Säkerhetskontroll: Styrning och strategi
Styrning och strategi ger vägledning för att säkerställa en sammanhängande säkerhetsstrategi och en dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder.
GS-1: Justera organisationsroller, ansvarsområden och ansvarsområden
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Allmän vägledning: Se till att du definierar och kommunicerar en tydlig strategi för roller och ansvarsområden i din säkerhetsorganisation. Prioritera att tillhandahålla ett tydligt ansvar för säkerhetsbeslut, utbilda alla om modellen med delat ansvar och utbilda tekniska team om teknik för att skydda molnet.
Implementering och ytterligare kontext:
- Regelverk för Azure-säkerhet 1 – personal: utbilda teamen om molnsäkerhetsresan
- Regelverk för Azure-säkerhet 2 – personal: utbilda teamen om molnsäkerhetstekniken
- Regelverk för Azure-säkerhet 3 – personal: tilldela ansvar för molnsäkerhetsbeslut
Kunders säkerhetsintressenter (Läs mer):
GS-2: Definiera och implementera företagsstrategi för segmentering/uppdelning av uppgifter
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Allmän vägledning: Upprätta en företagsomfattande strategi för att segmentera åtkomsten till tillgångar med hjälp av en kombination av identitet, nätverk, program, prenumeration, hanteringsgrupp och andra kontroller.
Du måste noga avväga behovet av separationsskyddet med behovet att underlätta den dagliga driften av de system som måste kommunicera med varandra och komma åt data.
Se till att segmenteringsstrategin implementeras konsekvent i arbetsbelastningen, inklusive nätverkssäkerhet, identitets- och åtkomstmodeller samt programbehörighets-/åtkomstmodeller och mänskliga processkontroller.
Implementering och ytterligare kontext:
- Säkerhet i Microsoft Cloud Adoption Framework för Azure – segmentering: Separera för att skydda
- Säkerhet i Microsoft Cloud Adoption Framework för Azure – Arkitektur: upprätta en enda enhetlig säkerhetsstrategi
Kunders säkerhetsintressenter (Läs mer):
GS-3: Definiera och implementera dataskyddsstrategi
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Allmän vägledning: Upprätta en företagsomfattande strategi för dataskydd i din molnmiljö:
- Definiera och tillämpa dataklassificerings- och skyddsstandarden i enlighet med företagets datahanteringsstandard och regelefterlevnad för att diktera de säkerhetskontroller som krävs för varje nivå av dataklassificeringen.
- Konfigurera din molnresurshanteringshierarki som är anpassad efter företagets segmenteringsstrategi. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.
- Definiera och tillämpa tillämpliga principer för noll förtroende i din molnmiljö för att undvika att implementera förtroende baserat på nätverksplats inom en perimeter. Använd i stället anspråk för enhets- och användarförtroende för att ge åtkomst till data och resurser.
- Spåra och minimera känsligt datafotavtryck (lagring, överföring och bearbetning) i hela företaget för att minska kostnaden för attackytan och dataskyddet. Överväg tekniker som enkelriktad hashning, trunkering och tokenisering i arbetsbelastningen där det är möjligt, för att undvika att lagra och överföra känsliga data i dess ursprungliga form.
- Se till att du har en fullständig strategi för livscykelkontroll för att ge säkerhetsgaranti för data och åtkomstnycklar.
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – Dataskydd
- Cloud Adoption Framework – regelverk kring datasäkerhet och kryptering i Azure
- Grundläggande Azure-säkerhet – säkerhet, kryptering och lagring av data i Azure
Kunders säkerhetsintressenter (Läs mer):
GS-4: Definiera och implementera en strategi för nätverkssäkerhet
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Allmän vägledning: Upprätta en säkerhetsstrategi för molnnätverk som en del av organisationens övergripande säkerhetsstrategi för åtkomstkontroll. Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
- Utforma en centraliserad/decentraliserad modell för nätverkshantering och säkerhetsansvar för att distribuera och underhålla nätverksresurser.
- En segmenteringsmodell för virtuellt nätverk som är anpassad till segmenteringsstrategin för företag.
- En internet-gräns och en strategi för ingress och utgående trafik.
- En strategi för hybridmoln och lokal sammanlänkning.
- En strategi för nätverksövervakning och loggning.
- Uppdaterade nätverkssäkerhetsartefakter (till exempel nätverksdiagram, referensnätverksarkitektur).
Implementering och ytterligare kontext:
- Metodtips för Azure Security 11 – arkitektur. Enkel enhetlig säkerhetsstrategi
- Microsoft benchmark för molnsäkerhet – Nätverkssäkerhet
- Översikt över nätverkssäkerhet i Azure
- En strategi för företagets nätverksarkitektur
Kunders säkerhetsintressenter (Läs mer):
GS-5: Definiera och implementera strategi för hantering av säkerhetsstatus
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Allmän vägledning: Upprätta en princip, procedur och standard för att säkerställa att säkerhetskonfigurationshantering och sårbarhetshantering finns på plats i ditt molnsäkerhetsmandat.
Säkerhetskonfigurationshanteringen i molnet bör innehålla följande områden:
- Definiera säkra konfigurationsbaslinjer för olika resurstyper i molnet, till exempel webbportalen/konsolen, hanterings- och kontrollplanet samt resurser som körs i IaaS-, PaaS- och SaaS-tjänsterna.
- Se till att säkerhetsbaslinjerna hanterar riskerna i olika kontrollområden, till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst, dataskydd och så vidare.
- Använd verktyg för att kontinuerligt mäta, granska och framtvinga konfigurationen för att förhindra att konfigurationen avviker från baslinjen.
- Utveckla en takt för att hålla dig uppdaterad med säkerhetsfunktioner, till exempel prenumerera på tjänstuppdateringarna.
- Använd en mekanism för säkerhetshälsa eller efterlevnadskontroll (till exempel säker poäng, instrumentpanel för efterlevnad i Microsoft Defender för molnet) för att regelbundet granska säkerhetskonfigurationsstatusen och åtgärda de identifierade luckorna.
Sårbarhetshanteringen i molnet bör innehålla följande säkerhetsaspekter:
- Utvärdera och åtgärda säkerhetsproblem regelbundet i alla molnresurstyper, till exempel molnbaserade tjänster, operativsystem och programkomponenter.
- Använd en riskbaserad metod för att prioritera utvärdering och reparation.
- Prenumerera på relevanta CSPM:s säkerhetsinformationsmeddelanden och bloggar för att få de senaste säkerhetsuppdateringarna.
- Se till att sårbarhetsbedömningen och reparationen (till exempel schema, omfattning och tekniker) uppfyller efterlevnadskraven för din organisation.dule, omfång och tekniker) uppfyller de regelbundna efterlevnadskraven för din organisation.
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – Hantering av hållning och sårbarhet
- Metodtips för Azure Security 9 – Upprätta hantering av säkerhetsstatus
Kunders säkerhetsintressenter (Läs mer):
GS-6: Definiera och implementera identitets- och privilegierad åtkomststrategi
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Allmän vägledning: Upprätta en molnidentitet och privilegierad åtkomstmetod som en del av organisationens övergripande strategi för åtkomstkontroll av säkerhet. Den här strategin bör innehålla dokumenterad vägledning, policy och standarder för följande aspekter:
- Centraliserat identitets- och autentiseringssystem (till exempel Azure AD) och dess sammankoppling med andra interna och externa identitetssystem
- Privilegierad identitet och åtkomststyrning (till exempel åtkomstbegäran, granskning och godkännande)
- Privilegierade konton i nödsituationssituation (glasbryt)
- Stark autentisering (lösenordslös autentisering och multifaktorautentisering) metoder i olika användningsfall och villkor.
- Säker åtkomst via administrativa åtgärder via webbportalen/-konsolen, kommandoraden och API:et.
I undantagsfall, där ett företagssystem inte används, kontrollerar du att det finns lämpliga säkerhetskontroller för identitets-, autentiserings- och åtkomsthantering och styrs. Dessa undantag bör godkännas och regelbundet granskas av företagsteamet. Dessa undantag är vanligtvis i fall som:
- Användning av ett icke-företagsutpekat identitets- och autentiseringssystem, till exempel molnbaserade tredjepartssystem (kan medföra okända risker)
- Privilegierade användare autentiseras lokalt och/eller använder icke-starka autentiseringsmetoder
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – Identitetshantering
- Microsoft benchmark för molnsäkerhet – Privilegierad åtkomst
- Metodtips för Azure Security 11 – arkitektur. Enkel enhetlig säkerhetsstrategi
- Översikt över säker identitetshantering i Azure
Kunders säkerhetsintressenter (Läs mer):
GS-7: Definiera och implementera strategi för loggning, hotidentifiering och incidenthantering
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Allmän vägledning: Upprätta en strategi för loggning, hotidentifiering och incidenthantering för att snabbt identifiera och åtgärda hot och uppfylla efterlevnadskrav. Säkerhetsåtgärdsteamet (SecOps/SOC) bör prioritera aviseringar av hög kvalitet och sömlösa upplevelser så att de kan fokusera på hot i stället för loggintegrering och manuella steg. Denna strategi bör innehålla dokumenterade principer, förfaranden och standarder för följande aspekter:
- SecOps-organisationens roll och ansvarsområden
- En väldefinierad och regelbundet testad incidenthanteringsplan och hanteringsprocess som överensstämmer med NIST SP 800-61 (guide för hantering av datorsäkerhetsincidenter) eller andra branschramverk.
- Kommunikations- och meddelandeplan med dina kunder, leverantörer och offentliga parter av intresse.
- Simulera både förväntade och oväntade säkerhetshändelser i din molnmiljö för att förstå hur effektiva dina förberedelser är. Iterera resultatet av simuleringen för att förbättra svarsstatusens skala, minska tiden till värdet och minska risken ytterligare.
- Föredrar att använda XDR-funktioner (extended detection and response), till exempel Azure Defender-funktioner, för att identifiera hot inom olika områden.
- Användning av molnbaserad kapacitet (t.ex. som Microsoft Defender för molnet) och plattformar från tredje part för incidenthantering, till exempel loggning och hotidentifiering, kriminalteknik och attackreparation och utrotning.
- Förbered nödvändiga runbooks, både manuella och automatiserade, för att säkerställa tillförlitliga och konsekventa svar.
- Definiera viktiga scenarier (till exempel hotidentifiering, incidenthantering och efterlevnad) och konfigurera logginsamling och kvarhållning för att uppfylla scenariokraven.
- Centraliserad synlighet för och korrelationsinformation om hot, med hjälp av SIEM, inbyggda funktioner för molnhotidentifiering och andra källor.
- Aktiviteter efter incident, till exempel lärdomar och kvarhållning av bevis.
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – loggning och hotidentifiering
- Microsoft benchmark för molnsäkerhet – Incidenthantering
- Metodtips för Azure Security 4 – process. Uppdatera incidenthanteringsprocesser för molnet
- Azure Adoption Framework, guide till beslut om loggning och rapporter
- Hantering och övervakning i företagsskala i Azure
- NIST SP 800-61 Guide för hantering av datorsäkerhetsincidenter
Kunders säkerhetsintressenter (Läs mer):
GS-8: Definiera och implementera strategi för säkerhetskopiering och återställning
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Allmän vägledning: Upprätta en strategi för säkerhetskopiering och återställning för din organisation. Den här strategin bör innehålla dokumenterad vägledning, princip och standarder i följande aspekter:
- Mål för återställningstid (RTO) och måldefinitioner för återställningspunkt (RPO) i enlighet med dina mål för affärsåterhämtning och krav på regelefterlevnad.
- Redundansdesign (inklusive säkerhetskopiering, återställning och replikering) i dina program och infrastruktur för både i molnet och lokalt. Överväg regional, region-par, korsregional återställning och lagringsplats utanför plats som en del av din strategi.
- Skydd av säkerhetskopiering från obehörig åtkomst och härdning med hjälp av kontroller som dataåtkomstkontroll, kryptering och nätverkssäkerhet.
- Användning av säkerhetskopiering och återställning för att minimera riskerna med nya hot, till exempel utpressningstrojanattacker. Och skydda även själva säkerhetskopierings- och återställningsdata från dessa attacker.
- Övervaka säkerhetskopierings- och återställningsdata och åtgärder i gransknings- och aviseringssyfte.
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – Säkerhetskopiering och återställning av Azure Well-Architecture Framework – Säkerhetskopiering och haveriberedskap för Azure-program: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework–affärskontinuitet och haveriberedskap
- Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
Kunders säkerhetsintressenter (Läs mer):
GS-9: Definiera och implementera slutpunktssäkerhetsstrategi
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Allmän vägledning: Upprätta en strategi för molnslutpunktssäkerhet som innehåller följande aspekter: – Distribuera funktionen för slutpunktsidentifiering och svar och skydd mot skadlig kod i slutpunkten och integrera med hotidentifieringen och SIEM-lösningen och säkerhetsåtgärdsprocessen.
- Följ Microsoft Cloud Security Benchmark för att se till att slutpunktsrelaterade säkerhetsinställningar i andra respektive områden (till exempel nätverkssäkerhet, hantering av säkerhetsrisker för hållning, identitet och privilegierad åtkomst samt loggning och hotidentifiering) också finns på plats för att ge ett skydd på djupet för slutpunkten.
- Prioritera slutpunktssäkerheten i produktionsmiljön men se till att icke-produktionsmiljöer (till exempel test- och byggmiljö som används i DevOps-processen) också skyddas och övervakas, eftersom dessa miljöer också kan användas för att introducera skadlig kod och säkerhetsrisker i produktionsmiljön.
Implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
GS-10: Definiera och implementera DevOps-säkerhetsstrategi
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Allmän vägledning: Ge säkerhetskontrollerna mandat som en del av organisationens Utvecklings- och driftstandard för DevOps. Definiera säkerhetsmål, kontrollkrav och verktygsspecifikationer i enlighet med företags- och molnsäkerhetsstandarder i din organisation.
Uppmuntra användningen av DevOps som en viktig driftsmodell i din organisation för dess fördelar med att snabbt identifiera och åtgärda sårbarheter med olika typer av automatiseringar (till exempel infrastruktur som kodetablering och automatiserad SAST- och DAST-genomsökning) i hela CI/CD-arbetsflödet. Den här metoden "skift vänster" ökar också synligheten och möjligheten att framtvinga konsekventa säkerhetskontroller i distributionspipelinen och effektivt distribuera skyddsräcken i miljön i förväg för att undvika säkerhetsöverraskningar i sista minuten när du distribuerar en arbetsbelastning till produktion.
När du flyttar säkerhetskontroller till fördistributionsfaserna implementerar du skyddsräcken för att säkerställa att kontrollerna distribueras och framtvingas under hela DevOps-processen. Den här tekniken kan innehålla resursdistributionsmallar (till exempel Azure ARM-mall) för att definiera skyddsräcken i IaC (infrastruktur som kod), resursetablering och granskning för att begränsa vilka tjänster eller konfigurationer som kan etableras i miljön.
För körningssäkerhetskontrollerna för din arbetsbelastning följer du Microsoft Cloud Security Benchmark för att utforma och implementera effektiva kontroller, till exempel identitet och privilegierad åtkomst, nätverkssäkerhet, slutpunktssäkerhet och dataskydd i dina arbetsbelastningsprogram och tjänster.
Implementering och ytterligare kontext:
- Microsoft benchmark för molnsäkerhet – DevOps-säkerhet
- Säker DevOps
- Cloud Adoption Framework – DevSecOps styrallmän vägledningKundens säkerhetsintressenter (Läs mer)**:
- Alla intressenter
GS-11: Definiera och implementera säkerhetsstrategi för flera moln
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Saknas | Saknas | Saknas |
Allmän vägledning: Se till att en strategi för flera moln definieras i din moln- och säkerhetsstyrnings-, riskhanterings- och åtgärdsprocess som bör innehålla följande aspekter:
- Implementering av flera moln: För organisationer som använder infrastruktur för flera moln och utbilda din organisation för att säkerställa att teamen förstår funktionsskillnaden mellan molnplattformarna och teknikstacken. Skapa, distribuera och/eller migrera lösningar som är portabla. Möjliggör enkel rörlighet mellan molnplattformar med minsta leverantörslåsning samtidigt som molnbaserade funktioner används på ett lämpligt sätt för optimala resultat från molnimplementeringen.
- Moln- och säkerhetsåtgärder: Effektivisera säkerhetsåtgärder för att stödja lösningar i varje moln, genom en central uppsättning styrnings- och hanteringsprocesser som delar vanliga driftsprocesser, oavsett var lösningen distribueras och drivs.
- Verktygs- och teknikstack: Välj lämplig verktygsuppsättning som stöder miljöer med flera moln för att hjälpa dig att upprätta enhetliga och centraliserade hanteringsplattformar som kan innehålla alla säkerhetsdomäner som beskrivs i det här säkerhetsmåttet.
Implementering och ytterligare kontext: