Процессы обеспечения соответствия политикам для основных способов защитыSecurity Baseline policy compliance processes

В этой статье рассматривается подход к процессам соблюдения политик, регулирующим специализацию в плане безопасности.This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. Эффективное управление безопасностью в облаке начинается с повторяющихся ручных процессов, предназначенных для обнаружения уязвимостей и наложения политик на устранение этих угроз безопасности.Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. Это требует постоянного вовлечения группы управления облачными специалистами и заинтересованных лиц в сфере бизнеса и ИТ для проверки и обновления политики и обеспечения соответствия политике.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Кроме того, многие текущие процессы мониторинга и принудительного применения можно автоматизировать или дополнить с помощью набора инструментов, чтобы сократить расходы на управление и обеспечить более быстрый отклик на отклонение политики.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Планирование, проверка и составление отчетностиPlanning, review, and reporting processes

Лучшие средства основных способов защиты в облаке хороши только в тех процессах и политиках, которые они поддерживают.The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. Ниже приведен набор примеров процессов, часто использующихся в дисциплине "Основные способы защиты".The following is a set of example processes commonly involved in the Security Baseline discipline. Используйте эти примеры в качестве отправной точки при планировании процессов, что позволит вам постоянно обновлять политику безопасности на основе изменений в бизнесе и обратной связи от команд безопасности и ИТ-специалистов, в задачу которых входит приведение руководства по управлению в действие.Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

Первоначальная оценка рисков и планирование: В рамках первоначального внедрения дисциплины безопасности вы определяете основные бизнес-риски и отклонения, связанные с безопасностью в облаке.Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. Используйте эти сведения для обсуждения конкретных технических рисков с членами ваших ИТ-команд и команд по безопасности и для разработки базового плана политик безопасности для снижения этих рисков, чтобы установить начальную стратегию управления.Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Планирование развертывания: Перед развертыванием любой рабочей нагрузки или ресурса выполните проверку безопасности, чтобы найти новые риски и обеспечить соблюдение всех требований к политике безопасности и доступа к данным.Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

Тестирование развертывания: В рамках процесса развертывания для любой рабочей нагрузки или ресурса группа управления облаком, соответственная с корпоративными группами безопасности, будет отвечать за проверку развертывания для проверки соответствия политике безопасности.Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

Ежегодное планирование: На ежегодной основе выполните высокоуровневый обзор стратегии безопасности.Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. Изучите будущие корпоративные приоритеты и обновленные стратегии внедрения облака для идентификации возможного увеличения рисков и других возникающих потребностей безопасности.Explore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. Кроме того, используйте это время, чтобы ознакомиться с последними рекомендациями по базовому плану безопасности и интегрировать их в свои политики и проверить процессы.Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

Квартальная проверка и планирование: На ежеквартальной основе выполните проверку данных аудита безопасности и отчетов об инцидентах, чтобы найти изменения, необходимые для политики безопасности.Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. В рамках этого процесса проверьте текущую ситуацию с кибербезопасностью, чтобы заранее предвидеть возникающие угрозы, и при необходимости обновите политику.As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. После завершения проверки приведите руководство по разработке в соответствие с обновленной политикой.After the review is complete, align design guidance with updated policy.

Этот процесс планирования также является хорошим временем для ознакомления с текущим членством в группе управления облаком, чтобы получить сведения о разрывах знаний, связанных с новой или изменяемой политикой и рисках, связанных с безопасностью.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. Пригласите соответствующих ИТ-специалистов для участия в проверках и планировании как временных технических консультантов или постоянных участников своей команды.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Обучение и обучение: На бимонсли можно предложить обучающий семинар, чтобы обеспечить актуальность ИТ-специалистов и разработчиков о последних требованиях к политике безопасности.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. В рамках этого процесса вы можете проверить и обновить документацию, руководство или другие обучающие материалы, чтобы убедиться, что они синхронизированы с последними инструкциями корпоративной политики.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Ежемесячные проверки и отчеты: На ежемесячной основе выполните аудит всех облачных развертываний, чтобы обеспечить их непрерывное выравнивание с помощью политики безопасности.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. Просмотрите действия по безопасности, связанные с ИТ-специалистами и определите проблемы соответствия, не устраненные в ходе постоянного мониторинга и принудительного применения.Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. Результатом этой проверки является отчет для команды облачной стратегии и каждая группа по внедрению в облако для обмена данными с общим соответствием политике.The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. Отчет сохраняется также в целях аудита и соблюдения правовых условий.The report is also stored for auditing and legal purposes.

Процессы для постоянного мониторингаProcesses for ongoing monitoring

Успешное выполнение базовой стратегии безопасности зависит от видимости текущего и предыдущего состояния облачной инфраструктуры.A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. Без возможности анализировать соответствующие метрики и данные о работоспособности системы безопасности и активности ваших облачных ресурсов вы не можете выявить изменения в рисках или обнаружить нарушения допустимых рисков.Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. Текущие процессы управления, описанные выше, требуют качественных данных, чтобы обеспечить возможность изменения политики для более надежной защиты инфраструктуры от изменяющихся угроз и требований безопасности.The ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

Убедитесь, что группы безопасности и ИТ-специалисты реализовали автоматизированные системы мониторинга для облачной инфраструктуры, в которые записываются соответствующие данные журналов, необходимых для оценки риска.Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. Заранее выполните мониторинг этих систем, чтобы обеспечить быстрое обнаружение и устранение рисков потенциального нарушения политики, и убедитесь, что стратегия мониторинга соответствует потребностям безопасности.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

Триггеры нарушения и принудительные действияViolation triggers and enforcement actions

Так как несоответствие безопасности может привести к угрозам критически важности и доступности данных и нарушениям в работе служб, Группа управления облаком должна иметь возможность видеть серьезные нарушения политики.Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. Убедитесь, что у ИТ-специалистов есть четкие пути эскалации для отчетности группе управления о проблемах безопасности, которые лучше всего подходят для определения и проверки того, что проблемы с политикой устранены.Ensure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

При обнаружении нарушений следует незамедлительно предпринять действия для обеспечения соблюдения политики.When violations are detected, you should take actions to realign with policy as soon as possible. ИТ-специалисты могут автоматизировать большинство триггеров нарушения с помощью средств, описанных в цепочке инструментов основных способов защиты для Azure.Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

Следующие триггеры и принудительные действия приведены в качестве примеров, на которые вы можете ссылаться при планировании использования данных мониторинга для устранения нарушений политики:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Обнаружено увеличение количества атак.Increase in attacks detected. Если на 25 % увеличено количество попыток взлома или DDoS-атак какого-нибудь ресурса, обсудите это с персоналом отдела ИТ-безопасности и владельцем рабочей нагрузки, чтобы определить способы устранения.If any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. Отслеживайте проблему и обновляйте руководство, если пересмотр политики необходим для предотвращения будущих инцидентов.Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • Обнаружены Неклассифицированные данные.Unclassified data detected. Любому источнику данных без соответствующей конфиденциальности, безопасности или классификации влияния на бизнес будет отказано во внешнем доступе до тех пор, пока владелец данных не применит классификацию и соответствующий уровень защиты данных.Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • Обнаружена ошибка работоспособности системы безопасности.Security health issue detected. Отключите доступ к любым виртуальным машинам с обнаруженными известными уязвимостями доступа или вредоносными программами, пока не будут установлены соответствующие исправления или программное обеспечение для защиты.Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. Обновите руководство по политике с учетом всех новых обнаруженных угроз.Update policy guidance to account for any newly detected threats.
  • Обнаружена сетевая уязвимость.Network vulnerability detected. При доступе к любому ресурсу, который явно не разрешен политиками доступа к сети, должны активироваться оповещения для персонала отдела ИТ-безопасности и соответствующего владельца рабочей нагрузки.Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. Отслеживайте проблему и обновляйте руководство, если пересмотр политики необходим для уменьшения будущих инцидентов.Track issue and update guidance if policy revision is necessary to mitigate future incidents.

Дальнейшие действияNext steps

Используйте шаблон "дисциплина в плане безопасности " для документирования процессов и триггеров, которые совпадают с текущим планом внедрения в облаке.Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Рекомендации по выполнению политик управления облаком, согласованных с планами внедрения, см. в статье об оптимизации дисциплин.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.