Security Control v3: Governance and strategy (Kontrola zabezpieczeń w wersji 3: ład i strategia)
Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.
GS-1: Dopasowywanie ról, obowiązków i obowiązków organizacji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 14,9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Wskazówki dotyczące platformy Azure: Upewnij się, że zdefiniujesz i przekażesz jasną strategię dla ról i obowiązków w organizacji zabezpieczeń. Ustalaj priorytety w celu wyraźnego określenia odpowiedzialności za decyzje dotyczące zabezpieczeń, informując wszystkie osoby o współużytkowanym modelu odpowiedzialności i informując zespoły techniczne o technologii do zabezpieczania chmury.
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 1 — ludzie: informowanie zespołów o podróży zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 2 — ludzie: informowanie zespołów o technologii zabezpieczeń w chmurze
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 3 — proces: przypisywanie odpowiedzialności za decyzje dotyczące zabezpieczeń chmury
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-2: Definiowanie i implementowanie segmentacji przedsiębiorstwa/rozdzielenia strategii obowiązków
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Wskazówki dotyczące platformy Azure: ustanów strategię całego przedsiębiorstwa w celu segmentowania dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.
Należy starannie zrównoważyć potrzebę rozdzielania zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.
Upewnij się, że strategia segmentacji jest spójnie implementowana w obciążeniu, w tym modele zabezpieczeń sieci, tożsamości i dostępu, a także modele uprawnień/dostępu do aplikacji oraz mechanizmy kontroli procesów ludzkich.
Implementacja i dodatkowy kontekst:
- Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework dla platformy Azure — segmentacja: oddzielne, aby chronić
- Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework dla platformy Azure — architektura: ustanowienie jednej ujednoliconej strategii zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-3: Definiowanie i implementowanie strategii ochrony danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Wskazówki dotyczące platformy Azure: Ustanów strategię dla całego przedsiębiorstwa na potrzeby ochrony danych na platformie Azure:
- Zdefiniuj i zastosuj standard klasyfikacji i ochrony danych zgodnie ze standardem zarządzania danymi przedsiębiorstwa i zgodnością z przepisami, aby określić mechanizmy kontroli zabezpieczeń wymagane dla każdego poziomu klasyfikacji danych.
- Skonfiguruj hierarchię zarządzania zasobami w chmurze dostosowaną do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.
- Zdefiniuj i zastosuj odpowiednie zasady zerowego zaufania w środowisku chmury, aby uniknąć implementowania zaufania na podstawie lokalizacji sieciowej w obrębie obwodu. Zamiast tego użyj oświadczeń zaufania urządzeń i użytkowników, aby uzyskać dostęp do danych i zasobów.
- Śledzenie i minimalizowanie śladu poufnych danych (magazynowania, przesyłania i przetwarzania) w całym przedsiębiorstwie w celu zmniejszenia kosztów związanych z atakami i ochroną danych. Rozważ techniki, takie jak jednokierunkowe tworzenie skrótów, obcinanie i tokenizacja w obciążeniu tam, gdzie to możliwe, aby uniknąć przechowywania i przesyłania poufnych danych w oryginalnej formie.
- Upewnij się, że masz pełną strategię kontroli cyklu życia, aby zapewnić bezpieczeństwo danych i kluczy dostępu.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — ochrona danych
- Cloud Adoption Framework — najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych platformy Azure
- Podstawy zabezpieczeń platformy Azure — zabezpieczenia, szyfrowanie i magazynowanie danych platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-4: Definiowanie i implementowanie strategii zabezpieczeń sieci
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Wskazówki dotyczące platformy Azure: ustanów strategię zabezpieczeń sieci platformy Azure w ramach ogólnej strategii zabezpieczeń organizacji na potrzeby kontroli dostępu. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:
- Projektowanie modelu odpowiedzialności za scentralizowane/zdecentralizowane zarządzanie siecią i zabezpieczenia w celu wdrażania i utrzymywania zasobów sieciowych.
- Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa.
- Strategia brzegowa i ruch przychodzący i wychodzący w Internecie.
- Strategia łączności między chmurami hybrydowymi i lokalnymi.
- Strategia monitorowania i rejestrowania sieci.
- Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura sieci referencyjnej).
Implementacja i dodatkowy kontekst:
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 11 — architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia sieci
- Omówienie zabezpieczeń sieci platformy Azure
- Strategia architektury sieci przedsiębiorstwa
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-5: Definiowanie i implementowanie strategii zarządzania stanem zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Wskazówki dotyczące platformy Azure: ustanów zasady, procedurę i standard, aby upewnić się, że zarządzanie konfiguracją zabezpieczeń i zarządzanie lukami w zabezpieczeniach są stosowane w ramach mandatu zabezpieczeń w chmurze.
Zarządzanie konfiguracją zabezpieczeń na platformie Azure powinno obejmować następujące obszary:
- Zdefiniuj punkty odniesienia bezpiecznej konfiguracji dla różnych typów zasobów w chmurze, takich jak Azure Portal, płaszczyzna zarządzania i sterowania oraz zasoby uruchomione w usługach IaaS, PaaS i SaaS.
- Upewnij się, że punkty odniesienia zabezpieczeń odpowiadają zagrożeniom w różnych obszarach kontroli, takich jak zabezpieczenia sieci, zarządzanie tożsamościami, uprzywilejowany dostęp, ochrona danych itd.
- Użyj narzędzi, aby stale mierzyć, przeprowadzać inspekcję i wymuszać konfigurację, aby zapobiec odchylenie konfiguracji od punktu odniesienia.
- Opracuj harmonogram aktualizowania funkcji zabezpieczeń platformy Azure, na przykład, subskrybowania aktualizacji usługi.
- Skorzystaj z wskaźnika bezpieczeństwa na platformie Azure Defender dla Chmury, aby regularnie przeglądać stan konfiguracji zabezpieczeń platformy Azure i korygować zidentyfikowane luki.
Zarządzanie lukami w zabezpieczeniach na platformie Azure powinny obejmować następujące aspekty zabezpieczeń:
- Regularnie oceniaj i koryguj luki w zabezpieczeniach we wszystkich typach zasobów w chmurze, takich jak usługi natywne platformy Azure, systemy operacyjne i składniki aplikacji.
- Użyj podejścia opartego na ryzyku, aby określić priorytety oceny i korygowania.
- Zasubskrybuj odpowiednie powiadomienia i blogi dotyczące zabezpieczeń firmy Microsoft/Azure, aby otrzymywać najnowsze aktualizacje zabezpieczeń dotyczące platformy Azure.
- Upewnij się, że ocena luk w zabezpieczeniach i korygowanie (takie jak harmonogram, zakres i techniki) spełniają wymagania dotyczące regularnej zgodności w organizacji.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — stan i zarządzanie lukami w zabezpieczeniach
- Najlepsze rozwiązanie w zakresie zabezpieczeń platformy Azure 9 — ustanawianie zarządzania stanem zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-6: Definiowanie i implementowanie strategii tożsamości i uprzywilejowanego dostępu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Wskazówki dotyczące platformy Azure: ustanów podejście do tożsamości platformy Azure i uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących aspektów:
- Scentralizowany system tożsamości i uwierzytelniania (Azure AD) oraz jego współdziałanie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości
- Ład tożsamości uprzywilejowanej i dostępu (na przykład żądanie dostępu, przegląd i zatwierdzenie)
- Uprzywilejowane konta w sytuacji awaryjnej (break-glass)
- Metody silnego uwierzytelniania (uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego) w różnych przypadkach użycia i warunkach
- Bezpieczny dostęp przez operacje administracyjne za pomocą Azure Portal, interfejsu wiersza polecenia i interfejsu API.
W przypadku przypadków wyjątków, w których system przedsiębiorstwa nie jest używany, upewnij się, że obowiązują odpowiednie mechanizmy kontroli zabezpieczeń na potrzeby zarządzania tożsamościami, uwierzytelnianiem i dostępem oraz zarządzaniem dostępem. Te wyjątki należy zatwierdzać i okresowo przeglądać przez zespół przedsiębiorstwa. Te wyjątki są zwykle w takich przypadkach jak:
- Korzystanie z systemu tożsamości i uwierzytelniania wyznaczonego przez inne przedsiębiorstwo, takiego jak systemy innych firm oparte na chmurze (mogą powodować nieznane zagrożenia)
- Użytkownicy uprzywilejowani uwierzytelnieni lokalnie i/lub korzystają z metod uwierzytelniania bez silnego
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zarządzanie tożsamością
- Test porównawczy zabezpieczeń platformy Azure — dostęp uprzywilejowany
- Najlepsze rozwiązanie dotyczące zabezpieczeń platformy Azure 11 — architektura. Pojedyncza ujednolicona strategia zabezpieczeń
- Omówienie zabezpieczeń zarządzania tożsamościami platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-7: Definiowanie i implementowanie rejestrowania, wykrywania zagrożeń i strategii reagowania na zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Wskazówki dotyczące platformy Azure: ustanów strategię rejestrowania, wykrywania zagrożeń i reagowania na zdarzenia w celu szybkiego wykrywania i korygowania zagrożeń oraz spełnienia wymagań dotyczących zgodności. Zespół ds. operacji zabezpieczeń (SecOps/SOC) powinien określać priorytety alertów wysokiej jakości i bezproblemowych środowisk, aby mogli skupić się na zagrożeniach, a nie na integracji dzienników i ręcznych krokach.
Ta strategia powinna obejmować udokumentowane zasady, procedury i standardy dla następujących aspektów:
- Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)
- Dobrze zdefiniowany i regularnie przetestowany plan reagowania na zdarzenia oraz proces obsługi zgodny z NIST lub innymi strukturami branżowymi.
- Plan komunikacji i powiadomień z klientami, dostawcami i stronami publicznymi.
- Preferencje dotyczące korzystania z funkcji wykrywania rozszerzonego i reagowania (XDR), takich jak możliwości usługi Azure Defender w celu wykrywania zagrożeń w różnych obszarach.
- Korzystanie z natywnej funkcji platformy Azure (np. jako Microsoft Defender dla Chmury) i platform innych firm na potrzeby obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, kryminalistyka i korygowanie i eliminowanie ataków.
- Zdefiniuj kluczowe scenariusze (takie jak wykrywanie zagrożeń, reagowanie na zdarzenia i zgodność) oraz skonfiguruj przechwytywanie i przechowywanie dzienników, aby spełnić wymagania scenariusza.
- Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu rozwiązania SIEM, natywnej możliwości wykrywania zagrożeń na platformie Azure i innych źródeł.
- Działania po zdarzeniu, takie jak wnioski zdobyte i przechowywanie dowodów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — rejestrowanie i wykrywanie zagrożeń
- Test porównawczy zabezpieczeń platformy Azure — reagowanie na zdarzenia
- Najlepsze rozwiązanie w zakresie zabezpieczeń platformy Azure 4 — proces. Aktualizowanie procesów reagowania na zdarzenia dla chmury
- Przewodnik dotyczący decyzji w zakresie platformy wdrażania Azure, rejestrowania i raportowania
- Skalowanie, zarządzanie i monitorowanie w przedsiębiorstwie na platformie Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-8: Definiowanie i implementowanie strategii tworzenia kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Wskazówki dotyczące platformy Azure: ustanawianie strategii tworzenia kopii zapasowych i odzyskiwania kopii zapasowych platformy Azure dla organizacji. Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy w następujących aspektach:
- Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej i wymaganiami dotyczącymi zgodności z przepisami.
- Projekt nadmiarowości (w tym tworzenie kopii zapasowych, przywracanie i replikacja) w aplikacjach i infrastrukturze zarówno w chmurze, jak i w środowisku lokalnym. Rozważ regionalne pary regionów, odzyskiwanie między regionami i lokalizację przechowywania poza lokacją w ramach strategii.
- Ochrona kopii zapasowej przed nieautoryzowanym dostępem i hartowaniem przy użyciu kontroli dostępu do danych, szyfrowania i zabezpieczeń sieci.
- Korzystanie z kopii zapasowych i odzyskiwania w celu ograniczenia ryzyka związanego z pojawiającymi się zagrożeniami, takimi jak atak na oprogramowanie wymuszające okup. Zabezpieczanie danych kopii zapasowej i odzyskiwania przed tymi atakami.
- Monitorowanie danych i operacji tworzenia kopii zapasowych oraz odzyskiwania na potrzeby inspekcji i alertów.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — tworzenie kopii zapasowych i odzyskiwanie
- Azure Well-Architecture Framework — tworzenie kopii zapasowych i odzyskiwanie po awarii dla aplikacji platformy Azure
- Ciągłość biznesowa i odzyskiwanie po awarii w przewodniku Azure Adoption Framework
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-9: Definiowanie i implementowanie strategii zabezpieczeń punktu końcowego
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Wskazówki dotyczące platformy Azure: Ustanów strategię zabezpieczeń punktu końcowego w chmurze, która obejmuje następujące aspekty:
- Wdróż możliwość wykrywanie i reagowanie w punktach końcowych i ochrony przed złośliwym kodem w punkcie końcowym, a następnie zintegruj się z procesem wykrywania zagrożeń i rozwiązania SIEM i operacji zabezpieczeń.
- Postępuj zgodnie z testem porównawczym zabezpieczeń platformy Azure, aby upewnić się, że ustawienia zabezpieczeń punktu końcowego powiązane z zabezpieczeniami w innych obszarach (takie jak zabezpieczenia sieci, stan zarządzanie lukami w zabezpieczeniach, tożsamość i uprzywilejowany dostęp oraz rejestrowanie i wykrywanie zagrożeń) są również dostępne w celu zapewnienia szczegółowej ochrony punktu końcowego.
- Określanie priorytetów zabezpieczeń punktu końcowego w środowisku produkcyjnym, ale upewnij się, że środowiska nieprodukcyjne (takie jak środowisko testowe i kompilacje używane w procesie DevOps) są również zabezpieczone i monitorowane, ponieważ środowisko to może również służyć do wprowadzania złośliwego oprogramowania i luk w zabezpieczeniach w środowisku produkcyjnym.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia punktu końcowego
- Najlepsze rozwiązania dotyczące zabezpieczeń punktów końcowych na platformie Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
GS-10: Definiowanie i implementowanie strategii zabezpieczeń DevOps
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Wskazówki dotyczące platformy Azure: umocuj mechanizmy kontroli zabezpieczeń w ramach DevOps standardu inżynierii i operacji organizacji. Zdefiniuj cele zabezpieczeń, wymagania dotyczące kontroli i specyfikacje narzędzi zgodnie ze standardami zabezpieczeń przedsiębiorstwa i chmury w organizacji.
Zachęcaj do korzystania z DevOps jako podstawowego modelu operacyjnego w organizacji, aby uzyskać korzyści wynikające z szybkiego identyfikowania i korygowania luk w zabezpieczeniach przy użyciu różnych typów automatyzacji (takich jak infrastruktura, aprowizacja kodu i automatyczne skanowanie SAST i DAST) w przepływie pracy ciągłej integracji/ciągłego wdrażania. To podejście "shift left" zwiększa również widoczność i możliwość wymuszania spójnych kontroli zabezpieczeń w potoku wdrażania, efektywnie wdrażając zabezpieczenia w środowisku przed upływem czasu, aby uniknąć niespodzianek zabezpieczeń w ostatniej chwili podczas wdrażania obciążenia w środowisku produkcyjnym.
Podczas przenoszenia mechanizmów kontroli zabezpieczeń w lewo do fazy przed wdrożeniem zaimplementuj zabezpieczenia, aby upewnić się, że mechanizmy kontroli są wdrażane i wymuszane w całym procesie DevOps. Ta technologia może obejmować szablony usługi Azure ARM do definiowania barier ochronnych w infrastrukturze jako kodu, aprowizacji zasobów i Azure Policy do inspekcji i ograniczania usług lub konfiguracji, które można aprowizować w środowisku.
Aby uzyskać kontrolę zabezpieczeń w czasie wykonywania obciążenia, postępuj zgodnie z testem porównawczym zabezpieczeń platformy Azure, aby zaprojektować i wdrożyć skuteczne mechanizmy kontroli, takie jak tożsamość i uprzywilejowany dostęp, zabezpieczenia sieci, zabezpieczenia punktu końcowego i ochrona danych wewnątrz aplikacji i usług obciążeń.
Implementacja i dodatkowy kontekst:
- Test porównawczy zabezpieczeń platformy Azure — zabezpieczenia DevOps
- Bezpieczna metodyka DevOps
- Cloud Adoption Framework — kontrolki DevSecOps
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):