Контроль безопасности версии 3. Управление и стратегия
Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.
GS-1. Согласование ролей, обязанностей и подотчетности в организации
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Руководство Azure. Убедитесь, что вы задокументировали и изложили четкую стратегию для ролей и обязанностей в организации безопасности. Определение приоритетов для обеспечения четкой отчетности за принятие решений в области безопасности, обучение всех пользователей по общей модели ответственности и обучение технических команд по технологиям защиты облака.
Реализация и дополнительный контекст:
- Рекомендации по обеспечению безопасности в Azure 1 — люди: обучение команд обеспечению безопасности облака
- Рекомендации по обеспечению безопасности в Azure 2 — люди: обучение команд технологиям обеспечения безопасности облака
- Рекомендации по обеспечению безопасности в Azure 3 — процесс: назначение ответственных за принятие решений по обеспечению безопасности облака
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-2. Определение и внедрение корпоративной стратегии сегментации и разделения обязанностей
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Руководство Azure. Установите стратегию сегментированного доступа к ресурсам на уровне предприятия, используя сочетание удостоверений, сети, приложений, подписок, групп управления и других элементов управления.
Тщательно распределите потребность в разделении безопасности, чтобы обеспечить бесперебойную ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.
Убедитесь в том, что стратегия сегментации согласованно реализована в рабочей нагрузке, включая безопасность сети, модели идентификации и доступа, модели разрешения или доступа к приложению, а также элементы управления пользовательским процессом.
Реализация и дополнительный контекст:
- Безопасность в Microsoft Cloud Adoption Framework для Azure. Сегментация: разделение для защиты
- Безопасность в Microsoft Cloud Adoption Framework для Azure. Архитектура: создание единой, унифицированной стратегии безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-3. Определение и внедрение стратегии защиты данных
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Руководство Azure. Создайте стратегию корпоративного уровня для защиты данных в Azure.
- Определите и примените стандарт классификации и защиты данных в соответствии со стандартом управления корпоративными данными и нормативными требованиями, чтобы указать средства управления безопасностью, необходимые для каждого уровня классификации данных.
- Настройте иерархию управления облачными ресурсами в соответствии с корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.
- Определите и примените соответствующие принципы нулевого доверия в облачной среде, чтобы избежать реализации отношения доверия на основе сетевого расположения в пределах периметра. Вместо этого используйте утверждения о доверии устройств и пользователей для ограничения доступа к данным и ресурсам.
- Отслеживайте и минимизируйте объем конфиденциальных данных (для хранения, передачи и обработки) в масштабе всего предприятия, чтобы сократить направления атак и расходы на защиту данных. По возможности используйте в рабочей нагрузке такие методы, как одностороннее хэширование, усечение и разметка, чтобы избежать хранения и передачи конфиденциальных данных в исходной форме.
- Убедитесь в том, что у вас есть комплексная стратегия управления жизненным циклом, обеспечивающая безопасность данных и ключей доступа.
Реализация и дополнительный контекст:
- Azure Security Benchmark — защита данных
- Cloud Adoption Framework — рекомендации по защите и шифрованию данных в Azure
- Основы безопасности Azure — безопасность, шифрование и хранение данных в Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-4. Определение и внедрение стратегии безопасности сети
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Руководство Azure. Выработайте стратегию безопасности сети Azure в рамках общей стратегии безопасности управления доступом в вашей организации. Эта стратегия должна включать задокументированное руководство, политику и стандарты для следующих элементов:
- Разработайте централизованную или децентрализованную модель ответственности за управление сетью и обеспечение ее безопасности, которая будет применяться при развертывании и обслуживании сетевых ресурсов.
- Модель сегментации виртуальной сети, соответствующая корпоративной стратегии сегментации.
- Стратегия для входящего и исходящего трафика и пограничного устройства Интернета.
- Стратегия подключения гибридного облака и локальных решений.
- Стратегия мониторинга сети и ведения журнала.
- Актуальные артефакты безопасности сети (такие как схемы сети, эталонная архитектура сети).
Реализация и дополнительный контекст:
- Рекомендация 11 по обеспечению безопасности в Azure. Архитектура. Единая унифицированная стратегия обеспечения безопасности
- Azure Security Benchmark — безопасность сети
- Обзор сетевой безопасности Azure
- Стратегия архитектуры корпоративной сети
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-5. Определение и внедрение стратегии управления состоянием безопасности
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Руководство Azure. Выработайте политику, процедуру и стандарт для обеспечения управления конфигурацией безопасности и уязвимостями согласно регламенту безопасности в облаке.
Управление конфигурацией безопасности в Azure должно включать в себя следующие области:
- Определите защищенные конфигурационные базы для различных типов ресурсов в облаке, например портала Azure, уровня управления и ресурсов, работающих в службах IaaS, PaaS и SaaS.
- Убедитесь в том, что базовые показатели безопасности позволяют устранять риски в различных областях управления, таких как безопасность сети, управление идентификацией, привилегированный доступ, защита данных и т. д.
- Используйте средства для непрерывной оценки, аудита и применения конфигурации, чтобы предотвратить отклонение конфигурации от базовых показателей.
- Настройте периодичность обновления функций безопасности Azure, например, подпишитесь на обновления служб.
- Используйте оценку безопасности в Azure Defender для облака, чтобы регулярно проверять состояние конфигурации безопасности Azure и устранять выявленные недостатки.
Управление уязвимостями в Azure должно включать в себя следующие аспекты безопасности:
- Регулярно оценивайте и устраняйте уязвимости во всех типах облачных ресурсов, например в собственных службах Azure, операционных системах и компонентах приложений.
- Используйте подход на основе рисков для определения приоритетов при оценке и исправлении.
- Подпишитесь на соответствующие уведомления и блоги по безопасности Майкрософт и Azure, чтобы получать последние новости о безопасности Azure.
- Убедитесь в том, что процедуры оценки и устранения уязвимостей (например, их расписание, область и методы) отвечают нормативным требованиям вашей организации.
Реализация и дополнительный контекст:
- Azure Security Benchmark — управление состоянием защиты и уязвимостью
- Рекомендация 9 по обеспечению безопасности в Azure 9 — настройка управления состоянием безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-6. Определение и внедрение стратегии идентификации и привилегированного доступа
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Руководство Azure. Выработайте подход к идентификации и привилегированному доступу в Azure в рамках общей стратегии безопасности для управления доступом в вашей организации. Эта стратегия должна включать задокументированные руководство, политику и стандарты, охватывающие следующие аспекты:
- централизованная система идентификации и проверки подлинности (Azure AD), а также ее взаимосвязь с другими внутренними и внешними системами идентификации;
- система управления идентификацией и привилегированным доступом (например, запрос на доступ, его проверка и утверждение);
- привилегированные учетные записи в аварийной ситуации;
- методы строгой проверки подлинности (без пароля и многофакторная проверка подлинности) в различных вариантах использования и условиях;
- безопасный доступ при выполнении административных операций через портал Azure, CLI и API.
В исключительных случаях, когда корпоративная система не используется, обеспечьте наличие надлежащих средств управления идентификацией, проверкой подлинности и доступом. Эти исключения должны утверждаться и периодически проверяться корпоративной группой. Обычно они возникают в следующих случаях:
- использование некорпоративной системы идентификации и проверки подлинности, например облачных систем сторонних производителей (может привести к неизвестным рискам);
- проверка подлинности привилегированных пользователей локально и (или) с помощью ненадежных методов проверки подлинности.
Реализация и дополнительный контекст:
- Azure Security Benchmark — управление удостоверениями
- Azure Security Benchmark — привилегированный доступ
- Рекомендация 11 по обеспечению безопасности в Azure. Архитектура. Единая унифицированная стратегия обеспечения безопасности
- Общие сведения о безопасности при управлении удостоверениями в Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-7. Определение и реализация стратегии ведения журнала, обнаружения угроз и реагирования на инциденты
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Руководство Azure. Создайте стратегию ведения журнала, обнаружения угроз и реагирования на инциденты для быстрого обнаружения и устранения угроз и выполнения требований к соответствию. Группа операций безопасности (SecOps или SOC) должна отдавать приоритет высококачественным оповещениям и эффективному взаимодействию, чтобы она могла сосредоточиться на угрозах вместо интеграции журналов и выполнения действий вручную.
Эта стратегия должна включать задокументированную политику, процедуру и стандарты, охватывающие следующие аспекты:
- Роль и обязанности организации по операциям безопасности (SecOps)
- четко определенный и регулярно тестируемый план реагирования на инциденты и процесс обработки, согласованный с NIST или другими отраслевыми платформами;
- план взаимодействия с клиентами, поставщиками и публичными сторонами, а также их уведомления;
- предпочтительное использование расширенных функций обнаружения и реагирования (XDR), таких как возможности Azure Defender, для обнаружения угроз в различных областях;
- использование собственных возможностей Azure (например, Microsoft Defender для облака) и платформ сторонних производителей для обработки инцидентов, например для ведения журнала и обнаружения угроз, судебных экспертиз, исправления и устранения последствий атак;
- определение ключевых сценариев (например, обнаружение угроз, реагирование на инциденты и соответствие требованиям) и настройка записи и хранения журналов в соответствии с требованиями сценария;
- централизованный просмотр и корреляция сведений об угрозах с помощью SIEM, собственных возможностей обнаружения угроз Azure и других источников;
- действия после инцидентов, например сохранение полученного опыта и доказательств.
Реализация и дополнительный контекст:
- Azure Security Benchmark — ведение журнала и обнаружение угроз
- Azure Security Benchmark — реагирование на инциденты
- Рекомендация 4 по обеспечению безопасности в Azure. Процесс. Процессы реагирования на обновление инцидента в облаке
- Руководство по выбору Azure Adoption Framework, решения для ведения журналов и создания отчетов
- Масштабирование Azure Enterprise, управление и мониторинг
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-8. Определение и внедрение стратегии резервного копирования и восстановления
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
11,1 | CP-1, CP-9, CP-10 | 3.4 |
Руководство Azure. Создайте стратегию резервного копирования и восстановления Azure для вашей организации. Эта стратегия должна включать задокументированные руководство, политику и стандарты, охватывающие следующие аспекты:
- определения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса и нормативными требованиями;
- проектирование избыточности (включая резервное копирование, восстановление и репликацию) в приложениях и инфраструктуре (как облачной, так и локальной); в стратегии должны учитываться возможности восстановления в рамках региона, пар регионов и между регионами, а также автономные места хранения;
- защита резервных копий от несанкционированного доступа и вмешательства с помощью таких средств управления, как управление доступом к данным, шифрование и безопасность сети;
- использование резервного копирования и восстановления для снижения рисков новых угроз, таких как атака с помощью программы-шантажиста; данные резервного копирования и восстановления также должны быть защищены от этих атак;
- мониторинг данных и операций резервного копирования и восстановления в целях аудита и оповещения.
Реализация и дополнительный контекст:
- Тестирование безопасности Azure — резервное копирование и восстановление
- Azure Well-Architecture Framework — резервное копирование и аварийное восстановление для приложений Azure
- Платформа внедрения Azure — непрерывность бизнес-процессов и аварийное восстановление
- План резервного копирования и восстановления для защиты от атак программой-шантажистом
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-9. Определение и внедрение стратегии безопасности конечной точки
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Руководство Azure. Создайте стратегию безопасности облачных конечных точек, которая включает в себя следующие аспекты:
- Разверните функции обнаружения и нейтрализации угроз для конечных точек, а также защиты от вредоносных программ в конечной точке и интегрируйте их с процессом обнаружения угроз, решением SIEM и операциями по обеспечению безопасности.
- Соблюдайте контрольный уровень безопасности Azure, чтобы обеспечить показатели безопасности конечных точек в других соответствующих областях (таких как сетевая безопасность, управление уязвимостями, идентификация и привилегированный доступ, ведение журнала и обнаружение угроз) для усиленной защиты конечных точек.
- Повысьте приоритет безопасности конечных точек в рабочей среде, но не забывайте о защите и отслеживании конечных точек в нерабочих средах (таких как среда тестирования и сборки, используемая в процессе DevOps), так как эти среды также могут использоваться для внедрения вредоносных программ и уязвимостей в рабочую среду.
Реализация и дополнительный контекст:
- Контрольный уровень безопасности Azure. Безопасность конечных точек
- Рекомендации по обеспечению безопасности конечных точек в Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-10. Определение и внедрение стратегии безопасности DevOps
Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Руководство Azure. Применяйте средства безопасности в рамках стандарта разработки и эксплуатации DevOps в организации. Определите цели безопасности, требования к управлению и спецификации инструментария в соответствии со стандартами безопасности предприятия и облака.
Рекомендуйте использовать DevOps в качестве важнейшей операционной модели в организации из-за таких преимуществ, как возможность быстрого выявления и устранения уязвимостей с помощью различных типов автоматизации (например, подготовки инфраструктуры как кода и автоматизированных проверок SAST и DAST) в рамках рабочего процесса CI/CD. Такой подход по типу "сдвиг влево" также улучшает видимость и дает возможность применять согласованные проверки безопасности в конвейере развертывания, а также эффективно развертывать ограничения безопасности в среде, чтобы избежать непредвиденных проблем с безопасностью при развертывании рабочей нагрузки в рабочей среде.
При сдвиге средств безопасности влево на этапы до развертывания реализуйте ограничения безопасности, чтобы обеспечить развертывание и применение элементов управления на протяжении всего процесса DevOps. Эта технология может включать шаблоны Azure ARM для определения ограничений в IaC (инфраструктура как код), подготовки ресурсов, а также Политики Azure для аудита и ограничения служб или конфигураций, которые можно подготовить в среде.
Для управления безопасностью во время выполнения рабочей нагрузки соблюдайте контрольный уровень безопасности Azure. Это позволит спроектировать и реализовать эффективные элементы управления, такие как идентификация и привилегированный доступ, сетевая безопасность, безопасность конечных точек и защита данных в приложениях и службах рабочей нагрузки.
Реализация и дополнительный контекст:
- Контрольный уровень безопасности. Безопасность DevOps
- Безопасность в DevOps
- Cloud Adoption Framework — элементы управления DevSecOps
Заинтересованные лица по безопасности клиентов (дополнительные сведения):