Processi di conformità ai criteri della Baseline di sicurezzaSecurity Baseline policy compliance processes

Questo articolo illustra un approccio ai processi di conformità dei criteri che regolano la disciplina di base della sicurezza.This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. Una governance efficace della sicurezza del cloud inizia con processi manuali ricorrenti progettati per rilevare le vulnerabilità e imporre criteri per correggere i rischi per la sicurezza.Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. Questo richiede il coinvolgimento regolare del team di governance del cloud e delle aziende interessate e degli stakeholder IT per rivedere e aggiornare i criteri e garantire la conformità ai criteri.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Inoltre, molti processi di applicazione e di monitoraggio continuo possono essere automatizzati o eseguiti con strumenti per ridurre il sovraccarico di governance e consentire una risposta più rapida alla deviazione dai criteri.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Processi di pianificazione, verifica e creazione di reportPlanning, review, and reporting processes

I migliori strumenti per la Baseline di sicurezza nel cloud, sono validi quanto i processi e i criteri che supportano.The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. Il set seguente contiene processi di esempio comunemente coinvolti nella disciplina Baseline di sicurezza.The following is a set of example processes commonly involved in the Security Baseline discipline. Usare questi esempi come punto di partenza per la pianificazione di processi che consentono di continuare ad aggiornare i criteri di sicurezza in base alle modifiche dell'azienda e ai feedback da parte del team IT incaricato di concretizzare le indicazioni sulla governance.Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

Valutazione e pianificazione iniziali del rischio: Nell'ambito dell'adozione iniziale della disciplina della linea di base di sicurezza, identificare i rischi aziendali e le tolleranze principali correlati alla sicurezza del cloud.Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. Usare queste informazioni per discutere di rischi tecnici specifici con i membri del reparto IT e del team per la sicurezza, in modo da poter sviluppare un set di base relativo ai criteri di sicurezza per attenuare tali rischi e per stabilire la strategia di governance iniziale.Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Pianificazione della distribuzione: Prima di distribuire un carico di lavoro o un asset, eseguire una verifica della sicurezza per identificare eventuali nuovi rischi e verificare che siano soddisfatti tutti i requisiti di accesso e criteri di sicurezza dei dati.Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

Test di distribuzione: Come parte del processo di distribuzione per qualsiasi carico di lavoro o asset, il team di governance del cloud, in collaborazione con i team di sicurezza aziendali, sarà responsabile della revisione della distribuzione per convalidare la conformità dei criteri di sicurezza.Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

Pianificazione annuale: Su base annuale, eseguire una revisione generale della strategia di base di sicurezza.Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. Esplorare le priorità aziendali future e le strategie di adozione cloud aggiornate per identificare potenziali aumenti dei rischi e altre esigenze di sicurezza emergenti.Explore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. Utilizzare questo tempo anche per esaminare le procedure consigliate più recenti di base di sicurezza e integrarle nei criteri e nei processi di revisione.Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

Revisione trimestrale e pianificazione: Ogni trimestre esegue una verifica dei dati di controllo di sicurezza e dei report sugli eventi imprevisti per identificare le modifiche necessarie nei criteri di sicurezza.Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. Come parte di questo processo, esaminare l'attuale panorama della sicurezza informatica per prevedere in modo proattivo le minacce emergenti e aggiornare i criteri in maniera appropriata.As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. Dopo aver completato la revisione, allineare le indicazioni per la progettazione con i criteri aggiornati.After the review is complete, align design guidance with updated policy.

Questo processo di pianificazione è anche un buon momento per valutare l'appartenenza corrente del team di governance del cloud ai gap della conoscenza correlati a criteri nuovi o mutevoli e a rischi correlati alla sicurezza.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. Invitare il personale IT pertinente a partecipare alle attività di verifica e pianificazione come consulenti tecnici temporanei o come membri permanenti del team.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Formazione e formazione: Con cadenza semestrale, è possibile offrire sessioni di formazione per verificare che il personale IT e gli sviluppatori siano aggiornati sui requisiti più recenti dei criteri di sicurezza.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. Nell'ambito di questo processo, rivedere e aggiornare eventuali documenti, materiale sussidiario o altre risorse di formazione per assicurarsi che siano sincronizzati con le più recenti istruzioni per i criteri aziendali.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Verifiche mensili per il controllo e la creazione di report: Su base mensile, eseguire un controllo su tutte le distribuzioni cloud per assicurare l'allineamento continuo con i criteri di sicurezza.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. Esaminare le attività correlate alla sicurezza con il personale IT e identificare eventuali problemi di conformità non ancora gestiti come parte del processo continuo di monitoraggio e applicazione.Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. Il risultato di questa revisione è costituito da un report per il team strategico Cloud e da ogni team di adozione del cloud per comunicare la conformità complessiva ai criteri.The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Il report viene inoltre archiviato a scopo legale e di controllo.The report is also stored for auditing and legal purposes.

Processi per il monitoraggio continuoProcesses for ongoing monitoring

Una strategia di base per la sicurezza corretta dipende dalla visibilità dello stato corrente e passato dell'infrastruttura cloud.A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. Senza la possibilità di analizzare le metriche e i dati pertinenti sull'integrità e sulle attività correlate alla sicurezza delle risorse cloud, non è possibile identificare cambiamenti nei rischi o rilevare violazioni delle tolleranze ai rischi.Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. I processi continui di governance illustrati in precedenza richiedono dati di qualità per garantire che i criteri possano essere modificati per proteggere meglio l'infrastruttura da mutevoli minacce e requisiti di sicurezza.The ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

Verificare che i team IT e di sicurezza abbiano implementato sistemi di monitoraggio automatizzati per l'infrastruttura cloud che consentono di acquisire i dati di log rilevanti di cui si ha bisogno per valutare i rischi.Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. Essere proattivi nel monitoraggio di questi sistemi garantisce la rapida individuazione e mitigazione di potenziali violazioni di criteri e assicura che la strategia di monitoraggio sia in linea con le esigenze di sicurezza.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

Trigger per le violazioni e azioni di imposizioneViolation triggers and enforcement actions

Poiché la mancata conformità alla sicurezza può causare rischi critici e di rischio per l'esposizione dei dati e l'interferenza dei servizi, il team di governance del cloud deve avere visibilità sulle gravi violazioni dei criteri.Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. Verificare che il personale IT disponga di percorsi di escalation per segnalare eventuali problemi di sicurezza ai membri del team governance più adatti a identificare e verificare che i problemi relativi ai criteri vengano attenuati.Ensure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

Quando vengono rilevate violazioni, si devono intraprendere azioni in modo da riallineare i criteri il prima possibile.When violations are detected, you should take actions to realign with policy as soon as possible. Il team IT può automatizzare la maggior parte delle violazioni di trigger usando gli strumenti descritti in Security Baseline toolchain for Azure (Toolchain di Baseline di sicurezza per Azure).Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

I trigger seguenti e le azioni di applicazione forniscono esempi a cui è possibile fare riferimento quando si pianifica l'uso dei dati di monitoraggio per risolvere le violazioni dei criteri:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Aumento degli attacchi rilevati.Increase in attacks detected. Se nelle risorse si verifica un aumento del 25% di attacchi DDoS o attacchi di forza bruta, discutere con il personale di sicurezza IT e con il proprietario del carico di lavoro per stabilire i rimedi.If any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. Tenere traccia del problema e aggiornare le indicazioni in caso fosse necessaria una revisione dei criteri per prevenire futuri incidenti.Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • Sono stati rilevati dati non classificati.Unclassified data detected. Qualsiasi origine dati senza una classificazione appropriata su privacy, sicurezza o impatto aziendale non avrà accesso finché non vengono applicati dal proprietario dei dati classificazione e livello appropriato di protezione dati.Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • Rilevato problema di integrità della sicurezza.Security health issue detected. Disattivare l'accesso a tutte le macchine virtuali (VM) che hanno un accesso noto o vulnerabilità malware identificate, fino a quando non vengono installate patch appropriate o software di sicurezza.Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. Aggiornare le indicazioni sui criteri per tenere conto di eventuali nuove minacce rilevate.Update policy guidance to account for any newly detected threats.
  • Vulnerabilità di rete rilevata.Network vulnerability detected. L'accesso a qualsiasi risorsa non esplicitamente autorizzata dai criteri di accesso alla rete dovrebbe attivare un avviso per il personale di sicurezza IT e per il relativo proprietario del carico di lavoro.Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. Tenere traccia del problema e aggiornare le indicazioni in caso sia necessaria una revisione dei criteri per attenuare futuri incidenti.Track issue and update guidance if policy revision is necessary to mitigate future incidents.

Passaggi successiviNext steps

Usare il modello di disciplina di base di sicurezza per documentare i processi e i trigger che si allineano al piano di adozione del Cloud corrente.Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Per istruzioni sull'esecuzione di criteri di gestione cloud in allineamento con i piani di adozione, consultare l'articolo sul miglioramento della disciplina.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.

Security Baseline discipline improvement (Miglioramento della disciplina Baseline di sicurezza)Security Baseline discipline improvement