Udostępnij za pośrednictwem


Zalecenia dotyczące ustanawiania punktu odniesienia zabezpieczeń

Dotyczy rekomendacji listy kontrolnej dotyczącej zabezpieczeń platformy Azure Well-Architected Framework:

SE:01 Ustanów punkt odniesienia zabezpieczeń zgodny z wymaganiami dotyczącymi zgodności, standardami branżowymi i zaleceniami dotyczącymi platformy. Regularnie mierz architekturę obciążenia i operacje względem punktu odniesienia w celu utrzymania lub poprawy stanu zabezpieczeń w czasie.

W tym przewodniku opisano zalecenia dotyczące ustanawiania punktu odniesienia zabezpieczeń. Punkt odniesienia zabezpieczeń to dokument określający minimalne wymagania i oczekiwania organizacji dotyczące zabezpieczeń w różnych obszarach. Dobry punkt odniesienia zabezpieczeń pomaga:

  • Zabezpieczanie danych i systemów.
  • Zgodność z wymaganiami prawnymi.
  • Zminimalizować ryzyko nadzoru.
  • Zmniejsz prawdopodobieństwo naruszeń i kolejnych skutków biznesowych.

Punkty odniesienia zabezpieczeń powinny być szeroko publikowane w całej organizacji, aby wszyscy uczestnicy projektu byli świadomi oczekiwań.

Ten przewodnik zawiera zalecenia dotyczące ustawiania punktu odniesienia zabezpieczeń opartego na czynnikach wewnętrznych i zewnętrznych. Czynniki wewnętrzne obejmują wymagania biznesowe, czynniki ryzyka i ocenę zasobów. Czynniki zewnętrzne obejmują branżowe testy porównawcze i standardy regulacyjne.

Definicje

Okres Definicja
Punkt odniesienia Minimalny poziom dostępności zabezpieczeń, którego obciążenie musi unikać wykorzystywania.
Punkt odniesienia Standard, który oznacza stan zabezpieczeń, do którego dąży organizacja. W miarę upływu czasu jest obliczana, mierzona i ulepszona.
Kontrolki Techniczne lub operacyjne mechanizmy kontroli obciążenia, które pomagają zapobiegać atakom i zwiększać koszty osoby atakującej.
wymagania prawne, Zestaw wymagań biznesowych, opartych na standardach branżowych, które nakładają przepisy i władze.

Kluczowe strategie projektowania

Punkt odniesienia zabezpieczeń to ustrukturyzowany dokument, który definiuje zestaw kryteriów zabezpieczeń i możliwości, które musi spełniać obciążenie w celu zwiększenia bezpieczeństwa. W bardziej dojrzałej formie można rozszerzyć punkt odniesienia, aby uwzględnić zestaw zasad używanych do ustawiania poręczy.

Punkt odniesienia powinien być traktowany jako standard pomiaru stanu zabezpieczeń. Celem powinno być zawsze pełne osiągnięcie przy zachowaniu szerokiego zakresu.

Punkt odniesienia zabezpieczeń nigdy nie powinien być nakładem pracy ad hoc. Standardy branżowe, zgodność (wewnętrzna lub zewnętrzna) lub wymagania prawne, wymagania regionalne i testy porównawcze platformy w chmurze są głównymi elementami odniesienia. Przykłady obejmują mechanizmy kontroli Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) oraz standardy oparte na platformie, takie jak test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB). Wszystkie te standardy są uznawane za punkt wyjścia dla punktu odniesienia. Utwórz podstawy, uwzględniając wymagania dotyczące zabezpieczeń na podstawie wymagań biznesowych.

Aby uzyskać linki do powyższych zasobów, zobacz Powiązane linki.

Utwórz punkt odniesienia, zdobywając konsensus między liderami biznesowymi i technicznymi. Punkt odniesienia nie powinien być ograniczony do kontroli technicznej. Powinna ona również obejmować aspekty operacyjne zarządzania i utrzymania stanu zabezpieczeń. W związku z tym dokument odniesienia służy również jako zobowiązanie organizacji do inwestowania w zabezpieczenia obciążeń. Dokument punktu odniesienia zabezpieczeń powinien być szeroko dystrybuowany w organizacji, aby zapewnić świadomość stanu zabezpieczeń obciążenia.

Wraz ze wzrostem obciążenia i rozwojem ekosystemu ważne jest zachowanie punktu odniesienia w synchronizacji ze zmianami w celu zapewnienia, że podstawowe mechanizmy kontroli są nadal skuteczne.

Tworzenie punktu odniesienia to proces metodyczny. Poniżej przedstawiono kilka zaleceń dotyczących procesu:

  • Spis zasobów. Zidentyfikuj osoby biorące udział w projekcie zasobów obciążeń i cele zabezpieczeń dla tych zasobów. W spisie zasobów klasyfikuj wymagania dotyczące zabezpieczeń i krytyczność. Aby uzyskać informacje o zasobach danych, zobacz Zalecenia dotyczące klasyfikacji danych.

  • Ocena ryzyka. Potencjalne zagrożenia związane z tożsamościami związane z poszczególnymi elementami zawartości i nadaj im priorytety.

  • Wymagania dotyczące zgodności. Wypunktuj wszelkie przepisy lub zgodność tych zasobów i zastosuj najlepsze rozwiązania branżowe.

  • Standardy konfiguracji. Definiowanie i dokumentowanie określonych konfiguracji zabezpieczeń i ustawień dla każdego zasobu. Jeśli to możliwe, utwórz szablon lub znajdź powtarzalny, zautomatyzowany sposób spójnego stosowania ustawień w całym środowisku.

  • Kontrola dostępu i uwierzytelnianie. Określ wymagania dotyczące kontroli dostępu opartej na rolach (RBAC) i uwierzytelniania wieloskładnikowego (MFA). Udokumentowanie tego, co oznacza wystarczająca ilość dostępu na poziomie zasobu. Zawsze zacznij od zasady najniższych uprawnień.

  • Zarządzanie poprawkami. Zastosuj najnowsze wersje we wszystkich typach zasobów, aby wzmocnić atak.

  • Dokumentacja i komunikacja. Udokumentowanie wszystkich konfiguracji, zasad i procedur. Przekaż szczegóły odpowiednim uczestnikom projektu.

  • Wymuszanie i odpowiedzialność. Ustanów jasne mechanizmy wymuszania i konsekwencje niezgodności z punktem odniesienia zabezpieczeń. Pociągnąć osoby i zespoły do odpowiedzialności za utrzymanie standardów zabezpieczeń.

  • Ciągłe monitorowanie. Ocena skuteczności punktu odniesienia zabezpieczeń poprzez obserwowanie i wprowadzanie ulepszeń w nadgodzinach.

Definiowanie punktu odniesienia

Poniżej przedstawiono niektóre typowe kategorie, które powinny być częścią punktu odniesienia. Poniższa lista nie jest wyczerpująca. Jest on przeznaczony jako przegląd zakresu dokumentu.

Zgodność z przepisami

Obciążenie może podlegać zgodności z przepisami dla określonych segmentów branżowych, mogą istnieć pewne ograniczenia geograficzne itd. Kluczowe jest zrozumienie wymagań podanych w specyfikacji regulacyjnych, ponieważ mają one wpływ na wybory projektowe i w niektórych przypadkach muszą zostać uwzględnione w architekturze.

Punkt odniesienia powinien obejmować regularną ocenę obciążenia pod kątem wymagań regulacyjnych. Skorzystaj z dostępnych na platformie narzędzi, takich jak Microsoft Defender dla Chmury, które mogą identyfikować obszary niezgodności. Skontaktuj się z zespołem ds. zgodności organizacji, aby upewnić się, że wszystkie wymagania zostały spełnione i utrzymane.

Składniki architektury

Punkt odniesienia wymaga zaleceń preskrypcyjnych dla głównych składników obciążenia. Zazwyczaj obejmują one kontrolki techniczne dotyczące sieci, tożsamości, obliczeń i danych. Odwołuj się do punktów odniesienia zabezpieczeń udostępnianych przez platformę i dodaj brakujące kontrolki do architektury.

Zapoznaj się z przykładem.

Procesy deweloperskie

Punkt odniesienia musi zawierać zalecenia dotyczące:

  • Klasyfikacja systemu.
  • Zatwierdzony zestaw typów zasobów.
  • Śledzenie zasobów.
  • Wymuszanie zasad używania lub konfigurowania zasobów.

Zespół programistyczny musi mieć jasne zrozumienie zakresu kontroli zabezpieczeń. Na przykład modelowanie zagrożeń jest wymagane w celu upewnienia się, że potencjalne zagrożenia są identyfikowane w kodzie i potokach wdrażania. Szczegółowe informacje na temat sprawdzania statycznego i skanowania luk w zabezpieczeniach w potoku oraz tego, jak regularnie zespół musi wykonywać te skanowania.

Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące analizy zagrożeń.

Proces programowania powinien również określać standardy dotyczące różnych metodologii testowania i ich kadencji. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące testowania zabezpieczeń.

Operacje

Punkt odniesienia musi określać standardy dotyczące korzystania z funkcji wykrywania zagrożeń i zgłaszania alertów dotyczących nietypowych działań, które wskazują rzeczywiste zdarzenia. Wykrywanie zagrożeń musi obejmować wszystkie warstwy obciążenia, w tym wszystkie punkty końcowe dostępne z wrogich sieci.

Punkt odniesienia powinien zawierać zalecenia dotyczące konfigurowania procesów reagowania na zdarzenia, w tym komunikacji i planu odzyskiwania, a które z tych procesów można zautomatyzować w celu przyspieszenia wykrywania i analizy. Przykłady można znaleźć w temacie Security baselines for Azure overview (Punkty odniesienia zabezpieczeń dla platformy Azure — omówienie).

Odpowiedź na zdarzenie powinna również obejmować plan odzyskiwania i wymagania dotyczące tego planu, takie jak zasoby do regularnego wykonywania i ochrony kopii zapasowych.

Opracowujesz plany naruszenia zabezpieczeń danych przy użyciu standardów branżowych i zaleceń udostępnianych przez platformę. Następnie zespół ma kompleksowy plan śledzenia po wykryciu naruszenia. Zapoznaj się również z organizacją, aby sprawdzić, czy istnieje zasięg za pośrednictwem cyberakursji.

Szkolenia

Opracowywanie i utrzymywanie programu szkoleniowego w zakresie zabezpieczeń w celu zapewnienia, że zespół ds. obciążeń jest wyposażony w odpowiednie umiejętności w zakresie wspierania celów i wymagań dotyczących zabezpieczeń. Zespół potrzebuje podstawowego szkolenia w zakresie zabezpieczeń, ale użyj tego, co możesz z organizacji, aby obsługiwać wyspecjalizowane role. Zgodność trenowania zabezpieczeń oparta na rolach i uczestnictwo w przechodzeniu do szczegółów są częścią punktu odniesienia zabezpieczeń.

Stosowanie planu bazowego

Użyj planu bazowego, aby kierować inicjatywami, takimi jak:

  • Gotowość do podejmowania decyzji projektowych. Utwórz punkt odniesienia zabezpieczeń i opublikuj go przed rozpoczęciem procesu projektowania architektury. Upewnij się, że członkowie zespołu są w pełni świadomi oczekiwań organizacji na wczesnym etapie, co pozwala uniknąć kosztownej pracy spowodowanej brakiem jasności. Możesz użyć kryteriów odniesienia jako wymagań dotyczących obciążeń, które organizacja zobowiązała się do i zaprojektować i zweryfikować mechanizmy kontroli względem tych ograniczeń.

  • Mierzenie projektu. Ocenianie bieżących decyzji względem bieżącego planu bazowego. Punkt odniesienia ustawia rzeczywiste progi kryteriów. Udokumentowanie wszelkich odchyleń odroczonych lub uznanych za dopuszczalne długoterminowe.

  • Ulepszenia dysków. Chociaż punkt odniesienia określa osiągalne cele, zawsze istnieją luki. Określanie priorytetów luk na liście prac i korygowanie na podstawie priorytetyzacji.

  • Śledź postęp względem planu bazowego. Niezbędne jest ciągłe monitorowanie środków zabezpieczeń względem określonego punktu odniesienia. Analiza trendów to dobry sposób przeglądania postępu zabezpieczeń w czasie i może ujawnić spójne odchylenia od punktu odniesienia. Aby rozwiązać bieżące problemy i przygotować się do przyszłych zagrożeń, korzystaj z automatyzacji jak najwięcej, ściągając dane z różnych źródeł, wewnętrznych i zewnętrznych.

  • Ustaw zabezpieczenia. Jeśli to możliwe, kryteria punktu odniesienia muszą mieć bariery ochronne. Zabezpieczenia wymuszają wymagane konfiguracje zabezpieczeń, technologie i operacje na podstawie czynników wewnętrznych i czynników zewnętrznych. Czynniki wewnętrzne obejmują wymagania biznesowe, czynniki ryzyka i ocenę zasobów. Czynniki zewnętrzne obejmują testy porównawcze, standardy regulacyjne i środowisko zagrożeń. Bariery ochronne pomagają zminimalizować ryzyko niezamierzonego nadzoru i karnych karnych grzywny za niezgodność.

Zapoznaj się z usługą Azure Policy, aby uzyskać opcje niestandardowe lub użyć wbudowanych inicjatyw, takich jak testy porównawcze CIS lub test porównawczy zabezpieczeń platformy Azure, aby wymusić konfiguracje zabezpieczeń i wymagania dotyczące zgodności. Rozważ utworzenie zasad i inicjatyw platformy Azure poza punktami odniesienia.

Regularne ocenianie planu bazowego

Stale ulepszaj standardy zabezpieczeń przyrostowo w kierunku idealnego stanu, aby zapewnić ciągłą redukcję ryzyka. Przeprowadzaj okresowe przeglądy, aby upewnić się, że system jest aktualny i zgodny z wpływami zewnętrznymi. Każda zmiana punktu odniesienia musi być formalna, uzgodniona i wysłana za pośrednictwem odpowiednich procesów zarządzania zmianami.

Zmierz system pod kątem nowej linii bazowej i nadaj priorytet korygowaniu na podstawie ich istotności i wpływu na obciążenie.

Upewnij się, że stan zabezpieczeń nie ulega pogorszeniu w czasie, wprowadzając inspekcję i monitorowanie zgodności ze standardami organizacyjnymi.

Ułatwienia platformy Azure

Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) to kompleksowa struktura najlepszych rozwiązań w zakresie zabezpieczeń, której można użyć jako punktu wyjścia dla punktu odniesienia zabezpieczeń. Użyj go wraz z innymi zasobami, które dostarczają dane wejściowe do punktu odniesienia.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do testu porównawczego zabezpieczeń w chmurze firmy Microsoft.

Użyj pulpitu nawigacyjnego zgodności z przepisami Microsoft Defender dla Chmury (MDC), aby śledzić te punkty odniesienia i otrzymywać alerty, jeśli zostanie wykryty wzorzec poza punktem odniesienia. Aby uzyskać więcej informacji, zobacz Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Inne funkcje, które pomagają w ustanawianiu i ulepszaniu planu bazowego:

Przykład

Ten diagram logiczny przedstawia przykładową linię bazową zabezpieczeń dla składników architektury, które obejmują sieć, infrastrukturę, punkt końcowy, aplikację, dane i tożsamość, aby pokazać, w jaki sposób typowe środowisko IT może być bezpiecznie chronione. Inne przewodniki dotyczące rekomendacji są oparte na tym przykładzie.

Diagram przedstawiający przykład środowiska IT odniesienia zabezpieczeń organizacji ze składnikami architektury.

Infrastruktura

Typowe środowisko IT z warstwą lokalną z podstawowymi zasobami.

Usługi zabezpieczeń platformy Azure

Usługi zabezpieczeń i funkcje platformy Azure według typów chronionych zasobów.

Usługi monitorowania zabezpieczeń platformy Azure

Usługi monitorowania dostępne na platformie Azure, które wykraczają poza proste usługi monitorowania, w tym zarządzanie zdarzeniami zabezpieczeń (SIEM) i rozwiązania automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) i Microsoft Defender dla Chmury.

Zagrożenia

Ta warstwa zawiera zalecenie i przypomnienie, że zagrożenia mogą być mapowane zgodnie z obawami organizacji dotyczącymi zagrożeń, niezależnie od metodologii lub macierzy, takiej jak Mitre Attack Matrix lub Łańcuch Cyber Kill.

Lista kontrolna zabezpieczeń

Zapoznaj się z pełnym zestawem zaleceń.