Řízení zabezpečení V2: Zásady správného řízení a strategie
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Zásady správného řízení a strategie poskytují pokyny k zajištění koherentní strategie zabezpečení a zdokumentovaného přístupu k zásadám správného řízení, včetně vytváření rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpůrné zásady a standardy.
GS-1: Definování strategie správy prostředků a ochrany dat
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Ujistěte se, že dokumentujete a sdělíte jasnou strategii pro průběžné monitorování a ochranu systémů a dat. Stanovte priority zjišťování, hodnocení, ochrany a monitorování nejdůležitějších podnikových dat a systémů.
Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:
Standard klasifikace dat v souladu s obchodními riziky
Přehled organizace zabezpečení o rizicích a inventáři prostředků
Schválení služeb Azure k používání provedené organizací zabezpečení
Zabezpečení prostředků po dobu jejich životního cyklu
Požadovaná strategie řízení přístupu podle klasifikace dat organizace
Využívání funkcí ochrany dat nativních pro Azure a funkcí ochrany dat třetích stran
Požadavky na šifrování přenášených a neaktivních uložených dat
Vhodné kryptografické standardy
Další informace najdete v následujících referenčních materiálech:
Doporučení architektury zabezpečení Azure – úložiště, data a šifrování
Základy zabezpečení Azure – zabezpečení, šifrování a úložiště dat Azure
Cloud Adoption Framework – osvědčené postupy zabezpečení a šifrování dat Azure
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-2: Definování strategie segmentace podniku
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Vytvořte podnikovou strategii pro segmentaci přístupu k prostředkům pomocí kombinace identit, sítě, aplikace, předplatného, skupiny pro správu a dalších ovládacích prvků.
Pečlivě vyvažte nutnost oddělení zabezpečení s nutností povolit každodenní provoz systémů, které musí vzájemně komunikovat a pracovat s daty.
Zajistěte, aby se strategie segmentace implementovala konzistentně ve všech typech řídicích prvků včetně zabezpečení sítě, modelů identit a přístupu a modelů oprávnění/přístupu aplikací a řídicích prvků pro lidské procesy.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-3: Definování strategie správy stavu zabezpečení
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Průběžné měření a zmírnění rizik pro jednotlivé prostředky a prostředí, ve které jsou hostované. Stanovte prioritu prostředků s vysokou hodnotou a míst nejvíce vystavených útokům, jako jsou publikované aplikace, body sítě pro příchozí a odchozí přenosy dat, koncové body uživatelů a správců atd.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-4: Soulad rolí a odpovědností organizace
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-4 | – | PL, PM |
Ujistěte se, že dokumentujete a komunikujete jasnou strategii pro role a odpovědnosti ve vaší organizaci zabezpečení. Stanovte prioritu poskytování jasné odpovědnosti při rozhodování o zabezpečení, zároveň vyškolte všechny uživatele na model sdílené odpovědnosti a vyškolte technické týmy na technologii pro zabezpečení cloudu.
Osvědčený postup zabezpečení Azure 1 – Lidé: školení týmů v oblasti zabezpečení cloudu
Osvědčený postup zabezpečení Azure 2 – Lidé: školení týmů na technologii zabezpečení cloudu
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-5: Definování strategie zabezpečení sítě
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-5 | 9 | CA, SC |
Vytvořte přístup zabezpečení sítě Azure jako součást celkové strategie řízení přístupu k zabezpečení vaší organizace.
Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:
Centralizovaná správa sítě a odpovědnost za zabezpečení
Model segmentace virtuální sítě v souladu se strategií segmentace podniku
Strategie náprav v různých situacích ohrožení a útoků
Strategie pro přechodový bod na internet a příchozí a odchozí přenosy
Strategie vzájemného propojení hybridního cloudu a místního připojení
Aktuální artefakty zabezpečení sítě (například síťové diagramy, referenční síťová architektura)
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-6: Definování strategie identity a privilegovaného přístupu
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Vytvořte přístupy k identitě a privilegovanému přístupu Azure jako součást celkové strategie řízení přístupu k zabezpečení vaší organizace.
Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:
Centralizovaný systém identit a ověřování a jeho vzájemné propojení s dalšími interními a externími systémy identit
Metody silného ověřování v různých případech a podmínkách použití
Ochrana vysoce privilegovaných uživatelů
Monitorování a zpracování anomálních aktivit uživatelů
Uživatelská identita a kontrola přístupu a proces odsouhlasení
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-7: Definování strategie protokolování a reakcí na hrozby
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Vytvořte strategii protokolování a reakce na hrozby, která umožňuje rychle zjišťovat a opravovat hrozby při plnění požadavků na dodržování předpisů. Jako prioritu si stanovte poskytování vysoce kvalitních upozornění a bezproblémových prostředí analytikům, aby se mohli soustředit na hrozby, a ne na integraci a ruční kroky.
Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující aspekty:
Role a odpovědnost organizace v oblasti operací zabezpečení (SecOps)
Dobře definovaný proces reakce na incidenty, který je v souladu s NIST nebo jinou oborovou architekturou
Shromažďování a uchovávání protokolů pro podporu detekce hrozeb, reakce na incidenty a požadavků na dodržování předpisů
Centralizované zobrazení a korelační informace o hrozbách, používání systému SIEM (správa akcí a informací o zabezpečení), nativních možností Azure a dalších zdrojů
Plán komunikace a oznámení pro vaše zákazníky, dodavatele a veřejné partnery
Použití nativních platforem Azure a platforem třetích stran pro zpracování incidentů, jako je například protokolování a detekce hrozeb, forenzní zkoumání a náprava po útocích či jejich zneškodnění
Procesy pro zpracování incidentů a aktivity po incidentech, jako je poučení a uchovávání důkazů
Další informace najdete v následujících referenčních materiálech:
Osvědčený postup zabezpečení Azure 4 – proces Aktualizace procesů reakce na incidenty pro cloud
Architektura přechodu na Azure a průvodce rozhodováním o protokolování a vytváření sestav
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
GS-8: Definování strategie zálohování a obnovení
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-8 | 10 | CP |
Vytvořte strategii zálohování a obnovení Azure pro vaši organizaci.
Tato strategie by měla zahrnovat zdokumentované pokyny, zásady a standardy pro následující prvky:
Definice cíle doby obnovení (RTO) a cíle bodu obnovení (RPO) v souladu s cíli odolnosti vaší firmy
Návrh redundance v aplikacích a nastavení infrastruktury
Ochrana zálohování pomocí řízení přístupu a šifrování dat
Další informace najdete v následujících referenčních materiálech:
Azure Well-Architecture Framework – Zálohování a zotavení po havárii pro aplikace Azure
Azure Adoption Framework – Provozní kontinuita a zotavení po havárii
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):