Procesy dodržování předpisů zásad standardních hodnot zabezpečeníSecurity Baseline policy compliance processes

Tento článek popisuje přístup k zásadám, které přistupují k zásadám, které určují základnu standardních hodnot zabezpečení.This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. Efektivní řízení cloudového zabezpečení začíná s opakovanými ručními procesy navrženými pro detekci ohrožení zabezpečení a stanovení zásad, které tyto bezpečnostní rizika napravují.Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. To vyžaduje pravidelné zapojení týmu zásad správného řízení cloudu a zúčastněných podnikatelských a zúčastněných stran, aby zkontrolovali a aktualizovali zásady a zajistili dodržování zásad.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Mnoho probíhajících procesů monitorování a vynucení je navíc možné automatizovat nebo doplňovat pomocí nástrojů, aby se snížila režie řízení a byla umožněna rychlejší reakce na odchylku zásad.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Plánování, kontrola a vytváření sestav procesůPlanning, review, and reporting processes

Nejlepší nástroje pro základní zabezpečení v cloudu jsou stejně vhodné jako procesy a zásady, které podporují.The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. Následuje sada ukázkových procesů, které se běžně podílejí na směrném plánu zabezpečení.The following is a set of example processes commonly involved in the Security Baseline discipline. Tyto příklady použijte jako výchozí bod při plánování procesů, které vám umožní pokračovat v aktualizaci zásad zabezpečení na základě změny firmy a zpětné vazby od týmů zabezpečení a IT, které jsou na zpracování pokynů zásad správného řízení.Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

Prvotní posouzení rizik a plánování: V rámci prvotního přijetí pravidla směrného plánu zabezpečení Identifikujte základní obchodní rizika a tolerance týkající se zabezpečení cloudu.Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. Tyto informace slouží k projednání specifických technických rizik se členy svých týmů IT a zabezpečení a vyvine základní sadu zásad zabezpečení pro zmírnění těchto rizik, aby bylo možné vytvořit počáteční strategii zásad správného řízení.Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Plánování nasazení: Před nasazením jakékoli úlohy nebo assetu proveďte kontrolu zabezpečení a Identifikujte všechna nová rizika a ujistěte se, že jsou splněné všechny požadavky na zásady přístupu a zabezpečení dat.Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

Testování nasazení: V rámci procesu nasazení u jakékoli úlohy nebo prostředku bude tým zásad správného řízení cloudu ve spolupráci s vašimi podnikovými bezpečnostními týmy zodpovědný za kontrolu nasazení za účelem ověření dodržování zásad zabezpečení.Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

Roční plánování: V ročních intervalech udělejte nejdůležitější kontrolu zabezpečení základní strategie.Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. Seznamte se s budoucími podnikovými prioritami a aktualizujte strategie pro přijetí cloudu, abyste mohli identifikovat potenciální zvýšení rizika a další vznikající požadavkyExplore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. Tuto dobu můžete také použít ke kontrole nejnovějších osvědčených postupů zabezpečení standardních hodnot a jejich integraci do vašich zásad a kontrole procesů.Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

Čtvrtletní přezkoumání a plánování: Každý čtvrtletní základ provede přezkoumání dat auditu zabezpečení a sestav incidentů k identifikaci změn požadovaných v zásadách zabezpečení.Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. V rámci tohoto procesu si Projděte aktuální kyberbezpečnosti na šířku, abyste proaktivně předpokládali vznikající hrozby a podle potřeby aktualizovali zásady.As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. Po dokončení kontroly zarovnejte pokyny k návrhu s aktualizovanými Zásadami.After the review is complete, align design guidance with updated policy.

Tento proces plánování je také vhodný čas k vyhodnocení aktuálního členství týmu zásad správného řízení v souvislosti s novými nebo měnícími se zásadami a riziky souvisejícími se zabezpečením.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. Přizvat relevantní pracovníky IT k účasti na recenzích a plánování jako na dočasné technické poradce nebo na trvalé členy týmu.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Vzdělávání a školení: Na bimonthly jsou nabízené cvičení, které zajistí, že pracovníci IT a vývojáři budou v aktuálním stavu na nejnovější požadavky zásad zabezpečení.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. V rámci tohoto procesu zkontrolujte a aktualizujte jakoukoli dokumentaci, pokyny nebo další školicí materiály, abyste se ujistili, že jsou synchronizované s nejnovějšími podnikovými příkazy zásad.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Revize měsíčního auditu a vytváření sestav: Po měsících proveďte audit všech nasazení cloudu a zajistěte tak jejich pokračující sbližování pomocí zásad zabezpečení.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. Projděte si aktivity související se zabezpečením zaměstnanců IT a identifikujte všechny problémy s dodržováním předpisů, které se ještě nezpracovávají v rámci probíhajícího monitorování a procesu vynucení.Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. Výsledkem této recenze je sestava týmu cloudové strategie a každého týmu pro přijetí cloudu, který oznamuje celkové dodržování zásad.The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Sestava je také uložená pro účely auditování a právní účely.The report is also stored for auditing and legal purposes.

Procesy pro průběžné monitorováníProcesses for ongoing monitoring

Úspěšná strategie standardních hodnot zabezpečení je úspěšná, závisí na viditelnosti aktuálního a minulého stavu cloudové infrastruktury.A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. Bez možnosti analyzovat relevantní metriky a data stavu a aktivity zabezpečení cloudových prostředků nemůžete identifikovat změny vašich rizik nebo zjistit porušení rizik.Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. Probíhající procesy zásad správného řízení popsané výše vyžadují kvalitní data, aby bylo zajištěno, že zásady je možné upravit tak, aby lépe chránily vaši infrastrukturu před měnícími se hrozbami a požadavkyThe ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

Ujistěte se, že vaše týmy zabezpečení a IT mají implementovány automatizované monitorovací systémy pro cloudovou infrastrukturu, které zachycují relevantní data protokolů, které potřebujete k vyhodnocení rizik.Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. Proaktivně monitorujte tyto systémy, abyste se ujistili, že se vyzvat k detekci a zmírnění potenciálního porušení zásad a zajistili jsme strategii monitorování v souladu s požadavky na zabezpečení.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

Aktivační události porušení a akce vynuceníViolation triggers and enforcement actions

Vzhledem k tomu, že nedodržování předpisů může vést ke kritickému a bezpečnostnímu riziku a narušením služeb, tým zásad správného řízení cloudu by měl mít přehled o závažných porušeních zásad.Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. Ujistěte se, že zaměstnanci oddělení IT mají jasné cesty k eskalaci pro oznamování problémů zabezpečení členům týmu zásad správného řízení, které nejlépe vyhovují, aby identifikovali a ověřili, že byly problémy se zásadami omezenyEnsure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

Po zjištění porušení byste měli provést akce, aby se zásady znovu zarovnaly co nejdřív.When violations are detected, you should take actions to realign with policy as soon as possible. Váš IT tým může automatizovat aktivační události narušení pomocí nástrojů, které jsou uvedené v části Security Baseline sada nástrojů for Azure.Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

Následující triggery a akce vynucení poskytují příklady, které vám pomůžou při plánování použití dat monitorování k řešení porušení zásad:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Bylo zjištěno zvýšení počtu útoků.Increase in attacks detected. Pokud některý z prostředků funguje o 25% v případě útoků hrubou silou nebo DDoSch útoků, prodiskutujte se s personálem zabezpečení IT a vlastníkem úloh, abyste zjistili nápravIf any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. Sledujte pokyny k potížím a aktualizacím, pokud je nutná revize zásad, aby nedocházelo k budoucím incidentům.Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • Byla zjištěna neklasifikovaná data.Unclassified data detected. Veškerý zdroj dat bez vhodné klasifikace ochrany osobních údajů, zabezpečení nebo obchodní dopad bude mít odepřený externí přístup, dokud se klasifikace neuplatní vlastníkem dat a pokud se použije odpovídající úroveň ochrany dat.Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • Zjistil se problém se stavem zabezpečení.Security health issue detected. Zakáže přístup k žádným virtuálním počítačům, které mají známý přístup nebo zjištěné chyby zabezpečení malwaru, dokud nebude možné nainstalovat příslušné opravy nebo bezpečnostní software.Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. Aktualizujte pokyny zásad na účet pro všechny nově zjištěné hrozby.Update policy guidance to account for any newly detected threats.
  • Zjištěna ohrožení zabezpečení sítě.Network vulnerability detected. Přístup k jakémukoli prostředku, který není výslovně povolený zásadami přístupu k síti, by měl aktivovat upozornění pro pracovníky zabezpečení IT a příslušného vlastníka úlohy.Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. Sledujte pokyny k potížím a aktualizacím, pokud je nutná revize zásad pro zmírnění budoucích incidentů.Track issue and update guidance if policy revision is necessary to mitigate future incidents.

Další krokyNext steps

Pomocí šablony pravidla směrného plánu zabezpečení můžete zdokumentovat procesy a triggery, které odpovídají aktuálnímu plánu přijetí do cloudu.Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Pokyny k provádění zásad správy cloudu ve srovnání s plány přijetí najdete v článku zlepšování oborů.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.