Řízení zabezpečení: Zásady správného řízení a strategie
Zásady správného řízení a strategie poskytují pokyny pro zajištění ucelené strategie zabezpečení a dokumentovaný přístup k zásadám správného řízení, který řídí a udržuje zabezpečení, včetně stanovení rolí a odpovědností pro různé funkce zabezpečení cloudu, sjednocené technické strategie a podpůrné zásady a standardy.
GS-1: Sladění organizačních rolí, odpovědností a závazků
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2,4 |
Obecné pokyny: Ujistěte se, že definujete a sdělíte jasnou strategii pro role a odpovědnosti ve vaší organizaci zabezpečení. Upřednostnit poskytování jasné odpovědnosti za bezpečnostní rozhodnutí, informovat všechny o modelu sdílené odpovědnosti a informovat technické týmy o technologiích pro zabezpečení cloudu.
Implementace a další kontext:
- Osvědčený postup zabezpečení Azure 1 – Lidé: školení týmů v oblasti zabezpečení cloudu
- Osvědčený postup zabezpečení Azure 2 – Lidé: školení týmů na technologii zabezpečení cloudu
- Osvědčený postup zabezpečení Azure 3 – Proces: přiřazení odpovědnosti za rozhodování o zabezpečení cloudu
Účastníci zabezpečení zákazníků (další informace) :
GS-2: Definování a implementace strategie segmentace/oddělení povinností podniku
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Obecné pokyny: Vytvořte celopodnikovou strategii pro segmentaci přístupu k prostředkům pomocí kombinace identit, sítě, aplikace, předplatného, skupiny pro správu a dalších ovládacích prvků.
Pečlivě vyvažte nutnost oddělení zabezpečení s nutností povolit každodenní provoz systémů, které musí vzájemně komunikovat a pracovat s daty.
Ujistěte se, že strategie segmentace je v úloze implementovaná konzistentně, včetně zabezpečení sítě, modelů identit a přístupu, modelů oprávnění/přístupu k aplikacím a řízení lidských procesů.
Implementace a další kontext:
- Zabezpečení v Microsoft Cloud Adoption Framework pro Azure – Segmentace: Samostatná ochrana
- Zabezpečení v Microsoft Cloud Adoption Framework pro Azure – Architektura: Vytvoření jednotné strategie zabezpečení
Účastníci zabezpečení zákazníků (další informace) :
GS-3: Definování a implementace strategie ochrany dat
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Obecné pokyny: Vytvoření celopodnikové strategie ochrany dat v cloudovém prostředí:
- Definujte a použijte standard klasifikace a ochrany dat v souladu se standardem správy podnikových dat a dodržováním právních předpisů, abyste mohli diktovat bezpečnostní prvky vyžadované pro každou úroveň klasifikace dat.
- Nastavte hierarchii správy cloudových prostředků v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
- Definujte a použijte platné principy nulové důvěryhodnosti v cloudovém prostředí, abyste se vyhnuli implementaci důvěryhodnosti na základě umístění v síti v rámci hraniční sítě. Místo toho použijte deklarace důvěryhodnosti zařízení a uživatele k bráně přístupu k datům a prostředkům.
- Sledujte a minimalizujte nároky na citlivá data (úložiště, přenos a zpracování) v rámci podniku, abyste snížili prostor pro útoky a náklady na ochranu dat. Pokud je to možné, zvažte v úloze techniky, jako je jednosměrné hashování, zkrácení a tokenizace, abyste se vyhnuli ukládání a přenosu citlivých dat v původní podobě.
- Ujistěte se, že máte úplnou strategii řízení životního cyklu, která zajistí zabezpečení dat a přístupových klíčů.
Implementace a další kontext:
- Microsoft srovnávací test zabezpečení cloudu – Ochrana dat
- Cloud Adoption Framework – osvědčené postupy zabezpečení a šifrování dat Azure
- Základy zabezpečení Azure – zabezpečení, šifrování a úložiště dat Azure
Účastníci zabezpečení zákazníků (další informace) :
GS-4: Definování a implementace strategie zabezpečení sítě
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Obecné pokyny: Vytvořte strategii zabezpečení cloudové sítě jako součást celkové strategie zabezpečení vaší organizace pro řízení přístupu. Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:
- Navrhněte centralizovaný/decentralizovaný model správy sítě a odpovědnosti za zabezpečení pro nasazení a údržbu síťových prostředků.
- Model segmentace virtuální sítě, který je v souladu se strategií segmentace podniku.
- Strategie internetového hraničního připojení a příchozího a výchozího přenosu dat.
- Strategie hybridního cloudu a místního propojení.
- Strategie monitorování a protokolování sítě.
- Aktuální artefakty zabezpečení sítě (například síťové diagramy, referenční síťová architektura)
Implementace a další kontext:
- Osvědčené postupy zabezpečení Azure 11 – architektura. Jednotná strategie zabezpečení
- Microsoft srovnávací test zabezpečení cloudu – Zabezpečení sítě
- Přehled zabezpečení sítě v Azure
- Strategie architektury podnikové sítě
Účastníci zabezpečení zákazníků (další informace) :
GS-5: Definování a implementace strategie správy stavu zabezpečení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Obecné pokyny: Vytvořte zásady, postup a standard, abyste zajistili, že správa konfigurace zabezpečení a správa ohrožení zabezpečení budou v rámci vašeho mandátu zabezpečení cloudu.
Správa konfigurace zabezpečení v cloudu by měla zahrnovat následující oblasti:
- Definujte standardní hodnoty zabezpečené konfigurace pro různé typy prostředků v cloudu, jako je webový portál/ konzola, rovina správy a řízení a prostředky spuštěné ve službách IaaS, PaaS a SaaS.
- Ujistěte se, že standardní hodnoty zabezpečení řeší rizika v různých oblastech kontroly, jako je zabezpečení sítě, správa identit, privilegovaný přístup, ochrana dat atd.
- Pomocí nástrojů můžete nepřetržitě měřit, auditovat a vynucovat konfiguraci, abyste zabránili odchylování konfigurace od směrného plánu.
- Vypracujte tempo, které vám umožní aktualizovat funkce zabezpečení, například přihlášení k odběru aktualizací služby.
- Využijte mechanismus kontroly stavu zabezpečení nebo dodržování předpisů (například skóre zabezpečení, řídicí panel dodržování předpisů v Microsoft Defender pro cloud) k pravidelné kontrole stavu konfigurace zabezpečení a k nápravě zjištěných nedostatků.
Správa ohrožení zabezpečení v cloudu by měla zahrnovat následující aspekty zabezpečení:
- Pravidelně vyhodnocujte a opravujte ohrožení zabezpečení ve všech typech cloudových prostředků, jako jsou nativní cloudové služby, operační systémy a komponenty aplikací.
- K určení priorit posouzení a nápravy použijte přístup založený na rizicích.
- Pokud chcete dostávat nejnovější aktualizace zabezpečení, přihlaste se k odběru oznámení a blogů příslušného poradce zabezpečení CSPM.
- Ujistěte se, že posouzení a náprava ohrožení zabezpečení (například plán, rozsah a techniky) splňují požadavky na dodržování předpisů pro vaši organizaci.dule, rozsah a techniky) a splňují pravidelné požadavky na dodržování předpisů pro vaši organizaci.
Implementace a další kontext:
- Microsoft srovnávací test zabezpečení cloudu – Správa stavu a ohrožení zabezpečení
- Osvědčené postupy zabezpečení Azure 9 – Zřízení správy stavu zabezpečení
Účastníci zabezpečení zákazníků (další informace):
GS-6: Definování a implementace strategie identit a privilegovaného přístupu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Obecné pokyny: Vytvoření přístupu ke cloudové identitě a privilegovanému přístupu v rámci celkové strategie řízení přístupu k zabezpečení vaší organizace Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující aspekty:
- Centralizovaný systém identit a ověřování (například Azure AD) a jeho propojení s jinými interními a externími systémy identit
- Privilegované identity a zásady správného řízení přístupu (například žádost o přístup, kontrola a schválení)
- Situace s privilegovanými účty v nouzové situaci
- Metody silného ověřování (ověřování bez hesla a vícefaktorového ověřování) v různých případech a podmínkách použití
- Zabezpečený přístup pro operace správy prostřednictvím webového portálu nebo konzoly, příkazového řádku a rozhraní API.
U výjimek, kdy se nepoužívá podnikový systém, zajistěte, aby byly zavedeny odpovídající bezpečnostní prvky pro správu identit, ověřování a přístupu a řízení. Tyto výjimky by měl schvalovat a pravidelně kontrolovat tým organizace. K těmto výjimkám obvykle dochází například v těchto případech:
- Použití systému identit a ověřování, který není určený podnikem, jako jsou cloudové systémy třetích stran (může představovat neznámá rizika)
- Privilegovaní uživatelé se ověřují místně nebo používají nezásídné metody ověřování.
Implementace a další kontext:
- Microsoft srovnávací test cloudového zabezpečení – Správa identit
- Microsoft srovnávací test cloudového zabezpečení – privilegovaný přístup
- Osvědčený postup zabezpečení Azure 11 – Architektura Jednotná strategie zabezpečení
- Přehled zabezpečení správy identit v Azure
Účastníci zabezpečení zákazníků (další informace):
GS-7: Definování a implementace protokolování, detekce hrozeb a strategie reakce na incidenty
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Obecné pokyny: Vytvořte strategii protokolování, detekce hrozeb a reakce na incidenty, která rychle detekuje a opravuje hrozby a splňuje požadavky na dodržování předpisů. Tým pro operace zabezpečení (SecOps / SOC) by měl upřednostnit vysoce kvalitní výstrahy a bezproblémové prostředí, aby se mohl soustředit na hrozby a ne na integraci protokolů a ruční kroky. Tato strategie by měla zahrnovat zdokumentované zásady, postupy a standardy pro následující aspekty:
- Role a odpovědnosti organizace pro operace zabezpečení (SecOps)
- Dobře definovaný a pravidelně testovaný plán reakce na incidenty a proces zpracování, který je v souladu s NIST SP 800-61 (Computer Security Incident Handling Guide) nebo jinými oborovými architekturami.
- Plán komunikace a oznámení se zákazníky, dodavateli a veřejnými stranami, které vás zajímají.
- Simulujte očekávané i neočekávané události zabezpečení ve vašem cloudovém prostředí, abyste pochopili efektivitu vaší přípravy. Iterujte výsledek vaší simulace, abyste zlepšili měřítko stavu reakce, zkrátili dobu potřebnou k hodnotě a dále snížili riziko.
- Přednost používání funkcí rozšířené detekce a reakce (XDR), jako jsou možnosti Azure Defenderu, k detekci hrozeb v různých oblastech.
- Použití funkcí nativních pro cloud (např. Microsoft Defender pro cloud) a platforem třetích stran pro zpracování incidentů, jako je protokolování a detekce hrozeb, forenzní analýza a náprava a vymýcení útoků.
- Připravte potřebné runbooky, ruční i automatizované, abyste zajistili spolehlivé a konzistentní odpovědi.
- Definujte klíčové scénáře (jako je detekce hrozeb, reakce na incidenty a dodržování předpisů) a nastavte zachytávání a uchovávání protokolů tak, aby splňovaly požadavky scénáře.
- Centralizovaná viditelnost a korelace informací o hrozbách s využitím SIEM, nativní funkce detekce cloudových hrozeb a dalších zdrojů
- Aktivity po incidentu, jako jsou získané poznatky a uchovávání důkazů.
Implementace a další kontext:
- Microsoft srovnávací test cloudového zabezpečení – Protokolování a detekce hrozeb
- Microsoft srovnávací test cloudového zabezpečení – Reakce na incidenty
- Osvědčený postup zabezpečení Azure 4 – proces Aktualizace procesů reakce na incidenty pro cloud
- Architektura přechodu na Azure a průvodce rozhodováním o protokolování a vytváření sestav
- Škálování, správa a monitorování Azure na podnikové úrovni
- NIST SP 800-61 Průvodce zpracováním incidentů zabezpečení počítače
Účastníci zabezpečení zákazníků (další informace):
GS-8: Definování a implementace strategie zálohování a obnovení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Obecné pokyny: Vytvořte strategii zálohování a obnovení pro vaši organizaci. Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy v následujících aspektech:
- Definice cíle doby obnovení (RTO) a cíle bodu obnovení (RPO) v souladu s vašimi cíli odolnosti podniku a požadavky na dodržování právních předpisů.
- Návrh redundance (včetně zálohování, obnovení a replikace) ve vašich aplikacích a infrastruktuře v cloudu i v místním prostředí. Jako součást strategie zvažte regionální obnovení, párování oblastí, obnovení mezi oblastmi a umístění úložiště mimo lokalitu.
- Ochrana zálohy před neoprávněným přístupem a popouštěním pomocí ovládacích prvků, jako je řízení přístupu k datům, šifrování a zabezpečení sítě.
- Použití zálohování a obnovení ke zmírnění rizik vznikajících hrozeb, jako jsou útoky ransomwaru. A také zabezpečit zálohovaná a obnovovací data samotná před těmito útoky.
- Monitorování dat a operací zálohování a obnovení pro účely auditu a upozorňování.
Implementace a další kontext:
- Microsoft srovnávací test cloudového zabezpečení – Zálohování a obnovení Azure Well-Architecture Framework – Zálohování a zotavení po havárii pro aplikace Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework – provozní kontinuita a zotavení po havárii
- Plán zálohování a obnovení pro ochranu před ransomwarem
Účastníci zabezpečení zákazníků (další informace):
GS-9: Definování a implementace strategie zabezpečení koncových bodů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Obecné pokyny: Vytvořte strategii zabezpečení koncového bodu cloudu, která zahrnuje následující aspekty:- Nasaďte do svého koncového bodu funkci detekce a reakce koncových bodů a antimalwarové funkce a proveďte integraci s řešením detekce hrozeb, řešením SIEM a procesem operací zabezpečení.
- Postupujte podle srovnávacího testu Microsoft Cloud Security a ujistěte se, že jsou k dispozici také nastavení zabezpečení související s koncovými body v dalších příslušných oblastech (například zabezpečení sítě, správa ohrožení zabezpečení stavu, identita a privilegovaný přístup a protokolování a detekce hrozeb), která zajistí hloubkovou ochranu vašeho koncového bodu.
- Určete prioritu zabezpečení koncového bodu v produkčním prostředí, ale zajistěte, aby byla zabezpečená a monitorovaná také neprodukční prostředí (například testovací a sestavovací prostředí používaná v procesu DevOps), protože tato prostředí lze také použít k zavedení malwaru a ohrožení zabezpečení do produkčního prostředí.
Implementace a další kontext:
- Microsoft srovnávací test cloudového zabezpečení – Zabezpečení koncových bodů
- Osvědčené postupy pro zabezpečení koncových bodů v Azure
Účastníci zabezpečení zákazníků (další informace):
GS-10: Definování a implementace strategie zabezpečení DevOps
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Obecné pokyny: Nařizujte kontrolní mechanismy zabezpečení jako součást technického a provozního standardu organizace DevOps. Definujte cíle zabezpečení, požadavky na řízení a specifikace nástrojů v souladu s podnikovými a cloudovými standardy zabezpečení ve vaší organizaci.
V rámci pracovního postupu CI/CD doporučte použití DevOps jako základního provozního modelu ve vaší organizaci pro jeho výhody při rychlé identifikaci a nápravě ohrožení zabezpečení pomocí různých typů automatizace (například infrastruktury jako zřizování kódu a automatizovaného prohledávání SAST a DAST). Tento přístup "posunout doleva" také zvyšuje viditelnost a schopnost vynucovat konzistentní kontroly zabezpečení v kanálu nasazení a efektivně nasazuje bezpečnostní mantinely do prostředí předem, aby se při nasazování úlohy do produkčního prostředí zabránilo překvapením zabezpečení na poslední chvíli.
Při přesouvání bezpečnostních prvků doleva do fází před nasazením implementujte bezpečnostní mantinely, abyste zajistili, že se ovládací prvky nasazují a vynucují v celém procesu DevOps. Tato technologie může zahrnovat šablony nasazení prostředků (jako je šablona Azure ARM), které definují mantinely v IaC (infrastruktura jako kód), zřizování prostředků a auditování, aby se omezilo, které služby nebo konfigurace je možné v prostředí zřídit.
V případě kontrolních mechanismů zabezpečení úloh za běhu postupujte podle srovnávacího testu Microsoft Cloud Security a navrhněte a implementujte efektivní kontrolní mechanismy, jako je identita a privilegovaný přístup, zabezpečení sítě, zabezpečení koncových bodů a ochrana dat v aplikacích a službách úloh.
Implementace a další kontext:
- Microsoft srovnávací test cloudového zabezpečení – zabezpečení DevOps
- Zabezpečení DevOps
- Cloud Adoption Framework – Řídicí prvky DevSecOpsObecné pokynyZúčastněné strany zákazníků v oblasti zabezpečení (další informace)**:
- Všechny zúčastněné strany
GS-11: Definování a implementace strategie zabezpečení více cloudů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/A | N/A | N/A |
Obecné pokyny: Ujistěte se, že je ve vašich cloudových a bezpečnostních zásadách správného řízení, správě rizik a provozním procesu definovaná strategie pro více cloudů, která by měla zahrnovat následující aspekty:
- Přechod na více cloudů: Pro organizace, které provozují infrastrukturu s více cloudy a Vzdělávání vaší organizace, aby týmy pochopily rozdíl mezi funkcemi cloudových platforem a technologií. Sestavovat, nasazovat nebo migrovat řešení, která jsou přenosná. Umožňuje snadný přesun mezi cloudovými platformami s minimálním zámkem od dodavatele a současně s využitím funkcí nativních pro cloud adekvátně pro optimální výsledek přechodu na cloud.
- Provoz v cloudu a zabezpečení: Zjednodušte operace zabezpečení pro podporu řešení v každém cloudu prostřednictvím centrální sady procesů zásad správného řízení a správy, které sdílejí společné provozní procesy bez ohledu na to, kde je řešení nasazené a provozované.
- Zásobník nástrojů a technologií: Zvolte vhodné nástroje, které podporují prostředí s více cloudy, které vám pomůžou vytvořit jednotné a centralizované platformy pro správu, které můžou zahrnovat všechny domény zabezpečení probírané v tomto srovnávacím testu zabezpečení.
Implementace a další kontext: