Doporučení pro stanovení standardních hodnot zabezpečení

Platí pro doporučení kontrolního seznamu zabezpečení azure Well-Architected Framework:

Z:01	Vytvořte standardní hodnoty zabezpečení odpovídající požadavkům na dodržování předpisů, oborovým standardům a doporučením platforem. Pravidelně měřte architekturu a operace úloh na základě standardních hodnot, abyste udrželi nebo zlepšili stav zabezpečení v průběhu času.

Tato příručka popisuje doporučení pro vytvoření standardních hodnot zabezpečení. Standardní hodnoty zabezpečení jsou dokument, který určuje minimální požadavky a očekávání vaší organizace na zabezpečení v celé řadě oblastí. Dobrý standardní plán zabezpečení vám pomůže:

• Udržujte svá data a systémy v bezpečí.
• Dodržujte zákonné požadavky.
• Minimalizujte riziko dohledu.
• Snižte pravděpodobnost porušení a následných obchodních dopadů.

Standardní hodnoty zabezpečení by se měly publikovat v celé organizaci, aby všichni účastníci věděli o očekáváních.

Tato příručka obsahuje doporučení k nastavení standardních hodnot zabezpečení založených na interních a externích faktorech. Mezi interní faktory patří obchodní požadavky, rizika a hodnocení aktiv. Mezi externí faktory patří oborové srovnávací testy a regulační standardy.

Definice

Období	Definice
Standardní hodnoty	Minimální úroveň zabezpečení, kterou musí úloha mít, aby se zabránilo zneužití.
Srovnávací test	Standard, který označuje stav zabezpečení, o který organizace usiluje. V průběhu času se vyhodnocuje, měří a vylepšuje.
Ovládací prvky	Technické nebo provozní kontroly úloh, které pomáhají předcházet útokům a zvyšovat náklady útočníka.
Zákonné požadavky	Soubor obchodních požadavků založených na oborových standardech, které ukládají zákony a orgány.

Klíčové strategie návrhu

Standardní hodnoty zabezpečení jsou strukturovaný dokument, který definuje sadu kritérií zabezpečení a možností, které musí úloha splnit, aby se zvýšilo zabezpečení. Ve vyspělejší formě můžete rozšířit směrný plán tak, aby zahrnoval sadu zásad, které používáte k nastavení mantinely.

Standardní hodnoty by se měly považovat za standard pro měření stavu zabezpečení. Cílem by vždy mělo být dosažení plného rozsahu.

Standardní hodnoty zabezpečení by nikdy neměly být jednorázové. Hlavními faktory standardních hodnot jsou oborové standardy, dodržování předpisů (interní nebo externí) nebo zákonné požadavky, regionální požadavky a srovnávací testy cloudových platforem. Mezi příklady patří kontroly Center for Internet Security (CIS), NIST (National Institute of Standards and Technology) a standardy založené na platformě, jako je microsoft cloud security benchmark (MCSB). Všechny tyto standardy jsou považovány za výchozí bod pro váš směrný plán. Vytvořte základ začleněním požadavků na zabezpečení z obchodních požadavků.

Odkazy na předchozí prostředky najdete v tématu Související odkazy.

Vytvořte směrný plán získáním konsensu mezi obchodními a technickými vedoucími pracovníky. Směrný plán by neměl být omezen na technické kontroly. Měl by také zahrnovat provozní aspekty správy a udržování stavu zabezpečení. Základní dokument tedy slouží také jako závazek organizace investovat do zabezpečení úloh. Dokument standardních hodnot zabezpečení by měl být široce distribuován v rámci vaší organizace, aby bylo zajištěno, že máte povědomí o stavu zabezpečení úlohy.

S rostoucím zatížením a vývojem ekosystému je důležité udržovat základní hodnoty v synchronizaci se změnami, aby se zajistilo, že základní kontroly budou stále efektivní.

Vytvoření směrného plánu je metodický proces. Tady je několik doporučení k postupem:

• Inventář majetku. Identifikujte zúčastněné strany prostředků úloh a cíle zabezpečení těchto prostředků. V inventáři prostředků klasifikujte podle požadavků na zabezpečení a důležitosti. Informace o datových prostředcích najdete v tématu Doporučení ke klasifikaci dat.

• Posouzení rizik. Identifikovat potenciální rizika spojená s jednotlivými prostředky a určit jejich prioritu.

• Požadavky na dodržování předpisů. Zaúčtuje všechny předpisy nebo dodržování předpisů pro tyto prostředky a použijte osvědčené postupy v oboru.

• Standardy konfigurace. Definujte a zdokumentujte specifické konfigurace a nastavení zabezpečení pro každý prostředek. Pokud je to možné, vytvořte nebo najděte opakovatelný automatizovaný způsob, jak nastavení používat konzistentně v celém prostředí.

• Řízení přístupu a ověřování. Zadejte požadavky na řízení přístupu na základě role (RBAC) a vícefaktorové ověřování (MFA). Zdokumentujte, co znamená dostatečný přístup na úrovni prostředku. Vždy začněte principem nejnižších oprávnění.

• Správa oprav. Použití nejnovějších verzí pro všechny typy prostředků k posílení proti útoku

• Dokumentace a komunikace. Zdokumentovat všechny konfigurace, zásady a postupy. Sdělte podrobnosti příslušným zúčastněným stranám.

• Vynucování a odpovědnost. Vytvořte jasné mechanismy vynucení a důsledky nedodržení standardních hodnot zabezpečení. Za udržování standardů zabezpečení zodpovídají jednotlivci i týmy.

• Nepřetržité monitorování. Vyhodnoťte účinnost standardních hodnot zabezpečení prostřednictvím pozorovatelnosti a vylepšujte přesčasy.

Složení základní hodnoty

Tady jsou některé běžné kategorie, které by měly být součástí směrného plánu. Následující seznam není vyčerpávající. Má sloužit jako přehled rozsahu dokumentu.

Dodržování legislativní předpisů

Úloha může podléhat dodržování právních předpisů pro konkrétní oborové segmenty, můžou existovat určitá geografická omezení atd. Je klíčové porozumět požadavkům uvedeným v regulačních specifikacích, protože tyto požadavky mají vliv na volby návrhu a v některých případech musí být součástí architektury.

Směrný plán by měl zahrnovat pravidelné vyhodnocování úloh podle zákonných požadavků. Využijte nástroje poskytované platformou, jako je Microsoft Defender pro cloud, které můžou identifikovat oblasti nedodržování předpisů. Spolupracujte s týmem organizace pro dodržování předpisů a ujistěte se, že jsou splněny a udržovány všechny požadavky.

Komponenty architektury

Základní plán vyžaduje normativní doporučení pro hlavní součásti úlohy. Mezi ně obvykle patří technické kontroly sítí, identit, výpočetních prostředků a dat. Odkazujte na standardní hodnoty zabezpečení poskytované platformou a přidejte chybějící ovládací prvky do architektury.

Projděte si příklad.

Procesy vývoje

Směrný plán musí obsahovat doporučení týkající se:

• Systémová klasifikace.
• Schválená sada typů prostředků.
• Sledování prostředků
• Vynucování zásad pro používání nebo konfiguraci prostředků

Vývojový tým musí mít jasný přehled o rozsahu kontrol zabezpečení. Například modelování hrozeb je požadavkem při zajištění toho, aby se potenciální hrozby identifikovaly v kódu a v kanálech nasazení. Buďte konkrétní ohledně statických kontrol a kontroly ohrožení zabezpečení ve vašem kanálu a o tom, jak pravidelně musí tým tyto kontroly provádět.

Další informace najdete v tématu Doporučení k analýze hrozeb.

Proces vývoje by měl také stanovit standardy pro různé metody testování a jejich četnost. Další informace najdete v tématu Doporučení k testování zabezpečení.

Operace

Standardní hodnoty musí nastavit standardy pro používání funkcí detekce hrozeb a generování upozornění na neobvyklé aktivity, které indikují skutečné incidenty. Detekce hrozeb musí zahrnovat všechny vrstvy úlohy, včetně všech koncových bodů, které jsou dostupné z nepřátelských sítí.

Základní hodnoty by měly zahrnovat doporučení pro nastavení procesů reakce na incidenty, včetně komunikace a plánu obnovení, a které z těchto procesů je možné automatizovat, aby se urychlila detekce a analýza. Příklady najdete v tématu Přehled standardních hodnot zabezpečení pro Azure.

Reakce na incidenty by také měla zahrnovat plán obnovení a požadavky na tento plán, například prostředky pro pravidelné pořizování a ochranu záloh.

Plány pro únik dat vyvíjíte s využitím oborových standardů a doporučení poskytovaných platformou. Tým pak má komplexní plán, který bude sledovat, když se zjistí porušení zabezpečení. Také se obraťte na vaši organizaci a zjistěte, jestli je k dispozici pokrytí prostřednictvím kybernetického zajištění.

Školení

Vytvořte a udržujte program školení k zabezpečení, abyste zajistili, že tým úloh bude vybaven odpovídajícími dovednostmi pro podporu cílů a požadavků na zabezpečení. Tým potřebuje základní školení zabezpečení, ale k podpoře specializovaných rolí využijte to, co můžete z vaší organizace. Součástí standardních hodnot zabezpečení jsou školení zabezpečení na základě rolí a účast na nácviku.

Použití směrného plánu

Směrný plán použijte k řízení iniciativ, jako jsou:

• Připravenost na rozhodnutí o návrhu. Před zahájením procesu návrhu architektury vytvořte standardní hodnoty zabezpečení a publikujte je. Zajistěte, aby členové týmu včas plně věděli o očekáváních vaší organizace, aby se zabránilo nákladným přepracováním způsobeným nejasností. Základní kritéria můžete použít jako požadavky na úlohy, ke kterým se organizace zavázala, a navrhnout a ověřit ovládací prvky s těmito omezeními.

• Změřte svůj návrh. Hodnocení aktuálních rozhodnutí oproti aktuálnímu směrnému plánu. Směrný plán nastavuje skutečné prahové hodnoty pro kritéria. Zdokumentovat všechny odchylky, které jsou odložené nebo považované za dlouhodobě přijatelné.

• Vylepšení jednotek. I když směrný plán stanoví dosažitelné cíle, vždy existují mezery. Určete priority mezer v backlogu a opravte je na základě stanovení priority.

• Sledujte pokrok oproti směrnému plánu. Nepřetržité monitorování bezpečnostních opatření s ohledem na stanovený směrný plán je nezbytné. Trend analýza představuje dobrý způsob, jak zkontrolovat průběh zabezpečení v průběhu času a může odhalit konzistentní odchylky od standardních hodnot. Využijte co nejvíce automatizaci a načítáte data z různých zdrojů, interních i externích, k řešení aktuálních problémů a přípravě na budoucí hrozby.

• Nastavte mantinely. Pokud je to možné, musí mít základní kritéria ochranné mantinely. Ochranné mantinely vynucují požadované konfigurace zabezpečení, technologie a operace na základě interních a externích faktorů. Mezi interní faktory patří obchodní požadavky, rizika a hodnocení prostředků. Mezi externí faktory patří srovnávací testy, regulační standardy a prostředí hrozeb. Mantinely pomáhají minimalizovat riziko neúmyslného dohledu a sankčních pokut za nedodržení předpisů.

Prozkoumejte Azure Policy pro vlastní možnosti nebo použijte integrované iniciativy, jako jsou srovnávací testy CIS nebo Srovnávací test zabezpečení Azure, a vynucujte konfigurace zabezpečení a požadavky na dodržování předpisů. Zvažte vytvoření zásad a iniciativ Azure mimo standardní hodnoty.

Pravidelné vyhodnocování standardních hodnot

Neustále vylepšujte standardy zabezpečení a postupně je vylepšujte do ideálního stavu, aby se zajistilo neustálé snižování rizik. Provádějte pravidelné kontroly, abyste měli jistotu, že je systém aktuální a v souladu s vnějšími vlivy. Jakákoli změna směrného plánu musí být formální, odsouhlasená a musí být odeslána správnými procesy řízení změn.

Změřte systém s novým směrným plánem a určete prioritu náprav na základě jejich relevance a dopadu na úlohu.

Zajištěním auditování a monitorování dodržování standardů organizace zajistíte, aby se stav zabezpečení v průběhu času nezhoršoval.

Usnadnění Azure

Microsoft Cloud Security Benchmark (MCSB) je komplexní architektura osvědčených postupů zabezpečení, kterou můžete použít jako výchozí bod pro standardní hodnoty zabezpečení. Použijte ho spolu s dalšími prostředky, které poskytují vstup pro váš směrný plán.

Další informace najdete v tématu Úvod do srovnávacího testu cloudového zabezpečení Microsoftu.

Pomocí řídicího panelu dodržování právních předpisů Microsoft Defender for Cloud (MDC) můžete tyto směrné plány sledovat a být upozorněni, pokud se zjistí vzor mimo směrný plán. Další informace najdete v tématu Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.

Další funkce, které pomáhají při vytváření a vylepšování směrného plánu:

• Vytvoření vlastních zásad zabezpečení Azure

• Vysvětlení zásad zabezpečení, iniciativ a doporučení

• Kontroly dodržování právních předpisů

Příklad

Tento logický diagram znázorňuje příklad standardních hodnot zabezpečení pro komponenty architektury, které zahrnují síť, infrastrukturu, koncový bod, aplikaci, data a identitu, abychom ukázali, jak je možné bezpečně chránit běžné prostředí IT. Další průvodci doporučeními vycházejí z tohoto příkladu.

Infrastruktura

Běžné IT prostředí s místní vrstvou se základními prostředky.

Služby zabezpečení Azure

Služby a funkce zabezpečení Azure podle typů prostředků, které chrání.

Služby monitorování zabezpečení Azure

Monitorovací služby dostupné v Azure, které jdou nad rámec jednoduchých monitorovacích služeb, včetně řešení pro správu událostí informací o zabezpečení (SIEM), řešení SOAR (Security Orchestraation Automated Response) a Microsoft Defender for Cloud.

Hrozby

Tato vrstva přináší doporučení a připomenutí, že hrozby mohou být mapovány podle obav vaší organizace týkajících se hrozeb, a to bez ohledu na metodiku nebo matici, jako je Mitre Attack Matrix nebo Cyber Kill chain.

Sladění organizace

Cloud Adoption Framework poskytuje pokyny pro centrální týmy k vytvoření směrného plánu pomocí navrhované šablony:

• Disciplína standardních hodnot zabezpečení

• Šablona disciplíny standardních hodnot zabezpečení

Související odkazy

• Dodržování předpisů Microsoftem

• Přehled standardních hodnot zabezpečení pro Azure

• Co je reakce na incidenty? Plán a kroky

• Srovnávací testy zabezpečení Azure

Odkazy na komunitu

• Srovnávací test CIS Microsoft Azure Foundations

• Rámec kybernetické bezpečnosti | NIST

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.

Kontrolní seznam zabezpečení