Beveiligingsbeheer V2: Governance en strategie
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Governance en strategie bieden richtlijnen voor het waarborgen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiliging te begeleiden en te ondersteunen, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden.
GS-1: Strategie voor asset-management en gegevensbescherming definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Zorg ervoor dat u een duidelijke strategie documenteer en communiceert voor continue bewaking en beveiliging van systemen en gegevens. Ken hogere prioriteiten toe aan de detectie, beoordeling, beveiliging en bewaking van bedrijfskritieke gegevens en systemen.
Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
Standaard voor gegevensclassificatie in overeenstemming met de bedrijfsrisico's
Inzicht van beveiligingsorganisaties in risico's en asset-inventaris
Goedkeuring door beveiligingsorganisaties van Azure-services voor gebruik
Beveiliging van assets op grond van hun levenscyclus
Vereiste strategie voor toegangsbeheer in overeenstemming met gegevensclassificatie van organisatie
Gebruik van voorzieningen voor gegevensbescherming van Azure en derden
Vereisten voor gegevensversleutelings van gegevens in-transit en at-rest
Juiste cryptografische standaarden
Raadpleeg de volgende bronnen voor meer informatie:
Azure Security Architecture Recommendation - Storage, data, and encryption (Aanbeveling voor Azure-beveiligingsarchitectuur: opslag, gegevens en versleuteling)
Azure Security Fundamentals - Azure Data security, encryption, and storage (Basisprincipes van Azure-beveiliging: Azure-gegevensbeveiliging, -versleuteling en -opslag)
Cloud Adoption Framework - Azure data security and encryption best practices (Cloud Adoption Framework: best practices voor Azure-gegevensbeveiliging en -versleuteling)
Azure Security Benchmark - Asset management (Azure Security Benchmark: assetmanagement)
Azure Security Benchmark - Data Protection (Azure Security Benchmark: gegevensbeveiliging)
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-2: Segmentatiestrategie van bedrijf definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Stel een bedrijfsbrede strategie in voor het segmenteren van toegang tot assets met behulp van een combinatie van identiteit, netwerk, toepassing, abonnement, beheergroep en andere besturingselementen.
Zorg dat u een nauwgezette afweging maakt tussen de noodzaak om de beveiliging van de rest te scheiden en de noodzaak om systemen die met elkaar moeten kunnen communiceren en toegang moeten hebben tot gegevens, in staat te stellen om hun dagelijkse werklast uit te voeren.
Zorg ervoor dat de segmentatiestrategie consistent wordt geïmplementeerd voor alle typen besturingselementen, zoals voor netwerkbeveiliging, identiteits- en toegangsmodellen, toepassingsbevoegdheden/toegangsmodellen evenals besturingselementen voor door mensen uitgevoerde processen.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-3: Strategie voor het beheer van beveiligingspostuur definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Meet en beperk de risico's voor uw afzonderlijke assets en de omgeving waarin ze worden gehost. Ken hogere prioriteiten toe aan hoogwaardige assets en assets die zeer kwetsbaar zijn voor aanvallen, zoals gepubliceerde toepassingen, punten voor binnenkomend en uitgaand netwerkverkeer, gebruikers- en beheerderseindpunten enzovoort.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-4: Organisatierollen, verantwoordelijkheden en aansprakelijkheden afstemmen
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-4 | N.v.t. | PL, PM |
Zorg ervoor dat u een duidelijke strategie voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie documenteert en communiceert. Ken een hoge prioriteiten toe aan het verschaffen van duidelijkheid over wie aansprakelijk is voor beveiligingsbeslissingen. Bied opleidingen aan iedereen over het gedeelde verantwoordelijkheidsmodel en biedt technische teams trainingen over technologie ter beveiliging van de cloud.
Best practice voor Azure-beveiliging 1: personen: Teams trainen inzake het cloudbeveiligingstraject
Best practice voor Azure-beveiliging 2: personen: Teams trainen inzake cloudbeveiligingstechnologie
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-5: Strategie voor netwerkbeveiliging definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-5 | 9 | CA, SC |
Stel een Azure-netwerkbeveiligingsbenadering in als onderdeel van de algehele strategie voor toegangsbeheer voor beveiliging van uw organisatie.
Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
Gecentraliseerd netwerkbeheer en verantwoordelijkheid voor beveiliging
Model voor segmentatie van virtueel netwerk afgestemd op segmentatiestrategie van bedrijf
Herstelstrategie voor verschillende scenario's met bedreigingen en aanvallen
Strategie voor internetrand en inkomend en uitgaand verkeer
Strategie voor hybride cloud- en on-premises interconnectiviteit
Bijgewerkte netwerkbeveiligingsartefacten (zoals netwerkdiagrammen, referentienetwerkarchitectuur)
Raadpleeg de volgende bronnen voor meer informatie:
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-6: Strategie voor het gebruik van identiteiten en uitgebreide toegang definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Stel een Azure-identiteit en bevoegde toegangsmethoden in als onderdeel van de algemene strategie voor beveiligingstoegangsbeheer van uw organisatie.
Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
Een gecentraliseerd identiteits- en verificatiesysteem en bijbehorende interconnectiviteit met andere interne en externe identiteitssystemen
Krachtige verificatiemethoden in verschillende gebruiksscenario's en onder verschillende voorwaarden
Bescherming van gebruikers met zeer uitgebreide bevoegdheden
Bewaking en verwerking van afwijkende gebruikersactiviteiten
Proces voor het beoordelen en op elkaar afstemmen van de identiteit en toegangsrechten van gebruikers
Raadpleeg de volgende bronnen voor meer informatie:
Azure Security Benchmark: Identity management (Azure Security Benchmark: identiteitsbeheer)
Azure Security Benchmark - Privileged access (Azure Security Benchmark: uitgebreide toegang)
Azure Security Best Practice 11 - Architectuur. Eén geïntegreerde beveiligingsstrategie
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-7: Strategie voor logboekregistratie en respons op bedreigingen definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Stel een strategie voor logboekregistratie en reactie op bedreigingen in om bedreigingen snel te detecteren en op te lossen terwijl aan de nalevingsvereisten wordt voldaan. Stel prioriteiten om analisten te voorzien van waarschuwingen van hoge kwaliteit en naadloze ervaringen, zodat ze zich kunnen concentreren op bedreigingen in plaats van integratie en handmatige stappen.
Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)
Een goed gedefinieerd proces voor het reageren op incidenten dat is afgestemd op het NIST of een ander framework binnen de branche
Logboekregistratie en retentie om ondersteuning te bieden voor de detectie van bedreigingen, het reageren op incidenten en het naleven van regelgeving
Informatie en correlatiegegevens over bedreigingen die centraal beschikbaar zijn via SIEM, systeemeigen Azure-mogelijkheden en andere bronnen
Communicatie- en meldingenplan met uw klanten, leveranciers en openbaar belanghebbenden
Gebruik van systeemeigen Azure-platforms en platforms van derden voor het afhandelen van incidenten, zoals logboekregistratie en detectie van bedreigingen, forensische onderzoeken en het oplossen en uitschakelen van aanvallen
Processen voor het afhandelen van incidenten en activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaal
Raadpleeg de volgende bronnen voor meer informatie:
Azure Security Benchmark: logboekregistratie en detectie van bedreigingen
Handleiding framework voor Azure-acceptatie, logboekregistratie en rapportagebeslissingen
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
GS-8: Strategie voor back-up en herstel definiëren
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| GS-8 | 10 | CP (consistentie en partitietolerantie) |
Maak een Strategie voor Back-up en herstel van Azure voor uw organisatie.
Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:
RTO-definities (Recovery Time Objective) en RPO(Recovery Point Objective) in overeenstemming met uw bedrijfstolerantiedoelstellingen
Redundantieontwerp in uw toepassingen en infrastructuur instellen
Beveiliging van back-ups met toegangsbeheer en gegevensversleuteling
Raadpleeg de volgende bronnen voor meer informatie:
Azure Well-Architecture Framework - Back-up en herstel na noodgevallen voor Azure-toepassingen
Azure Adoption Framework - bedrijfscontinuïteit en herstel na noodgevallen
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):