Управление безопасностью: управление и стратегия

  • Статья

Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

GS-1. Согласование ролей, обязанностей и подотчетности в организации

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Общие рекомендации. Убедитесь, что вы определяете и сообщаете четкую стратегию для ролей и обязанностей в организации безопасности. Определите приоритеты, обеспечивая четкую ответственность за решения по обеспечению безопасности, обучите всех пользователей модели общей ответственности и обучите технические команды технологиям для защиты облака.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-2. Определение и внедрение корпоративной стратегии сегментации и разделения обязанностей

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Общие рекомендации. Создайте общекорационную стратегию для сегментирования доступа к ресурсам с помощью сочетания удостоверений, сети, приложений, подписки, группы управления и других элементов управления.

Тщательно распределите потребность в разделении безопасности, чтобы обеспечить бесперебойную ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.

Убедитесь в том, что стратегия сегментации согласованно реализована в рабочей нагрузке, включая безопасность сети, модели идентификации и доступа, модели разрешения или доступа к приложению, а также элементы управления пользовательским процессом.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-3. Определение и внедрение стратегии защиты данных

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Общее руководство. Создайте общекорационную стратегию защиты данных в облачной среде.

  • Определите и примените стандарт классификации и защиты данных в соответствии со стандартом управления корпоративными данными и нормативными требованиями, чтобы указать средства управления безопасностью, необходимые для каждого уровня классификации данных.
  • Настройте иерархию управления облачными ресурсами в соответствии с корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.
  • Определите и примените соответствующие принципы нулевого доверия в облачной среде, чтобы избежать реализации отношения доверия на основе сетевого расположения в пределах периметра. Вместо этого используйте утверждения о доверии устройств и пользователей для ограничения доступа к данным и ресурсам.
  • Отслеживайте и сведите к минимуму объем занимаемой конфиденциальными данными (хранение, передача и обработка) на предприятии, чтобы снизить количество направлений атак и затрат на защиту данных. По возможности используйте в рабочей нагрузке такие методы, как одностороннее хэширование, усечение и разметка, чтобы избежать хранения и передачи конфиденциальных данных в исходной форме.
  • Убедитесь в том, что у вас есть комплексная стратегия управления жизненным циклом, обеспечивающая безопасность данных и ключей доступа.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-4. Определение и внедрение стратегии безопасности сети

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Общие рекомендации. Создайте стратегию безопасности облачной сети в рамках общей стратегии безопасности вашей организации для управления доступом. Эта стратегия должна включать задокументированное руководство, политику и стандарты для следующих элементов:

  • Разработайте централизованную или децентрализованную модель ответственности за управление сетью и обеспечение ее безопасности, которая будет применяться при развертывании и обслуживании сетевых ресурсов.
  • Модель сегментации виртуальной сети, соответствующая корпоративной стратегии сегментации.
  • Стратегия для входящего и исходящего трафика и пограничного устройства Интернета.
  • Стратегия подключения гибридного облака и локальных решений.
  • Стратегия мониторинга сети и ведения журнала.
  • Актуальные артефакты сетевой безопасности (например, схемы сети, эталонная сетевая архитектура).

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-5. Определение и внедрение стратегии управления состоянием безопасности

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Общие рекомендации. Установите политику, процедуру и стандарт, чтобы управление конфигурацией безопасности и управление уязвимостями были реализованы в вашем мандате по обеспечению безопасности в облаке.

Управление конфигурацией безопасности в облаке должно включать следующие области:

  • Определите базовые показатели безопасной конфигурации для различных типов ресурсов в облаке, таких как веб-портал или консоль, уровень управления и управления, а также ресурсы, работающие в службах IaaS, PaaS и SaaS.
  • Убедитесь в том, что базовые показатели безопасности позволяют устранять риски в различных областях управления, таких как безопасность сети, управление идентификацией, привилегированный доступ, защита данных и т. д.
  • Используйте средства для непрерывной оценки, аудита и применения конфигурации, чтобы предотвратить отклонение конфигурации от базовых показателей.
  • Разработайте периодичность, чтобы оставаться в курсе функций безопасности, например подписаться на обновления службы.
  • Используйте механизм проверки работоспособности системы безопасности или соответствия требованиям (например, оценка безопасности, панель мониторинга соответствия требованиям в Microsoft Defender для облака) для регулярного просмотра состояния конфигурации безопасности и устранения выявленных пробелов.

Управление уязвимостями в облаке должно включать следующие аспекты безопасности:

  • Регулярно оценивайте и устраняйте уязвимости во всех типах облачных ресурсов, таких как облачные собственные службы, операционные системы и компоненты приложений.
  • Используйте подход на основе рисков для определения приоритетов при оценке и исправлении.
  • Подпишитесь на соответствующие уведомления и блоги о безопасности CSPM, чтобы получать последние обновления для системы безопасности.
  • Убедитесь, что оценка и исправление уязвимостей (например, расписание, область и методы) соответствуют требованиям к соответствию для вашей организации.dule, область и методы) соответствуют регулярным требованиям для вашей организации.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-6. Определение и внедрение стратегии идентификации и привилегированного доступа

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Общие рекомендации. Установите подход к облачному удостоверению и привилегированнму доступу в рамках общей стратегии управления доступом к безопасности вашей организации. Эта стратегия должна включать задокументированные руководство, политику и стандарты, охватывающие следующие аспекты:

  • Централизованная система идентификации и проверки подлинности (например, Azure AD) и ее взаимосвязь с другими внутренними и внешними системами идентификации
  • система управления идентификацией и привилегированным доступом (например, запрос на доступ, его проверка и утверждение);
  • привилегированные учетные записи в аварийной ситуации;
  • Строжная проверка подлинности (проверка подлинности без пароля и многофакторная проверка подлинности) в разных вариантах использования и условиях.
  • Безопасный доступ с помощью административных операций с помощью веб-портала или консоли, командной строки и API.

В случаях, когда корпоративная система не используется, убедитесь, что для управления удостоверениями, проверкой подлинности и доступом применяются соответствующие средства управления безопасностью. Эти исключения должны утверждаться и периодически проверяться корпоративной группой. Обычно они возникают в следующих случаях:

  • использование некорпоративной системы идентификации и проверки подлинности, например облачных систем сторонних производителей (может привести к неизвестным рискам);
  • проверка подлинности привилегированных пользователей локально и (или) с помощью ненадежных методов проверки подлинности.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-7. Определение и реализация стратегии ведения журнала, обнаружения угроз и реагирования на инциденты

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Общие рекомендации. Создайте стратегию ведения журналов, обнаружения угроз и реагирования на инциденты, чтобы быстро обнаруживать и устранять угрозы и соответствовать требованиям. Группа операций безопасности (SecOps или SOC) должна отдавать приоритет высококачественным оповещениям и эффективному взаимодействию, чтобы она могла сосредоточиться на угрозах вместо интеграции журналов и выполнения действий вручную. Эта стратегия должна включать задокументированную политику, процедуру и стандарты, охватывающие следующие аспекты:

  • Роль и обязанности организации по операциям безопасности (SecOps)
  • Четко определенный и регулярно тестируемый план реагирования на инциденты и процесс обработки, согласованный с NIST SP 800-61 (Руководство по обработке инцидентов с компьютерной безопасностью) или другими отраслевыми платформами.
  • план взаимодействия с клиентами, поставщиками и публичными сторонами, а также их уведомления;
  • Имитируйте ожидаемые и непредвиденные события безопасности в облачной среде, чтобы понять эффективность подготовки. Выполните итерацию по результатам моделирования, чтобы улучшить масштаб состояния реагирования, сократить время до получения значения и еще больше снизить риск.
  • Предпочтение отдается использованию расширенных возможностей обнаружения и реагирования (XDR), таких как возможности Azure Defender, для обнаружения угроз в различных областях.
  • Использование собственных возможностей облака (например, в качестве Microsoft Defender для облака) и сторонних платформ для обработки инцидентов, таких как ведение журнала и обнаружение угроз, судебно-медицинская экспертиза, исправление и устранение атак.
  • Подготовьте необходимые модули Runbook, как вручную, так и автоматически, чтобы обеспечить надежные и согласованные ответы.
  • определение ключевых сценариев (например, обнаружение угроз, реагирование на инциденты и соответствие требованиям) и настройка записи и хранения журналов в соответствии с требованиями сценария;
  • Централизованная видимость и корреляция информации об угрозах с помощью SIEM, собственной облачной функции обнаружения угроз и других источников.
  • действия после инцидентов, например сохранение полученного опыта и доказательств.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-8. Определение и внедрение стратегии резервного копирования и восстановления

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Общие рекомендации. Определите стратегию резервного копирования и восстановления для вашей организации. Эта стратегия должна включать задокументированные руководство, политику и стандарты, охватывающие следующие аспекты:

  • определения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса и нормативными требованиями;
  • проектирование избыточности (включая резервное копирование, восстановление и репликацию) в приложениях и инфраструктуре (как облачной, так и локальной); в стратегии должны учитываться возможности восстановления в рамках региона, пар регионов и между регионами, а также автономные места хранения;
  • защита резервных копий от несанкционированного доступа и вмешательства с помощью таких средств управления, как управление доступом к данным, шифрование и безопасность сети;
  • Использование резервного копирования и восстановления для снижения рисков, связанных с возникающими угрозами, такими как атаки программ-шантажистов. данные резервного копирования и восстановления также должны быть защищены от этих атак;
  • мониторинг данных и операций резервного копирования и восстановления в целях аудита и оповещения.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-9. Определение и внедрение стратегии безопасности конечной точки

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Общие рекомендации. Создайте стратегию безопасности облачных конечных точек, которая включает в себя следующие аспекты. Развертывание функции обнаружения и реагирования на конечные точки и защиты от вредоносных программ в конечной точке и интеграция с решением обнаружения угроз и SIEM и процессом операций безопасности.

  • Следуйте Майкрософт Cloud Security Benchmark, чтобы убедиться, что параметры безопасности, связанные с конечной точкой, в других соответствующих областях (например, сетевая безопасность, управление уязвимостями, идентификация и привилегированный доступ, а также ведение журнала и обнаружение угроз), также используются, чтобы обеспечить глубокую защиту конечной точки.
  • Определите приоритет безопасности конечных точек в рабочей среде, но убедитесь, что нерабочие среды (например, среда тестирования и сборки, используемая в процессе DevOps) также защищены и отслеживаются, так как эти среды также могут использоваться для внедрения вредоносных программ и уязвимостей в рабочей среде.

Реализация и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

GS-10. Определение и внедрение стратегии безопасности DevOps

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Общее руководство. Обязать элементы управления безопасностью в рамках стандарта разработки и эксплуатации DevOps организации. Определите цели безопасности, требования к управлению и спецификации инструментария в соответствии со стандартами безопасности предприятия и облака.

Рекомендуйте использовать DevOps в качестве важнейшей операционной модели в организации из-за таких преимуществ, как возможность быстрого выявления и устранения уязвимостей с помощью различных типов автоматизации (например, подготовки инфраструктуры как кода и автоматизированных проверок SAST и DAST) в рамках рабочего процесса CI/CD. Этот подход "сдвиг влево" также повышает видимость и способность применять согласованные проверки безопасности в конвейере развертывания, эффективно развертывая средства безопасности в среде заранее, чтобы избежать сюрпризов безопасности в последнюю минуту при развертывании рабочей нагрузки в рабочей среде.

При сдвиге средств безопасности влево на этапы до развертывания реализуйте ограничения безопасности, чтобы обеспечить развертывание и применение элементов управления на протяжении всего процесса DevOps. Эта технология может включать шаблоны развертывания ресурсов (например, шаблон Azure ARM) для определения ограничений в IaC (инфраструктура как код), подготовки ресурсов и аудита, чтобы ограничить, какие службы или конфигурации могут быть подготовлены в среде.

Для элементов управления безопасностью рабочей нагрузки во время выполнения следуйте Майкрософт Cloud Security Benchmark, чтобы спроектировать и реализовать эффективные элементы управления, такие как идентификация и привилегированный доступ, сетевая безопасность, безопасность конечных точек и защита данных в приложениях и службах рабочей нагрузки.

Реализация и дополнительный контекст:

GS-11: определение и реализация стратегии безопасности в нескольких облаках

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д Н/Д Н/Д

Общие рекомендации. Убедитесь, что в процессе управления облаком и безопасности, управления рисками и эксплуатации определена многооблачная стратегия, которая должна включать следующие аспекты:

  • Внедрение нескольких облаков. Для организаций, использующих инфраструктуру с несколькими облаками, и обучение вашей организации, чтобы команды понимали разницу между облачными платформами и технологическим стеком. Создавайте, развертывайте и (или) переносимые решения. Обеспечивают простоту перемещения между облачными платформами с минимальной блокировкой поставщиков при использовании собственных облачных функций для оптимального результата внедрения облака.
  • Облачные операции и операции безопасности. Оптимизируйте операции по обеспечению безопасности для поддержки решений в каждом облаке с помощью централизованного набора процессов управления и управления, которые совместно используют общие рабочие процессы, независимо от того, где развернуто и эксплуатируется решение.
  • Стек инструментов и технологий. Выберите подходящие средства, поддерживающие многооблачную среду, чтобы помочь в создании унифицированных и централизованных платформ управления, которые могут включать все домены безопасности, рассматриваемые в этом тесте производительности безопасности.

Реализация и дополнительный контекст: