwingingsmechanismen en gevolgen instellen voor niet-naleving van de beveiligingsbasislijn. Houd personen en teams verantwoordelijk voor het handhaven van beveiligingsstandaarden.

• Continue bewaking. Evalueer de effectiviteit van de beveiligingsbasislijn door middel van waarneembaarheid en breng verbeteringen aan overuren.

Samenstelling van een basislijn

Hier volgen enkele algemene categorieën die deel moeten uitmaken van een basislijn. De volgende lijst is niet volledig. Het is bedoeld als een overzicht van het bereik van het document.

Naleving van regelgeving

Een workload kan onderhevig zijn aan naleving van regelgeving voor specifieke branchesegmenten, er kunnen enkele geografische beperkingen zijn, enzovoort. Het is belangrijk om inzicht te krijgen in de vereisten in de regelgevingsspecificaties, omdat deze van invloed zijn op de ontwerpkeuzen en in sommige gevallen moeten worden opgenomen in de architectuur.

De basislijn moet een regelmatige evaluatie van de workload aan de wettelijke vereisten omvatten. Profiteer van de door het platform geleverde hulpprogramma's, zoals Microsoft Defender for Cloud, waarmee gebieden van niet-naleving kunnen worden geïdentificeerd. Werk samen met het nalevingsteam van de organisatie om ervoor te zorgen dat aan alle vereisten wordt voldaan en onderhouden.

Architectuuronderdelen

Voor de basislijn zijn prescriptieve aanbevelingen vereist voor de belangrijkste onderdelen van de workload. Deze omvatten meestal technische controles voor netwerken, identiteit, rekenkracht en gegevens. Raadpleeg de beveiligingsbasislijnen van het platform en voeg de ontbrekende besturingselementen toe aan de architectuur.

Raadpleeg Voorbeeld.

Ontwikkelingsprocessen

De basislijn moet aanbevelingen bevatten over:

• Systeemclassificatie.
• De goedgekeurde set resourcetypen.
• De resources bijhouden.
• Beleid afdwingen voor het gebruik of configureren van resources.

Het ontwikkelteam moet een duidelijk inzicht hebben in het bereik van beveiligingscontroles. Bedreigingsmodellering is bijvoorbeeld een vereiste om ervoor te zorgen dat potentiële bedreigingen worden geïdentificeerd in code en in implementatiepijplijnen. Wees specifiek over statische controles en het scannen van beveiligingsproblemen in uw pijplijn en hoe regelmatig het team deze scans moet uitvoeren.

Zie Aanbevelingen voor bedreigingsanalyse voor meer informatie.

Het ontwikkelingsproces moet ook normen stellen voor verschillende testmethoden en hun frequentie. Zie Aanbevelingen voor beveiligingstests voor meer informatie.

Operations

De basislijn moet standaarden instellen voor het gebruik van mogelijkheden voor detectie van bedreigingen en het genereren van waarschuwingen over afwijkende activiteiten die duiden op werkelijke incidenten. Bedreigingsdetectie moet alle lagen van de workload omvatten, inclusief alle eindpunten die bereikbaar zijn vanuit vijandige netwerken.

De basislijn moet aanbevelingen bevatten voor het instellen van processen voor incidentrespons, waaronder communicatie en een herstelplan, en welke van deze processen kunnen worden geautomatiseerd om detectie en analyse te versnellen. Zie Overzicht van beveiligingsbasislijnen voor Azure voor voorbeelden.

De reactie op incidenten moet ook een herstelplan bevatten en de vereisten voor dat plan, zoals resources voor het regelmatig maken en beveiligen van back-ups.

U ontwikkelt datalekplannen met behulp van industriestandaarden en aanbevelingen van het platform. Het team heeft vervolgens een uitgebreid plan dat moet worden gevolgd wanneer een inbreuk wordt gedetecteerd. Neem ook contact op met uw organisatie om te zien of er dekking is via cyberinsurance.

Training

Ontwikkel en onderhoud een beveiligingstrainingsprogramma om ervoor te zorgen dat het workloadteam over de juiste vaardigheden beschikt om de beveiligingsdoelen en -vereisten te ondersteunen. Het team heeft fundamentele beveiligingstraining nodig, maar gebruik wat u van uw organisatie kunt om gespecialiseerde rollen te ondersteunen. Naleving van op rollen gebaseerde beveiligingstraining en deelname aan oefeningen maken deel uit van uw beveiligingsbasislijn.

De basislijn gebruiken

Gebruik de basislijn om initiatieven te stimuleren, zoals:

• Voorbereiding op ontwerpbeslissingen. Maak de beveiligingsbasislijn en publiceer deze voordat u het architectuurontwerpproces start. Zorg ervoor dat teamleden zich vroegtijdig volledig bewust zijn van de verwachtingen van uw organisatie, waardoor kostbare nabewerkingen worden voorkomen die worden veroorzaakt door een gebrek aan duidelijkheid. U kunt basislijncriteria gebruiken als workloadvereisten waaraan de organisatie zich heeft verbonden en besturingselementen ontwerpen en valideren op basis van deze beperkingen.

• Meet uw ontwerp. Beoordeel de huidige beslissingen op basis van de huidige basislijn. Met de basislijn worden de werkelijke drempelwaarden voor criteria ingesteld. Documenteer eventuele afwijkingen die worden uitgesteld of die op lange termijn aanvaardbaar worden geacht.

• Verbeteringen aanbrengen. Hoewel de basislijn haalbare doelen stelt, zijn er altijd hiaten. Geef prioriteit aan de hiaten in uw achterstand en herstel op basis van prioriteitstelling.

• Houd uw voortgang bij op basis van de basislijn. Continue bewaking van beveiligingsmaatregelen op basis van een ingestelde basislijn is essentieel. Trendanalyse is een goede manier om de voortgang van de beveiliging in de loop van de tijd te controleren en kan consistente afwijkingen van de basislijn aan het licht laten komen. Gebruik zoveel mogelijk automatisering door gegevens op te halen uit verschillende interne en externe bronnen om huidige problemen op te lossen en u voor te bereiden op toekomstige bedreigingen.

• Stel leuningen in. Waar mogelijk moeten uw basiscriteria kaders hebben. Kaders dwingen vereiste beveiligingsconfiguraties, technologieën en bewerkingen af, op basis van interne en externe factoren. Interne factoren zijn onder andere bedrijfsvereisten, risico's en assetevaluatie. Externe factoren zijn onder andere benchmarks, regelgevingsstandaarden en een bedreigingsomgeving. Kaders helpen het risico op onbedoeld toezicht en boetes voor niet-naleving te minimaliseren.

Verken Azure Policy voor aangepaste opties of gebruik ingebouwde initiatieven zoals CIS-benchmarks of Azure Security Benchmark om beveiligingsconfiguraties en nalevingsvereisten af te dwingen. Overweeg om Azure-beleid en -initiatieven te maken op basis van basislijnen.

De basislijn regelmatig evalueren

Verbeter de beveiligingsstandaarden stapsgewijs naar de ideale status om continue risicobeperking te garanderen. Voer periodieke beoordelingen uit om ervoor te zorgen dat het systeem up-to-date is en voldoet aan externe invloeden. Elke wijziging in de basislijn moet formeel zijn, overeengekomen en via de juiste processen voor wijzigingsbeheer worden verzonden.

Meet het systeem op basis van de nieuwe basislijn en geef prioriteit aan herstelbewerkingen op basis van hun relevantie en effect op de workload.

Zorg ervoor dat de beveiligingspostuur na verloop van tijd niet afneemt door controle en controle van de naleving van de organisatiestandaarden in te stellen.

Azure-facilitering

De Microsoft Cloud Security Benchmark (MCSB) is een uitgebreid framework voor best practices voor beveiliging dat u kunt gebruiken als uitgangspunt voor uw beveiligingsbasislijn. Gebruik deze samen met andere resources die invoer bieden voor uw basislijn.

Zie Inleiding tot de Microsoft-cloudbeveiligingsbenchmark voor meer informatie.

Gebruik het dashboard voor naleving van regelgeving Microsoft Defender for Cloud (MDC) om deze basislijnen bij te houden en te worden gewaarschuwd als er een patroon buiten een basislijn wordt gedetecteerd. Zie de set standaarden aanpassen in het dashboard Naleving van regelgeving voor meer informatie.

Andere functies die helpen bij het vaststellen en verbeteren van de basislijn:

• Aangepast Azure-beveiligingsbeleid maken

• Inzicht in beveiligingsbeleid, -initiatieven en -aanbevelingen

• Controles op naleving van regelgeving

Voorbeeld

In dit logische diagram ziet u een voorbeeld van een beveiligingsbasislijn voor architectuuronderdelen die netwerk, infrastructuur, eindpunt, toepassing, gegevens en identiteit omvatten om te laten zien hoe een algemene IT-omgeving veilig kan worden beveiligd. Andere aanbevelingsgidsen bouwen voort op dit voorbeeld.

Infrastructuur

Een algemene IT-omgeving, met een on-premises laag met basisresources.

Azure-beveiligingsservices

Azure-beveiligingsservices en -functies op basis van de typen resources die ze beveiligen.

Azure-beveiligingsbewakingsservices

De bewakingsservices die beschikbaar zijn in Azure, gaan verder dan eenvoudige bewakingsservices, waaronder SIEM-oplossingen (Security Information Event Management) en SOAR-oplossingen (Security Orchestration Automated Response) en Microsoft Defender for Cloud.

Bedreigingen

Deze laag biedt een aanbeveling en herinnering dat bedreigingen kunnen worden toegewezen op basis van de zorgen van uw organisatie met betrekking tot bedreigingen, ongeacht de methodologie of matrix zoals Mitre Attack Matrix of Cyber Kill Chain.

Uitlijning van de organisatie

Cloud Adoption Framework biedt richtlijnen voor centrale teams over het tot stand brengen van een basislijn met een voorgestelde sjabloon:

• Overzicht van de discipline Beveiligingsbasislijn

• Sjabloon voor de Beveiligingsbasislijn-discipline

Verwante koppelingen

• Microsoft-naleving

• Overzicht van beveiligingsbasislijnen voor Azure

• Wat betekent incidentrespons? Plannen en stappen

• Azure Security-benchmarks

Communitykoppelingen

• CIS Microsoft Azure Foundations Benchmark

• Cyberbeveiligingsframework | NIST

Controlelijst voor beveiliging

Raadpleeg de volledige set aanbevelingen.

Controlelijst voor beveiliging