Rekommendationer för att upprätta en säkerhetsbaslinje
Gäller för checklisterekommendationer för Azure Well-Architected Framework Security:
| SE:01 | Upprätta en säkerhetsbaslinje som är anpassad efter efterlevnadskrav, branschstandarder och plattformsrekommendationer. Mät regelbundet din arbetsbelastningsarkitektur och dina åtgärder mot baslinjen för att upprätthålla eller förbättra din säkerhetsstatus över tid. |
|---|
Den här guiden beskriver rekommendationerna för att upprätta en säkerhetsbaslinje. En säkerhetsbaslinje är ett dokument som anger organisationens lägsta säkerhetskrav och förväntningar inom en rad olika områden. En bra säkerhetsbaslinje hjälper dig:
- Skydda dina data och system.
- Följ regelkraven.
- Minimera risken för tillsyn.
- Minska sannolikheten för överträdelser och efterföljande affärseffekter.
Säkerhetsbaslinjer bör publiceras brett i hela organisationen så att alla intressenter är medvetna om förväntningarna.
Den här guiden innehåller rekommendationer om hur du anger en säkerhetsbaslinje som baseras på interna och externa faktorer. Interna faktorer är affärskrav, risker och tillgångsutvärdering. Externa faktorer är branschriktmärken och regelstandarder.
Definitioner
| Period | Definition |
|---|---|
| Baslinje | Den minsta säkerhetsnivå som en arbetsbelastning måste ha för att undvika att utnyttjas. |
| Benchmark | En standard som innebär den säkerhetsstatus som organisationen strävar efter. Den utvärderas, mäts och förbättras med tiden. |
| Kontroller | Tekniska eller operativa kontroller för arbetsbelastningen som hjälper till att förhindra attacker och öka angriparens kostnader. |
| Myndighetskrav | En uppsättning affärskrav, som drivs av branschstandarder, som lagar och myndigheter inför. |
Viktiga designstrategier
En säkerhetsbaslinje är ett strukturerat dokument som definierar en uppsättning säkerhetskriterier och funktioner som arbetsbelastningen måste uppfylla för att öka säkerheten. I ett mer moget format kan du utöka en baslinje till att omfatta en uppsättning principer som du använder för att ange skyddsräcken.
Baslinjen bör betraktas som standard för att mäta din säkerhetsstatus. Målet bör alltid vara full uppnåendet samtidigt som ett brett omfång.
Din säkerhetsbaslinje bör aldrig vara en ad hoc-insats. Branschstandarder, efterlevnad (internt eller externt) eller regelkrav, regionala krav och molnplattformens riktmärken är viktiga faktorer för baslinjen. Exempel är Center for Internet Security(CIS) Controls, National Institute of Standards and Technology (NIST) och plattformsdrivna standarder, till exempel Microsoft cloud security benchmark (MCSB). Alla dessa standarder betraktas som en startpunkt för din baslinje. Skapa grunden genom att införliva säkerhetskrav från affärskraven.
Länkar till föregående tillgångar finns i Relaterade länkar.
Skapa baslinjen genom att få konsensus bland företags- och tekniska ledare. Baslinjen bör inte begränsas till tekniska kontroller. Den bör också omfatta de operativa aspekterna av att hantera och upprätthålla säkerhetsstatusen. Därför fungerar baslinjedokumentet också som organisationens åtagande att investera i arbetsbelastningssäkerhet. Dokumentet om säkerhetsbaslinje bör distribueras i stor utsträckning inom din organisation för att säkerställa att det finns en medvetenhet om arbetsbelastningens säkerhetsstatus.
När arbetsbelastningen växer och ekosystemet utvecklas är det viktigt att hålla baslinjen i samk med ändringarna för att säkerställa att de grundläggande kontrollerna fortfarande är effektiva.
Att skapa en baslinje är en metodisk process. Här följer några rekommendationer om processen:
Tillgångsinventering. Identifiera intressenter för arbetsbelastningstillgångar och säkerhetsmålen för dessa tillgångar. I tillgångsinventeringen klassificerar du efter säkerhetskrav och allvarlighetsgrad. Information om datatillgångar finns i Rekommendationer om dataklassificering.
Riskbedömning. Identifiera potentiella risker som är associerade med varje tillgång och prioritera dem.
Efterlevnadskrav. Baslinje för eventuella regler eller efterlevnad för dessa tillgångar och tillämpa branschtips.
Konfigurationsstandarder. Definiera och dokumentera specifika säkerhetskonfigurationer och inställningar för varje tillgång. Om möjligt kan du ändra eller hitta ett repeterbart, automatiserat sätt att tillämpa inställningarna konsekvent i hela miljön.
Åtkomstkontroll och autentisering. Ange kraven för rollbaserad åtkomstkontroll (RBAC) och multifaktorautentisering (MFA). Dokumentera vad precis tillräcklig åtkomst innebär på tillgångsnivå. Börja alltid med principen om lägsta behörighet.
Korrigeringshantering. Använd de senaste versionerna på alla resurstyper för att stärka mot angrepp.
Dokumentation och kommunikation. Dokumentera alla konfigurationer, principer och procedurer. Förmedla informationen till relevanta intressenter.
Tillämpning och ansvarstagande. Upprätta tydliga mekanismer och konsekvenser för inkompatibilitet med säkerhetsbaslinjen. Håll individer och team ansvariga för att upprätthålla säkerhetsstandarder.
Kontinuerlig övervakning. Utvärdera säkerhetsbaslinjens effektivitet genom observerbarhet och förbättra övertiden.
Sammansättningen av en baslinje
Här är några vanliga kategorier som bör ingå i en baslinje. Följande lista är inte fullständig. Det är avsett som en översikt över dokumentets omfång.
Regelefterlevnad
En arbetsbelastning kan omfattas av regelefterlevnad för specifika branschsegment, det kan finnas vissa geografiska begränsningar och så vidare. Det är viktigt att förstå kraven som anges i de reglerade specifikationerna eftersom de påverkar designvalen och i vissa fall måste ingå i arkitekturen.
Baslinjen bör omfatta regelbunden utvärdering av arbetsbelastningen mot regelkrav. Dra nytta av verktyg som tillhandahålls av plattformen, till exempel Microsoft Defender för molnet, som kan identifiera områden med inkompatibilitet. Samarbeta med organisationens efterlevnadsteam för att se till att alla krav uppfylls och underhålls.
Arkitekturkomponenter
Baslinjen behöver normativa rekommendationer för huvudkomponenterna i arbetsbelastningen. Dessa omfattar vanligtvis tekniska kontroller för nätverk, identitet, beräkning och data. Referera till säkerhetsbaslinjerna som tillhandahålls av plattformen och lägg till de kontroller som saknas i arkitekturen.
Se Exempel.
Utvecklingsprocesser
Baslinjen måste ha rekommendationer om:
- Systemklassificering.
- Den godkända uppsättningen resurstyper.
- Spåra resurserna.
- Framtvinga principer för att använda eller konfigurera resurser.
Utvecklingsteamet måste ha en tydlig förståelse för omfånget för säkerhetskontroller. Hotmodellering är till exempel ett krav för att se till att potentiella hot identifieras i kod och i distributionspipelines. Var specifik om statiska kontroller och sårbarhetsgenomsökning i din pipeline och hur regelbundet teamet behöver utföra dessa genomsökningar.
Mer information finns i Rekommendationer om hotanalys.
Utvecklingsprocessen bör också fastställa standarder för olika testmetoder och deras takt. Mer information finns i Rekommendationer om säkerhetstestning.
Operations
Baslinjen måste ange standarder för användning av funktioner för hotidentifiering och aviseringar om avvikande aktiviteter som indikerar faktiska incidenter. Hotidentifiering måste innehålla alla lager i arbetsbelastningen, inklusive alla slutpunkter som kan nås från fientliga nätverk.
Baslinjen bör innehålla rekommendationer för att konfigurera processer för incidenthantering, inklusive kommunikation och en återställningsplan, och vilka av dessa processer som kan automatiseras för att påskynda identifiering och analys. Exempel finns i Översikt över säkerhetsbaslinjer för Azure.
Incidenthanteringen bör också innehålla en återställningsplan och kraven för planen, till exempel resurser för att regelbundet ta och skydda säkerhetskopior.
Du utvecklar planer för dataintrång med hjälp av branschstandarder och rekommendationer från plattformen. Teamet har sedan en omfattande plan att följa när ett intrång upptäcks. Kontakta även din organisation för att se om det finns täckning via cyberförsäkring.
Utbildning
Utveckla och underhålla ett program för säkerhetsutbildning för att säkerställa att arbetsbelastningsteamet är utrustat med lämpliga kunskaper för att stödja säkerhetsmålen och kraven. Teamet behöver grundläggande säkerhetsutbildning, men använder det du kan från din organisation för att stödja specialiserade roller. Rollbaserad säkerhetsutbildningsefterlevnad och deltagande i övningar ingår i din säkerhetsbaslinje.
Använda baslinjen
Använd baslinjen för att driva initiativ, till exempel:
Beredskap inför designbeslut. Skapa säkerhetsbaslinjen och publicera den innan du påbörjar designprocessen för arkitekturen. Se till att teammedlemmarna är fullt medvetna om organisationens förväntningar tidigt, vilket förhindrar kostsamt omarbete på grund av bristande tydlighet. Du kan använda baslinjekriterier som arbetsbelastningskrav som organisationen har åtagit sig och utforma och verifiera kontroller mot dessa begränsningar.
Mät din design. Klassificera de aktuella besluten mot den aktuella baslinjen. Baslinjen anger faktiska tröskelvärden för kriterier. Dokumentera eventuella avvikelser som skjuts upp eller bedöms vara långsiktiga.
Enhetsförbättringar. Även om baslinjen anger uppnåeliga mål finns det alltid luckor. Prioritera luckor i kvarvarande uppgifter och åtgärda baserat på prioritering.
Spåra förloppet mot baslinjen. Kontinuerlig övervakning av säkerhetsåtgärder mot en angivna baslinje är avgörande. Trendanalys är ett bra sätt att granska säkerhetsförloppet över tid och kan visa konsekventa avvikelser från baslinjen. Använd automatisering så mycket som möjligt, hämta data från olika källor, interna och externa, för att åtgärda aktuella problem och förbereda för framtida hot.
Ställ in skyddsräcken. Om möjligt måste dina baslinjekriterier ha skyddsräcken. Skyddsmekanismer framtvingar nödvändiga säkerhetskonfigurationer, tekniker och åtgärder baserat på interna faktorer och externa faktorer. Interna faktorer är bland annat affärskrav, risker och tillgångsutvärdering. Externa faktorer är riktmärken, regelstandarder och hotmiljö. Skyddsmekanismer hjälper till att minimera risken för oavsiktlig tillsyn och straffböter för inkompatibilitet.
Utforska Azure Policy för anpassade alternativ eller använd inbyggda initiativ som CIS-riktmärken eller Azure Security Benchmark för att framtvinga säkerhetskonfigurationer och efterlevnadskrav. Överväg att skapa Azure-principer och initiativ från baslinjer.
Utvärdera baslinjen regelbundet
Kontinuerligt förbättra säkerhetsstandarder inkrementellt mot det ideala tillståndet för att säkerställa kontinuerlig riskreducering. Genomför regelbundna granskningar för att säkerställa att systemet är uppdaterat och i enlighet med externa påverkan. Alla ändringar av baslinjen måste vara formella, överenskomna och skickas via lämpliga förändringshanteringsprocesser.
Mät systemet mot den nya baslinjen och prioritera reparationer baserat på deras relevans och effekt på arbetsbelastningen.
Se till att säkerhetsstatusen inte försämras med tiden genom att införa gransknings- och övervakningsefterlevnad med organisationens standarder.
Azure-underlättande
Microsoft Cloud Security Benchmark (MCSB) är ett omfattande ramverk för bästa praxis för säkerhet som du kan använda som utgångspunkt för din säkerhetsbaslinje. Använd den tillsammans med andra resurser som ger indata till din baslinje.
Mer information finns i Introduktion till Microsofts benchmark för molnsäkerhet.
Använd instrumentpanelen Microsoft Defender för molnefterlevnad (MDC) för att spåra dessa baslinjer och få aviseringar om ett mönster utanför en baslinje identifieras. Mer information finns i Anpassa uppsättningen standarder på instrumentpanelen för regelefterlevnad.
Andra funktioner som hjälper dig att upprätta och förbättra baslinjen:
Exempel
Det här logiska diagrammet visar ett exempel på en säkerhetsbaslinje för arkitekturkomponenter som omfattar nätverk, infrastruktur, slutpunkt, program, data och identitet för att visa hur en gemensam IT-miljö kan skyddas på ett säkert sätt. Andra rekommendationsguider bygger på det här exemplet.
Infrastruktur
En vanlig IT-miljö med ett lokalt lager med grundläggande resurser.
Azure Security Services
Azures säkerhetstjänster och funktioner efter de typer av resurser som de skyddar.
Azures säkerhetstjänster för säkerhetsövervakning
De övervakningstjänster som är tillgängliga i Azure och som går utöver enkla övervakningstjänster, inklusive SIEM-lösningar (Security Information Event Management) och SOAR-lösningar (Security Orchestration Automated Response) och Microsoft Defender för molnet.
Hot
Det här lagret ger en rekommendation och påminnelse om att hot kan mappas enligt organisationens oro för hot, oavsett metodik eller matrisliknande Mitre Attack-matris eller Cyber Kill-kedja.
Organisatorisk anpassning
Cloud Adoption Framework ger vägledning till centrala team om att upprätta en baslinje med en föreslagen mall:
Relaterade länkar
Community-länkar
Säkerhetskontrollista
Se den fullständiga uppsättningen rekommendationer.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för