Zalecenia dotyczące ustanawiania punktu odniesienia zabezpieczeń
Dotyczy rekomendacji listy kontrolnej zabezpieczeń platformy Azure Well-Architected Framework:
| SE:01 | Ustanów punkt odniesienia zabezpieczeń zgodny z wymaganiami dotyczącymi zgodności, standardami branżowymi i zaleceniami dotyczącymi platformy. Regularnie mierz architekturę i operacje obciążenia względem punktu odniesienia w celu utrzymania lub poprawy stanu zabezpieczeń w czasie. |
|---|
W tym przewodniku opisano zalecenia dotyczące ustanawiania punktu odniesienia zabezpieczeń. Punkt odniesienia zabezpieczeń to dokument określający minimalne wymagania i oczekiwania organizacji dotyczące zabezpieczeń w różnych obszarach. Dobry punkt odniesienia zabezpieczeń pomaga:
- Zachowaj bezpieczeństwo danych i systemów.
- Zgodność z wymaganiami prawnymi.
- Minimalizuj ryzyko nadzoru.
- Zmniejsz prawdopodobieństwo naruszenia i kolejnych skutków biznesowych.
Punkty odniesienia zabezpieczeń powinny być szeroko publikowane w całej organizacji, aby wszyscy uczestnicy projektu byli świadomi oczekiwań.
Ten przewodnik zawiera zalecenia dotyczące ustawiania punktu odniesienia zabezpieczeń opartego na czynnikach wewnętrznych i zewnętrznych. Czynniki wewnętrzne obejmują wymagania biznesowe, ryzyko i ocenę zasobów. Czynniki zewnętrzne obejmują branżowe testy porównawcze i standardy regulacyjne.
Definicje
| Okres | Definicja |
|---|---|
| Punkt odniesienia | Minimalny poziom zapewniania bezpieczeństwa, który musi być wykorzystywany przez obciążenie. |
| Punkt odniesienia | Standard, który oznacza stan bezpieczeństwa, do którego aspiruje organizacja. Jest oceniana, mierzona i ulepszona w czasie. |
| Formanty | Mechanizmy kontroli technicznej lub operacyjnej obciążenia, które pomagają zapobiegać atakom i zwiększać koszty atakujące. |
| wymagania prawne, | Zestaw wymagań biznesowych, opartych na standardach branżowych, które nakładają przepisy i władze. |
Kluczowe strategie projektowania
Punkt odniesienia zabezpieczeń to ustrukturyzowany dokument, który definiuje zestaw kryteriów zabezpieczeń i możliwości, które obciążenie musi spełniać w celu zwiększenia bezpieczeństwa. W bardziej dojrzałej formie można rozszerzyć punkt odniesienia, aby uwzględnić zestaw zasad używanych do ustawiania barier.
Punkt odniesienia należy uznać za standard pomiaru stanu zabezpieczeń. Celem powinno być zawsze pełne osiągnięcie przy zachowaniu szerokiego zakresu.
Punkt odniesienia zabezpieczeń nigdy nie powinien być nakładem pracy ad hoc. Standardy branżowe, zgodność (wewnętrzne lub zewnętrzne) lub wymagania prawne, wymagania regionalne i testy porównawcze platformy w chmurze są głównymi elementami odniesienia. Przykłady obejmują mechanizmy kontroli Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) oraz standardy oparte na platformie, takie jak test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB). Wszystkie te standardy są uważane za punkt wyjścia dla punktu odniesienia. Skompiluj podstawy, uwzględniając wymagania dotyczące zabezpieczeń z wymagań biznesowych.
Aby uzyskać linki do powyższych zasobów, zobacz Powiązane linki.
Utwórz punkt odniesienia, zdobywając konsensus między liderami biznesowymi i technicznymi. Punkt odniesienia nie powinien być ograniczony do kontroli technicznych. Powinna ona również obejmować aspekty operacyjne zarządzania i utrzymania stanu zabezpieczeń. W związku z tym dokument bazowy służy również jako zobowiązanie organizacji do inwestycji w zabezpieczenia obciążeń. Dokument punktu odniesienia zabezpieczeń powinien być szeroko dystrybuowany w organizacji, aby zapewnić świadomość stanu zabezpieczeń obciążenia.
Wraz ze wzrostem obciążenia i rozwojem ekosystemu ważne jest, aby zachować punkt odniesienia w synchronizacji ze zmianami w celu zapewnienia, że podstawowe mechanizmy kontroli są nadal skuteczne.
Tworzenie punktu odniesienia jest procesem metodycznym. Poniżej przedstawiono kilka zaleceń dotyczących procesu:
Spis zasobów. Zidentyfikuj uczestników projektu zasoby obciążeń i cele zabezpieczeń dla tych zasobów. W spisie zasobów klasyfikuj wymagania dotyczące zabezpieczeń i krytyczność. Aby uzyskać informacje o zasobach danych, zobacz Zalecenia dotyczące klasyfikacji danych.
Ocena ryzyka. Potencjalne zagrożenia związane z tożsamością związane z każdym zasobem i priorytetyzują je.
Wymagania dotyczące zgodności. Wg planu bazowego wszelkie przepisy lub zgodność dla tych zasobów i zastosuj najlepsze rozwiązania branżowe.
Standardy konfiguracji. Zdefiniuj i dokumentuj określone konfiguracje zabezpieczeń i ustawienia dla każdego zasobu. Jeśli to możliwe, utwórz szablon lub znajdź powtarzalny, zautomatyzowany sposób spójnego stosowania ustawień w całym środowisku.
Kontrola dostępu i uwierzytelnianie. Określ wymagania dotyczące kontroli dostępu opartej na rolach (RBAC) i uwierzytelniania wieloskładnikowego (MFA). Udokumentowanie wystarczającej ilości dostępu oznacza na poziomie zasobu. Zawsze zacznij od zasady najniższych uprawnień.
Zarządzanie poprawkami. Zastosuj najnowsze wersje we wszystkich typach zasobów, aby wzmocnić atak.
Dokumentacja i komunikacja. Dokumentowanie wszystkich konfiguracji, zasad i procedur. Przekaż szczegóły odpowiednim uczestnikom projektu.
Wymuszanie i odpowiedzialność. Ustanów jasne mechanizmy wymuszania i konsekwencje niezgodności z punktem odniesienia zabezpieczeń. Pociągnąć osoby i zespoły do odpowiedzialności za utrzymanie standardów zabezpieczeń.
Ciągłe monitorowanie. Ocena skuteczności punktu odniesienia zabezpieczeń poprzez obserwowaność i wprowadzanie ulepszeń w nadgodzinach.
Kompozycja punktu odniesienia
Poniżej przedstawiono niektóre typowe kategorie, które powinny być częścią punktu odniesienia. Poniższa lista nie jest wyczerpująca. Jest ona przeznaczona jako omówienie zakresu dokumentu.
Zgodność z przepisami
Obciążenie może podlegać zgodności z przepisami dla określonych segmentów branżowych, mogą istnieć pewne ograniczenia geograficzne itd. Kluczowe znaczenie ma zrozumienie wymagań określonych w specyfikacji regulacyjnych, ponieważ te wpływają na wybory projektowe i w niektórych przypadkach muszą być uwzględnione w architekturze.
Plan bazowy powinien obejmować regularną ocenę obciążenia pod kątem wymagań regulacyjnych. Skorzystaj z dostępnych na platformie narzędzi, takich jak Microsoft Defender for Cloud, które mogą identyfikować obszary niezgodności. Skontaktuj się z zespołem ds. zgodności organizacji, aby upewnić się, że wszystkie wymagania zostały spełnione i utrzymane.
Składniki architektury
Punkt odniesienia wymaga zaleceń preskrypcyjnych dla głównych składników obciążenia. Zwykle obejmują one mechanizmy kontroli technicznej dotyczące sieci, tożsamości, obliczeń i danych. Odwołuj się do punktów odniesienia zabezpieczeń udostępnianych przez platformę i dodaj brakujące kontrolki do architektury.
Zapoznaj się z przykładem.
Procesy deweloperskie
Punkt odniesienia musi mieć zalecenia dotyczące:
- Klasyfikacja systemu.
- Zatwierdzony zestaw typów zasobów.
- Śledzenie zasobów.
- Wymuszanie zasad używania lub konfigurowania zasobów.
Zespół deweloperów musi mieć jasne zrozumienie zakresu kontroli zabezpieczeń. Na przykład modelowanie zagrożeń jest wymagane w celu upewnienia się, że potencjalne zagrożenia są identyfikowane w kodzie i potokach wdrażania. Szczegółowe informacje na temat sprawdzania statycznego i skanowania luk w zabezpieczeniach w potoku oraz regularnego wykonywania tych skanów przez zespół.
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące analizy zagrożeń.
Proces programowania powinien również określać standardy dotyczące różnych metodologii testowania i ich rytmu. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące testowania zabezpieczeń.
Operacje
Punkt odniesienia musi określać standardy dotyczące używania funkcji wykrywania zagrożeń i zgłaszania alertów dotyczących nietypowych działań, które wskazują rzeczywiste zdarzenia. Wykrywanie zagrożeń musi obejmować wszystkie warstwy obciążenia, w tym wszystkie punkty końcowe, które są osiągalne z sieci wrogich.
Punkt odniesienia powinien zawierać zalecenia dotyczące konfigurowania procesów reagowania na zdarzenia, w tym komunikacji i planu odzyskiwania, a które z tych procesów można zautomatyzować w celu przyspieszenia wykrywania i analizy. Aby zapoznać się z przykładami, zobacz Omówienie punktów odniesienia zabezpieczeń dla platformy Azure.
Reagowanie na zdarzenia powinno również obejmować plan odzyskiwania oraz wymagania dotyczące tego planu, takie jak zasoby do regularnego wykonywania i ochrony kopii zapasowych.
Plany naruszenia zabezpieczeń danych są opracowywane przy użyciu standardów branżowych i zaleceń udostępnianych przez platformę. Następnie zespół ma kompleksowy plan śledzenia po wykryciu naruszenia. Zapoznaj się również z twoją organizacją, aby sprawdzić, czy istnieje zasięg za pośrednictwem cyberakursji.
Szkolenie
Opracowywanie i utrzymywanie programu szkoleniowego w zakresie zabezpieczeń w celu zapewnienia, że zespół ds. obciążeń jest wyposażony w odpowiednie umiejętności w celu wspierania celów i wymagań dotyczących zabezpieczeń. Zespół potrzebuje podstawowego szkolenia w zakresie zabezpieczeń, ale użyj tego, co możesz z organizacji, aby obsługiwać wyspecjalizowane role. Zgodność trenowania zabezpieczeń oparta na rolach i uczestnictwo w ćwiczeniach są częścią punktu odniesienia zabezpieczeń.
Korzystanie z punktu odniesienia
Użyj planu bazowego, aby prowadzić inicjatywy, takie jak:
Gotowość do decyzji projektowych. Utwórz punkt odniesienia zabezpieczeń i opublikuj go przed rozpoczęciem procesu projektowania architektury. Upewnij się, że członkowie zespołu są w pełni świadomi oczekiwań organizacji na wczesnym etapie, co pozwala uniknąć kosztownej ponownej pracy spowodowanej brakiem jasności. Możesz użyć kryteriów odniesienia jako wymagań dotyczących obciążenia, które organizacja zobowiązała się do projektowania i weryfikowania kontrolek względem tych ograniczeń.
Mierzenie projektu. Ocena bieżących decyzji względem bieżącego planu bazowego. Punkt odniesienia ustawia rzeczywiste progi dla kryteriów. Udokumentowanie wszelkich odchyleń odroczonych lub uznanych za dopuszczalne długoterminowe.
Ulepszenia dysków. Chociaż punkt odniesienia określa osiągalne cele, zawsze istnieją luki. Określanie priorytetów luk na liście prac i korygowanie ich na podstawie priorytetyzacji.
Śledź postęp względem punktu odniesienia. Niezbędne jest ciągłe monitorowanie środków zabezpieczeń względem określonego planu bazowego. Analiza trendów to dobry sposób przeglądania postępu zabezpieczeń w czasie i może ujawnić spójne odchylenia od punktu odniesienia. Jak najwięcej automatyzacji, ściąganie danych z różnych źródeł, wewnętrznych i zewnętrznych, w celu rozwiązania bieżących problemów i przygotowania do przyszłych zagrożeń.
Ustaw zabezpieczenia. Jeśli to możliwe, kryteria punktu odniesienia muszą mieć bariery ochronne. Zabezpieczenia wymuszają wymagane konfiguracje zabezpieczeń, technologie i operacje na podstawie czynników wewnętrznych i czynników zewnętrznych. Czynniki wewnętrzne obejmują wymagania biznesowe, ryzyko i ocenę zasobów. Czynniki zewnętrzne obejmują testy porównawcze, standardy regulacyjne i środowisko zagrożeń. Bariery ochronne pomagają zminimalizować ryzyko nieumyślnego nadzoru i karnych grzywny za niezgodne.
Zapoznaj się z Azure Policy dla opcji niestandardowych lub użyj wbudowanych inicjatyw, takich jak testy porównawcze CIS lub test porównawczy zabezpieczeń platformy Azure, aby wymusić konfiguracje zabezpieczeń i wymagania dotyczące zgodności. Rozważ utworzenie zasad i inicjatyw platformy Azure poza punktami odniesienia.
Regularne ocenianie planu bazowego
Stale ulepszaj standardy zabezpieczeń przyrostowo w kierunku idealnego stanu, aby zapewnić ciągłą redukcję ryzyka. Przeprowadzaj okresowe przeglądy, aby upewnić się, że system jest aktualny i zgodny z wpływami zewnętrznymi. Każda zmiana punktu odniesienia musi być formalna, uzgodniona i wysłana za pośrednictwem odpowiednich procesów zarządzania zmianami.
Zmierz system pod kątem nowej linii bazowej i nadaj priorytet korygowaniu na podstawie ich istotności i wpływu na obciążenie.
Upewnij się, że stan zabezpieczeń nie ulega pogorszeniu w czasie przez ustanowienie inspekcji i monitorowania zgodności ze standardami organizacyjnymi.
Ułatwienia platformy Azure
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) to kompleksowa struktura najlepszych rozwiązań w zakresie zabezpieczeń, której można użyć jako punktu wyjścia dla punktu odniesienia zabezpieczeń. Użyj go wraz z innymi zasobami, które zapewniają dane wejściowe do punktu odniesienia.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do testu porównawczego zabezpieczeń w chmurze firmy Microsoft.
Użyj pulpitu nawigacyjnego zgodności z przepisami Microsoft Defender for Cloud (MDC), aby śledzić te punkty odniesienia i otrzymywać alerty, jeśli zostanie wykryty wzorzec poza punktem odniesienia. Aby uzyskać więcej informacji, zobacz Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Inne funkcje, które pomagają w tworzeniu i ulepszaniu punktu odniesienia:
Przykład
Ten diagram logiczny przedstawia przykładową linię bazową zabezpieczeń dla składników architektury obejmujących sieć, infrastrukturę, punkt końcowy, aplikację, dane i tożsamość, aby zademonstrować, w jaki sposób typowe środowisko IT może być bezpiecznie chronione. Inne przewodniki rekomendacji są oparte na tym przykładzie.
Infrastruktura
Typowe środowisko IT z warstwą lokalną z podstawowymi zasobami.
Usługi zabezpieczeń platformy Azure
Usługi i funkcje zabezpieczeń platformy Azure według typów chronionych zasobów.
Usługi monitorowania zabezpieczeń platformy Azure
Usługi monitorowania dostępne na platformie Azure, które wykraczają poza proste usługi monitorowania, w tym rozwiązania do zarządzania zdarzeniami zabezpieczeń (SIEM) i zautomatyzowane reagowanie na zabezpieczenia (SOAR) i Microsoft Defender for Cloud.
Zagrożenia
Ta warstwa zawiera zalecenie i przypomnienie, że zagrożenia mogą być mapowane zgodnie z obawami organizacji dotyczącymi zagrożeń, niezależnie od metodologii lub macierzy, takiej jak Mitre Attack Matrix lub Łańcuch Cyber Kill.
Dopasowanie organizacji
Cloud Adoption Framework zawiera wskazówki dla centralnych zespołów dotyczących ustanawiania punktu odniesienia za pomocą sugerowanego szablonu:
Linki pokrewne
Linki społeczności
Lista kontrolna zabezpieczeń
Zapoznaj się z pełnym zestawem zaleceń.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla