Control de seguridad v3: Gobernanza y estrategia

La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.

GS-1: Alineación de roles, responsabilidades y responsabilidades de la organización

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Guía de Azure:asegúrese de definir y comunicar una estrategia clara de roles y responsabilidades en la organización de seguridad. Dé prioridad a ofrecer una responsabilidad clara en las decisiones de seguridad, a proporcionar a todos los usuarios formación sobre el modelo de responsabilidad compartida y a los equipos técnicos sobre la tecnología para proteger la nube.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-2: Definición e implementación de la estrategia de segmentación o separación de obligaciones empresariales

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3,12 AC-4, SC-7, SC-2 1.2, 6.4

Guía de Azure:establezca una estrategia de toda la empresa para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.

Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Asegúrese de que la estrategia de segmentación se implementa de forma coherente en la carga de trabajo, incluida la seguridad de red, los modelos de identidad y acceso, los modelos de permiso y acceso de la aplicación y los controles de proceso humano.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-3: Definición e implementación de la estrategia de protección de datos

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Guía de Azure:Establezca una estrategia de toda la empresa para la protección de datos en Azure:

  • Defina y aplique el estándar de clasificación y protección de datos de acuerdo con el estándar de administración de datos de la empresa y el cumplimiento normativo para dictar los controles de seguridad necesarios para cada nivel de la clasificación de datos.
  • Configure la jerarquía de administración de recursos en la nube alineada con la estrategia de segmentación empresarial. La estrategia de segmentación de la empresa también debe estar informada de la ubicación de los datos y sistemas confidenciales o críticos para la empresa.
  • Defina y aplique los principios de confianza cero aplicables en el entorno de nube para evitar implementar la confianza basada en la ubicación de red dentro de un perímetro. En su lugar, use notificaciones de confianza de usuario y dispositivo para puertas de acceso a datos y recursos.
  • Realice un seguimiento y minimice la superficie de datos confidencial (almacenamiento, transmisión y procesamiento) en toda la empresa para reducir la superficie de ataque y el costo de protección de datos. Tenga en cuenta técnicas como el hash un solo sentido, el truncamiento y la tokenización en la carga de trabajo siempre que sea posible, para evitar almacenar y transmitir datos confidenciales en su forma original.
  • Asegúrese de tener una estrategia de control de ciclo de vida completa para proporcionar garantía de seguridad de los datos y las claves de acceso.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-4: Definición e implementación de la estrategia de seguridad de red

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Guía de Azure:establezca una estrategia de seguridad de red de Azure como parte de la estrategia de seguridad general de su organización para el control de acceso. Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

  • Diseñe un modelo centralizado o descentralizado de responsabilidades de seguridad y administración de redes para implementar y mantener los recursos de red.
  • Modelo de segmentación de red virtual alineado con la estrategia de segmentación empresarial.
  • Una estrategia de entrada y salida y borde de Internet.
  • Una estrategia de interconectividad local y de nube híbrida.
  • Una estrategia de supervisión y registro de red.
  • Artefactos de seguridad de red actualizados (como diagramas de red, arquitectura de red de referencia).

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-5: Definición e implementación de la estrategia de administración de la posición de seguridad

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Guía de Azure:establezca una directiva, un procedimiento y un estándar para garantizar que la administración de la configuración de seguridad y administración de vulnerabilidades están en su orden de seguridad en la nube.

La administración de la configuración de seguridad en Azure debe incluir las siguientes áreas:

  • Defina las líneas base de configuración seguras para los distintos tipos de recursos en la nube, como el Azure Portal, el plano de administración y control y los recursos que se ejecutan en los servicios IaaS, PaaS y SaaS.
  • Asegúrese de que las líneas de base de seguridad abordan los riesgos en diferentes áreas de control, como la seguridad de red, la administración de identidades, el acceso con privilegios, la protección de datos, entre otros.
  • Use herramientas para medir, auditar y aplicar continuamente la configuración para evitar que la configuración se desvíe de la línea de base.
  • Desarrolle una cadencia para mantenerse al día con las características de seguridad de Azure, por ejemplo, suscríbase a las actualizaciones del servicio.
  • Use puntuación segura en Azure Defender para la nube para revisar periódicamente la posición de configuración de seguridad de Azure y corregir las brechas identificadas.

La administración de vulnerabilidades en Azure debe incluir los siguientes aspectos de seguridad:

  • Evalúe y corrija periódicamente las vulnerabilidades en todos los tipos de recursos en la nube, como los servicios nativos de Azure, los sistemas operativos y los componentes de la aplicación.
  • Use un enfoque basado en riesgos para priorizar la evaluación y la corrección.
  • Suscríbase a los blogs y avisos de seguridad de Microsoft o Azure pertinentes para recibir las actualizaciones de seguridad más recientes sobre Azure.
  • Asegúrese de que la evaluación y corrección de vulnerabilidades (como programación, ámbito y técnicas) cumplen los requisitos de cumplimiento de forma periódica para su organización.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-6: Definición e implementación de la identidad y la estrategia de acceso con privilegios

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Guía de Azure:establezca una identidad de Azure y un enfoque de acceso con privilegios como parte de la estrategia general de control de acceso de seguridad de su organización. Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes aspectos:

  • Sistema de autenticación e identidad centralizado (Azure AD) y su interconectividad con otros sistemas de identidad internos y externos
  • Identidad con privilegios y gobernanza de acceso (por ejemplo, solicitud de acceso, revisión y aprobación)
  • Cuentas con privilegios en situación de emergencia (emergencia)
  • Métodos de autenticación segura (autenticación sin contraseña y autenticación multifactor) en diferentes casos de uso y condiciones
  • Proteja el acceso mediante operaciones administrativas mediante Azure Portal, cli y API.

En los casos de excepción, en los que no se usa un sistema empresarial, asegúrese de que se han puesto en marcha los controles de seguridad adecuados para la identidad, la autenticación y la administración del acceso, y la gobernanza. El equipo empresarial debe aprobar y revisar periódicamente estas excepciones. Estas excepciones se suelen encontrar en casos como:

  • Uso de un sistema de autenticación y identidad designados no empresarialmente, como sistemas de terceros basados en la nube (puede presentar riesgos desconocidos)
  • Los usuarios con privilegios se autentican localmente o usan métodos de autenticación no seguros

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-7: Definición e implementación de la estrategia de registro, detección de amenazas y respuesta a incidentes

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Guía de Azure:establezca una estrategia de registro, detección de amenazas y respuesta a incidentes para detectar y corregir rápidamente las amenazas y cumplir los requisitos de cumplimiento. El equipo de operaciones de seguridad (SecOps/SOC) debe priorizar las alertas de alta calidad y las experiencias sin problemas para que puedan centrarse en las amenazas en lugar de en la integración de registros y los pasos manuales.

Esta estrategia debe incluir directivas, procedimientos y estándares documentados para los siguientes aspectos:

  • Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)
  • Un proceso de control y plan de respuesta a incidentes bien definido y probado con regularidad que se alinea con NIST u otros marcos del sector.
  • Plan de comunicación y notificación con sus clientes, proveedores y entidades públicas de interés.
  • Preferencia de usar funcionalidades de detección y respuesta extendidas (XDR), como Azure Defender capacidades de detección de amenazas en las distintas áreas.
  • Uso de la funcionalidad nativa de Azure (por ejemplo, Como Microsoft Defender para la nube) y plataformas de terceros para el control de incidentes, como registro y detección de amenazas, análisis forense y corrección y tratamiento de ataques.
  • Defina escenarios clave (como la detección de amenazas, la respuesta a incidentes y el cumplimiento) y configure la captura y retención de registros para cumplir los requisitos del escenario.
  • Visibilidad centralizada y información de correlación sobre amenazas, mediante SIEM, funcionalidad nativa de detección de amenazas de Azure y otros orígenes.
  • Actividades posteriores al incidente, como las lecciones aprendidas y la retención de evidencias.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-8: Definición e implementación de la estrategia de copia de seguridad y recuperación

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Guía de Azure:establezca una estrategia de copia de seguridad y recuperación de Azure para su organización. Esta estrategia debe incluir instrucciones, directivas y estándares documentados en los siguientes aspectos:

  • Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia empresarial y los requisitos de cumplimiento normativo.
  • Diseño de redundancia (incluida la copia de seguridad, restauración y replicación) en las aplicaciones y la infraestructura tanto en la nube como en el entorno local. Considere la posibilidad de usar la ubicación regional, de pares de regiones, de recuperación entre regiones y de almacenamiento fuera del sitio como parte de su estrategia.
  • Protección de la copia de seguridad frente a accesos no autorizados y alteraciones mediante controles como el control de acceso a datos, el cifrado y la seguridad de red.
  • Uso de copias de seguridad y recuperación para mitigar los riesgos de amenazas emergentes, como el ataque de ransomware. Además, proteja los propios datos de copia de seguridad y recuperación de estos ataques.
  • Supervisión de los datos y las operaciones de copia de seguridad y recuperación con fines de auditoría y alertas.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-9: Definición e implementación de la estrategia de seguridad de puntos de conexión

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Guía de Azure:Establezca una estrategia de seguridad de puntos de conexión en la nube que incluya los siguientes aspectos:

  • Implemente la funcionalidad detección y respuesta de puntos de conexión y antimalware en el punto de conexión e inténtese con el proceso de detección de amenazas y de soluciones SIEM y operaciones de seguridad.
  • Siga Azure Security Benchmark para asegurarse de que la configuración de seguridad relacionada con los puntos de conexión en otras áreas respectivas (como la seguridad de red, la posición administración de vulnerabilidades, la identidad y el acceso con privilegios, y el registro y las detecciones de amenazas) también están en su lugar para proporcionar una protección de defensa en profundidad para el punto de conexión.
  • Dé prioridad a la seguridad del punto de conexión en el entorno de producción, pero asegúrese de que los entornos que no son de producción (como el entorno de prueba y compilación usado en el proceso de DevOps) también están protegidos y supervisados, ya que estos entornos también se pueden usar para introducir el malware y las vulnerabilidades en la producción.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

GS-10: Definición e implementación de DevOps seguridad

Identificadores de CONTROLES DE CIS v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Guía de Azure:exige los controles de seguridad como parte del estándar de DevOps de ingeniería y operación de la organización. Defina los objetivos de seguridad, los requisitos de control y las especificaciones de herramientas de acuerdo con los estándares de seguridad empresarial y en la nube de su organización.

Fomente el uso de DevOps como modelo operativo esencial en su organización para sus ventajas a la hora de identificar y corregir rápidamente vulnerabilidades mediante diferentes tipos de automatizaciones (como la infraestructura como el aprovisionamiento de código y el examen automatizado de SAST y DAST) en todo el flujo de trabajo de CI/CD. Este enfoque de "desplazamiento a la izquierda" también aumenta la visibilidad y la capacidad de aplicar comprobaciones de seguridad coherentes en la canalización de implementación, implementando eficazmente barreras de seguridad en el entorno con antelación para evitar sorpresas de seguridad de última hora al implementar una carga de trabajo en producción.

Al cambiar los controles de seguridad a las fases previas a la implementación, implemente barreras de seguridad para asegurarse de que los controles se implementan y aplican a lo largo del proceso DevOps implementación. Esta tecnología podría incluir plantillas de Azure ARM para definir barreras de protección en IaC (infraestructura como código), aprovisionamiento de recursos y Azure Policy para auditar y restringir qué servicios o configuraciones se pueden aprovisionar en el entorno.

Para los controles de seguridad en tiempo de ejecución de la carga de trabajo, siga las pruebas comparativas de seguridad de Azure para diseñar e implementar los controles efectivos, como la identidad y el acceso con privilegios, la seguridad de red, la seguridad de los puntos de conexión y la protección de datos dentro de las aplicaciones y servicios de la carga de trabajo.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):