Beveiligingscontrole v3: Governance en strategie

  • Artikel

Governance en strategie bieden richtlijnen voor het garanderen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering voor het begeleiden en ondersteunen van beveiliging, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden.

GS-1: organisatierollen, verantwoordelijkheden en accountabiliteiten uitlijnen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Azure-richtlijnen: zorg ervoor dat u een duidelijke strategie definieert en communiceert voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie. Ken een hoge prioriteiten toe aan het verschaffen van duidelijkheid over wie aansprakelijk is voor beveiligingsbeslissingen. Bied opleidingen aan iedereen over het gedeelde verantwoordelijkheidsmodel en biedt technische teams trainingen over technologie ter beveiliging van de cloud.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-2: Segmentatie/scheiding van takenstrategie voor ondernemingen definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Azure-richtlijnen: stel een bedrijfsbrede strategie in om toegang tot assets te segmenteren met behulp van een combinatie van identiteit, netwerk, toepassing, abonnement, beheergroep en andere besturingselementen.

Zorg dat u een nauwgezette afweging maakt tussen de noodzaak om de beveiliging van de rest te scheiden en de noodzaak om systemen die met elkaar moeten kunnen communiceren en toegang moeten hebben tot gegevens, in staat te stellen om hun dagelijkse werklast uit te voeren.

Zorg ervoor dat de segmentatiestrategie consistent wordt geïmplementeerd in de workload, waaronder netwerkbeveiliging, identiteits- en toegangsmodellen, en toepassingsmachtigingen/toegangsmodellen en besturingselementen voor menselijk proces.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-3: Strategie voor gegevensbeveiliging definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Azure-richtlijnen: een bedrijfsbrede strategie voor gegevensbeveiliging in Azure instellen:

  • Definieer en pas de standaard voor gegevensclassificatie en -beveiliging toe overeenkomstig de standaard voor ondernemingsgegevensbeheer en naleving van regelgeving om de beveiligingscontroles te dicteren die vereist zijn voor elk niveau van de gegevensclassificatie.
  • Stel uw hiërarchie voor cloudresourcebeheer in die is afgestemd op de bedrijfssegmentatiestrategie. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.
  • Definieer en pas de toepasselijke principes voor nulvertrouwen toe in uw cloudomgeving om te voorkomen dat vertrouwen wordt geïmplementeerd op basis van netwerklocatie binnen een perimeter. Gebruik in plaats daarvan claims voor apparaat- en gebruikersvertrouwensrelaties om toegang tot gegevens en resources te gateen.
  • Houd de gevoelige gegevensvoetafdruk (opslag, verzending en verwerking) in de hele onderneming bij en minimaliseer deze om de kosten voor aanvallen en gegevensbescherming te verminderen. Overweeg waar mogelijk technieken zoals hashing in één richting, afkapping en tokenisatie in de workload, om te voorkomen dat gevoelige gegevens in de oorspronkelijke vorm worden opgeslagen en verzonden.
  • Zorg ervoor dat u een volledige strategie voor levenscyclusbeheer hebt om de beveiliging van de gegevens en toegangssleutels te garanderen.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-4: Netwerkbeveiligingsstrategie definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Azure-richtlijnen: stel een Azure-netwerkbeveiligingsstrategie in als onderdeel van de algehele beveiligingsstrategie van uw organisatie voor toegangsbeheer. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Ontwerp een gecentraliseerd/gedecentraliseerd netwerkbeheer- en beveiligingsverantwoordelijkheidsmodel voor het implementeren en onderhouden van netwerkbronnen.
  • Een virtueel netwerksegmentatiemodel dat is afgestemd op de bedrijfssegmentatiestrategie.
  • Een internetrand en een strategie voor inkomend en uitgaand verkeer.
  • Een hybride cloud- en on-premises interconnectiviteitsstrategie.
  • Een strategie voor netwerkbewaking en logboekregistratie.
  • Een up-to-date netwerkbeveiligingsartefacten (zoals netwerkdiagrammen, referentienetwerkarchitectuur).

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-5: Strategie voor beveiligingspostuurbeheer definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Azure-richtlijnen: een beleid, procedure en standaard instellen om ervoor te zorgen dat het beveiligingsconfiguratiebeheer en vulnerability management aanwezig zijn in uw cloudbeveiligingsmandaat.

Het beveiligingsconfiguratiebeheer in Azure moet de volgende gebieden bevatten:

  • Definieer de beveiligde configuratiebasislijnen voor verschillende resourcetypen in de cloud, zoals het Azure Portal, het beheer- en besturingsvlak en resources die worden uitgevoerd in de IaaS-, PaaS- en SaaS-services.
  • Zorg ervoor dat de beveiligingsbasislijnen de risico's in verschillende controlegebieden aanpakken, zoals netwerkbeveiliging, identiteitsbeheer, bevoegde toegang, gegevensbescherming, enzovoort.
  • Gebruik hulpprogramma's om de configuratie continu te meten, te controleren en af te dwingen om te voorkomen dat de configuratie afwijkt van de basislijn.
  • Ontwikkel een frequentie om bij te blijven met Azure-beveiligingsfuncties, bijvoorbeeld, abonneer u op de service-updates.
  • Gebruik Secure Score in Azure Defender voor Cloud om regelmatig de beveiligingsconfiguratiepostuur van Azure te controleren en de geïdentificeerde hiaten te verhelpen.

De vulnerability management in Azure moeten de volgende beveiligingsaspecten bevatten:

  • Evalueer en herstel regelmatig beveiligingsproblemen in alle typen cloudresources, zoals systeemeigen Azure-services, besturingssystemen en toepassingsonderdelen.
  • Gebruik een op risico's gebaseerde benadering om prioriteit te geven aan evaluatie en herstel.
  • Abonneer u op de relevante microsoft-/Azure-beveiligingsadviesberichten en -blogs om de meest recente beveiligingsupdates over Azure te ontvangen.
  • Zorg ervoor dat de evaluatie en herstel van beveiligingsproblemen (zoals planning, bereik en technieken) voldoen aan de regelmatig nalevingsvereisten voor uw organisatie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-6: Identiteits- en geprivilegieerde toegangsstrategie definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Azure-richtlijnen: stel een Azure-identiteits- en bevoorrechte toegangsbenadering in als onderdeel van de algehele strategie voor beveiligingstoegangsbeheer van uw organisatie. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende aspecten:

  • Gecentraliseerd identiteits- en verificatiesysteem (Azure AD) en de interconnectiviteit ervan met andere interne en externe identiteitssystemen
  • Bevoegde identiteit en toegangsbeheer (zoals toegangsaanvraag, beoordeling en goedkeuring)
  • Bevoegde accounts in noodsituatie (break-glass)
  • Sterke verificatiemethoden (verificatie zonder wachtwoord en meervoudige verificatie) in verschillende use cases en voorwaarden
  • Beveilig toegang door beheerbewerkingen via Azure Portal, CLI en API.

Voor uitzonderingsgevallen, waarbij een bedrijfssysteem niet wordt gebruikt, moet u ervoor zorgen dat er adequate beveiligingscontroles zijn ingesteld voor identiteits-, verificatie- en toegangsbeheer en governance. Deze uitzonderingen moeten worden goedgekeurd en periodiek worden gecontroleerd door het ondernemingsteam. Deze uitzonderingen zijn doorgaans in gevallen zoals:

  • Gebruik van een niet-bedrijfsidentiteits- en verificatiesysteem, zoals systemen van derden in de cloud (kan onbekende risico's veroorzaken)
  • Bevoegde gebruikers die lokaal zijn geverifieerd en/of niet-sterke verificatiemethoden gebruiken

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-7: Logboekregistratie, detectie van bedreigingen en reactiestrategie voor incidenten definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Azure-richtlijnen: stel een strategie voor logboekregistratie, detectie van bedreigingen en incidentrespons in om bedreigingen snel te detecteren en op te lossen en te voldoen aan de nalevingsvereisten. Het beveiligingsteam (SecOps/SOC) moet prioriteit geven aan waarschuwingen van hoge kwaliteit en naadloze ervaringen, zodat ze zich kunnen richten op bedreigingen in plaats van logboekintegratie en handmatige stappen.

Deze strategie moet gedocumenteerd beleid, procedure en standaarden omvatten voor de volgende aspecten:

  • De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)
  • Een goed gedefinieerd en regelmatig getest plan voor het reageren op incidenten en het verwerken van processen die zijn afgestemd op NIST of andere brancheframeworks.
  • Communicatie- en meldingsplan met uw klanten, leveranciers en openbare partijen van belang.
  • Voorkeur voor het gebruik van XDR-mogelijkheden (Extended Detection and Response), zoals Azure Defender-mogelijkheden om bedreigingen op de verschillende gebieden te detecteren.
  • Gebruik van systeemeigen Azure-mogelijkheden (bijvoorbeeld als Microsoft Defender voor Cloud) en platformen van derden voor het afhandelen van incidenten, zoals logboekregistratie en detectie van bedreigingen, forensisch onderzoek en herstel en uitroeiing van aanvallen.
  • Definieer belangrijke scenario's (zoals detectie van bedreigingen, reactie op incidenten en naleving) en stel logboekopname en -retentie in om te voldoen aan de scenariovereisten.
  • Gecentraliseerde zichtbaarheid van en correlatie-informatie over bedreigingen, met behulp van SIEM, systeemeigen azure-detectiemogelijkheid en andere bronnen.
  • Activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaal.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-8: Back-up- en herstelstrategie definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Azure-richtlijnen: een Strategie voor back-up en herstel van Azure instellen voor uw organisatie. Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten in de volgende aspecten:

  • RTO-definities (Recovery Time Objective) en RPO (Recovery Point Objective) in overeenstemming met uw bedrijfstolerantiedoelstellingen en nalevingsvereisten voor regelgeving.
  • Redundantieontwerp (inclusief back-up, herstel en replicatie) in uw toepassingen en infrastructuur voor zowel in de cloud als on-premises. Overweeg regionale, regioparen, cross-regional recovery en off-site-opslaglocatie als onderdeel van uw strategie.
  • Beveiliging van back-ups tegen onbevoegde toegang en tempering met behulp van besturingselementen zoals gegevenstoegangsbeheer, versleuteling en netwerkbeveiliging.
  • Gebruik van back-up en herstel om de risico's van opkomende bedreigingen, zoals ransomware-aanvallen, te beperken. En beveilig ook de back-up- en herstelgegevens zelf van deze aanvallen.
  • De back-up- en herstelgegevens en -bewerkingen bewaken voor controle- en waarschuwingsdoeleinden.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-9: Eindpuntbeveiligingsstrategie definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Azure-richtlijnen: stel een strategie voor cloudeindpuntbeveiliging in die de volgende aspecten omvat:

  • Implementeer de eindpuntdetectie en -respons- en antimalwarefunctie in uw eindpunt en integreer met de detectie van bedreigingen en siem-oplossing en beveiligingsbewerkingen.
  • Volg Azure Security Benchmark om ervoor te zorgen dat beveiligingsinstellingen met betrekking tot eindpunten in andere gebieden (zoals netwerkbeveiliging, houding vulnerability management, identiteits- en bevoegde toegang, en logboekregistratie en detectie van bedreigingen) ook worden gebruikt om een diepgaande beveiliging voor uw eindpunt te bieden.
  • Geef prioriteit aan de eindpuntbeveiliging in uw productieomgeving, maar zorg ervoor dat de niet-productieomgevingen (zoals test- en buildomgeving die in het DevOps-proces worden gebruikt) ook worden beveiligd en bewaakt, omdat deze omgeving ook kan worden gebruikt om de malware en beveiligingsproblemen in de productie te introduceren.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

GS-10: DevOps-beveiligingsstrategie definiëren en implementeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Azure-richtlijnen: de beveiligingscontroles verplichten als onderdeel van de DevOps-engineering- en operationele standaard van de organisatie. Definieer de beveiligingsdoelstellingen, controlevereisten en hulpprogrammaspecificaties in overeenstemming met bedrijfs- en cloudbeveiligingsstandaarden in uw organisatie.

Moedig het gebruik van DevOps aan als een essentieel operationeel model in uw organisatie voor de voordelen ervan bij het snel identificeren en oplossen van beveiligingsproblemen met behulp van verschillende soorten automatiseringen (zoals infrastructuur zoals het inrichten van code en geautomatiseerde SAST- en DAST-scan) in de CI/CD-werkstroom. Deze 'shift left'-benadering verhoogt ook de zichtbaarheid en de mogelijkheid om consistente beveiligingscontroles af te dwingen in uw implementatiepijplijn, waardoor beveiligingsrails effectief van tevoren in de omgeving worden geïmplementeerd om beveiligingsverrassingen van last minute te voorkomen bij het implementeren van een workload in productie.

Wanneer u beveiligingscontroles naar de pre-implementatiefasen verplaatst, implementeert u beveiligingsbeveiligingsrails om ervoor te zorgen dat de besturingselementen worden geïmplementeerd en afgedwongen tijdens uw DevOps-proces. Deze technologie kan Azure ARM-sjablonen bevatten voor het definiëren van kaders in de IaC (infrastructuur als code), het inrichten van resources en Azure Policy om te controleren en te beperken welke services of configuraties in de omgeving kunnen worden ingericht.

Voor de runtimebeveiligingsmechanismen van uw workload volgt u de Azure Security Benchmark om de besturingselementen te ontwerpen en implementeren, zoals identiteit en bevoegde toegang, netwerkbeveiliging, eindpuntbeveiliging en gegevensbeveiliging binnen uw workloadtoepassingen en -services.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):