Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ład i strategia zawierają wskazówki dotyczące zapewnienia spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.
GS-1: Dopasowywanie ról organizacji, obowiązków i zdolności księgowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Wskazówki dotyczące platformy Azure: Upewnij się, że definiujesz i komunikujesz wyraźną strategię dotyczącą ról i obowiązków w organizacji zabezpieczeń. Określ priorytety, zapewniając wyraźną odpowiedzialność za decyzje dotyczące zabezpieczeń, edukując wszystkich użytkowników w modelu wspólnej odpowiedzialności i edukując zespoły techniczne w zakresie technologii w celu zabezpieczenia chmury.
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 1 — ludzie: edukuj zespoły na drodze do zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 2 — ludzie: informowanie zespołów o technologii zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 3 — proces: przypisywanie odpowiedzialności za decyzje dotyczące zabezpieczeń w chmurze
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-2: Definiowanie i implementowanie segmentacji przedsiębiorstwa/rozdzielenia strategii obowiązków
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Wskazówki dotyczące platformy Azure: ustanowienie strategii dla całego przedsiębiorstwa w celu segmentowania dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.
Należy dokładnie zrównoważyć potrzebę rozdzielenia zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.
Upewnij się, że strategia segmentacji jest spójnie implementowana w obciążeniu, w tym w modelach zabezpieczeń sieci, tożsamości i dostępu oraz modelach uprawnień/dostępu aplikacji oraz kontroli procesów ludzkich.
Implementacja i dodatkowy kontekst:
- Zabezpieczenia w strukturze Microsoft Cloud Adoption Framework dla platformy Azure — segmentacja: segregacja w celu ochrony
- Zabezpieczenia w Microsoft Cloud Adoption Framework dla platformy Azure — architektura: ustanowienie ujednoliconej strategii zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-3: Definiowanie i implementowanie strategii ochrony danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Wskazówki dotyczące platformy Azure: ustanowienie strategii dla całego przedsiębiorstwa na potrzeby ochrony danych na platformie Azure:
- Zdefiniuj i zastosuj standard klasyfikacji i ochrony danych zgodnie ze standardem zarządzania danymi przedsiębiorstwa i zgodnością z przepisami, aby dyktować mechanizmy kontroli zabezpieczeń wymagane dla każdego poziomu klasyfikacji danych.
- Skonfiguruj hierarchię zarządzania zasobami w chmurze dostosowaną do strategii segmentacji przedsiębiorstwa. Strategia segmentacji przedsiębiorstwa powinna być również informowana przez lokalizację poufnych lub krytycznych danych i systemów dla funkcjonowania firmy.
- Zdefiniuj i zastosuj odpowiednie zasady zerowego zaufania w środowisku chmury, aby uniknąć implementowania zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego użyj oświadczeń zaufania urządzeń i użytkowników, aby uzyskać dostęp do danych i zasobów.
- Monitorowanie i zmniejszanie zakresu poufnych danych (magazynowania, transmisji i przetwarzania) w przedsiębiorstwie, aby zmniejszyć powierzchnię ataku i koszty ochrony danych. Rozważ techniki, takie jak jednokierunkowe tworzenie skrótów, obcinanie i tokenizacja w środowisku pracy, w miarę możliwości, aby uniknąć przechowywania i przesyłania poufnych danych w oryginalnej formie.
- Upewnij się, że masz pełną strategię kontroli cyklu życia, aby zapewnić bezpieczeństwo danych i kluczy dostępu.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — ochrona danych
- Cloud Adoption Framework — najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych platformy Azure
- Podstawy zabezpieczeń platformy Azure — zabezpieczenia, szyfrowanie i magazyn danych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-4: Definiowanie i implementowanie strategii zabezpieczeń sieci
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Wskazówki dotyczące platformy Azure: ustanów strategię zabezpieczeń sieci platformy Azure w ramach ogólnej strategii zabezpieczeń organizacji na potrzeby kontroli dostępu. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
- Projektowanie scentralizowanego/zdecentralizowanego modelu zarządzania siecią i modelu odpowiedzialności za zabezpieczenia w celu wdrażania i utrzymywania zasobów sieciowych.
- Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa.
- Strategia internetowego ruchu brzegowego i ruchu przychodzącego i wychodzącego.
- Strategia łączności między chmurą hybrydową i lokalną.
- Strategia monitorowania i rejestrowania sieci.
- Artefakty zabezpieczeń sieci up-to-date (takie jak diagramy sieciowe, architektura referencyjna sieci).
Implementacja i dodatkowy kontekst:
- Najlepsze praktyki zabezpieczeń platformy Azure 11 - Architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia sieci
- Omówienie zabezpieczeń sieci na platformie Azure
- Strategia architektury sieci przedsiębiorstwa
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-5: Definiowanie i implementowanie strategii zarządzania stanem zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Wskazówki dotyczące platformy Azure: Ustanowienie zasad, procedury i standardu w celu zapewnienia, że zarządzanie konfiguracją zabezpieczeń i zarządzanie lukami w zabezpieczeniach są wdrażane w ramach mandatu zabezpieczeń w chmurze.
Zarządzanie konfiguracją zabezpieczeń na platformie Azure powinno obejmować następujące obszary:
- Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze, takich jak witryna Azure Portal, płaszczyzna zarządzania i sterowania oraz zasoby działające w usługach IaaS, PaaS i SaaS.
- Upewnij się, że punkty odniesienia zabezpieczeń odpowiadają zagrożeniom w różnych obszarach kontroli, takich jak zabezpieczenia sieci, zarządzanie tożsamościami, uprzywilejowany dostęp, ochrona danych itd.
- Użyj narzędzi, aby stale mierzyć, przeprowadzać inspekcję i wymuszać konfigurację, aby zapobiec odbieganiu konfiguracji od punktu odniesienia.
- Opracuj harmonogram aktualizowania funkcji zabezpieczeń platformy Azure, na przykład zasubskrybuj aktualizacje usługi.
- Skorzystaj z wskaźnika bezpieczeństwa w usłudze Azure Defender for Cloud, aby regularnie przeglądać stan konfiguracji zabezpieczeń platformy Azure i korygować zidentyfikowane luki.
Zarządzanie lukami w zabezpieczeniach na platformie Azure powinno obejmować następujące aspekty zabezpieczeń:
- Regularnie oceniaj i koryguj luki w zabezpieczeniach we wszystkich typach zasobów w chmurze, takich jak usługi natywne platformy Azure, systemy operacyjne i składniki aplikacji.
- Użyj podejścia opartego na ryzyku, aby określić priorytety oceny i korygowania.
- Zasubskrybuj odpowiednie powiadomienia i blogi dotyczące zabezpieczeń firmy Microsoft/Azure, aby otrzymywać najnowsze aktualizacje zabezpieczeń dotyczące platformy Azure.
- Upewnij się, że ocena luk w zabezpieczeniach i korygowanie (takie jak harmonogram, zakres i techniki) spełniają regularne wymagania dotyczące zgodności dla organizacji.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — stan i zarządzanie lukami w zabezpieczeniach
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 9 — ustanawianie zarządzania stanem zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-6: Definiowanie i implementowanie strategii tożsamości i uprzywilejowanego dostępu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Wskazówki dotyczące platformy Azure: ustanów podejście do tożsamości i dostępu uprzywilejowanego platformy Azure w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących aspektów:
- Scentralizowany system tożsamości i uwierzytelniania (Azure AD) oraz jego współdziałanie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
- Tożsamość uprzywilejowana i ład dostępu (na przykład żądanie dostępu, przegląd i zatwierdzenie)
- Uprzywilejowane konta w sytuacji awaryjnej (sytuacja kryzysowa)
- Metody silnego uwierzytelniania (uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego) w różnych przypadkach użycia i warunkach
- Bezpieczny dostęp do operacji administracyjnych za pośrednictwem portalu Azure, interfejsu wiersza polecenia i interfejsu API.
W przypadku przypadków wyjątków, w których system przedsiębiorstwa nie jest używany, upewnij się, że są stosowane odpowiednie mechanizmy kontroli zabezpieczeń na potrzeby zarządzania tożsamościami, uwierzytelnianiem i dostępem oraz ładem. Te wyjątki należy zatwierdzać i okresowo przeglądać przez zespół przedsiębiorstwa. Te wyjątki są zwykle w takich przypadkach jak:
- Korzystanie z systemu tożsamości i uwierzytelniania wyznaczonego przez inne przedsiębiorstwo, takiego jak systemy innych firm oparte na chmurze (mogą powodować nieznane zagrożenia)
- Użytkownicy uprzywilejowani uwierzytelniani lokalnie i/lub używają metod uwierzytelniania nieopartych na silnej sile
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zarządzanie tożsamościami
- Test porównawczy zabezpieczeń platformy Azure — dostęp uprzywilejowany
- Najlepsze praktyki zabezpieczeń platformy Azure 11 - Architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-7: Definiowanie i implementowanie rejestrowania, wykrywania zagrożeń i strategii reagowania na zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Wskazówki dotyczące platformy Azure: ustanów strategię rejestrowania, wykrywania zagrożeń i reagowania na zdarzenia w celu szybkiego wykrywania i korygowania zagrożeń oraz spełnienia wymagań dotyczących zgodności. Zespół ds. operacji zabezpieczeń (SecOps/SOC) powinien nadawać priorytet alertom wysokiej jakości i zapewniać płynne doświadczenia, co pozwoli im skupić się na zagrożeniach, a nie na integracji dzienników i ręcznych działaniach.
Ta strategia powinna obejmować udokumentowane zasady, procedury i standardy dla następujących aspektów:
- Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
- Dobrze zdefiniowany i regularnie testowany plan reagowania na zdarzenia i proces obsługi zgodny z NIST lub innymi strukturami branżowymi.
- Plan komunikacji i powiadomień z klientami, dostawcami i zainteresowanymi stronami publicznymi.
- Preferencje dotyczące używania funkcji rozszerzonego wykrywania i reagowania (XDR), takich jak możliwości usługi Azure Defender w celu wykrywania zagrożeń w różnych obszarach.
- Korzystanie z natywnych możliwości platformy Azure (np. usługi Microsoft Defender for Cloud) i platform innych firm na potrzeby obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, kryminalistyka oraz korygowanie i eliminowanie ataków.
- Zdefiniuj kluczowe scenariusze (takie jak wykrywanie zagrożeń, reagowanie na zdarzenia i zgodność) oraz skonfiguruj przechwytywanie i przechowywanie dzienników w celu spełnienia wymagań scenariusza.
- Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu rozwiązania SIEM, natywnej funkcji wykrywania zagrożeń platformy Azure i innych źródeł.
- Działania po zdarzeniu, takie jak wnioski wyciągnięte i przechowywanie dowodów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — rejestrowanie i wykrywanie zagrożeń
- Test porównawczy zabezpieczeń platformy Azure — reagowanie na zdarzenia
- Najlepsze praktyki zabezpieczeń platformy Azure 4 — proces. Aktualizowanie procesów reagowania na zdarzenia dla chmury
- Przewodnik po decyzjach dotyczących platformy Azure Adoption Framework, rejestrowania i raportowania
- Skalowanie, zarządzanie i monitorowanie na platformie Azure w skali przedsiębiorstwa
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-8: Definiowanie i implementowanie strategii tworzenia kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Wskazówki dotyczące platformy Azure: ustanawianie strategii tworzenia i odzyskiwania kopii zapasowych platformy Azure dla organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy w następujących aspektach:
- Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej i wymaganiami dotyczącymi zgodności z przepisami.
- Projekt nadmiarowości (w tym tworzenie kopii zapasowych, przywracanie i replikacja) w aplikacjach i infrastrukturze zarówno w chmurze, jak i lokalnie. Rozważ regionalne, pary regionów, międzystrefowe odzyskiwanie i lokalizację magazynowania poza siedzibą w ramach strategii.
- Ochrona kopii zapasowej przed nieautoryzowanym dostępem i hartowaniem przy użyciu mechanizmów kontroli dostępu do danych, szyfrowania i zabezpieczeń sieci.
- Korzystanie z kopii zapasowych i odzyskiwania w celu ograniczenia ryzyka związanego z pojawiającymi się zagrożeniami, takimi jak atak oprogramowania wymuszającego okup. Zabezpiecz dane kopii zapasowej i odtwarzania przed tymi atakami.
- Monitorowanie danych i operacji tworzenia kopii zapasowych oraz odzyskiwania na potrzeby inspekcji i zgłaszania alertów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — tworzenie kopii zapasowych i odzyskiwanie
- Azure Well-Architecture Framework — tworzenie kopii zapasowych i odzyskiwanie po awarii dla aplikacji platformy Azure
- Azure Adoption Framework — ciągłość działania i odzyskiwanie po awarii
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-9: Definiowanie i implementowanie strategii zabezpieczeń punktu końcowego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Wskazówki dotyczące platformy Azure: Ustanowienie strategii zabezpieczeń punktu końcowego w chmurze, która obejmuje następujące aspekty:
- Wdróż mechanizm wykrywania i reagowania na punkty końcowe oraz oprogramowanie chroniące przed złośliwym kodem w twoim punkcie końcowym i zintegruj się z rozwiązaniem SIEM do wykrywania zagrożeń oraz procesem operacji zabezpieczeń.
- Postępuj zgodnie z testem porównawczym zabezpieczeń platformy Azure, aby upewnić się, że ustawienia zabezpieczeń punktu końcowego w innych obszarach (takie jak zabezpieczenia sieci, zarządzanie lukami w zabezpieczeniach, tożsamość i dostęp uprzywilejowany oraz rejestrowanie i wykrywanie zagrożeń) są również dostępne w celu zapewnienia szczegółowej ochrony punktu końcowego.
- Określ priorytety zabezpieczeń punktu końcowego w środowisku produkcyjnym, ale upewnij się, że środowiska nieprodukcyjne (takie jak środowisko testowe i kompilacji używane w procesie DevOps) są również zabezpieczone i monitorowane, ponieważ środowisko to może również służyć do wprowadzania złośliwego oprogramowania i luk w zabezpieczeniach w środowisku produkcyjnym.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia punktu końcowego
- Najlepsze rozwiązania dotyczące zabezpieczeń punktów końcowych na platformie Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-10: Definiowanie i implementowanie strategii zabezpieczeń metodyki DevOps
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Wskazówki dotyczące platformy Azure: Wprowadzenie mechanizmów kontroli zabezpieczeń jako części standardu inżynieryjnego i operacyjnego DevOps w organizacji. Zdefiniuj cele zabezpieczeń, wymagania dotyczące kontroli i specyfikacje narzędzi zgodnie ze standardami zabezpieczeń przedsiębiorstwa i chmury w organizacji.
Zachęcamy do korzystania z DevOps jako podstawowego modelu operacyjnego w organizacji, aby uzyskać korzyści z szybkiego identyfikowania i korygowania luk w zabezpieczeniach, wykorzystując różne rodzaje automatyzacji (takie jak aprovisionowanie infrastruktury jako kod oraz automatyczne skanowanie SAST i DAST) w przepływie pracy CI/CD. Podejście przesuwania w lewo zwiększa również widoczność i zdolność do zapewnienia spójnych kontroli bezpieczeństwa w potoku wdrożeniowym, efektywnie integrując zabezpieczenia w środowisku z wyprzedzeniem, aby uniknąć niespodzianek związanych z bezpieczeństwem w ostatniej chwili, gdy obciążenie jest wdrażane na produkcję.
Podczas przenoszenia mechanizmów kontroli zabezpieczeń w lewo do faz przed wdrożeniem zaimplementuj bariery zabezpieczające, aby upewnić się, że kontrolki są wdrażane i wymuszane w całym procesie DevOps. Ta technologia może obejmować szablony usługi Azure ARM do definiowania barier zabezpieczających w IaC (infrastruktura jako kod), aprowizacji zasobów i usługi Azure Policy w celu przeprowadzenia inspekcji i ograniczenia usług lub konfiguracji, które można aprowizować w środowisku.
Aby uzyskać kontrolę zabezpieczeń w czasie wykonywania obciążenia, wykonaj test porównawczy zabezpieczeń platformy Azure, aby zaprojektować i wdrożyć skuteczne mechanizmy kontroli, takie jak tożsamość i uprzywilejowany dostęp, zabezpieczenia sieci, zabezpieczenia punktu końcowego i ochrona danych wewnątrz aplikacji i usług obciążeń.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia usługi DevOps
- Zabezpieczanie metodyki DevOps
- Cloud Adoption Framework — kontrolki DevSecOps
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):