安全性控制 v3:治理和策略
治理和策略提供指引,以確保一致的安全性策略和記載的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略和支援原則和標準。
GS-1:調整組織角色、責任和責任
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
Azure 指引:確定您定義並傳達安全性組織中角色和責任的明確策略。 優先為安全性決策提供清楚的權責、讓每個人熟知共同責任模型,並讓技術團隊熟知保護雲端的技術。
實作和其他內容:
- Azure 安全性最佳做法 1 – 人員:讓小組熟知雲端安全性旅程 (機器翻譯)
- Azure 安全性最佳做法 2 - 人員:讓小組熟知雲端安全性技術 (機器翻譯)
- Azure 安全性最佳做法 3 - 流程:指派雲端安全性決策的權責 (機器翻譯)
客戶安全性專案關係人 (深入瞭解) :
GS-2:定義及實作企業區隔/區分職責策略
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.12 | AC-4、SC-7、SC-2 | 1.2, 6.4 |
Azure 指引:建立全企業策略,使用身分識別、網路、應用程式、訂用帳戶、管理群組和其他控制項的組合來分割資產的存取權。
審慎權衡安全性區隔的需求,以及需要與彼此通訊並存取資料的啟用每日作業需求。
請確定在工作負載中一致地實作分割策略,包括網路安全性、身分識別和存取模型,以及應用程式許可權/存取模型,以及人為程式控制。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-3:定義及實作資料保護策略
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
Azure 指引:在 Azure 中建立資料保護的全企業策略:
- 根據企業資料管理標準和法規合規性定義並套用資料分類和保護標準,以指定每個資料分類層級所需的安全性控制。
- 設定符合企業分割策略的雲端資源管理階層。 企業分割策略也應傳達至敏感性或業務關鍵資料和系統的所在位置。
- 在您的雲端環境中定義並套用適用的零信任原則,以避免根據周邊網路位置實作信任。 請改用裝置和使用者信任宣告來閘道存取資料和資源。
- 追蹤和最小化敏感性資料使用量 (儲存體、傳輸和處理) 整個企業,以減少受攻擊面和資料保護成本。 請考慮盡可能在工作負載中使用單向雜湊、截斷和權杖化等技術,以避免以原始形式儲存和傳輸敏感性資料。
- 請確定您有完整的生命週期管理原則,以提供資料和存取金鑰的安全性保證。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-4:定義及實作網路安全性策略
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
Azure 指引:建立 Azure 網路安全性策略,作為組織整體安全性策略的一部分,以進行存取控制。 此策略應該包含下列項目的已記載指引、原則和標準:
- 設計集中式/分散式網路管理和安全性責任模型,以部署和維護網路資源。
- 與企業分割策略一致的虛擬網路分割模型。
- 網際網路邊緣和輸入和輸出策略。
- 混合式雲端和內部部署互連性策略。
- 網路監視和記錄策略。
- 最新的網路安全性成品 (,例如網狀圖、參考網路架構) 。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-5:定義及實作安全性狀態管理原則
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 4.1、4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure 指引:建立原則、程式和標準,以確保安全性設定管理和弱點管理已就緒于雲端安全性授權中。
Azure 中的安全性組態管理應包含下欄區域:
- 定義雲端中不同資源類型的安全設定基準,例如Azure 入口網站、管理和控制平面,以及 IaaS、PaaS 和 SaaS 服務中執行的資源。
- 確保安全性基準可解決不同控制區域中的風險,例如網路安全性、身分識別管理、特殊許可權存取、資料保護等等。
- 使用工具來持續測量、稽核及強制執行設定,以防止設定偏離基準。
- 開發使用 Azure 安全性功能保持更新的步調,例如訂閱服務更新。
- 利用 Azure 適用於雲端的 Defender中的安全分數,定期檢閱 Azure 的安全性設定狀態,並補救所識別的差距。
Azure 中的弱點管理應包含下列安全性層面:
- 定期評估並補救所有雲端資源類型的弱點,例如 Azure 原生服務、作業系統和應用程式元件。
- 使用風險型方法來排定評量和補救的優先順序。
- 訂閱相關的 Microsoft/Azure 安全性諮詢通知和部落格,以接收有關 Azure 的最新安全性更新。
- 請確定弱點評量和補救 (,例如排程、範圍和技術) 符合組織的定期合規性需求。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-6:定義及實作身分識別和特殊許可權存取策略
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
Azure 指引:建立 Azure 身分識別和特殊許可權存取方法,作為組織整體安全性存取控制策略的一部分。 此策略應包含下列層面的記載指引、原則和標準:
- 集中式身分識別和驗證系統 (Azure AD) 及其與其他內部和外部身分識別系統的互連性
- 特殊許可權身分識別和存取治理 (,例如存取要求、檢閱和核准)
- 緊急 (斷) 情況的特殊許可權帳戶
- 強式驗證 (不同使用案例和條件中的無密碼驗證和多重要素驗證) 方法
- 透過 Azure 入口網站、CLI 和 API 管理作業來保護存取。
針對未使用企業系統的例外狀況,請確定已備妥適當的安全性控制,以進行身分識別、驗證和存取管理,以及控管。 企業小組應核准並定期檢閱這些例外狀況。 這些例外狀況通常是在下列情況中:
- 使用非企業指定的身分識別和驗證系統,例如雲端式協力廠商系統, (可能會造成未知的風險)
- 在本機和/或使用非強式驗證方法的特殊許可權使用者
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-7:定義及實作記錄、威脅偵測和事件回應策略
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
Azure 指引:建立記錄、威脅偵測和事件回應策略,以快速偵測和補救威脅,並符合合規性需求。 安全性作業 (SecOps / SOC) 小組應優先處理高品質警示和順暢的體驗,讓他們可以專注于威脅,而不是記錄整合和手動步驟。
此策略應包含下列層面的記載原則、程式和標準:
- 安全性作業 (SecOps) 組織的角色和責任
- 妥善定義且定期測試的事件回應計畫與處理常式,與 NIST 或其他產業架構一致。
- 與客戶、供應商和感興趣的公開合作物件通訊和通知計畫。
- 偏好使用擴充偵測和回應 (XDR) 功能,例如 Azure Defender 功能,以偵測各種區域中的威脅。
- 使用 Azure 原生功能 (,例如適用於雲端的 Microsoft Defender) 和協力廠商平臺來處理事件,例如記錄和威脅偵測、鑒識和攻擊補救和修復。
- 定義重要案例 (,例如威脅偵測、事件回應和合規性) ,以及設定記錄擷取和保留,以符合案例需求。
- 使用 SIEM、原生 Azure 威脅偵測功能和其他來源,集中查看和相互關聯資訊。
- 事件後活動,例如學到的課程和辨識項保留。
實作和其他內容:
- Azure 安全性效能評定 - 記錄與威脅偵測
- Azure 安全性效能評定 - 事件回應
- Azure 安全性最佳做法 4 - 程式。 更新雲端的事件回應程式
- Azure 採用架構、記錄與報告決策指南
- Azure 企業規模、管理與監視 (機器翻譯)
客戶安全性專案關係人 (深入瞭解) :
GS-8:定義及實作備份和復原策略
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 11.1 | CP-1、CP-9、CP-10 | 3.4 |
Azure 指引:為您的組織建立 Azure 備份和復原策略。 此策略應包含下列層面的記載指引、原則和標準:
- 復原時間目標 (RTO) 和復原點目標, (RPO) 定義,根據您的商務復原目標,以及法規合規性需求。
- 備援設計 (,包括雲端和內部部署中應用程式和基礎結構中的備份、還原和複寫) 。 請考慮區域、區域配對、跨區域復原和異地儲存位置,作為策略的一部分。
- 保護備份免于未經授權的存取,並使用資料存取控制、加密和網路安全性等控制措施進行強化。
- 使用備份和復原來降低新興威脅的風險,例如勒索軟體攻擊。 此外,也保護備份和復原資料本身免于遭受這些攻擊。
- 監視備份和復原資料,以及用於稽核和警示用途的作業。
實作和其他內容:
- Azure 安全性效能評定 - 備份和復原
- Azure Well-Architecture Framework - Azure 應用程式的備份和災害復原
- Azure 採用架構-商務持續性和災害復原
- 備份和還原計劃以防止勒索軟體
客戶安全性專案關係人 (深入瞭解) :
GS-9:定義及實作端點安全性策略
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2、SI-3、SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure 指引:建立雲端端點安全性策略,其中包含下列層面:
- 將端點偵測及回應和反惡意程式碼功能部署到您的端點,並與威脅偵測和安全性作業程式整合。
- 遵循 Azure 安全性基準測試,以確保其他個別區域中的端點相關安全性設定 (,例如網路安全性、狀態弱點管理、身分識別和特殊許可權存取,以及記錄和威脅偵測) 也已備妥,為您的端點提供深度防禦防護。
- 在生產環境中設定端點安全性的優先順序,但請確定非生產環境 (,例如DevOps程式中所使用的測試和建置環境) 也受到保護及監視,因為這些環境也可以用來將惡意程式碼和弱點引入生產環境。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-10:定義及實作DevOps安全性策略
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure 指引:將安全性控制規定為組織DevOps工程和作業標準的一部分。 根據組織中的企業和雲端安全性標準,定義安全性目標、控制需求和工具規格。
鼓勵在組織中使用DevOps作為基本作業模型,以利快速識別和補救使用不同類型的自動化 (弱點,例如基礎結構即程式碼布建,以及自動化 SAST 和 DAST 掃描在整個 CI/CD 工作流程中) 。 此「左移」方法也會提高在部署管線中強制執行一致安全性檢查的可見度和能力,並事先有效地將安全性護欄部署至環境,以避免在將工作負載部署到生產環境時發生最後一分鐘的安全性意外狀況。
將安全性控制項向左移轉至部署前階段時,請實作安全性護欄,以確保在整個DevOps程式中部署和強制執行控制項。 這項技術可能包括 Azure ARM 範本,在 IaC (基礎結構中定義護欄,作為程式碼) 、資源布建和Azure 原則,以稽核及限制哪些服務或設定可以布建到環境中。
針對工作負載的執行時間安全性控制,請遵循 Azure 安全性效能評定來設計和實作有效控制措施,例如身分識別和特殊許可權存取、網路安全性、端點安全性,以及工作負載應用程式和服務內的資料保護。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :