Управление безопасностью, версия 2: управление и стратегия
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.
GS-1: определение стратегии управления ресурсами и защиты данных
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Убедитесь, что вы задокументировали и изложили четкую стратегию непрерывного мониторинга и защиты систем и данных. Определите приоритеты обнаружения, оценки, защиты и мониторинга критически важных для бизнеса данных и систем.
Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:
Стандарт классификации данных в соответствии с бизнес-рисками
Видение организацией обеспечения безопасности в отношении рисков и инвентаризации ресурсов
Утверждение организацией безопасности служб Azure для использования
Безопасность ресурсов на протяжении их жизненного цикла
Обязательная стратегия управления доступом в соответствии с классификацией данных организации.
Использование возможностей защиты данных собственных (Azure) и сторонних производителей.
Требования к шифрованию данных для передаваемых и неактивных данных.
Соответствующие криптографические стандарты
Дополнительные сведения см. в следующих ресурсах.
Рекомендации по архитектуре безопасности Azure — хранилище, данные и шифрование
Основы безопасности Azure — безопасность, шифрование и хранение данных в Azure
Cloud Adoption Framework — рекомендации по защите и шифрованию данных в Azure
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-2: определение стратегии сегментации на уровне предприятия
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Создайте стратегию корпоративного уровня для сегментирования доступа к ресурсам, используя сочетания удостоверения, сети, приложения, подписки, группы управления и других элементов управления.
Тщательно распределите потребность в разделении безопасности, чтобы обеспечить бесперебойную ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.
Убедитесь, что стратегия сегментации реализована единообразно по всем типам элементов управления, включая безопасность сети, модели удостоверений и доступа, а также модели разрешения и доступа приложений, равно как и управление персоналом.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-3: определение стратегии управления состоянием безопасности
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Непрерывно измеряйте и снижайте риски для отдельных ресурсов и среды, в которой они размещены. Определите приоритеты для важных ресурсов и областей, где существует высокий риск атак, таких как опубликованные приложения, точки входа в сеть и выхода из нее, конечные точки пользователя и администратора и т. д.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-4: согласование ролей, обязанностей и подотчетности в организации
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-4 | Недоступно | PL, PM |
Убедитесь, что вы задокументировали и изложили четкую стратегию для ролей и обязанностей в организации безопасности. Определение приоритетов для обеспечения четкой отчетности за принятие решений в области безопасности, обучение всех пользователей по общей модели ответственности и обучение технических команд по технологиям защиты облака.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-5: определение стратегии безопасности сети
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-5 | 9 | CA, SC |
Определите подход к безопасности сети Azure в рамках общей стратегии управления доступом для обеспечения безопасности организации.
Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:
Централизованное управление сетью и ответственность за безопасность
Модель сегментации виртуальной сети, согласуемая со стратегией сегментации на уровне предприятия
Стратегия исправления в различных сценариях угроз и атак
Стратегия входящего и исходящего трафика Интернета
Стратегия взаимодействия гибридного облака и локальной среды
Актуальные артефакты безопасности сети (такие как схемы сети, эталонная архитектура сети)
Дополнительные сведения см. в следующих ресурсах.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-6: определение стратегии использования удостоверений и привилегированного доступа
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Определите подходы для управления идентификацией Azure и привилегированным доступом в рамках общей стратегии управления доступом для обеспечения безопасности организации.
Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:
Централизованная система идентификации и аутентификации, а также взаимодействие с другими внутренними и внешними системами идентификации
Методы строгой проверки подлинности в различных вариантах использования и условиях
Защита пользователей с высоким уровнем привилегий
Мониторинг и обработка аномальных действий пользователей
Процесс проверки удостоверений пользователей и доступа, а также процесс сверки пользователей
Дополнительные сведения см. в следующих ресурсах.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-7: определение стратегии ведения журналов и реагирования на угрозы
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Создайте стратегию ведения журнала и реагирования на угрозы для быстрого обнаружения и устранения угроз при соблюдении требований к соответствию. Определите приоритет для аналитиков с помощью высококачественных оповещений и эффективного взаимодействия, чтобы они могли сосредоточиться на угрозах, а не на интеграции и выполнении действий вручную.
Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:
Роль и обязанности организации по операциям безопасности (SecOps)
Четко определенный процесс реагирования на инциденты, согласующийся с NIST или другой отраслевой платформой
Сбор и хранение журналов для поддержки обнаружения угроз, реагирования на инциденты и обеспечения соответствия требованиям
Централизованная доступность и корреляция сведений об угрозах с использованием SIEM, собственных возможностей Azure и других источников
План информирования и уведомления ваших клиентов, поставщиков и широкой публики
Использование собственных платформ Azure и решений сторонних производителей для обработки инцидентов, например для ведения журналов и обнаружения угроз, проведения судебных расследований, устранения атак и удаления потенциально опасных компонентов
Процессы обработки инцидентов и действий, выполняемых после инцидента, таких как получение выводов и хранение доказательств
Дополнительные сведения см. в следующих ресурсах.
Azure Security Benchmark — ведение журнала и обнаружение угроз
Руководство по выбору Azure Adoption Framework, решения для ведения журналов и создания отчетов
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-8: определение стратегии резервного копирования и восстановления
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| GS-8 | 10 | CP |
Создайте стратегию резервного копирования и восстановления Azure для вашей организации.
Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:
Определение целевого времени восстановления (RTO) и целевой точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса
Проектирование элементов избыточности в настройках приложений и инфраструктуры
Защита резервных копий посредством управления доступом и шифрования данных
Дополнительные сведения см. в следующих ресурсах.
Тестирование безопасности Azure — резервное копирование и восстановление
Платформа внедрения Azure — непрерывность бизнес-процессов и аварийное восстановление
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):