Security Control v3: Governance and strategy (Kontrola zabezpieczeń w wersji 3: ład i strategia)

Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.

GS-1: Dopasowywanie ról, obowiązków i obowiązków organizacji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
14,9 PL-9, PM-10, PM-13, AT-1, AT-3 2,4

Wskazówki dotyczące platformy Azure: Upewnij się, że zdefiniujesz i przekażesz jasną strategię dla ról i obowiązków w organizacji zabezpieczeń. Ustalaj priorytety w celu wyraźnego określenia odpowiedzialności za decyzje dotyczące zabezpieczeń, informując wszystkie osoby o współużytkowanym modelu odpowiedzialności i informując zespoły techniczne o technologii do zabezpieczania chmury.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-2: Definiowanie i implementowanie segmentacji przedsiębiorstwa/rozdzielenia strategii obowiązków

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Wskazówki dotyczące platformy Azure: ustanów strategię całego przedsiębiorstwa w celu segmentowania dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.

Należy starannie zrównoważyć potrzebę rozdzielania zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.

Upewnij się, że strategia segmentacji jest spójnie implementowana w obciążeniu, w tym modele zabezpieczeń sieci, tożsamości i dostępu, a także modele uprawnień/dostępu do aplikacji oraz mechanizmy kontroli procesów ludzkich.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-3: Definiowanie i implementowanie strategii ochrony danych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Wskazówki dotyczące platformy Azure: Ustanów strategię dla całego przedsiębiorstwa na potrzeby ochrony danych na platformie Azure:

  • Zdefiniuj i zastosuj standard klasyfikacji i ochrony danych zgodnie ze standardem zarządzania danymi przedsiębiorstwa i zgodnością z przepisami, aby określić mechanizmy kontroli zabezpieczeń wymagane dla każdego poziomu klasyfikacji danych.
  • Skonfiguruj hierarchię zarządzania zasobami w chmurze dostosowaną do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.
  • Zdefiniuj i zastosuj odpowiednie zasady zerowego zaufania w środowisku chmury, aby uniknąć implementowania zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego użyj oświadczeń zaufania urządzeń i użytkowników, aby uzyskać dostęp do danych i zasobów.
  • Śledzenie i minimalizowanie śladu poufnych danych (magazynowania, przesyłania i przetwarzania) w całym przedsiębiorstwie w celu zmniejszenia kosztów związanych z atakami i ochroną danych. Rozważ techniki, takie jak jednokierunkowe tworzenie skrótów, obcinanie i tokenizacja w obciążeniu tam, gdzie to możliwe, aby uniknąć przechowywania i przesyłania poufnych danych w oryginalnej formie.
  • Upewnij się, że masz pełną strategię kontroli cyklu życia, aby zapewnić bezpieczeństwo danych i kluczy dostępu.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-4: Definiowanie i implementowanie strategii zabezpieczeń sieci

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Wskazówki dotyczące platformy Azure: ustanów strategię zabezpieczeń sieci platformy Azure w ramach ogólnej strategii zabezpieczeń organizacji na potrzeby kontroli dostępu. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Projektowanie modelu odpowiedzialności za scentralizowane/zdecentralizowane zarządzanie siecią i zabezpieczenia w celu wdrażania i utrzymywania zasobów sieciowych.
  • Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa.
  • Strategia brzegowa i ruch przychodzący i wychodzący w Internecie.
  • Strategia łączności między chmurami hybrydowymi i lokalnymi.
  • Strategia monitorowania i rejestrowania sieci.
  • Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura sieci referencyjnej).

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-5: Definiowanie i implementowanie strategii zarządzania stanem zabezpieczeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Wskazówki dotyczące platformy Azure: ustanów zasady, procedurę i standard, aby upewnić się, że zarządzanie konfiguracją zabezpieczeń i zarządzanie lukami w zabezpieczeniach są stosowane w ramach mandatu zabezpieczeń w chmurze.

Zarządzanie konfiguracją zabezpieczeń na platformie Azure powinno obejmować następujące obszary:

  • Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze, takich jak Azure Portal, płaszczyzna zarządzania i sterowania oraz zasoby uruchomione w usługach IaaS, PaaS i SaaS.
  • Upewnij się, że punkty odniesienia zabezpieczeń odpowiadają zagrożeniom w różnych obszarach kontroli, takich jak zabezpieczenia sieci, zarządzanie tożsamościami, uprzywilejowany dostęp, ochrona danych itd.
  • Użyj narzędzi, aby stale mierzyć, przeprowadzać inspekcję i wymuszać konfigurację, aby zapobiec odchylenie konfiguracji od punktu odniesienia.
  • Opracuj harmonogram aktualizowania funkcji zabezpieczeń platformy Azure, na przykład, subskrybowania aktualizacji usługi.
  • Skorzystaj z wskaźnika bezpieczeństwa na platformie Azure Defender dla Chmury, aby regularnie przeglądać stan konfiguracji zabezpieczeń platformy Azure i korygować zidentyfikowane luki.

Zarządzanie lukami w zabezpieczeniach na platformie Azure powinny obejmować następujące aspekty zabezpieczeń:

  • Regularnie oceniaj i koryguj luki w zabezpieczeniach we wszystkich typach zasobów w chmurze, takich jak usługi natywne platformy Azure, systemy operacyjne i składniki aplikacji.
  • Użyj podejścia opartego na ryzyku, aby określić priorytety oceny i korygowania.
  • Zasubskrybuj odpowiednie powiadomienia i blogi dotyczące zabezpieczeń firmy Microsoft/Azure, aby otrzymywać najnowsze aktualizacje zabezpieczeń dotyczące platformy Azure.
  • Upewnij się, że ocena luk w zabezpieczeniach i korygowanie (takie jak harmonogram, zakres i techniki) spełniają wymagania dotyczące regularnej zgodności w organizacji.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-6: Definiowanie i implementowanie strategii tożsamości i uprzywilejowanego dostępu

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Wskazówki dotyczące platformy Azure: ustanów podejście do tożsamości platformy Azure i uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących aspektów:

  • Scentralizowany system tożsamości i uwierzytelniania (Azure AD) oraz jego współdziałanie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
  • Ład tożsamości uprzywilejowanej i dostępu (na przykład żądanie dostępu, przegląd i zatwierdzenie)
  • Uprzywilejowane konta w sytuacji awaryjnej (break-glass)
  • Metody silnego uwierzytelniania (uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego) w różnych przypadkach użycia i warunkach
  • Bezpieczny dostęp przez operacje administracyjne za pomocą Azure Portal, interfejsu wiersza polecenia i interfejsu API.

W przypadku przypadków wyjątków, w których system przedsiębiorstwa nie jest używany, upewnij się, że obowiązują odpowiednie mechanizmy kontroli zabezpieczeń na potrzeby zarządzania tożsamościami, uwierzytelnianiem i dostępem oraz zarządzaniem dostępem. Te wyjątki należy zatwierdzać i okresowo przeglądać przez zespół przedsiębiorstwa. Te wyjątki są zwykle w takich przypadkach jak:

  • Korzystanie z systemu tożsamości i uwierzytelniania wyznaczonego przez inne przedsiębiorstwo, takiego jak systemy innych firm oparte na chmurze (mogą powodować nieznane zagrożenia)
  • Użytkownicy uprzywilejowani uwierzytelnieni lokalnie i/lub korzystają z metod uwierzytelniania bez silnego

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-7: Definiowanie i implementowanie rejestrowania, wykrywania zagrożeń i strategii reagowania na zdarzenia

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Wskazówki dotyczące platformy Azure: ustanów strategię rejestrowania, wykrywania zagrożeń i reagowania na zdarzenia w celu szybkiego wykrywania i korygowania zagrożeń oraz spełnienia wymagań dotyczących zgodności. Zespół ds. operacji zabezpieczeń (SecOps/SOC) powinien określać priorytety alertów wysokiej jakości i bezproblemowych środowisk, aby mogli skupić się na zagrożeniach, a nie na integracji dzienników i ręcznych krokach.

Ta strategia powinna obejmować udokumentowane zasady, procedury i standardy dla następujących aspektów:

  • Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
  • Dobrze zdefiniowany i regularnie przetestowany plan reagowania na zdarzenia oraz proces obsługi zgodny z NIST lub innymi strukturami branżowymi.
  • Plan komunikacji i powiadomień z klientami, dostawcami i stronami publicznymi.
  • Preferencje dotyczące korzystania z funkcji wykrywania rozszerzonego i reagowania (XDR), takich jak możliwości usługi Azure Defender w celu wykrywania zagrożeń w różnych obszarach.
  • Korzystanie z natywnej funkcji platformy Azure (np. jako Microsoft Defender dla Chmury) i platform innych firm na potrzeby obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, kryminalistyka i korygowanie i eliminowanie ataków.
  • Zdefiniuj kluczowe scenariusze (takie jak wykrywanie zagrożeń, reagowanie na zdarzenia i zgodność) oraz skonfiguruj przechwytywanie i przechowywanie dzienników, aby spełnić wymagania scenariusza.
  • Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu rozwiązania SIEM, natywnej możliwości wykrywania zagrożeń na platformie Azure i innych źródeł.
  • Działania po zdarzeniu, takie jak wnioski zdobyte i przechowywanie dowodów.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-8: Definiowanie i implementowanie strategii tworzenia kopii zapasowych i odzyskiwania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
11,1 CP-1, CP-9, CP-10 3.4

Wskazówki dotyczące platformy Azure: ustanawianie strategii tworzenia kopii zapasowych i odzyskiwania kopii zapasowych platformy Azure dla organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy w następujących aspektach:

  • Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej i wymaganiami dotyczącymi zgodności z przepisami.
  • Projekt nadmiarowości (w tym tworzenie kopii zapasowych, przywracanie i replikacja) w aplikacjach i infrastrukturze zarówno w chmurze, jak i w środowisku lokalnym. Rozważ regionalne pary regionów, odzyskiwanie między regionami i lokalizację przechowywania poza lokacją w ramach strategii.
  • Ochrona kopii zapasowej przed nieautoryzowanym dostępem i hartowaniem przy użyciu kontroli dostępu do danych, szyfrowania i zabezpieczeń sieci.
  • Korzystanie z kopii zapasowych i odzyskiwania w celu ograniczenia ryzyka związanego z pojawiającymi się zagrożeniami, takimi jak atak na oprogramowanie wymuszające okup. Zabezpieczanie danych kopii zapasowej i odzyskiwania przed tymi atakami.
  • Monitorowanie danych i operacji tworzenia kopii zapasowych oraz odzyskiwania na potrzeby inspekcji i alertów.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-9: Definiowanie i implementowanie strategii zabezpieczeń punktu końcowego

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Wskazówki dotyczące platformy Azure: Ustanów strategię zabezpieczeń punktu końcowego w chmurze, która obejmuje następujące aspekty:

  • Wdróż możliwość wykrywanie i reagowanie w punktach końcowych i ochrony przed złośliwym kodem w punkcie końcowym, a następnie zintegruj się z procesem wykrywania zagrożeń i rozwiązania SIEM i operacji zabezpieczeń.
  • Postępuj zgodnie z testem porównawczym zabezpieczeń platformy Azure, aby upewnić się, że ustawienia zabezpieczeń punktu końcowego powiązane z zabezpieczeniami w innych obszarach (takie jak zabezpieczenia sieci, stan zarządzanie lukami w zabezpieczeniach, tożsamość i uprzywilejowany dostęp oraz rejestrowanie i wykrywanie zagrożeń) są również dostępne w celu zapewnienia szczegółowej ochrony punktu końcowego.
  • Określanie priorytetów zabezpieczeń punktu końcowego w środowisku produkcyjnym, ale upewnij się, że środowiska nieprodukcyjne (takie jak środowisko testowe i kompilacje używane w procesie DevOps) są również zabezpieczone i monitorowane, ponieważ środowisko to może również służyć do wprowadzania złośliwego oprogramowania i luk w zabezpieczeniach w środowisku produkcyjnym.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-10: Definiowanie i implementowanie strategii zabezpieczeń DevOps

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Wskazówki dotyczące platformy Azure: umocuj mechanizmy kontroli zabezpieczeń w ramach DevOps standardu inżynierii i operacji organizacji. Zdefiniuj cele zabezpieczeń, wymagania dotyczące kontroli i specyfikacje narzędzi zgodnie ze standardami zabezpieczeń przedsiębiorstwa i chmury w organizacji.

Zachęcaj do korzystania z DevOps jako podstawowego modelu operacyjnego w organizacji, aby uzyskać korzyści wynikające z szybkiego identyfikowania i korygowania luk w zabezpieczeniach przy użyciu różnych typów automatyzacji (takich jak infrastruktura, aprowizacja kodu i automatyczne skanowanie SAST i DAST) w przepływie pracy ciągłej integracji/ciągłego wdrażania. To podejście "shift left" zwiększa również widoczność i możliwość wymuszania spójnych kontroli zabezpieczeń w potoku wdrażania, efektywnie wdrażając zabezpieczenia w środowisku przed upływem czasu, aby uniknąć niespodzianek zabezpieczeń w ostatniej chwili podczas wdrażania obciążenia w środowisku produkcyjnym.

Podczas przenoszenia mechanizmów kontroli zabezpieczeń w lewo do fazy przed wdrożeniem zaimplementuj zabezpieczenia, aby upewnić się, że mechanizmy kontroli są wdrażane i wymuszane w całym procesie DevOps. Ta technologia może obejmować szablony usługi Azure ARM do definiowania barier ochronnych w infrastrukturze jako kodu, aprowizacji zasobów i Azure Policy do inspekcji i ograniczania usług lub konfiguracji, które można aprowizować w środowisku.

Aby uzyskać kontrolę zabezpieczeń w czasie wykonywania obciążenia, postępuj zgodnie z testem porównawczym zabezpieczeń platformy Azure, aby zaprojektować i wdrożyć skuteczne mechanizmy kontroli, takie jak tożsamość i uprzywilejowany dostęp, zabezpieczenia sieci, zabezpieczenia punktu końcowego i ochrona danych wewnątrz aplikacji i usług obciążeń.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):