Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется к рекомендации по контрольным спискам безопасности Azure Well-Architected Framework:
| SE:01 | Создайте базовые показатели безопасности, соответствующие требованиям, отраслевым стандартам и рекомендациям платформы. Регулярно измеряйте структуру и процессы вашей рабочей нагрузки по сравнению с базовыми показателями для поддержания или улучшения уровня безопасности с течением времени. |
|---|
В этом руководстве описываются рекомендации по созданию базовых показателей безопасности. Базовый план безопасности — это документ, определяющий минимальные требования и ожидания вашей организации в различных областях. Хороший базовый план безопасности помогает вам:
- Обеспечение безопасности данных и систем.
- Соблюдайте нормативные требования.
- Свести к минимуму риск надзора.
- Уменьшите вероятность нарушений и последующих бизнес-последствий.
Базовые показатели безопасности должны быть опубликованы широко во всей организации, чтобы все заинтересованные лица знали о ожиданиях.
В этом руководстве приводятся рекомендации по настройке базовых показателей безопасности, основанных на внутренних и внешних факторах. Внутренние факторы включают бизнес-требования, риски и оценку активов. Внешние факторы включают индустриальные показатели и нормативные стандарты.
Терминология
| Срок | Definition |
|---|---|
| Базовые показатели | Минимальный уровень мер безопасности, необходимый рабочей нагрузке, чтобы избежать эксплуатации. |
| Benchmark | Стандарт, указывающий на состояние безопасности, к которому стремится организация. Он оценивается, измеряется и улучшается с течением времени. |
| Элементы управления | Технические или операционные средства управления рабочей нагрузкой, которые помогают предотвратить атаки и увеличить расходы злоумышленников. |
| Нормативные требования | Набор бизнес-требований, обусловленных отраслевыми стандартами, которые налагают законы и власти. |
Базовый план безопасности — это структурированный документ, определяющий набор критериев безопасности и возможностей, которые рабочая нагрузка должна выполнять для повышения безопасности. В более зрелой форме можно расширить базовую линию, чтобы включить набор политик, используемых для установления ограничений.
Базовые показатели должны рассматриваться как стандартные для измерения состояния безопасности. Цель всегда должна быть полным достижением, охватывая широкий диапазон.
Основные стандарты безопасности никогда не должны разрабатываться случайным образом. Отраслевые стандарты, соответствие (внутренние или внешние) или нормативные требования, региональные требования и эталонные показатели облачной платформы являются основными факторами для базового плана. Примеры: Центр управления интернет-безопасностью (CIS), Национальный институт стандартов и технологий (NIST) и стандарты на основе платформы, такие как microsoft cloud security benchmark (MCSB). Все эти стандарты считаются отправной точкой для базовых показателей. Создайте основу, включив требования к безопасности из бизнес-требований.
Ссылки на предыдущие ресурсы см. в разделе "Связанные ссылки".
Создайте базовые показатели, получив консенсус среди бизнес-и технических лидеров. Базовые показатели не должны быть ограничены техническими элементами управления. Он также должен включать в себя операционные аспекты управления и поддержания состояния безопасности. Таким образом, базовый документ также выступает в качестве обязательства организации в отношении инвестиций в обеспечение безопасности рабочей нагрузки. Базовый документ безопасности должен распространяться широко в организации, чтобы обеспечить осведомленность о состоянии безопасности рабочей нагрузки.
По мере роста рабочей нагрузки и развития экосистемы жизненно важно обеспечить синхронизацию базовых показателей с изменениями, чтобы гарантировать, что фундаментальные элементы управления по-прежнему эффективны.
Создание базового плана — это методический процесс. Ниже приведены некоторые рекомендации по процессу.
Инвентаризация активов. Определите заинтересованные стороны ресурсов рабочей нагрузки и цели безопасности этих активов. В инвентаризации активов классифицируйте требования к безопасности и критически важное значение. Сведения о ресурсах данных см. в рекомендациях по классификации данных.
Оценка рисков. Определите потенциальные риски, связанные с каждым активом, и определите их приоритеты.
Требования соответствия Установите базовое соответствие нормативным требованиям для этих активов и примените лучшие отраслевые практики.
Стандарты конфигурации. Определите и задокументируйте определенные конфигурации и параметры безопасности для каждого ресурса. Если это возможно, шаблонируйте или найдите повторяющийся, автоматический способ применения параметров последовательно в среде.
Управление доступом и проверка подлинности. Укажите требования к управлению доступом на основе ролей (RBAC) и многофакторной проверке подлинности (MFA). Документируйте, что достаточный доступ означает на уровне активов. Всегда начинайте с принципа наименьшей привилегии.
Управление исправлениями. Применяйте последние версии ко всем типам ресурсов для защиты от атак.
Документация и обмен данными. Задокументируйте все конфигурации, политики и процедуры. Сообщите сведения соответствующим заинтересованным лицам.
Принудительное применение и подотчетность. Установите четкие механизмы исполнения и последствия за несоблюдение базовой безопасности. Обеспечение ответственности отдельных лиц и команд за поддержание стандартов безопасности.
Непрерывный мониторинг. Оцените эффективность базовых показателей безопасности с помощью наблюдаемости и улучшения с течением времени.
Определение базовых показателей
Ниже приведены некоторые распространенные категории, которые должны быть частью базового плана. Следующий список не является исчерпывающим. Он предназначен в качестве обзора области документа.
Соответствие нормативным требованиям
Рабочая нагрузка может быть подвержена нормативным требованиям для конкретных отраслевых сегментов, могут быть некоторые географические ограничения и т. д. Важно понимать требования, указанные в нормативных спецификациях, так как они влияют на выбор дизайна и в некоторых случаях должны быть включены в архитектуру.
Базовые показатели должны включать регулярное вычисление рабочей нагрузки в соответствии с нормативными требованиями. Воспользуйтесь преимуществами предоставляемых платформой средств, таких как Microsoft Defender для облака, которые могут идентифицировать области несоответствия. Обратитесь к группе по соответствию требованиям организации, чтобы убедиться, что все требования выполнены и поддерживаются.
Компоненты архитектуры
Базовые показатели требуют предварительных рекомендаций для основных компонентов рабочей нагрузки. Обычно они включают технические элементы управления для сетей, идентификации, вычислительных операций и данных. Ссылаться на базовые показатели безопасности, предоставляемые платформой, и добавлять отсутствующие элементы управления в архитектуру.
См. Пример.
Процессы разработки
Базовый стандарт должен иметь рекомендации о:
- Системная классификация.
- Утвержденный набор типов ресурсов.
- Отслеживание ресурсов.
- Применение политик для использования или настройки ресурсов.
Команда разработчиков должна иметь четкое представление о области проверки безопасности. Например, моделирование угроз является обязательным требованием в том, чтобы потенциальные угрозы были определены в коде и в конвейерах развертывания. Будьте конкретны в отношении статических проверок и сканирования уязвимостей в вашем конвейере, а также о том, как часто команде необходимо выполнять эти сканирования.
Дополнительные сведения см. в рекомендациях по анализу угроз.
Процесс разработки также должен задавать стандарты по различным методологиям тестирования и их частоте. Дополнительные сведения см. в рекомендациях по тестированию безопасности.
Operations
Базовый план должен задать стандарты по использованию возможностей обнаружения угроз и повышению оповещений об аномальных действиях, указывающих на фактические инциденты. Обнаружение угроз должно включать все уровни рабочей нагрузки, включая все конечные точки, доступные из враждебных сетей.
Базовые показатели должны включать рекомендации по настройке процессов реагирования на инциденты, включая обмен данными и план восстановления, и какие из этих процессов можно автоматизировать для ускорения обнаружения и анализа. Примеры см. в разделе "Базовые показатели безопасности" для Azure.
Ответ на инциденты также должен включать план восстановления и требования для этого плана, такие как ресурсы для регулярного принятия и защиты резервных копий.
Вы разрабатываете планы нарушения данных с помощью отраслевых стандартов и рекомендаций, предоставляемых платформой. Затем у команды есть полный план действий на случай обнаружения нарушения. Кроме того, ознакомьтесь с вашей организацией, чтобы узнать, есть ли покрытие через киберстраховку.
Обучение
Разработка и обслуживание программы обучения безопасности для обеспечения того, чтобы команда рабочей нагрузки была оснащена соответствующими навыками для поддержки целей и требований безопасности. Команда нуждается в базовом обучении безопасности, но используйте то, что вы можете из вашей организации для поддержки специализированных ролей. Соответствие требованиям по обучению безопасности на основе ролей и участие в учебных тренировках являются частью базового плана безопасности.
Применение базовых показателей
Используйте базовые показатели для реализации таких инициатив, как:
Готовность к принятию решений по проектированию. Создайте базовый план безопасности и опубликуйте его перед началом процесса разработки архитектуры. Убедитесь, что участники команды полностью осведомлены о ожиданиях вашей организации рано, что позволяет избежать дорогостоящих переработок, вызванных отсутствием ясности. Базовые критерии можно использовать в качестве требований к рабочей нагрузке, которыми организация обязалась, и проектировать и проверять контроли в соответствии с этими ограничениями.
Измеряйте ваш дизайн. Оцените текущие решения по текущей базовой линии. Базовые показатели задают фактические пороговые значения для критериев. Задокументируйте любые отклонения, которые откладываются или считаются долгосрочно допустимыми.
Способствовать улучшениям. Хотя базовые показатели задают достижимые цели, всегда существуют пробелы. Приоритизируйте пробелы в вашем бэклоге и исправляйте их на основе установленных приоритетов.
Отслеживайте ход выполнения по базовому плану. Непрерывный мониторинг мер безопасности по заданному базовому плану является важным. Анализ тенденций — это хороший способ проверки хода выполнения безопасности с течением времени и может выявить последовательные отклонения от базового плана. Используйте автоматизацию как можно больше, извлекая данные из различных источников, внутренних и внешних, для решения текущих проблем и подготовки к будущим угрозам.
Установите ограждения. По возможности базовые критерии должны иметь ограничители. Guardrails применяет необходимые конфигурации безопасности, технологии и операции на основе внутренних и внешних факторов. Внутренние факторы включают бизнес-требования, риски и оценку активов. Внешние факторы включают референтные показатели, нормативные стандарты и угрозы в среде. Guardrails помогает свести к минимуму риск непреднамеренного надзора и карательных штрафов за несоответствие.
Изучите политику Azure для пользовательских параметров или используйте встроенные инициативы, такие как тесты CIS или Azure Security Benchmark, чтобы применить конфигурации безопасности и требования к соответствию требованиям. Рассмотрите возможность создания политик и инициатив Azure из базовых показателей.
Регулярное вычисление базовых показателей
Непрерывно повышайте стандарты безопасности постепенно в сторону идеального состояния, чтобы обеспечить постоянное сокращение рисков. Проводите периодические проверки, чтобы система была обновлена и соответствовала внешним требованиям. Любые изменения в базовом плане должны быть формальными, согласованными и отправленными через надлежащие процессы управления изменениями.
Измеряйте систему с учетом новых базовых показателей и приоритета исправлений на основе их релевантности и влияния на рабочую нагрузку.
Убедитесь, что состояние безопасности не ухудшается с течением времени путем добавления аудита и мониторинга соответствия стандартам организации.
Упрощение функций Azure
Microsoft Cloud Security Benchmark (MCSB) — это комплексная платформа рекомендаций по обеспечению безопасности, которую можно использовать в качестве отправной точки для базовых показателей безопасности. Используйте его вместе с другими ресурсами, которые предоставляют входные данные для базовых показателей.
Дополнительные сведения см. в статье "Общие сведения о тесте безопасности в облаке Майкрософт".
Используйте панель мониторинга соответствия нормативным требованиям Microsoft Defender для облака (MDC) для отслеживания этих базовых показателей и оповещения о том, обнаружен ли шаблон за пределами базового плана. Дополнительные сведения см. в разделе "Настройка набора стандартов" на панели мониторинга соответствия нормативным требованиям.
Другие функции, которые помогают в создании и улучшении базовых показателей:
Example
На этой логической схеме показан пример базовых показателей безопасности для архитектурных компонентов, охватывающих сеть, инфраструктуру, конечную точку, приложение, данные и удостоверения, чтобы продемонстрировать, как обычная ИТ-среда может быть безопасно защищена. Другие руководства по рекомендациям основаны на этом примере.
Инфраструктура
Общая ИТ-среда с локальным уровнем с основными ресурсами.
Службы безопасности Azure
Службы безопасности Azure и функции по типам ресурсов, которые они защищают.
Службы мониторинга безопасности Azure
Службы мониторинга, доступные в Azure, которые выходят за рамки простых служб мониторинга, включая управление событиями безопасности (SIEM) и решениями автоматического реагирования безопасности (SOAR) и Microsoft Defender для облака.
Угроз
Этот уровень содержит рекомендацию и напоминание о том, что угрозы могут быть сопоставлены в соответствии с проблемами вашей организации в отношении угроз, независимо от методологии или матрицы, такой как Матрица атак Mitre или цепочка кибер-убийства.
Связанные ссылки
Ссылки сообщества
Контрольный список безопасности
Ознакомьтесь с полным набором рекомендаций.