Udostępnij za pośrednictwem


Security Control V2: Governance and Strategy

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.

GS-1: Definiowanie strategii zarządzania elementami zawartości i ochrony danych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-1 2, 13 SC, AC

Upewnij się, że dokumentujesz i komunikujesz jasną strategię ciągłego monitorowania i ochrony systemów i danych. Ustalaj priorytety odnajdywania, oceny, ochrony i monitorowania danych oraz systemów o krytycznym znaczeniu dla firmy.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Standard klasyfikacji danych zgodny z ryzykiem biznesowym

  • Wgląd organizacji zabezpieczeń w czynniki ryzyka i spis elementów zawartości

  • Zatwierdzenie przez organizację zabezpieczeń usług platformy Azure do użycia

  • Bezpieczeństwo elementów zawartości w całym cyklu życia

  • Wymagana strategia kontroli dostępu zgodnie z klasyfikacją danych organizacji

  • Korzystanie z natywnych dla platformy Azure oraz oferowanych przez inne firmy funkcji ochrony danych

  • Wymagania w zakresie szyfrowania danych dla przypadków użycia dotyczących danych przesyłanych i danych magazynowanych

  • Odpowiednie standardy kryptograficzne

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-2: Definiowanie strategii segmentacji przedsiębiorstwa

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-2 4, 9, 16 AC, CA, SC

Ustanów strategię całego przedsiębiorstwa na segmenty dostępu do zasobów przy użyciu kombinacji tożsamości, sieci, aplikacji, subskrypcji, grupy zarządzania i innych kontrolek.

Należy starannie zrównoważyć potrzebę rozdzielania zabezpieczeń, aby umożliwić codzienne działanie systemów, które muszą komunikować się ze sobą i uzyskiwać dostęp do danych.

Upewnij się, że strategia segmentacji jest zaimplementowana spójnie dla różnych typów kontroli, w tym zabezpieczeń sieci, modeli tożsamości i dostępu, a także modeli uprawnień/dostępu i procesów ludzkich.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-3: Definiowanie strategii zarządzania stanem zabezpieczeń

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-3 20, 3, 5 RA, CM, SC

Stale mierz i ograniczaj zagrożenia dla poszczególnych zasobów i środowiska, w których są hostowane. Ustalaj priorytety elementów zawartości o wysokiej wartości i wysoce narażonych na ataki obszarów, takich jak opublikowane aplikacje, punkty danych przychodzących i wychodzących sieci, punkty końcowe użytkowników i administratorów itp.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-4: Dopasuj role organizacji, obowiązki i odpowiedzialność

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-4 Nie dotyczy PL, PM

Upewnij się, że dokumentujesz i komunikujesz jasną strategię dotyczącą ról i obowiązków w organizacji zabezpieczeń. Ustalaj priorytety w celu wyraźnego określenia odpowiedzialności za decyzje dotyczące zabezpieczeń, informując wszystkie osoby o współużytkowanym modelu odpowiedzialności i informując zespoły techniczne o technologii do zabezpieczania chmury.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-5: Definiowanie strategii zabezpieczeń sieci

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-5 9 CA, SC

Ustanów podejście zabezpieczeń sieci platformy Azure w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Scentralizowane zarządzanie siecią i odpowiedzialność w zakresie zabezpieczeń

  • Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa

  • Strategia korygowania w różnych scenariuszach zagrożeń i ataków

  • Strategia internetowa i dotycząca brzegowego ruchu przychodzącego i wychodzącego

  • Strategia międzyłączności w chmurze hybrydowej i środowisku lokalnym

  • Aktualne artefakty zabezpieczeń sieci (takie jak diagramy sieciowe, architektura sieci referencyjnej)

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-6: Definiowanie strategii dotyczącej tożsamości i dostępu uprzywilejowanego

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-6 16, 4 AC, AU, SC

Ustanów podejścia dotyczące tożsamości platformy Azure i uprzywilejowanego dostępu w ramach ogólnej strategii kontroli dostępu do zabezpieczeń w organizacji.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Scentralizowany system tożsamości i uwierzytelniania oraz połączenie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości

  • Metody silnego uwierzytelniania w różnych przypadkach użycia i warunkach

  • Ochrona użytkowników z wysokim poziomem uprawnień

  • Monitorowanie i obsługa nietypowych działań użytkowników

  • Przegląd tożsamości i dostępu użytkownika oraz proces uzgadniania

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-7: Definiowanie strategii rejestrowania i reagowania na zagrożenia

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-7 19 IR, AU, RA, SC

Ustanów strategię rejestrowania i reagowania na zagrożenia, aby szybko wykrywać i korygować zagrożenia, spełniając wymagania dotyczące zgodności. Potraktuj priorytetowo kwestię udostępnienia analitykom alertów o wysokiej jakości i bezproblemowego środowiska, tak aby mogli skupić się na zagrożeniach, a nie na wdrażaniu i ręcznych krokach.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)

  • Dobrze zdefiniowany proces reagowania na zdarzenia zgodnie z NIST lub inną platformą branżową

  • Przechwytywanie i przechowywanie dzienników w celu zapewnienia obsługi wykrywania zagrożeń, reagowania na zdarzenia i zgodności

  • Scentralizowana widoczność i korelacja informacji dotyczących zagrożeń przy użyciu rozwiązania SIEM, natywnych możliwości platformy Azure i innych źródeł

  • Plan komunikacji i powiadomień z klientami, dostawcami i publicznymi zainteresowanymi stronami

  • Używanie natywnych i zewnętrznych platform Azure do obsługi zdarzeń, takich jak rejestrowanie i wykrywanie zagrożeń, postępowania dowodowe oraz korygowanie i eliminowanie ataków

  • Procesy obsługi zdarzeń i działań po zdarzeniu, takie jak zdobyte doświadczenia i przechowywanie dowodów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

GS-8: Definiowanie strategii tworzenia kopii zapasowych i odzyskiwania

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
GS-8 10 CP

Ustanów strategię tworzenia i odzyskiwania kopii zapasowych platformy Azure dla organizacji.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO) zgodnie z celami odporności biznesowej

  • Projektowanie nadmiarowości w aplikacjach i konfiguracji infrastruktury

  • Ochrona kopii zapasowej przy użyciu kontroli dostępu i szyfrowania danych

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):