Ukázkové příkazy zásad standardních hodnot zabezpečeníSecurity Baseline sample policy statements

Jednotlivé příkazy zásad cloudu jsou pokyny pro řešení konkrétních rizik zjištěných během procesu posouzení rizik.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Tyto příkazy by měly poskytnout stručné shrnutí rizik a plánů, které je třeba řešit.These statements should provide a concise summary of risks and plans to deal with them. Každá definice příkazu by měla obsahovat tyto informace:Each statement definition should include these pieces of information:

  • Technické riziko: Souhrn rizika, které tato zásada bude řešit.Technical risk: A summary of the risk this policy will address.
  • Prohlášení o zásadách: Jasné souhrnné vysvětlení požadavků zásad.Policy statement: A clear summary explanation of the policy requirements.
  • Technické možnosti: Užitečná doporučení, specifikace nebo další pokyny, které mohou týmy IT a vývojáři použít při implementaci těchto zásad.Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

Následující vzorové příkazy zásad řeší běžná obchodní rizika související se zabezpečením.The following sample policy statements address common security-related business risks. Tyto příkazy jsou příklady, na které můžete odkazovat při konceptech příkazů zásad, které řeší potřeby vaší organizace.These statements are examples you can reference when drafting policy statements to address your organization's needs. Tyto příklady se nepovažují za podrobné a některé možnosti zásad se týkají každého identifikovaného rizika.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Pracujte úzce se společnostmi, zabezpečením a týmy IT a Identifikujte nejlepší zásady pro Vaši jedinečnou sadu rizik.Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

Klasifikace prostředkůAsset classification

Technické riziko: Prostředky, které nejsou správně identifikované jako kritické nebo které obsahují citlivá data, nemusí přijímat dostatečné ochrany, což vede k potenciálním únikům dat nebo výpadkům v podniku.Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

Prohlášení o zásadách: Všechny nasazené prostředky musí být rozdělené do kategorií podle závažnosti a klasifikace dat.Policy statement: All deployed assets must be categorized by criticality and data classification. Klasifikace musí před nasazením do cloudu zkontrolovat tým pro řízení cloudu a vlastník aplikace.Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

Potenciální možnost návrhu: Stanovte standardy označování prostředků a zajistěte, aby je zaměstnanci oddělení IT konzistentně použili u všech nasazených prostředků pomocí značek prostředků Azure.Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

Šifrování datData encryption

Technické riziko: Existuje riziko, že chráněná data se během úložiště zveřejňují.Technical risk: There is a risk of protected data being exposed during storage.

Prohlášení o zásadách: Všechna chráněná data musí být v klidovém stavu zašifrovaná.Policy statement: All protected data must be encrypted when at rest.

Potenciální možnost návrhu: V článku Přehled šifrování Azure najdete diskuzi o tom, jak se na platformě Azure provádějí šifrování na základě dat.Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. Také je potřeba vzít v úvahu další ovládací prvky, jako je například šifrování dat a kontrola nad tím, jak lze změnit nastavení účtu úložiště.Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

Izolace sítěNetwork isolation

Technické riziko: Připojení mezi sítěmi a podsítěmi v rámci sítí přináší potenciální ohrožení zabezpečení, které může vést k úniku dat nebo přerušení služeb důležitých pro klíčové služby.Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

Prohlášení o zásadách: Podsítě sítě obsahující chráněná data musí být izolované od všech ostatních podsítí.Policy statement: Network subnets containing protected data must be isolated from any other subnets. Síťový provoz mezi podsítěmi chráněných dat je třeba pravidelně auditovat.Network traffic between protected data subnets is to be audited regularly.

Potenciální možnost návrhu: V Azure se izolace sítě a podsítě spravují prostřednictvím azure Virtual Network.Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

Zabezpečený externí přístupSecure external access

Technické riziko: Povolení přístupu k úlohám z veřejného Internetu představuje riziko vniknutí v důsledku neoprávněného vystavení dat nebo narušení podniku.Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

Prohlášení o zásadách: K žádné podsíti obsahující chráněná data se dá přímo získat přímý pøístup přes veřejné Internet nebo přes datová centra.Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. Přístup k těmto podsítím musí být směrován prostřednictvím zprostředkujících podsítí.Access to those subnets must be routed through intermediate subnets. Veškerý přístup k těmto podsítím se musí nacházet prostřednictvím řešení brány firewall schopnýho provádět funkce kontroly a blokování paketů.All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

Potenciální možnost návrhu: V Azure Zabezpečte veřejné koncové body nasazením hraniční sítě mezi veřejným internetem a vaší cloudovou sítí.Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Zvažte nasazení, konfiguraci a automatizaci Azure firewall.Consider deployment, configuration, and automation of Azure Firewall.

Ochrana před útoky DDoSDDoS protection

Technické riziko: K distribuovaným útokům DOS (Denial of Service) může dojít v případě výpadku.Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

Prohlášení o zásadách: Nasaďte automatizované mechanismy pro zmírnění DDoS do všech veřejně přístupných koncových bodů sítě.Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. Žádný veřejný webový server, na který se IaaS, by neměl být vystavený pro Internet bez DDoS.No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

Potenciální možnost návrhu: Azure DDoS Protection Standard můžete použít k minimalizaci výpadků způsobených útoky DDoS.Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

Zabezpečené místní připojeníSecure on-premises connectivity

Technické riziko: Nešifrovaný provoz mezi vaší cloudovou sítí a místním prostředím přes veřejný Internet je zranitelný vůči zachytávání a představuje riziko úniku dat.Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

Prohlášení o zásadách: Všechna připojení mezi místními a cloudovou sítí musí probíhat buď prostřednictvím zabezpečeného šifrovaného připojení VPN nebo vyhrazeného privátního propojení WAN.Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

Potenciální možnost návrhu: V Azure použijte ExpressRoute nebo Azure VPN k vytvoření privátního připojení mezi místními a cloudovou sítí.Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

Monitorování a vynucování sítěNetwork monitoring and enforcement

Technické riziko: Změny konfigurace sítě mohou vést k novým chybám zabezpečení a rizikům při expozici dat.Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

Prohlášení o zásadách: Nástroje zásad správného řízení musí auditovat a vymáhat požadavky na konfiguraci sítě definované týmem standardních hodnot zabezpečení.Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

Potenciální možnost návrhu: V Azure se síťová aktivita dá monitorovat pomocí azure Network Watchera Azure Security Center může pomoci identifikovat slabá místa zabezpečení.Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. Azure Policy umožňuje omezit síťové prostředky a zásady konfigurace prostředků v závislosti na omezeních definovaných týmem zabezpečení.Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

Kontrola zabezpečeníSecurity review

Technické riziko: V průběhu času vzroste nové bezpečnostní hrozby a typy útoků a zvyšuje riziko vystavení nebo přerušení vašich cloudových prostředků.Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

Prohlášení o zásadách: Díky trendům a potenciálním útokům, které by mohly mít vliv na nasazení v cloudu, je třeba pravidelně kontrolovat bezpečnostní tým, aby poskytoval aktualizace nástrojů pro základní zabezpečení, které se používají v cloudu.Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

Potenciální možnost návrhu: Navažte běžnou schůzku kontroly zabezpečení, která zahrnuje relevantní členy týmu IT a zásad správného řízení.Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. Projděte si stávající data a metriky zabezpečení a zaveďte mezery v aktuálních zásadách a nástrojích základní úrovně zabezpečení a aktualizujte zásady tak, aby opravily všechna nová rizika.Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. Pomocí Azure Advisor a Azure Security Center získáte užitečné poznatky o nově vznikajících hrozbách, které jsou specifické pro vaše nasazení.Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

Další krokyNext steps

Použijte ukázky uvedené v tomto článku jako výchozí bod pro vývoj zásad, které řeší konkrétní bezpečnostní rizika, která odpovídají vašim plánům pro přijetí v cloudu.Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

Pokud chcete začít vyvíjet vlastní příkazy zásad standardních hodnot zabezpečení, Stáhněte si šablonu pro směrný plán zabezpečení.To begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

Pokud chcete zrychlit přijetí této disciplíny, vyberte akčního Průvodce zásad správného řízení , který nejlépe zarovnává vaše prostředí.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Pak upravte návrh tak, aby zahrnoval konkrétní podniková rozhodnutí o zásadách.Then modify the design to incorporate your specific corporate policy decisions.

Sestavování rizik a tolerance, zavedení procesu řízení a komunikace s dodržováním zásad standardních hodnot zabezpečení.Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.