Controllo di sicurezza V2: governance e strategia

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto.

GS-1: Definire la strategia di gestione degli asset e di protezione dei dati

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
GS-1	2, 13	SC, AC

Assicurarsi di documentare e comunicare una strategia chiara per il monitoraggio continuo e la protezione dei sistemi e dei dati. Definire la priorità di individuazione, valutazione, protezione e monitoraggio dei dati e dei sistemi business-critical.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:

• Standard di classificazione dei dati in base ai rischi aziendali

• Visibilità dei rischi e dell'inventario degli asset dell'organizzazione della sicurezza

• Approvazione dell'organizzazione della sicurezza dei servizi di Azure da usare

• Sicurezza degli asset attraverso il ciclo di vita

• Strategia di controllo degli accessi conforme alla classificazione dei dati aziendali

• Uso di funzionalità di protezione dei dati native di Azure e di terze parti

• Requisiti di crittografia dei dati per i casi d'uso di dati in transito e inattivi

• Standard crittografici appropriati

Per altre informazioni, vedere i riferimenti seguenti:

• Raccomandazione sull'architettura della sicurezza di Azure - Archiviazione, dati e crittografia

• Nozioni fondamentali sulla sicurezza di Azure - Sicurezza, crittografia e archiviazione dei dati di Azure

• Cloud Adoption Framework - Procedure consigliate per la sicurezza dei dati e la crittografia in Azure

• Azure Security Benchmark - Gestione degli asset

• Azure Security Benchmark - Protezione dei dati

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Tutti gli stakeholder

GS-2: Definire la strategia di segmentazione aziendale

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
GS-2	4, 9, 16	AC, CA, SC

Definire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.

Bilanciare accuratamente la necessità di separazione di sicurezza con la necessità di abilitare le operazioni giornaliere dei sistemi che devono comunicare tra loro e accedere ai dati.

Assicurarsi che la strategia di segmentazione venga implementata in modo coerente tra i tipi di controllo, inclusi i modelli di sicurezza di rete, identità e accesso e i modelli di accesso e autorizzazione dell'applicazione e i controlli dei processi umani.

• Linee guida sulla strategia di segmentazione in Azure (video)

• Linee guida sulla strategia di segmentazione in Azure (documento)

• Allineare la segmentazione della rete alla strategia di segmentazione aziendale

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Tutti gli stakeholder

GS-3: Definire la strategia di gestione del comportamento di sicurezza

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
GS-3	20, 3, 5	RA, CM, SC

Misurare e mitigare continuamente i rischi per i singoli asset e l'ambiente in cui sono ospitati. Assegnare la priorità agli asset di valore elevato e alle superfici di attacco altamente esposte, ad esempio applicazioni pubblicate, punti di ingresso e di uscita della rete, endpoint utente e amministratore e così via.

• Azure Security Benchmark - Gestione del comportamento e della vulnerabilità

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Tutti gli stakeholder

GS-4: Allineare i ruoli e le responsabilità dell'organizzazione

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
GS-4	N/D	PL, PM

Assicurarsi di documentare e comunicare una strategia chiara per ruoli e responsabilità nell'organizzazione della sicurezza. Definire le priorità specificando una chiara responsabilità per le decisioni relative alla sicurezza, informare tutti gli utenti sul modello di responsabilità condivisa e informare i team tecnici sulla tecnologia per la protezione del cloud.

• Procedura di sicurezza consigliata di Azure 1 - Utenti: informare i team sul percorso di sicurezza del cloud

• Procedura di sicurezza consigliata di Azure 2 - Utenti: informare i team sulla tecnologia di sicurezza del cloud

• Procedura di sicurezza consigliata di Azure 3 - Processo: assegnare la responsabilità per le decisioni sulla sicurezza del cloud

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Tutti gli stakeholder

GS-5: Definire la strategia della sicurezza di rete

ID di Azure	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
GS-5	9	CA, SC

Stabilire un approccio alla sicurezza di rete di Azure nell'ambito della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:

• Gestione centralizzata della rete e responsabilità della sicurezza

• Modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale

• Strategia di correzione in diversi scenari di minaccia e attacco

• Perimetro Internet e strategia di ingresso e uscita

• Cloud ibrido e strategia di interconnettività locale

• Elementi di sicurezza di rete aggiornati (ad esempio diagrammi di rete, architettura di rete di riferimento)

Per altre informazioni, vedere i riferimenti seguenti:

• Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata

• Azure Security Benchmark - Sicurezza di rete

• Panoramica della sicurezza di rete di Azure

• Strategia di architettura di rete aziendale

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Tutti gli stakeholder

GS-6: Definire la strategia di identità e di accesso con privilegi

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
GS-6	16, 4	AC, AU, SC

Stabilire un approccio di accesso con identità e privilegi di Azure come parte della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:

• Sistema di identità e autenticazione centralizzato e interconnettività con altri sistemi di identità interni ed esterni

• Metodi di autenticazione avanzata in diversi casi d'uso e condizioni

• Protezione degli utenti con privilegi elevati

• Monitoraggio e gestione delle attività utente anomale

• Verifica dell'identità e dell'accesso utente e processo di riconciliazione

Per altre informazioni, vedere i riferimenti seguenti:

• Azure Security Benchmark - Gestione delle identità

• Azure Security Benchmark - Accesso con privilegi

• Procedura consigliata per la sicurezza di Azure 11 - Architettura. Strategia di sicurezza unificata singola

• Informazioni generali sulla sicurezza della gestione delle identità di Azure

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Tutti gli stakeholder

GS-7: Definire la strategia di registrazione e di risposta alle minacce

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
GS-7	19	IR, AU, RA, SC

Stabilire una strategia di registrazione e risposta alle minacce per rilevare e correggere rapidamente le minacce, soddisfando i requisiti di conformità. Fornire prima di tutto agli analisti avvisi di alta qualità ed esperienze semplici, in modo che possano concentrarsi sulle minacce anziché sull'integrazione e sui passaggi manuali.

Questa strategia deve includere indicazioni, criteri e standard documentati per gli elementi seguenti:

• Le operazioni di sicurezza (SecOps) del ruolo e delle responsabilità dell'organizzazione

• Un processo di risposta agli eventi imprevisti ben definito allineato a NIST o a un altro framework di settore

• Acquisizione e conservazione dei log per supportare il rilevamento delle minacce, la risposta agli eventi imprevisti e le esigenze di conformità

• Visibilità centralizzata e informazioni di correlazione su minacce, uso di SIEM, funzionalità native di Azure e altre origini

• Piano di comunicazione e notifica con i clienti, i fornitori e le parti pubbliche di interesse

• Uso di piattaforme native di Azure e di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, l'analisi e la correzione e l'eliminazione degli attacchi

• Processi per la gestione degli eventi imprevisti e delle attività successive all'evento imprevisto, ad esempio apprendimento e conservazione delle prove

Per altre informazioni, vedere i riferimenti seguenti:

• Azure Security Benchmark - Registrazione e rilevamento delle minacce

• Azure Security Benchmark - Risposta agli eventi imprevisti

• Procedura consigliata per la sicurezza di Azure 4 - Processo. Aggiornare i processi di risposta agli eventi imprevisti per il cloud

• Azure Adoption Framework e guida alle decisioni di registrazione e creazione di report

• Scalabilità, gestione e monitoraggio di Azure Enterprise

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Tutti gli stakeholder

GS-8: Definire la strategia di backup e ripristino

ID di Azure	CONTROLLI CIS v7.1 ID	ID R4 NIST SP 800-53
GS-8	10	CP

Stabilire una strategia di backup e ripristino di Azure per l'organizzazione.

La strategia deve includere linee guida documentate, criteri e standard per gli elementi seguenti:

• Definizioni dell'obiettivo del tempo di ripristino (RTO) e dell'obiettivo del punto di ripristino (RPO) in conformità agli obiettivi di resilienza aziendale

• Progettazione della ridondanza nelle applicazioni e nella configurazione dell'infrastruttura

• Protezione del backup usando il controllo di accesso e la crittografia dei dati

Per altre informazioni, vedere i riferimenti seguenti:

• Benchmark di sicurezza di Azure - Backup e ripristino

• Azure Well-Architecture Framework - Backup e ripristino di emergenza per le applicazioni di Azure

• Azure Adoption Framework - Continuità aziendale e ripristino di emergenza

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

• Tutti gli stakeholder