Security Control V2: Governance and Strategy
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.
GS-1: Definiowanie strategii zarządzania elementami zawartości i ochrony danych
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Upewnij się, że dokumentujesz i komunikujesz jasną strategię ciągłego monitorowania i ochrony systemów i danych. Ustalaj priorytety odnajdywania, oceny, ochrony i monitorowania danych oraz systemów o krytycznym znaczeniu dla firmy.
Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
Standard klasyfikacji danych zgodny z ryzykiem biznesowym
Wgląd organizacji zabezpieczeń w czynniki ryzyka i spis elementów zawartości
Zatwierdzenie przez organizację zabezpieczeń usług platformy Azure do użycia
Bezpieczeństwo elementów zawartości w całym cyklu życia
Wymagana strategia kontroli dostępu zgodnie z klasyfikacją danych organizacji
Korzystanie z natywnych dla platformy Azure oraz oferowanych przez inne firmy funkcji ochrony danych
Wymagania w zakresie szyfrowania danych dla przypadków użycia dotyczących danych przesyłanych i danych magazynowanych
Odpowiednie standardy kryptograficzne
Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Zalecenie dotyczące architektury zabezpieczeń platformy Azure — magazyn, dane i szyfrowanie
Test porównawczy zabezpieczeń platformy Azure — zarządzanie elementami zawartości
Test porównawczy zabezpieczeń platformy Azure — ochrona danych
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-2: Definiowanie strategii segmentacji przedsiębiorstwa
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Ustanów strategię całego przedsiębiorstwa na segmenty dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.
Należy starannie zrównoważyć potrzebę rozdzielania zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.
Upewnij się, że strategia segmentacji jest zaimplementowana spójnie dla różnych typów kontroli, w tym zabezpieczeń sieci, modeli tożsamości i dostępu, a także modeli uprawnień/dostępu i procesów ludzkich.
Wskazówki dotyczące strategii segmentacji na platformie Azure (wideo)
Wskazówki dotyczące strategii segmentacji na platformie Azure (dokument)
Wyrównywanie segmentacji sieci przy użyciu strategii segmentacji przedsiębiorstwa
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-3: Definiowanie strategii zarządzania stanem zabezpieczeń
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Stale mierz i ograniczaj zagrożenia dla poszczególnych zasobów i środowiska, w których są hostowane. Ustalaj priorytety elementów zawartości o wysokiej wartości i wysoce narażonych na ataki obszarów, takich jak opublikowane aplikacje, punkty danych przychodzących i wychodzących sieci, punkty końcowe użytkowników i administratorów itp.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-4: Dopasuj role organizacji, obowiązki i odpowiedzialność
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-4 | Nie dotyczy | PL, PM |
Upewnij się, że dokumentujesz i komunikujesz jasną strategię dotyczącą ról i obowiązków w organizacji zabezpieczeń. Ustalaj priorytety w celu wyraźnego określenia odpowiedzialności za decyzje dotyczące zabezpieczeń, informując wszystkie osoby o współużytkowanym modelu odpowiedzialności i informując zespoły techniczne o technologii do zabezpieczania chmury.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-5: Definiowanie strategii zabezpieczeń sieci
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-5 | 9 | CA, SC |
Ustanów podejście zabezpieczeń sieci platformy Azure w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji.
Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
Scentralizowane zarządzanie siecią i odpowiedzialność w zakresie zabezpieczeń
Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa
Strategia korygowania w różnych scenariuszach zagrożeń i ataków
Strategia internetowa i dotycząca brzegowego ruchu przychodzącego i wychodzącego
Strategia międzyłączności w chmurze hybrydowej i środowisku lokalnym
Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura sieci referencyjnej)
Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-6: Definiowanie strategii dotyczącej tożsamości i dostępu uprzywilejowanego
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Ustanów podejścia dotyczące tożsamości platformy Azure i uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji.
Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
Scentralizowany system tożsamości i uwierzytelniania oraz połączenie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
Metody silnego uwierzytelniania w różnych przypadkach użycia i warunkach
Ochrona użytkowników z wysokim poziomem uprawnień
Monitorowanie i obsługa nietypowych działań użytkowników
Przegląd tożsamości i dostępu użytkownika oraz proces uzgadniania
Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Test porównawczy zabezpieczeń platformy Azure — zarządzanie tożsamością
Test porównawczy zabezpieczeń platformy Azure — dostęp uprzywilejowany
Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-7: Definiowanie strategii rejestrowania i reagowania na zagrożenia
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Ustanów strategię rejestrowania i reagowania na zagrożenia, aby szybko wykrywać i korygować zagrożenia, spełniając wymagania dotyczące zgodności. Potraktuj priorytetowo kwestię udostępnienia analitykom alertów o wysokiej jakości i bezproblemowego środowiska, tak aby mogli skupić się na zagrożeniach, a nie na wdrażaniu i ręcznych krokach.
Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
Dobrze zdefiniowany proces reagowania na zdarzenia zgodnie z NIST lub inną platformą branżową
Przechwytywanie i przechowywanie dzienników w celu zapewnienia obsługi wykrywania zagrożeń, reagowania na zdarzenia i zgodności
Scentralizowana widoczność i korelacja informacji dotyczących zagrożeń przy użyciu rozwiązania SIEM, natywnych możliwości platformy Azure i innych źródeł
Plan komunikacji i powiadomień z klientami, dostawcami i publicznymi zainteresowanymi stronami
Używanie natywnych i zewnętrznych platform Azure do obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, postępowania dowodowe oraz korygowanie i eliminowanie ataków
Procesy obsługi zdarzeń i działań po zdarzeniu, takie jak zdobyte doświadczenia i przechowywanie dowodów
Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Test porównawczy zabezpieczeń platformy Azure — rejestrowanie i wykrywanie zagrożeń
Test porównawczy zabezpieczeń platformy Azure — reagowanie na zdarzenia
Przewodnik dotyczący decyzji w zakresie platformy wdrażania Azure, rejestrowania i raportowania
Skalowanie, zarządzanie i monitorowanie w przedsiębiorstwie na platformie Azure
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-8: Definiowanie strategii tworzenia kopii zapasowych i odzyskiwania
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| GS-8 | 10 | CP |
Ustanów strategię tworzenia i odzyskiwania kopii zapasowych platformy Azure dla organizacji.
Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej
Projektowanie nadmiarowości w aplikacjach i konfiguracji infrastruktury
Ochrona kopii zapasowej przy użyciu kontroli dostępu i szyfrowania danych
Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Test porównawczy zabezpieczeń platformy Azure — tworzenie kopii zapasowych i odzyskiwanie
Azure Adoption Framework — ciągłość działania i odzyskiwanie po awarii
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):