Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ład i strategia zawierają wskazówki dotyczące zapewnienia spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.
GS-1: Dopasowywanie ról organizacji, obowiązków i zdolności księgowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Ogólne wskazówki: Upewnij się, że definiujesz i komunikujesz wyraźną strategię dla ról i obowiązków w organizacji zabezpieczeń. Określ priorytety, zapewniając wyraźną odpowiedzialność za decyzje dotyczące zabezpieczeń, edukuj wszystkich użytkowników na temat wspólnego modelu odpowiedzialności i edukuj zespoły techniczne dotyczące technologii w celu zabezpieczenia chmury.
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 1 — ludzie: edukuj zespoły na drodze do zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 2 — ludzie: informowanie zespołów o technologii zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 3 — proces: przypisywanie odpowiedzialności za decyzje dotyczące zabezpieczeń w chmurze
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-2: Definiowanie i implementowanie segmentacji przedsiębiorstwa/rozdzielenia strategii obowiązków
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Ogólne wskazówki: Ustanowienie strategii dla całego przedsiębiorstwa w celu segmentowania dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.
Należy dokładnie zrównoważyć potrzebę rozdzielenia zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.
Upewnij się, że strategia segmentacji jest spójnie implementowana w obciążeniu, w tym w modelach zabezpieczeń sieci, tożsamości i dostępu oraz modelach uprawnień/dostępu aplikacji oraz kontroli procesów ludzkich.
Implementacja i dodatkowy kontekst:
- Zabezpieczenia w strukturze Microsoft Cloud Adoption Framework dla platformy Azure — segmentacja: segregacja w celu ochrony
- Zabezpieczenia w Microsoft Cloud Adoption Framework dla platformy Azure — architektura: ustanowienie ujednoliconej strategii zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-3: Definiowanie i implementowanie strategii ochrony danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Ogólne wskazówki: Ustanowienie strategii dla całego przedsiębiorstwa na potrzeby ochrony danych w środowisku chmury:
- Zdefiniuj i zastosuj standard klasyfikacji i ochrony danych zgodnie ze standardem zarządzania danymi przedsiębiorstwa i zgodnością z przepisami, aby dyktować mechanizmy kontroli zabezpieczeń wymagane dla każdego poziomu klasyfikacji danych.
- Skonfiguruj hierarchię zarządzania zasobami w chmurze dostosowaną do strategii segmentacji przedsiębiorstwa. Strategia segmentacji przedsiębiorstwa powinna być również informowana przez lokalizację poufnych lub krytycznych danych i systemów dla funkcjonowania firmy.
- Zdefiniuj i zastosuj odpowiednie zasady zerowego zaufania w środowisku chmury, aby uniknąć implementowania zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego użyj oświadczeń zaufania urządzeń i użytkowników, aby uzyskać dostęp do danych i zasobów.
- Śledzenie i minimalizowanie śladu poufnych danych (magazynowania, transmisji i przetwarzania) w przedsiębiorstwie w celu zmniejszenia kosztów ochrony danych i obszaru ataków. Rozważ techniki, takie jak jednokierunkowe tworzenie skrótów, obcinanie i tokenizacja w środowisku pracy, w miarę możliwości, aby uniknąć przechowywania i przesyłania poufnych danych w oryginalnej formie.
- Upewnij się, że masz pełną strategię kontroli cyklu życia, aby zapewnić bezpieczeństwo danych i kluczy dostępu.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — Ochrona danych
- Cloud Adoption Framework — najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych platformy Azure
- Podstawy zabezpieczeń platformy Azure — zabezpieczenia, szyfrowanie i magazyn danych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-4: Definiowanie i implementowanie strategii zabezpieczeń sieci
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Ogólne wskazówki: Ustanowienie strategii zabezpieczeń sieci w chmurze w ramach ogólnej strategii zabezpieczeń organizacji na potrzeby kontroli dostępu. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
- Projektowanie scentralizowanego/zdecentralizowanego modelu zarządzania siecią i modelu odpowiedzialności za zabezpieczenia w celu wdrażania i utrzymywania zasobów sieciowych.
- Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa.
- Strategia internetowego ruchu brzegowego i ruchu przychodzącego i wychodzącego.
- Strategia łączności między chmurą hybrydową i lokalną.
- Strategia monitorowania i rejestrowania sieci.
- Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura referencyjna sieci).
Implementacja i dodatkowy kontekst:
- Najlepsze praktyki zabezpieczeń platformy Azure 11 - Architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — zabezpieczenia sieci
- Omówienie zabezpieczeń sieci platformy Azure
- Strategia architektury sieci przedsiębiorstwa
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-5: Definiowanie i implementowanie strategii zarządzania stanem zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Ogólne wskazówki: Ustanowienie zasad, procedury i standardu w celu zapewnienia, że zarządzanie konfiguracją zabezpieczeń i zarządzanie lukami w zabezpieczeniach są wdrażane w ramach mandatu zabezpieczeń w chmurze.
Zarządzanie konfiguracją zabezpieczeń w chmurze powinno obejmować następujące obszary:
- Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze, takich jak portal internetowy/konsola, płaszczyzna zarządzania i sterowania oraz zasoby działające w usługach IaaS, PaaS i SaaS.
- Upewnij się, że punkty odniesienia zabezpieczeń odpowiadają zagrożeniom w różnych obszarach kontroli, takich jak zabezpieczenia sieci, zarządzanie tożsamościami, uprzywilejowany dostęp, ochrona danych itd.
- Użyj narzędzi, aby stale mierzyć, przeprowadzać inspekcję i wymuszać konfigurację, aby zapobiec odbieganiu konfiguracji od punktu odniesienia.
- Opracuj cykl aktualizacji, aby zachować aktualność dzięki funkcjom zabezpieczeń, na przykład zasubskrybowaniu aktualizacji usługi.
- Skorzystaj z mechanizmu sprawdzania kondycji zabezpieczeń lub zgodności (takiego jak wskaźnik bezpieczeństwa, pulpit nawigacyjny zgodności w usłudze Microsoft Defender dla Chmury), aby regularnie przeglądać stan konfiguracji zabezpieczeń i korygować zidentyfikowane luki.
Zarządzanie lukami w zabezpieczeniach w chmurze powinno obejmować następujące aspekty zabezpieczeń:
- Regularnie oceniaj i koryguj luki w zabezpieczeniach we wszystkich typach zasobów w chmurze, takich jak usługi natywne dla chmury, systemy operacyjne i składniki aplikacji.
- Użyj podejścia opartego na ryzyku, aby określić priorytety oceny i korygowania.
- Zasubskrybuj odpowiednie powiadomienia i blogi dotyczące zabezpieczeń odpowiedniego programu CSPM, aby otrzymywać najnowsze aktualizacje zabezpieczeń.
- Upewnij się, że ocena luk w zabezpieczeniach i korygowanie (takie jak harmonogram, zakres i techniki) spełniają wymagania dotyczące zgodności organizacji.dule, zakresu i technik) spełniają regularne wymagania dotyczące zgodności organizacji.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — stan i zarządzanie lukami w zabezpieczeniach
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 9 — ustanawianie zarządzania stanem zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-6: Definiowanie i implementowanie strategii tożsamości i uprzywilejowanego dostępu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Ogólne wskazówki: Ustanowienie tożsamości w chmurze i podejścia uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących aspektów:
- Scentralizowany system tożsamości i uwierzytelniania (np. Azure AD) i jego wzajemne połączenie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
- Tożsamość uprzywilejowana i ład dostępu (na przykład żądanie dostępu, przegląd i zatwierdzenie)
- Uprzywilejowane konta w sytuacji awaryjnej (sytuacja kryzysowa)
- Metody silnego uwierzytelniania (uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego) w różnych przypadkach użycia i warunkach.
- Zabezpiecz dostęp do operacji administracyjnych za pośrednictwem internetowego portalu, konsoli, wiersza poleceń oraz interfejsu API.
W przypadku przypadków wyjątków, w których system przedsiębiorstwa nie jest używany, upewnij się, że odpowiednie mechanizmy kontroli zabezpieczeń są stosowane do zarządzania tożsamościami, uwierzytelnianiem i dostępem oraz zarządzaniem nimi. Te wyjątki należy zatwierdzać i okresowo przeglądać przez zespół przedsiębiorstwa. Te wyjątki są zwykle w takich przypadkach jak:
- Korzystanie z systemu tożsamości i uwierzytelniania wyznaczonego przez inne przedsiębiorstwo, takiego jak systemy innych firm oparte na chmurze (mogą powodować nieznane zagrożenia)
- Użytkownicy uprzywilejowani uwierzytelniani lokalnie i/lub używają metod uwierzytelniania nieopartych na silnej sile
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — zarządzanie tożsamościami
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — dostęp uprzywilejowany
- Najlepsze praktyki zabezpieczeń platformy Azure 11 - Architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-7: Definiowanie i implementowanie rejestrowania, wykrywania zagrożeń i strategii reagowania na zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Ogólne wskazówki: Ustanów strategię rejestrowania, wykrywania zagrożeń i reagowania na zdarzenia w celu szybkiego wykrywania i korygowania zagrożeń oraz spełnienia wymagań dotyczących zgodności. Zespół ds. operacji zabezpieczeń (SecOps/SOC) powinien nadawać priorytet alertom wysokiej jakości i zapewniać płynne doświadczenia, co pozwoli im skupić się na zagrożeniach, a nie na integracji dzienników i ręcznych działaniach. Ta strategia powinna obejmować udokumentowane zasady, procedury i standardy dla następujących aspektów:
- Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
- Dobrze zdefiniowany i regularnie testowany plan reagowania na incydenty i proces postępowania zgodny z NIST SP 800-61 (Przewodnik obsługi zdarzeń zabezpieczeń komputerowych) lub innymi ramami branżowymi.
- Plan komunikacji i powiadomień z klientami, dostawcami i zainteresowanymi stronami publicznymi.
- Zasymuluj zarówno oczekiwane, jak i nieoczekiwane zdarzenia zabezpieczeń w środowisku chmury, aby zrozumieć skuteczność przygotowania. Powtarzaj wyniki symulacji, aby poprawić zakres reakcji, skrócić czas osiągnięcia wartości i zmniejszyć ryzyko.
- Preferencje dotyczące korzystania z funkcji wykrywania rozszerzonego i reagowania (XDR), takich jak możliwości usługi Azure Defender, do wykrywania zagrożeń w różnych obszarach.
- Korzystanie z natywnych funkcji chmury (np. usługi Microsoft Defender for Cloud) i platform innych firm na potrzeby obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, kryminalityka i korygowanie i eliminowanie ataków.
- Przygotuj niezbędne procedury runbook, zarówno zautomatyzowane, jak i ręczne, aby zapewnić niezawodne i spójne odpowiedzi.
- Zdefiniuj kluczowe scenariusze (takie jak wykrywanie zagrożeń, reagowanie na zdarzenia i zgodność) oraz skonfiguruj przechwytywanie i przechowywanie dzienników w celu spełnienia wymagań scenariusza.
- Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu rozwiązania SIEM, natywnej możliwości wykrywania zagrożeń w chmurze i innych źródeł.
- Działania po zdarzeniu, takie jak wnioski wyciągnięte i przechowywanie dowodów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — rejestrowanie i wykrywanie zagrożeń
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — reagowanie na zdarzenia
- Najlepsze praktyki zabezpieczeń platformy Azure 4 — proces. Aktualizowanie procesów reagowania na zdarzenia dla chmury
- Przewodnik po decyzjach dotyczących platformy Azure Adoption Framework, rejestrowania i raportowania
- Skalowanie, zarządzanie i monitorowanie na platformie Azure w skali przedsiębiorstwa
- Przewodnik obsługi zdarzeń zabezpieczeń komputera NIST SP 800-61
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-8: Definiowanie i implementowanie strategii tworzenia kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Ogólne wskazówki: Ustanawianie strategii tworzenia kopii zapasowych i odzyskiwania dla organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy w następujących aspektach:
- Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej i wymaganiami dotyczącymi zgodności z przepisami.
- Projekt nadmiarowości (w tym tworzenie kopii zapasowych, przywracanie i replikacja) w aplikacjach i infrastrukturze zarówno w chmurze, jak i lokalnie. Rozważ regionalne, pary regionów, międzystrefowe odzyskiwanie i lokalizację magazynowania poza siedzibą w ramach strategii.
- Ochrona kopii zapasowej przed nieautoryzowanym dostępem i hartowaniem przy użyciu mechanizmów kontroli dostępu do danych, szyfrowania i zabezpieczeń sieci.
- Korzystanie z kopii zapasowych i odzyskiwania w celu ograniczenia ryzyka związanego z pojawiającymi się zagrożeniami, takimi jak ataki wymuszające okup. Zabezpiecz dane kopii zapasowej i odtwarzania przed tymi atakami.
- Monitorowanie danych i operacji tworzenia kopii zapasowych oraz odzyskiwania na potrzeby inspekcji i zgłaszania alertów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — tworzenie kopii zapasowych i odzyskiwanie Azure Well-Architecture Framework — tworzenie kopii zapasowych i odzyskiwanie po awarii dla aplikacji platformy Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework — ciągłość działania i odzyskiwanie po awarii
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-9: Definiowanie i implementowanie strategii zabezpieczeń punktu końcowego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Ogólne wskazówki: Ustanów strategię zabezpieczeń punktu końcowego w chmurze, która obejmuje następujące aspekty: — wdrażanie możliwości wykrywania i reagowania na punkty końcowe oraz ochrony przed złośliwym oprogramowaniem w punkcie końcowym oraz integrowanie z rozwiązaniem wykrywania zagrożeń i rozwiązania SIEM oraz procesem operacji zabezpieczeń.
- Postępuj zgodnie z testem porównawczym zabezpieczeń w chmurze firmy Microsoft, aby upewnić się, że ustawienia zabezpieczeń punktu końcowego w innych obszarach (takie jak zabezpieczenia sieci, zarządzanie lukami w zabezpieczeniach, tożsamość i uprzywilejowany dostęp oraz rejestrowanie i wykrywanie zagrożeń) są również dostępne w celu zapewnienia szczegółowej ochrony punktu końcowego.
- Określ priorytety zabezpieczeń punktu końcowego w środowisku produkcyjnym, ale upewnij się, że środowiska nieprodukcyjne (takie jak środowisko testowe i kompilacji używane w procesie DevOps) są również zabezpieczone i monitorowane, ponieważ te środowiska mogą również służyć do wprowadzania złośliwego oprogramowania i luk w zabezpieczeniach w środowisku produkcyjnym.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — zabezpieczenia punktu końcowego
- Najlepsze rozwiązania dotyczące zabezpieczeń punktów końcowych na platformie Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-10: Definiowanie i implementowanie strategii zabezpieczeń metodyki DevOps
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Ogólne wskazówki: umocuj mechanizmy kontroli zabezpieczeń w ramach standardu inżynieryjnego i akcji devOps organizacji. Zdefiniuj cele zabezpieczeń, wymagania dotyczące kontroli i specyfikacje narzędzi zgodnie ze standardami zabezpieczeń przedsiębiorstwa i chmury w organizacji.
Zachęcamy do korzystania z DevOps jako podstawowego modelu operacyjnego w organizacji, aby uzyskać korzyści z szybkiego identyfikowania i korygowania luk w zabezpieczeniach, wykorzystując różne rodzaje automatyzacji (takie jak aprovisionowanie infrastruktury jako kod oraz automatyczne skanowanie SAST i DAST) w przepływie pracy CI/CD. Podejście "przesunięcie w lewo" zwiększa również widoczność i możliwość wymuszania spójnych kontroli bezpieczeństwa w potoku wdrażania, skutecznie wdrażając zabezpieczenia w środowisku z wyprzedzeniem, aby uniknąć niespodzianek związanych z bezpieczeństwem w ostatniej chwili podczas wdrażania obciążenia w środowisku produkcyjnym.
Podczas przenoszenia mechanizmów kontroli zabezpieczeń w lewo do faz przed wdrożeniem zaimplementuj bariery zabezpieczające, aby upewnić się, że kontrolki są wdrażane i wymuszane w całym procesie DevOps. Ta technologia może obejmować szablony wdrażania zasobów (takie jak szablon usługi Azure ARM) w celu zdefiniowania barier zabezpieczających w IaC (infrastruktura jako kod), aprowizowania zasobów i inspekcji w celu ograniczenia, które usługi lub konfiguracje można aprowizować w środowisku.
Aby uzyskać kontrolę zabezpieczeń w czasie wykonywania obciążenia, wykonaj test porównawczy zabezpieczeń chmury firmy Microsoft, aby zaprojektować i wdrożyć skuteczne mechanizmy kontroli, takie jak tożsamość i uprzywilejowany dostęp, zabezpieczenia sieci, zabezpieczenia punktu końcowego i ochrona danych wewnątrz aplikacji i usług obciążeń.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft — zabezpieczenia DevOps
- Zabezpieczanie metodyki DevOps
- Cloud Adoption Framework — Metodyka DevSecOps - Kontroleogólne wskazówkiUczestnicy ds. bezpieczeństwa klientów (dowiedz się więcej)**:
- Wszyscy uczestnicy projektu
GS-11: Definiowanie i implementowanie strategii zabezpieczeń w wielu chmurach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| N/A | N/A | N/A |
Ogólne wskazówki: Upewnij się, że strategia z wieloma chmurami jest zdefiniowana w ramach ładu w chmurze i zabezpieczeń, zarządzania ryzykiem i procesu operacji, które powinny obejmować następujące aspekty:
- Wdrażanie w wielu chmurach: w przypadku organizacji, które obsługują infrastrukturę wielochmurową i Edukuj organizację, aby zapewnić zespołom zrozumienie różnicy funkcji między platformami w chmurze i stosem technologii. Twórz, wdrażaj i/lub migruj rozwiązania przenośne. Umożliwia łatwe przenoszenie między platformami w chmurze z minimalną blokadą dostawcy przy jednoczesnym odpowiednim wykorzystaniu natywnych funkcji chmury w celu uzyskania optymalnego wyniku z wdrożenia chmury.
- Operacje w chmurze i zabezpieczeń: Usprawnij operacje zabezpieczeń, aby obsługiwać rozwiązania w każdej chmurze, dzięki centralnemu zestawowi procesów zarządzania i ładu, które współużytkowały typowe procesy operacyjne, niezależnie od tego, gdzie rozwiązanie jest wdrażane i obsługiwane.
- Stos narzędzi i technologii: wybierz odpowiednie narzędzia obsługujące środowisko wielochmurowe, aby ułatwić ustanowienie ujednoliconych i scentralizowanych platform zarządzania, które mogą obejmować wszystkie domeny zabezpieczeń omówione w tym te testy porównawcze zabezpieczeń.
Implementacja i dodatkowy kontekst: