Security Control v3: Styrning och strategi
Styrning och strategi ger vägledning för att säkerställa en sammanhängande säkerhetsstrategi och en dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder.
GS-1: Justera organisationsroller, ansvarsområden och ansvarsområden
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Azure-vägledning: Se till att du definierar och kommunicerar en tydlig strategi för roller och ansvarsområden i din säkerhetsorganisation. Prioritera att delegera ett tydligt ansvar för olika säkerhetsbeslut och utbilda alla kring modellen med gemensamt ansvar, och ge de tekniska teamen den utbildning som behövs kring tekniken för att skydda molnet.
Implementering och ytterligare kontext:
- Regelverk för Azure-säkerhet 1 – personal: utbilda teamen om molnsäkerhetsresan
- Regelverk för Azure-säkerhet 2 – personal: utbilda teamen om molnsäkerhetstekniken
- Regelverk för Azure-säkerhet 3 – personal: tilldela ansvar för molnsäkerhetsbeslut
Intressenter för kundsäkerhet (läs mer):
GS-2: Definiera och implementera företagsstrategi för segmentering/uppdelning av uppgifter
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Azure-vägledning: Upprätta en företagsomfattande strategi för att segmentera åtkomsten till tillgångar med hjälp av en kombination av identitet, nätverk, program, prenumeration, hanteringsgrupp och andra kontroller.
Du måste noga avväga behovet av separationsskyddet med behovet att underlätta den dagliga driften av de system som måste kommunicera med varandra och komma åt data.
Se till att segmenteringsstrategin implementeras konsekvent i arbetsbelastningen, inklusive nätverkssäkerhet, identitets- och åtkomstmodeller samt programbehörighets-/åtkomstmodeller och mänskliga processkontroller.
Implementering och ytterligare kontext:
- Säkerhet i Microsoft Cloud Adoption Framework för Azure – segmentering: Separat för att skydda
- Säkerhet i Microsoft Cloud Adoption Framework för Azure – Arkitektur: upprätta en enda enhetlig säkerhetsstrategi
Intressenter för kundsäkerhet (läs mer):
GS-3: Definiera och implementera dataskyddsstrategi
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Azure-vägledning: Upprätta en företagsomfattande strategi för dataskydd i Azure:
- Definiera och tillämpa dataklassificerings- och skyddsstandarden i enlighet med företagets datahanteringsstandard och regelefterlevnad för att diktera de säkerhetskontroller som krävs för varje nivå av dataklassificeringen.
- Konfigurera din molnresurshanteringshierarki som är anpassad efter företagets segmenteringsstrategi. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.
- Definiera och tillämpa tillämpliga principer för noll förtroende i din molnmiljö för att undvika att implementera förtroende baserat på nätverksplats inom en perimeter. Använd i stället anspråk för enhets- och användarförtroende för att ge åtkomst till data och resurser.
- Spåra och minimera känsligt datafotavtryck (lagring, överföring och bearbetning) i hela företaget för att minska kostnaden för angreppsytan och dataskyddet. Överväg tekniker som enkelriktad hashning, trunkering och tokenisering i arbetsbelastningen där det är möjligt, för att undvika att lagra och överföra känsliga data i dess ursprungliga form.
- Se till att du har en fullständig strategi för livscykelkontroll för att ge säkerhetsgaranti för data och åtkomstnycklar.
Implementering och ytterligare kontext:
- Azure Security Benchmark – dataskydd
- Cloud Adoption Framework – regelverk kring datasäkerhet och kryptering i Azure
- Grundläggande Azure-säkerhet – säkerhet, kryptering och lagring av data i Azure
Intressenter för kundsäkerhet (läs mer):
GS-4: Definiera och implementera en strategi för nätverkssäkerhet
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure-vägledning: Upprätta en azure-strategi för nätverkssäkerhet som en del av organisationens övergripande säkerhetsstrategi för åtkomstkontroll. Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
- Utforma en centraliserad/decentraliserad modell för nätverkshantering och säkerhetsansvar för att distribuera och underhålla nätverksresurser.
- En segmenteringsmodell för virtuellt nätverk som är anpassad till segmenteringsstrategin för företag.
- En internet-gräns och en strategi för ingress och utgående trafik.
- En strategi för hybridmoln och lokal sammanlänkning.
- En strategi för nätverksövervakning och loggning.
- En uppdaterad nätverkssäkerhetsartefakter (till exempel nätverksdiagram, referensnätverksarkitektur).
Implementering och ytterligare kontext:
- Metodtips för Azure Security 11 – arkitektur. Enkel enhetlig säkerhetsstrategi
- Azure Security Benchmark – nätverkssäkerhet
- Översikt över nätverkssäkerhet i Azure
- En strategi för företagets nätverksarkitektur
Intressenter för kundsäkerhet (läs mer):
GS-5: Definiera och implementera strategi för hantering av säkerhetsstatus
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure-vägledning: Upprätta en princip, procedur och standard för att säkerställa att säkerhetskonfigurationshanteringen och hantering av säkerhetsrisker finns på plats i ditt molnsäkerhetsmandat.
Säkerhetskonfigurationshanteringen i Azure bör innehålla följande områden:
- Definiera säkra konfigurationsbaslinjer för olika resurstyper i molnet, till exempel Azure Portal, hanterings- och kontrollplanet och resurser som körs i IaaS-, PaaS- och SaaS-tjänsterna.
- Se till att säkerhetsbaslinjerna hanterar riskerna i olika kontrollområden, till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst, dataskydd och så vidare.
- Använd verktyg för att kontinuerligt mäta, granska och framtvinga konfigurationen för att förhindra att konfigurationen avviker från baslinjen.
- Utveckla en takt för att hålla uppdateringen uppdaterad med Azure-säkerhetsfunktioner, till exempel prenumerera på tjänstuppdateringarna.
- Använd Säkerhetspoäng i Azure Defender för molnet för att regelbundet granska Azures säkerhetskonfigurationsstatus och åtgärda de identifierade luckorna.
Hantering av säkerhetsrisker i Azure bör innehålla följande säkerhetsaspekter:
- Utvärdera och åtgärda säkerhetsproblem regelbundet i alla typer av molnresurser, till exempel inbyggda Azure-tjänster, operativsystem och programkomponenter.
- Använd en riskbaserad metod för att prioritera utvärdering och reparation.
- Prenumerera på relevanta säkerhetsmeddelanden och bloggar från Microsoft/Azure för att få de senaste säkerhetsuppdateringarna om Azure.
- Se till att sårbarhetsbedömningen och reparationen (till exempel schema, omfång och tekniker) uppfyller de regelbundna efterlevnadskraven för din organisation.
Implementering och ytterligare kontext:
- Azure Security Benchmark – hantering av säkerhetspositionen och säkerhetsrisker
- Metodtips för Azure-säkerhet 9 – Upprätta hantering av säkerhetsstatus
Intressenter för kundsäkerhet (läs mer):
GS-6: Definiera och implementera identitets- och privilegierad åtkomststrategi
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure-vägledning: Upprätta en azure-metod för identitet och privilegierad åtkomst som en del av organisationens övergripande strategi för åtkomstkontroll. Den här strategin bör innehålla dokumenterad vägledning, policy och standarder för följande aspekter:
- Centraliserat identitets- och autentiseringssystem (Azure AD) och dess sammankoppling med andra interna och externa identitetssystem
- Privilegierad identitets- och åtkomststyrning (till exempel åtkomstbegäran, granskning och godkännande)
- Privilegierade konton i nödsituationssituation (break-glass)
- Stark autentisering (lösenordsfri autentisering och multifaktorautentisering) metoder i olika användningsfall och villkor
- Säker åtkomst av administrativa åtgärder via Azure Portal, CLI och API.
I undantagsfall, där ett företagssystem inte används, ser du till att det finns lämpliga säkerhetskontroller för identitets-, autentiserings- och åtkomsthantering samt styrning. Dessa undantag bör godkännas och regelbundet granskas av företagsteamet. Dessa undantag är vanligtvis i fall som:
- Användning av ett icke-företagsutnämnda identitets- och autentiseringssystem, till exempel molnbaserade tredjepartssystem (kan medföra okända risker)
- Privilegierade användare autentiseras lokalt och/eller använder icke-starka autentiseringsmetoder
Implementering och ytterligare kontext:
- Azure Security Benchmark – hantering av identiteter
- Azure Security Benchmark – privilegierad åtkomst
- Metodtips för Azure-säkerhet 11 – arkitektur. En enda enhetlig säkerhetsstrategi
- Översikt över säker identitetshantering i Azure
Intressenter för kundsäkerhet (läs mer):
GS-7: Definiera och implementera en strategi för loggning, hotidentifiering och incidenthantering
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Azure-vägledning: Upprätta en strategi för loggning, hotidentifiering och incidenthantering för att snabbt identifiera och åtgärda hot och uppfylla efterlevnadskrav. Säkerhetsåtgärdsteamet (SecOps/SOC) bör prioritera aviseringar av hög kvalitet och sömlösa upplevelser så att de kan fokusera på hot i stället för loggintegrering och manuella steg.
Denna strategi bör omfatta dokumenterade principer, förfaranden och standarder för följande aspekter:
- SecOps-organisationens roll och ansvarsområden
- En väldefinierad och regelbundet testad plan för incidenthantering och hanteringsprocess som överensstämmer med NIST eller andra branschramverk.
- Kommunikations- och meddelandeplan med dina kunder, leverantörer och offentliga parter av intresse.
- Föredrar att använda funktioner för utökad identifiering och svar (XDR), till exempel Azure Defender-funktioner för att identifiera hot inom de olika områdena.
- Användning av inbyggda Azure-funktioner (t.ex. som Microsoft Defender för molnet) och plattformar från tredje part för incidenthantering, till exempel loggning och hotidentifiering, kriminaltekniska undersökningar och åtgärd och utrotning av attacker.
- Definiera viktiga scenarier (till exempel hotidentifiering, incidenthantering och efterlevnad) och konfigurera logginsamling och kvarhållning för att uppfylla scenariokraven.
- Centraliserad synlighet för och korrelationsinformation om hot, med hjälp av SIEM, inbyggd azure-hotidentifieringsfunktion och andra källor.
- Aktiviteter efter incident, till exempel lärdomar och kvarhållning av bevis.
Implementering och ytterligare kontext:
- Azure Security Benchmark – loggning och hotidentifiering
- Azure Security Benchmark – svar på incidenter
- Metodtips för Azure-säkerhet 4 – Process. Uppdatera incidenthanteringsprocesser för molnet
- Azure Adoption Framework, guide till beslut om loggning och rapporter
- Hantering och övervakning i företagsskala i Azure
Intressenter för kundsäkerhet (läs mer):
GS-8: Definiera och implementera strategi för säkerhetskopiering och återställning
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Azure-vägledning: Upprätta en strategi för säkerhetskopiering och återställning i Azure för din organisation. Den här strategin bör innehålla dokumenterad vägledning, policy och standarder i följande aspekter:
- Definitioner för mål för återställningstid (RTO) och mål för återställningspunkt (RPO) i enlighet med dina affärsåterhämtningsmål och regelefterlevnadskrav.
- Redundansdesign (inklusive säkerhetskopiering, återställning och replikering) i dina program och infrastruktur för både i molnet och lokalt. Överväg regionala, regionpar, återställning mellan regioner och lagringsplats utanför platsen som en del av din strategi.
- Skydd av säkerhetskopiering från obehörig åtkomst och härdning med hjälp av kontroller som dataåtkomstkontroll, kryptering och nätverkssäkerhet.
- Användning av säkerhetskopiering och återställning för att minska riskerna från nya hot, till exempel utpressningstrojanattack. Och skydda även själva säkerhetskopierings- och återställningsdata från dessa attacker.
- Övervaka säkerhetskopierings- och återställningsdata och åtgärder i gransknings- och aviseringssyfte.
Implementering och ytterligare kontext:
- Azure Security Benchmark – Backup och återställning
- Azure Well-Architecture Framework – Backup och haveriberedskap för Azure-program
- Azure Adoption Framework – affärskontinuitet och haveriberedskap
- Backup och återställningsplan för att skydda mot utpressningstrojaner
Intressenter för kundsäkerhet (läs mer):
GS-9: Definiera och implementera en strategi för slutpunktssäkerhet
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure-vägledning: Upprätta en strategi för molnslutpunktssäkerhet som omfattar följande aspekter:
- Distribuera funktionen för identifiering och åtgärd på slutpunkt och program mot skadlig kod till slutpunkten och integrera med processen för hotidentifiering och SIEM-lösning och säkerhetsåtgärder.
- Följ Azure Security Benchmark för att säkerställa att slutpunktsrelaterade säkerhetsinställningar inom andra respektive områden (till exempel nätverkssäkerhet, hållning hantering av säkerhetsrisker, identitet och privilegierad åtkomst samt loggning och hotidentifiering) också finns på plats för att tillhandahålla ett skydd på djupet för din slutpunkt.
- Prioritera slutpunktssäkerheten i produktionsmiljön, men se till att icke-produktionsmiljöerna (till exempel test- och byggmiljön som används i DevOps-processen) också skyddas och övervakas, eftersom dessa miljöer också kan användas för att introducera skadlig kod och sårbarheter i produktionen.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
GS-10: Definiera och implementera DevOps-säkerhetsstrategi
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure Guidance: Ge säkerhetskontrollerna mandat som en del av organisationens Utvecklings- och driftstandard för DevOps. Definiera säkerhetsmål, kontrollkrav och verktygsspecifikationer i enlighet med företags- och molnsäkerhetsstandarder i din organisation.
Uppmuntra användningen av DevOps som en viktig driftsmodell i din organisation för dess fördelar med att snabbt identifiera och åtgärda sårbarheter med olika typer av automatiseringar (till exempel infrastruktur som kodetablering och automatiserad SAST- och DAST-genomsökning) i hela CI/CD-arbetsflödet. Den här metoden "skift vänster" ökar också synligheten och möjligheten att framtvinga konsekventa säkerhetskontroller i distributionspipelinen och effektivt distribuera skyddsräcken i miljön i förväg för att undvika säkerhetsöverraskningar i sista minuten när du distribuerar en arbetsbelastning till produktion.
När du flyttar säkerhetskontroller till fördistributionsfaserna implementerar du skyddsräcken för att säkerställa att kontrollerna distribueras och framtvingas under hela DevOps-processen. Den här tekniken kan innehålla Azure ARM-mallar för att definiera skyddsräcken i IaC (infrastruktur som kod), resursetablering och Azure Policy för att granska och begränsa vilka tjänster eller konfigurationer som kan etableras i miljön.
Följ Azure Security Benchmark för att utforma och implementera effektiva kontroller, till exempel identitets- och privilegierad åtkomst, nätverkssäkerhet, slutpunktssäkerhet och dataskydd i dina arbetsbelastningsprogram och tjänster.
Implementering och ytterligare kontext:
- Azure Security Benchmark – DevOps-säkerhet
- Säker DevOps
- Cloud Adoption Framework – DevSecOps-kontroller
Intressenter för kundsäkerhet (läs mer):