Security Control V2: Styrning och strategi
Anteckning
Den senaste Azure Security Benchmark finns här.
Styrning och strategi ger vägledning för att säkerställa en sammanhängande säkerhetsstrategi och en dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder.
GS-1: Definiera en strategi för tillgångshantering och dataskydd
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-1 | 2, 13 | SC, AC |
Se till att du dokumenterar och förmedlar en tydlig strategi för kontinuerlig övervakning och skydd av system och data. Prioritera identifiering, utvärdering, skydd och övervakning av affärskritiska data och system.
Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
En standard för dataklassificering i enlighet med affärsrisker
Säkerhetsorganisationens insyn i risker och tillgångsinventering
Säkerhetsorganisationens godkännande av de Azure-tjänster som används
Tillgångars säkerhet genom hela livscykeln
Strategi för nödvändig åtkomstkontroll i enlighet med organisationens dataklassificering
Användning av inbyggda säkerhetsfunktioner för Azure- och tredje partsdata
Krypteringskrav för användningsfall med data under transport och i vila
Lämpliga kryptografiska standarder
Läs mer i följande referenser:
Rekommendationer för en säkerhetsarkitektur i Azure – lagring, data och kryptering
Grundläggande Azure-säkerhet – säkerhet, kryptering och lagring av data i Azure
Cloud Adoption Framework – regelverk kring datasäkerhet och kryptering i Azure
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-2: Definiera företagets segmenteringsstrategi
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-2 | 4, 9, 16 | AC, CA, SC |
Upprätta en företagsomfattande strategi för att segmentera åtkomst till tillgångar med hjälp av en kombination av identitet, nätverk, program, prenumeration, hanteringsgrupp och andra kontroller.
Du måste noga avväga behovet av separationsskyddet med behovet att underlätta den dagliga driften av de system som måste kommunicera med varandra och komma åt data.
Se till att segmenteringsstrategin implementeras konsekvent för olika kontrolltyper som nätverkssäkerhet, modeller för identiteter och åtkomst, modeller för appbehörighet och appåtkomst samt kontroller för mänskliga processer.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-3: Definiera en strategi för hantering av säkerhetspositionen
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-3 | 20, 3, 5 | RA, CM, SC |
Kontinuerligt mäta och minska riskerna för dina enskilda tillgångar och den miljö som de finns i. Prioritera värdefulla tillgångar och attackytor med stor exponering, som publicerade appar, in- och utgångar i nätverket och slutpunkter för användare och administratörer.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-4: Justera organisationens roller och ansvarsområden
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-4 | Ej tillämpligt | PL, PM |
Se till att du dokumenterar och kommunicerar en tydlig strategi för roller och ansvarsområden i din säkerhetsorganisation. Prioritera att delegera ett tydligt ansvar för olika säkerhetsbeslut och utbilda alla kring modellen med gemensamt ansvar, och ge de tekniska teamen den utbildning som behövs kring tekniken för att skydda molnet.
Regelverk för Azure-säkerhet 1 – personal: utbilda teamen om molnsäkerhetsresan
Regelverk för Azure-säkerhet 2 – personal: utbilda teamen om molnsäkerhetstekniken
Regelverk för Azure-säkerhet 3 – personal: tilldela ansvar för molnsäkerhetsbeslut
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-5: Definiera en strategi för nätverkssäkerhet
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-5 | 9 | CA, SC |
Upprätta en Azure-nätverkssäkerhetsmetod som en del av organisationens övergripande strategi för säkerhetsåtkomstkontroll.
Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
Centraliserade ansvarsområden kring nätverkshantering och säkerhet
Modell för segmentering av virtuella nätverk anpassad efter företagets segmenteringsstrategi
Åtgärdsstrategi för olika hot- och angreppsscenarier
Strategi för kantenheter på internet samt in- och utgångar
Strategi för hybridmoln och lokala anslutningar
Uppdaterade nätverkssäkerhetsartefakter (till exempel nätverksdiagram, referensnätverksarkitektur)
Läs mer i följande referenser:
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-6: Definiera en strategi för identiteter och privilegierad åtkomst
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-6 | 16, 4 | AC, AU, SC |
Upprätta en Azure-identitet och privilegierade åtkomstmetoder som en del av organisationens övergripande strategi för åtkomstkontroll av säkerhet.
Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
Ett centraliserat system för identiteter och autentisering och dess anslutningar till andra interna och externa identitetssystem
Starka autentiseringsmetoder i olika användningsfall och scenarier
Skydda och användare med hög behörighet
Övervaka och hantera avvikande användaraktiviteter
Process för att granska och stämma av identiteter och åtkomstbehörighet
Läs mer i följande referenser:
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-7: Definiera en strategi för loggning och hotåtgärder
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-7 | 19 | IR, AU, RA, SC |
Upprätta en strategi för loggning och hothantering för att snabbt identifiera och åtgärda hot samtidigt som efterlevnadskraven uppfylls. Prioritera att ge analytiker högkvalitativa varningar och sömlösa upplevelser så att de kan fokusera på hot i stället för på integrering och manuella åtgärder.
Strategin bör omfatta dokumenterad vägledning, principer och standarder för följande element:
SecOps-organisationens roll och ansvarsområden
En väldefinierad process för incidentsvar anpassad efter NIST eller något annat branschramverk
Insamling och kvarhållning av loggar som stöd till hotidentifiering, incidentsvar och efterlevnadskrav
Central insyn i och korrelerande information om olika hot med hjälp av SIEM, interna Azure-funktioner och andra källor
Plan för kommunikation med kunder, leverantörer och offentliga intressenter
Användning av plattformar för incidenthantering i Azure och från tredje part, till exempel för loggning och hotidentifiering, datautredning och motverkande åtgärder
Processer för hantering av incidenter och efterföljande aktiviteter som hantering av lärdomar och bevis
Läs mer i följande referenser:
Metodtips för Azure Security 4 – process. Uppdatera incidenthanteringsprocesser för molnet
Azure Adoption Framework, guide till beslut om loggning och rapporter
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
GS-8: Definiera strategi för säkerhetskopiering och återställning
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| GS-8 | 10 | CP |
Upprätta en azure-strategi för säkerhetskopiering och återställning för din organisation.
Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:
Mål för återställningstid (RTO) och måldefinitioner för återställningspunkt (RPO) i enlighet med dina mål för affärsåterhämtning
Redundansdesign i dina program och infrastrukturkonfigurationer
Skydd av säkerhetskopiering med åtkomstkontroll och datakryptering
Läs mer i följande referenser:
Azure Security Benchmark – säkerhetskopiering och återställning
Azure Well-Architecture Framework – Säkerhetskopiering och haveriberedskap för Azure-program
Azure Adoption Framework – affärskontinuitet och haveriberedskap
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):