Примеры правил политик базовой системы безопасностиSecurity Baseline sample policy statements

Отдельные правила облачной политики служат рекомендациями по устранению конкретных рисков, выявленных в процессе оценки рисков.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. В этих правилах должна предоставляться краткая сводка по рискам и планам их устранения.These statements should provide a concise summary of risks and plans to deal with them. Каждое определение правила должно включать следующие сведения:Each statement definition should include these pieces of information:

  • Технический риск: Сводка риска, который будет решать эта политика.Technical risk: A summary of the risk this policy will address.
  • Инструкция политики: Ясное краткое описание требований политики.Policy statement: A clear summary explanation of the policy requirements.
  • Технические параметры: Практические рекомендации, спецификации или другие рекомендации, которые специалисты по ИТ и разработчики могут использовать при реализации политики.Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

Следующие примеры политик относятся к общим бизнес-рискам, связанным с безопасностью.The following sample policy statements address common security-related business risks. Эти инструкции представляют собой примеры, на которые можно ссылаться при разработке заявлений политики в целях удовлетворения потребностей Организации.These statements are examples you can reference when drafting policy statements to address your organization's needs. Эти примеры не предназначены для использования в качестве описательных, и существует несколько параметров политики для работы с каждым определенным риском.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Тесно с бизнесом, безопасностью и ИТ-специалистами, чтобы определить лучшие политики для уникального набора рисков.Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

Классификация ресурсовAsset classification

Технический риск: Активы, которые неправильно идентифицированы как критически важные или участвующие в конфиденциальных данных, могут не получить достаточную защиту, что приведет к потенциальным утечкам данных или нарушению бизнеса.Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

Инструкция политики: Все развернутые ресурсы должны классифицироваться по важности и классификации данных.Policy statement: All deployed assets must be categorized by criticality and data classification. Перед развертыванием в облаке команде по управлению облаком и владельцу приложения необходимо проверить классификации.Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

Потенциальный вариант проектирования: Установите стандарты тегов ресурсов и убедитесь, что сотрудники отдела ИТ постоянно применяют их к любым развернутым ресурсам с помощью тегов ресурсов Azure.Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

Шифрование данныхData encryption

Технический риск: Существует риск предоставления защищенных данных во время хранения.Technical risk: There is a risk of protected data being exposed during storage.

Инструкция политики: Все защищенные данные должны быть зашифрованы при хранении.Policy statement: All protected data must be encrypted when at rest.

Потенциальный вариант проектирования: Сведения о том, как выполняется шифрование неактивных данных на платформе Azure, см. в статье Обзор шифрования Azure .Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. Также следует учитывать дополнительные элементы управления, такие как шифрование данных учетной записи и контроль над тем, как можно изменить параметры учетной записи хранения.Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

Сетевая изоляцияNetwork isolation

Технический риск: Подключение между сетями и подсетями в сетях представляет потенциальные уязвимости, которые могут привести к утечке данных или нарушению критически важных служб.Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

Инструкция политики: Сетевые подсети, содержащие защищенные данные, должны быть изолированы от любых других подсетей.Policy statement: Network subnets containing protected data must be isolated from any other subnets. Сетевой трафик между защищенными подсетями данных должен регулярно проверяться.Network traffic between protected data subnets is to be audited regularly.

Потенциальный вариант проектирования: В Azure изоляция сети и подсети управляется через виртуальную сеть Azure.Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

Защита внешнего доступаSecure external access

Технический риск: Предоставление доступа к рабочим нагрузкам из общедоступного Интернета приводит к риску вторжения в результате несанкционированных раскрытия данных или нарушения бизнеса.Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

Инструкция политики: К подсети, содержащей защищенные данные, можно получить прямой доступ через общедоступный Интернет или через центры обработки данных.Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. Доступ к таким подсетям должен осуществляться через промежуточные подсети.Access to those subnets must be routed through intermediate subnets. Весь доступ к таким подсетям должен осуществляться через брандмауэр с функциями сканирования пакетов и блокировки.All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

Потенциальный вариант проектирования: В Azure Обеспечьте безопасность общедоступных конечных точек, развернув сеть периметра между общедоступным Интернетом и облачной сетью.Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Рассмотрите возможность развертывания, настройки и автоматизации брандмауэра Azure.Consider deployment, configuration, and automation of Azure Firewall.

Защита от атак DDoSDDoS protection

Технический риск: Распределенные атаки типа "отказ в обслуживании" (от атак DDoS) могут привести к прерыванию бизнеса.Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

Инструкция политики: Развертывайте автоматизированные механизмы предотвращения от атак DDoS для всех общедоступных сетевых конечных точек.Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. Нет общедоступного веб-сайта, поддерживающего IaaS, не должен предоставляться в Интернете без от атак DDoS.No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

Потенциальный вариант проектирования: Используйте стандарт защиты Azure от атак DDoS , чтобы минимизировать перерывы в работе, вызванные атаками от атак DDoS.Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

Защита подключений в локальной средеSecure on-premises connectivity

Технический риск: Незашифрованный трафик между облачной сетью и локальной средой через общедоступный Интернет уязвим для перехвата, что представляет риск раскрытия данных.Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

Инструкция политики: Все подключения между локальной и облачной сетями должны выполняться либо через безопасное зашифрованное VPN-подключение, либо как выделенный частный канал глобальной сети.Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

Потенциальный вариант проектирования: В Azure используйте ExpressRoute или VPN Azure для установления частных подключений между локальными и облачными сетями.Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

Сетевой мониторинг и принудительное применениеNetwork monitoring and enforcement

Технический риск: Изменения в конфигурации сети могут привести к новым уязвимостям и рискам уязвимости данных.Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

Инструкция политики: Средства управления должны проводить аудит и применять требования к конфигурации сети, определяемые группой базовых показателей безопасности.Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

Потенциальный вариант проектирования: В Azure сетевые операции можно отслеживать с помощью наблюдателя за сетями Azure, а Центр безопасности Azure — для выявления уязвимостей системы безопасности.Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. Служба "Политика Azure" позволяет ограничивать сетевые ресурсы и политику конфигурации ресурсов в соответствии с пределами, определенными командой по обеспечению безопасности.Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

Проверки безопасностиSecurity review

Технический риск: Со временем появились новые угрозы безопасности и типы атак, что повышает риск раскрытия или нарушения работы облачных ресурсов.Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

Инструкция политики: Тенденции и потенциальные эксплойты, которые могут повлиять на облачные развертывания, должны регулярно проверяться группой безопасности, чтобы предоставлять обновления средств безопасности, используемых в облаке.Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

Потенциальный вариант проектирования: Создайте регулярное собрание по проверке безопасности, которое включает в себя соответствующие члены группы управления и ИТ-специалистов.Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. Изучите существующие данные и метрики безопасности, чтобы установить зазоры в текущей политике и базовых средствах безопасности, а также обновить политику, чтобы устранить все новые риски.Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. Используйте помощник Azure и Центр безопасности Azure для получения ценных сведений о новых угрозах, относящихся к вашим развертываниям.Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

Дальнейшие действияNext steps

Используйте примеры, приведенные в этой статье, в качестве отправной точки для разработки политик по конкретным рискам безопасности, соответствующих вашим планам внедрения облачных систем.Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

Чтобы приступить к разработке собственных политик базовой политики безопасности, скачайте шаблон «дисциплина безопасности».To begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

Чтобы ускорить внедрение этой дисциплины, выберите руководство по управлению , которое наиболее полно соответствует вашей среде.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Затем измените архитектуру с учетом принятых решений по корпоративной политике.Then modify the design to incorporate your specific corporate policy decisions.

Основываясь на рисках и допустимости рисков, создайте процесс управления и информирования о соблюдении политики базовой системы безопасности.Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.