Kontrola zabezpieczeń: ład i strategia
Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.
GS-1: Dopasowywanie ról, obowiązków i obowiązków organizacji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Ogólne wskazówki: Upewnij się, że zdefiniujesz i przekażesz jasną strategię dla ról i obowiązków w organizacji zabezpieczeń. Określanie priorytetów w celu zapewnienia jasnej odpowiedzialności za decyzje dotyczące zabezpieczeń, informowanie wszystkich o modelu wspólnej odpowiedzialności i informowanie zespołów technicznych o technologii w celu zabezpieczenia chmury.
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 1 — ludzie: informowanie zespołów o podróży zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 2 — ludzie: informowanie zespołów o technologii zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 3 — proces: przypisywanie odpowiedzialności za decyzje dotyczące zabezpieczeń chmury
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-2: Definiowanie i implementowanie segmentacji przedsiębiorstwa/rozdzielenia strategii obowiązków
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Ogólne wskazówki: Ustanowienie strategii dla całego przedsiębiorstwa w celu segmentowania dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.
Należy starannie zrównoważyć potrzebę rozdzielania zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.
Upewnij się, że strategia segmentacji jest spójnie implementowana w obciążeniu, w tym modele zabezpieczeń sieci, tożsamości i dostępu, a także modele uprawnień/dostępu do aplikacji oraz mechanizmy kontroli procesów ludzkich.
Implementacja i dodatkowy kontekst:
- Zabezpieczenia w Microsoft Cloud Adoption Framework dla platformy Azure — segmentacja: oddzielne, aby chronić
- Zabezpieczenia w Microsoft Cloud Adoption Framework dla platformy Azure — architektura: ustanowienie jednej ujednoliconej strategii zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-3: Definiowanie i implementowanie strategii ochrony danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Ogólne wskazówki: Ustanów strategię dla całego przedsiębiorstwa na potrzeby ochrony danych w środowisku chmury:
- Zdefiniuj i zastosuj standard klasyfikacji i ochrony danych zgodnie ze standardem zarządzania danymi przedsiębiorstwa i zgodnością z przepisami, aby określić mechanizmy kontroli zabezpieczeń wymagane dla każdego poziomu klasyfikacji danych.
- Skonfiguruj hierarchię zarządzania zasobami w chmurze dostosowaną do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.
- Zdefiniuj i zastosuj odpowiednie zasady zerowego zaufania w środowisku chmury, aby uniknąć implementowania zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego użyj oświadczeń zaufania urządzeń i użytkowników, aby uzyskać dostęp do danych i zasobów.
- Śledzenie i minimalizowanie śladu poufnych danych (magazynowania, przesyłania i przetwarzania) w całym przedsiębiorstwie w celu zmniejszenia kosztów ochrony danych i obszaru podatnego na ataki. Rozważ techniki, takie jak jednokierunkowe tworzenie skrótów, obcinanie i tokenizacja w obciążeniu tam, gdzie to możliwe, aby uniknąć przechowywania i przesyłania poufnych danych w oryginalnej formie.
- Upewnij się, że masz pełną strategię kontroli cyklu życia, aby zapewnić bezpieczeństwo danych i kluczy dostępu.
Implementacja i dodatkowy kontekst:
- test porównawczy zabezpieczeń Microsoft w chmurze — ochrona danych
- Cloud Adoption Framework — najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych platformy Azure
- Podstawy zabezpieczeń platformy Azure — zabezpieczenia, szyfrowanie i magazynowanie danych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-4: Definiowanie i implementowanie strategii zabezpieczeń sieci
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Ogólne wskazówki: Ustanów strategię zabezpieczeń sieci w chmurze w ramach ogólnej strategii zabezpieczeń organizacji na potrzeby kontroli dostępu. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
- Projektowanie modelu odpowiedzialności za scentralizowane/zdecentralizowane zarządzanie siecią i zabezpieczenia w celu wdrażania i utrzymywania zasobów sieciowych.
- Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa.
- Strategia brzegowa i ruch przychodzący i wychodzący w Internecie.
- Strategia łączności między chmurami hybrydowymi i lokalnymi.
- Strategia monitorowania i rejestrowania sieci.
- Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura sieci referencyjnej).
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 11 — architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- test porównawczy zabezpieczeń Microsoft w chmurze — zabezpieczenia sieci
- Omówienie zabezpieczeń sieci platformy Azure
- Strategia architektury sieci przedsiębiorstwa
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-5: Definiowanie i implementowanie strategii zarządzania stanem zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Ogólne wskazówki: Ustanowienie zasad, procedury i standardu w celu zapewnienia, że zarządzanie konfiguracją zabezpieczeń i zarządzanie lukami w zabezpieczeniach jest stosowane w ramach mandatu zabezpieczeń w chmurze.
Zarządzanie konfiguracją zabezpieczeń w chmurze powinno obejmować następujące obszary:
- Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze, takich jak portal internetowy/konsola, płaszczyzna zarządzania i sterowania oraz zasoby działające w usługach IaaS, PaaS i SaaS.
- Upewnij się, że punkty odniesienia zabezpieczeń odpowiadają zagrożeniom w różnych obszarach kontroli, takich jak zabezpieczenia sieci, zarządzanie tożsamościami, uprzywilejowany dostęp, ochrona danych itd.
- Użyj narzędzi, aby stale mierzyć, przeprowadzać inspekcję i wymuszać konfigurację, aby zapobiec odchylenie konfiguracji od punktu odniesienia.
- Opracuj cykl, aby zachować aktualność dzięki funkcjom zabezpieczeń, na przykład subskrybowaniu aktualizacji usługi.
- Skorzystaj z mechanizmu sprawdzania kondycji zabezpieczeń lub zgodności (takiego jak wskaźnik bezpieczeństwa, pulpit nawigacyjny zgodności w Microsoft Defender dla chmury), aby regularnie przeglądać stan konfiguracji zabezpieczeń i korygować zidentyfikowane luki.
Zarządzanie lukami w zabezpieczeniach w chmurze powinno obejmować następujące aspekty zabezpieczeń:
- Regularnie oceniaj i koryguj luki w zabezpieczeniach we wszystkich typach zasobów w chmurze, takich jak usługi natywne dla chmury, systemy operacyjne i składniki aplikacji.
- Użyj podejścia opartego na ryzyku, aby określić priorytety oceny i korygowania.
- Zasubskrybuj odpowiednie powiadomienia i blogi dotyczące zabezpieczeń odpowiedniego programu CSPM, aby otrzymywać najnowsze aktualizacje zabezpieczeń.
- Upewnij się, że ocena luk w zabezpieczeniach i korygowanie (takie jak harmonogram, zakres i techniki) spełniają wymagania dotyczące zgodności organizacji.dule, zakres i techniki) spełniają regularne wymagania dotyczące zgodności w organizacji.
Implementacja i dodatkowy kontekst:
- test porównawczy zabezpieczeń Microsoft w chmurze — stan i zarządzanie lukami w zabezpieczeniach
- Najlepsze rozwiązanie w zakresie zabezpieczeń platformy Azure 9 — ustanawianie zarządzania stanem zabezpieczeń
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
GS-6: Definiowanie i implementowanie strategii tożsamości i uprzywilejowanego dostępu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Ogólne wskazówki: ustanów podejście do tożsamości w chmurze i uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących aspektów:
- Scentralizowany system tożsamości i uwierzytelniania (taki jak Azure AD) i jego współdziałanie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
- Ład tożsamości uprzywilejowanej i dostępu (na przykład żądanie dostępu, przegląd i zatwierdzenie)
- Uprzywilejowane konta w sytuacji awaryjnej (break-glass)
- Metody silnego uwierzytelniania (uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego) w różnych przypadkach użycia i warunkach.
- Bezpieczny dostęp przez operacje administracyjne za pośrednictwem portalu internetowego/konsoli, wiersza polecenia i interfejsu API.
W przypadku przypadków wyjątków, w których system przedsiębiorstwa nie jest używany, upewnij się, że obowiązują odpowiednie mechanizmy kontroli zabezpieczeń na potrzeby zarządzania tożsamościami, uwierzytelnianiem i dostępem oraz zarządzaniem dostępem. Te wyjątki należy zatwierdzać i okresowo przeglądać przez zespół przedsiębiorstwa. Te wyjątki są zwykle w takich przypadkach jak:
- Korzystanie z systemu tożsamości i uwierzytelniania wyznaczonego przez inne przedsiębiorstwo, takiego jak systemy innych firm oparte na chmurze (mogą powodować nieznane zagrożenia)
- Użytkownicy uprzywilejowani uwierzytelnieni lokalnie i/lub korzystają z metod uwierzytelniania bez silnego
Implementacja i dodatkowy kontekst:
- Microsoft test porównawczy zabezpieczeń w chmurze — zarządzanie tożsamościami
- test porównawczy zabezpieczeń chmury Microsoft — dostęp uprzywilejowany
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 11 — architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
GS-7: Definiowanie i implementowanie rejestrowania, wykrywania zagrożeń i strategii reagowania na zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Ogólne wskazówki: Ustanów strategię rejestrowania, wykrywania zagrożeń i reagowania na zdarzenia w celu szybkiego wykrywania i korygowania zagrożeń oraz spełnienia wymagań dotyczących zgodności. Zespół ds. operacji zabezpieczeń (SecOps/SOC) powinien określać priorytety alertów wysokiej jakości i bezproblemowych środowisk, aby mogli skupić się na zagrożeniach, a nie na integracji dzienników i ręcznych krokach. Ta strategia powinna obejmować udokumentowane zasady, procedury i standardy dla następujących aspektów:
- Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
- Dobrze zdefiniowany i regularnie przetestowany plan reagowania na zdarzenia i proces obsługi zgodny z NIST SP 800-61 (Przewodnik obsługi zdarzeń zabezpieczeń komputerów) lub innych platform branżowych.
- Plan komunikacji i powiadomień z klientami, dostawcami i stronami publicznymi.
- Zasymuluj zarówno oczekiwane, jak i nieoczekiwane zdarzenia zabezpieczeń w środowisku chmury, aby zrozumieć skuteczność przygotowania. Iteracja wyniku symulacji w celu poprawy skali stanu odpowiedzi, skrócenia czasu na wartość i dalszego zmniejszenia ryzyka.
- Preferencje dotyczące korzystania z funkcji wykrywania rozszerzonego i reagowania (XDR), takich jak możliwości usługi Azure Defender, w celu wykrywania zagrożeń w różnych obszarach.
- Korzystanie z natywnej funkcji chmury (np. Microsoft Defender dla chmury) i platform innych firm na potrzeby obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, kryminalistyka i korygowanie i eliminowanie ataków.
- Przygotuj niezbędne elementy Runbook, zarówno ręczne, jak i zautomatyzowane, aby zapewnić niezawodne i spójne odpowiedzi.
- Zdefiniuj kluczowe scenariusze (takie jak wykrywanie zagrożeń, reagowanie na zdarzenia i zgodność) oraz skonfiguruj przechwytywanie i przechowywanie dzienników, aby spełnić wymagania scenariusza.
- Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu rozwiązania SIEM, natywnej możliwości wykrywania zagrożeń w chmurze i innych źródeł.
- Działania po zdarzeniu, takie jak wnioski zdobyte i przechowywanie dowodów.
Implementacja i dodatkowy kontekst:
- Microsoft test porównawczy zabezpieczeń w chmurze — rejestrowanie i wykrywanie zagrożeń
- test porównawczy zabezpieczeń chmury Microsoft — reagowanie na zdarzenia
- Najlepsze rozwiązanie w zakresie zabezpieczeń platformy Azure 4 — proces. Aktualizowanie procesów reagowania na zdarzenia dla chmury
- Przewodnik dotyczący decyzji w zakresie platformy wdrażania Azure, rejestrowania i raportowania
- Skalowanie, zarządzanie i monitorowanie w przedsiębiorstwie na platformie Azure
- Przewodnik obsługi zdarzeń zabezpieczeń komputera NIST SP 800-61
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
GS-8: Definiowanie i implementowanie strategii tworzenia kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Ogólne wskazówki: ustanawianie strategii tworzenia kopii zapasowych i odzyskiwania dla organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy w następujących aspektach:
- Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej i wymaganiami dotyczącymi zgodności z przepisami.
- Projekt nadmiarowości (w tym tworzenie kopii zapasowych, przywracanie i replikacja) w aplikacjach i infrastrukturze zarówno w chmurze, jak i w środowisku lokalnym. Rozważ regionalne pary regionów, odzyskiwanie między regionami i lokalizację przechowywania poza lokacją w ramach strategii.
- Ochrona kopii zapasowej przed nieautoryzowanym dostępem i hartowaniem przy użyciu kontroli dostępu do danych, szyfrowania i zabezpieczeń sieci.
- Korzystanie z kopii zapasowych i odzyskiwania w celu ograniczenia ryzyka związanego z pojawiającymi się zagrożeniami, takimi jak ataki wymuszające okup. Zabezpieczanie danych kopii zapasowej i odzyskiwania przed tymi atakami.
- Monitorowanie danych i operacji tworzenia kopii zapasowych oraz odzyskiwania na potrzeby inspekcji i alertów.
Implementacja i dodatkowy kontekst:
- Microsoft test porównawczy zabezpieczeń w chmurze — tworzenie kopii zapasowych i odzyskiwanie po awarii platformy Azure — tworzenie kopii zapasowych i odzyskiwanie po awarii dla aplikacji platformy Well-Architecture Azure: /azure/architecture/framework/odporność/kopia zapasowa i odzyskiwanie po awarii
- Ciągłość biznesowa i odzyskiwanie po awarii w przewodniku Azure Adoption Framework
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
GS-9: Definiowanie i implementowanie strategii zabezpieczeń punktu końcowego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Ogólne wskazówki: Ustanów strategię zabezpieczeń punktu końcowego w chmurze, która obejmuje następujące aspekty: — wdrażanie możliwości wykrywania i reagowania na punkty końcowe oraz ochrony przed złośliwym oprogramowaniem w punkcie końcowym oraz integrowanie z rozwiązaniem wykrywania zagrożeń i rozwiązania SIEM oraz procesem operacji zabezpieczeń.
- Postępuj zgodnie z Microsoft Test porównawczy zabezpieczeń w chmurze, aby upewnić się, że ustawienia zabezpieczeń punktu końcowego powiązane z zabezpieczeniami w innych obszarach (takie jak zabezpieczenia sieci, zarządzanie lukami w zabezpieczeniach, tożsamość i uprzywilejowany dostęp oraz rejestrowanie i wykrywanie zagrożeń) są również dostępne w celu zapewnienia szczegółowej ochrony punktu końcowego.
- Określanie priorytetów zabezpieczeń punktu końcowego w środowisku produkcyjnym, ale upewnij się, że środowiska nieprodukcyjne (takie jak środowisko testowe i kompilacje używane w procesie DevOps) są również zabezpieczone i monitorowane, ponieważ te środowiska mogą również służyć do wprowadzania złośliwego oprogramowania i luk w zabezpieczeniach w środowisku produkcyjnym.
Implementacja i dodatkowy kontekst:
- test porównawczy zabezpieczeń chmury Microsoft — zabezpieczenia punktu końcowego
- Najlepsze rozwiązania dotyczące zabezpieczeń punktów końcowych na platformie Azure
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
GS-10: Definiowanie i implementowanie strategii zabezpieczeń Metodyki DevOps
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Ogólne wskazówki: umocuj mechanizmy kontroli zabezpieczeń w ramach standardu inżynierii i operacji devops organizacji. Zdefiniuj cele zabezpieczeń, wymagania dotyczące kontroli i specyfikacje narzędzi zgodnie ze standardami zabezpieczeń przedsiębiorstwa i chmury w organizacji.
Zachęcaj do korzystania z metodyki DevOps jako podstawowego modelu operacyjnego w organizacji, aby uzyskać korzyści wynikające z szybkiego identyfikowania i korygowania luk w zabezpieczeniach przy użyciu różnych typów automatyzacji (takich jak infrastruktura, aprowizacja kodu i automatyczne skanowanie SAST i DAST) w przepływie pracy ciągłej integracji/ciągłego wdrażania. To podejście "shift left" zwiększa również widoczność i możliwość wymuszania spójnych kontroli zabezpieczeń w potoku wdrażania, efektywnie wdrażając zabezpieczenia w środowisku przed upływem czasu, aby uniknąć niespodzianek zabezpieczeń w ostatniej chwili podczas wdrażania obciążenia w środowisku produkcyjnym.
Podczas przenoszenia mechanizmów kontroli zabezpieczeń w lewo do faz przed wdrożeniem zaimplementuj zabezpieczenia, aby upewnić się, że kontrolki są wdrażane i wymuszane w całym procesie DevOps. Ta technologia może obejmować szablony wdrażania zasobów (takie jak szablon usługi Azure ARM) do definiowania barier ochronnych w infrastrukturze IaC (infrastruktura jako kod), aprowizacji zasobów i inspekcji w celu ograniczenia usług lub konfiguracji, które można aprowizować w środowisku.
W przypadku mechanizmów kontroli zabezpieczeń w czasie wykonywania obciążenia postępuj zgodnie z Microsoft Test porównawczy zabezpieczeń w chmurze, aby zaprojektować i wdrożyć skuteczne mechanizmy kontroli, takie jak tożsamość i uprzywilejowany dostęp, zabezpieczenia sieci, zabezpieczenia punktu końcowego i ochrona danych wewnątrz aplikacji i usług obciążeń.
Implementacja i dodatkowy kontekst:
- test porównawczy zabezpieczeń Microsoft w chmurze — zabezpieczenia DevOps
- Bezpieczna metodyka DevOps
- Cloud Adoption Framework — Metodyka DevSecOps kontrolujeogólne wskazówkidla uczestników projektu zabezpieczeń klientów (dowiedz się więcej)**:
- Wszyscy uczestnicy projektu
GS-11: Definiowanie i implementowanie strategii zabezpieczeń w wielu chmurach
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| NIE DOTYCZY | NIE DOTYCZY | NIE DOTYCZY |
Ogólne wskazówki: Upewnij się, że strategia z wieloma chmurami jest zdefiniowana w ramach ładu w chmurze i zabezpieczeń, zarządzania ryzykiem i procesu operacyjnego, który powinien obejmować następujące aspekty:
- Wdrażanie w wielu chmurach: w przypadku organizacji, które obsługują infrastrukturę z wieloma chmurami i edukuj swoją organizację, aby zapewnić zespołom zrozumienie różnicy funkcji między platformami w chmurze i stosem technologii. Twórz, wdrażaj i/lub migruj rozwiązania przenośne. Umożliwia łatwe przenoszenie między platformami w chmurze z minimalną blokadą dostawcy przy jednoczesnym wykorzystaniu funkcji natywnych dla chmury odpowiednio dla optymalnego wyniku wdrożenia chmury.
- Operacje w chmurze i zabezpieczeń: Usprawnij operacje zabezpieczeń, aby obsługiwać rozwiązania w każdej chmurze, dzięki centralnemu zestawowi procesów zapewniania ładu i zarządzania, które korzystają z typowych procesów operacyjnych, niezależnie od tego, gdzie rozwiązanie jest wdrażane i obsługiwane.
- Narzędzia i stos technologii: wybierz odpowiednie narzędzia obsługujące środowisko z wieloma chmurami, aby ułatwić ustanowienie ujednoliconych i scentralizowanych platform zarządzania, które mogą obejmować wszystkie domeny zabezpieczeń omówione w tym te testy porównawcze zabezpieczeń.
Implementacja i dodatkowy kontekst: