安全控制 v3:治理和策略
治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。
GS-1:使组织角色、责任和职责一致
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
指导:确保为安全组织中的角色和职责定义并传达清晰的策略。 优先考虑提供涉及安全决策的明确责任,对每个人进行共同职责模式培训,并为技术团队传授保护云的技术。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-2:定义并实现企业分段/职责分离策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | AC-4、SC-7、SC-2 | 1.2、6.4 |
Azure 指导:建立企业级的策略,将标识、网络、应用程序、订阅、管理组和其他控制措施结合使用以对资产的访问进行分段。
仔细权衡安全分离需求与为需要彼此通信并访问数据的系统启用日常操作的需求。
确保在工作负载中一致地实现分段策略,包括网络安全、标识和访问模型、应用程序权限/访问模型,以及人机过程控制。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-3:定义并实现数据保护策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1、3.7、3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
Azure 指导:在 Azure 中建立企业级的数据保护策略:
- 根据企业数据管理标准和法规合规性,定义并应用数据分类和保护标准,从而决定每个级别的数据分类所需的安全控制措施。
- 设置与企业分段策略一致的云资源管理层次结构。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。
- 在云环境中定义和应用适用的零信任原则,以避免基于外围网络位置来实现信任。 请改用设备和用户信任声明来限制对数据和资源的访问。
- 跟踪和最大程度地减少整个企业中的敏感数据占用量(存储、传输和处理),以减少攻击面和数据保护成本。 请尽可能考虑工作负载中的单向哈希处理、截断和词汇切分等方法,以避免以原始形式存储和传输敏感数据。
- 确保有一个完整的生命周期控制策略为数据和访问密钥提供安全保障。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-4:定义并实现网络安全策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2、12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
Azure 指导:建立 Azure 网络安全策略,作为组织访问控制的总体安全策略的一部分。 此策略应包括针对以下元素的记录在案的指南、策略和标准:
- 设计集中/分散网络管理和安全责任模型,以便部署和维护网络资源。
- 与企业分段策略一致的虚拟网络分段模型。
- Internet 边缘及入口和出口策略。
- 混合云和本地互连策略。
- 网络监视和日志记录策略。
- 最新的网络安全项目(例如网络关系图、参考网络体系结构)。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-5:定义并实现安全状况管理策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1、1.2、2.2、6.1、6.2、6.5、6.6、11.2、11.3、11.5 |
Azure 指导:建立策略、过程和标准,以确保安全配置管理和漏洞管理在云安全任务中落实就位。
Azure 中的安全配置管理应包括以下方面:
- 定义云中不同资源类型的安全配置基线,如 Azure 门户、管理和控制平面以及 IaaS、PaaS 和 SaaS 服务中运行的资源。
- 确保安全基线能够应对不同控制领域中的风险,例如网络安全、标识管理、特权访问、数据保护等。
- 使用工具持续测量、审核和强制实施配置,以防止配置与基线形成偏差。
- 制定一项使 Azure 安全功能保持更新的安排(例如订阅服务更新)。
- 利用 Azure Defender for Cloud 中的安全分数定期查看 Azure 的安全配置状况,并修正已确认的差距。
Azure 中的漏洞管理应包括以下安全方面:
- 定期评估并修正所有云资源类型中的漏洞(如 Azure 本机服务、操作系统和应用程序组件)。
- 使用基于风险的方法来提升对评估和修正的重视。
- 订阅相关的 Microsoft / Azure 安全建议通知和博客,以接收有关 Azure 的最新安全更新。
- 请确保漏洞评估和修正(例如计划、范围和技术)满足组织的常规合规性要求。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-6:定义并实现标识和特权访问策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6、6.5、6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
Azure 指导:建立 Azure 标识和特权访问方法,将其作为组织总体安全访问控制策略的一部分。 此策略应包括针对以下方面的记录在案的指导、策略和标准:
- 集中标识和身份验证系统 (Azure AD) 及其与其他内部和外部标识系统的互连
- 特权标识和访问治理(如访问请求、评审和批准)
- 紧急(破窗式)情况下的特权帐户
- 在不同用例和条件中使用强身份验证(无密码身份验证和多重身份验证)方法
- 通过 Azure 门户、CLI 和 API 执行管理操作,保障访问安全。
对于未使用企业系统的例外情况,请确保具备足够的安全控制措施以用于标识、身份验证和访问管理以及治理。 企业团队应批准和定期查看这些例外。 这些例外通常出现在以下情况:
- 使用非企业指定的标识和身份验证系统,如基于云的第三方系统(可能引发未知风险)
- 特权用户在本地进行了身份验证和/或使用非强身份验证方法
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-7:定义并实现日志记录、威胁检测和事件响应策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1、13.1、17.2、17.4、17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
Azure 指导:建立日志记录、威胁检测和事件响应策略,以快速检测和修正威胁并满足合规性要求。 安全操作 (SecOps / SOC) 团队应注重实施高质量警报和无缝体验,以便能够专注于威胁,而不是过多关注记录集成和手动步骤。
此策略应包括以下方面的记录在案的策略、过程和标准:
- 安全运营 (SecOps) 组织的角色和职责
- 一个明确定义的定期测试的事件响应计划,以及与 NIST 或其他行业框架一致的处理流程。
- 与客户、供应商和公开的利益相关方之间的通信和通知计划。
- 优先使用扩展检测和响应 (XDR) 功能(如 Azure Defender 功能)来检测各方面的威胁。
- 使用 Azure 原生功能(例如 Microsoft Defender for Cloud)的和第三方的平台进行事件处理,例如日志记录和威胁检测、取证以及攻击补救和清除。
- 定义主要方案(例如威胁检测、事件响应和合规性),并设置日志捕获和保留以满足方案要求。
- 使用 SIEM、原生 Azure 威胁检测功能和其他源来集中查看与威胁相关的关联信息。
- 事件后活动,如经验教训和证据保留。
实现和其他上下文:
- Azure 安全基准 - 日志记录和威胁检测
- Azure 安全基准 - 事件响应
- Azure 安全最佳做法 4 - 流程。 更新云的事件响应流程
- Azure 采用框架、日志记录和报告决策指南
- Azure 企业规模、管理和监视
客户安全利益干系人(了解详细信息):
GS-8:定义并实现备份和恢复策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1、CP-9、CP-10 | 3.4 |
Azure 指导:为组织制定 Azure 备份和恢复策略。 此策略应包括以下方面的记录在案的指导、策略和标准:
- 符合你业务复原目标的恢复时间目标 (RTO) 和恢复点目标 (RPO) 定义,以及法规合规性要求。
- 用于云和本地的应用程序和基础结构中的冗余设计(包括备份、恢复和复制)。 请考虑在策略中使用区域、区域对、跨区域恢复和非现场存储位置。
- 使用数据访问控制、加密和网络安全等控制措施对备份进行保护,以防未经授权的访问和篡改。
- 使用备份和恢复来减小出现的威胁(如勒索软件攻击)带来的风险。 并且还可以保护备份和恢复数据本身,使其免受这些攻击。
- 出于审核和警报目的,监视备份和恢复数据以及操作。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-9:定义并实现终结点安全策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、10.1 | SI-2、SI-3、SC-3 | 5.1、5.2、5.3、5.4、11.5 |
Azure 指导:建立云终结点安全策略,其中包括以下方面:
- 将终结点检测和响应以及反恶意软件功能部署到终结点,并与威胁检测和 SIEM 解决方案及安全操作过程集成。
- 遵循 Azure 安全基准,以确保其他各方面(如网络安全性、状态漏洞管理、标识和特权访问,以及日志记录和威胁检测)与终结点相关的安全设置已到位,从而能为终结点提供深度防御保护。
- 为生产环境中的终结点安全性设置优先级,但要确保非生产环境(如 DevOps 过程中使用的测试和生成环境)也受到保护和监视,因为这些环境也可用于将恶意软件和漏洞引入到生产环境中。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
GS-10:定义并实现 DevOps 安全策略
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2、16.1、16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2、6.1、6.2、6.3、6.5、7.1、10.1、10.2、10.3、10.6、12.2 |
Azure 指导:将安全控制强制作为组织 DevOps 工程和操作标准的一部分。 根据组织中的企业和云安全标准,定义安全目标、控制要求和工具规范。
建议将 DevOps 用作你组织中的基本操作模型,因为这样可以在整个 CI/CD 工作流中使用不同类型的自动化操作(例如基础结构即代码预配和 SAST 和 DAST 自动扫描)来快速识别和修复漏洞。 通过这种“左移”方法,还可以更多地了解部署管道中的情况并在其中强制执行一致的安全检查,从而提前将安全护栏有效地部署到环境中,以避免在将工作负载部署到生产环境中时出现最后一分钟的安全意外。
当将安全控制向左转移到预先部署阶段时,请实现安全护栏以确保在整个 DevOps 过程中部署和执行控制。 此技术可能包含 Azure ARM 模板,可用于定义 IaC(基础结构即代码)中的护栏、资源预配和 Azure Policy,从而审核和限制可在环境中预配的服务或配置。
对于工作负载的运行时安全控制,请遵循 Azure 安全基准,设计和实现有效的控制,如标识和特权访问、网络安全、终结点安全性,以及工作负载应用程序和服务中的数据保护。
实现和其他上下文:
客户安全利益干系人(了解详细信息):