安全控制:治理和策略
治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。
GS-1:使组织角色、责任和职责一致
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
常规指导:确保定义并传达安全组织中角色和职责的明确策略。 优先考虑为安全决策提供明确的责任,让每个人都了解共同的责任模型,并教育技术团队使用技术来保护云。
实现和其他上下文:
客户安全利益干系人 (详细了解) :
GS-2:定义并实现企业分段/职责分离策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.12 | AC-4、SC-7、SC-2 | 1.2、6.4 |
常规指导:建立企业范围的策略,使用标识、网络、应用程序、订阅、管理组和其他控件的组合来细分对资产的访问。
仔细权衡安全分离需求与为需要彼此通信并访问数据的系统启用日常操作的需求。
确保在工作负载中一致地实现分段策略,包括网络安全、标识和访问模型、应用程序权限/访问模型,以及人机过程控制。
实现和其他上下文:
客户安全利益干系人 (详细了解) :
GS-3:定义并实现数据保护策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.1、3.7、3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
常规指导:在云环境中建立企业范围的数据保护策略:
- 根据企业数据管理标准和法规合规性,定义并应用数据分类和保护标准,从而决定每个级别的数据分类所需的安全控制措施。
- 设置与企业分段策略一致的云资源管理层次结构。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。
- 在云环境中定义和应用适用的零信任原则,以避免基于外围网络位置来实现信任。 请改用设备和用户信任声明来限制对数据和资源的访问。
- 在整个企业中跟踪和最小化敏感数据占用 (存储、传输和处理) ,以减少攻击面和数据保护成本。 请尽可能考虑工作负载中的单向哈希处理、截断和词汇切分等方法,以避免以原始形式存储和传输敏感数据。
- 确保有一个完整的生命周期控制策略为数据和访问密钥提供安全保障。
实现和其他上下文:
客户安全利益干系人 (详细了解) :
GS-4:定义并实现网络安全策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
12.2、12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
常规指导:将云网络安全策略作为组织访问控制整体安全策略的一部分。 此策略应包括针对以下元素的记录在案的指南、策略和标准:
- 设计集中/分散网络管理和安全责任模型,以便部署和维护网络资源。
- 与企业分段策略一致的虚拟网络分段模型。
- Internet 边缘及入口和出口策略。
- 混合云和本地互连策略。
- 网络监视和日志记录策略。
- 最新的网络安全项目 (,例如网络关系图、参考网络体系结构) 。
实现和其他上下文:
客户安全利益干系人 (详细了解) :
GS-5:定义并实现安全状况管理策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1、4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1、1.2、2.2、6.1、6.2、6.5、6.6、11.2、11.3、11.5 |
一般指导:制定策略、程序和标准,以确保云安全授权中落实安全配置管理和漏洞管理。
云中的安全配置管理应包括以下方面:
- 为云中不同资源类型(例如 Web 门户/控制台、管理和控制平面)以及 IaaS、PaaS 和 SaaS 服务中运行的资源定义安全配置基线。
- 确保安全基线能够应对不同控制领域中的风险,例如网络安全、标识管理、特权访问、数据保护等。
- 使用工具持续测量、审核和强制实施配置,以防止配置与基线形成偏差。
- 制定节奏以随时更新安全功能,例如,订阅服务更新。
- 利用安全运行状况或合规性检查机制 (,例如安全分数、云) Microsoft Defender合规性仪表板,定期查看安全配置状况并修正发现的差距。
云中的漏洞管理应包括以下安全方面:
- 定期评估和修正所有云资源类型(例如云原生服务、操作系统和应用程序组件)中的漏洞。
- 使用基于风险的方法来提升对评估和修正的重视。
- 订阅相关 CSPM 的安全公告通知和博客,接收最新的安全更新。
- 确保漏洞评估和修正 (,例如计划、范围和技术,) 满足组织的合规性要求。dule、范围和技术) 满足组织的定期合规性要求。
实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
GS-6:定义并实现标识和特权访问策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
5.6、6.5、6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
常规指导:建立云标识和特权访问方法,作为组织整体安全访问控制策略的一部分。 此策略应包括针对以下方面的记录在案的指导、策略和标准:
- 集中式标识和身份验证系统 (,例如 Azure AD) 及其与其他内部和外部标识系统的互连
- 特权标识和访问治理(如访问请求、评审和批准)
- 紧急(破窗式)情况下的特权帐户
- 在不同用例和条件下,强身份验证 (无密码身份验证和多重身份验证) 方法。
- 通过 Web 门户/控制台、命令行和 API 通过管理操作保护访问。
对于未使用企业系统的异常情况,请确保对标识、身份验证和访问管理实施足够的安全控制,并对其进行治理。 企业团队应批准和定期查看这些例外。 这些例外通常出现在以下情况:
- 使用非企业指定的标识和身份验证系统,如基于云的第三方系统(可能引发未知风险)
- 特权用户在本地进行了身份验证和/或使用非强身份验证方法
实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
GS-7:定义并实现日志记录、威胁检测和事件响应策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.1、13.1、17.2、17.4、17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
常规指导:建立日志记录、威胁检测和事件响应策略,以快速检测和修正威胁并满足合规性要求。 安全操作 (SecOps / SOC) 团队应注重实施高质量警报和无缝体验,以便能够专注于威胁,而不是过多关注记录集成和手动步骤。 此策略应包括以下方面的记录在案的策略、过程和标准:
- 安全运营 (SecOps) 组织的角色和职责
- 符合 NIST SP 800-61 (计算机安全事件处理指南) 或其他行业框架的妥善定义和定期测试的事件响应计划和处理流程。
- 与客户、供应商和公开的利益相关方之间的通信和通知计划。
- 模拟云环境中的预期和意外安全事件,以了解准备的有效性。 循环访问模拟的结果,以改善响应态势的规模,缩短价值获得时间,并进一步降低风险。
- 首选使用扩展检测和响应 (XDR) 功能(例如 Azure Defender 功能)来检测各个区域的威胁。
- 使用云原生功能 (例如,作为云) 的第三方平台的Microsoft Defender,用于事件处理,例如日志记录和威胁检测、取证以及攻击修正和根除。
- 准备必要的 Runbook(手动和自动),以确保可靠且一致的响应。
- 定义主要方案(例如威胁检测、事件响应和合规性),并设置日志捕获和保留以满足方案要求。
- 使用 SIEM、本机云威胁检测功能和其他源集中查看和关联有关威胁的信息。
- 事件后活动,如经验教训和证据保留。
实现和其他上下文:
- Microsoft云安全基准 - 日志记录和威胁检测
- Microsoft云安全基准 - 事件响应
- Azure 安全最佳做法 4 - 流程。 更新云的事件响应流程
- Azure 采用框架、日志记录和报告决策指南
- Azure 企业规模、管理和监视
- NIST SP 800-61 计算机安全事件处理指南
客户安全利益干系人 (了解) 的详细信息:
GS-8:定义并实现备份和恢复策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
11.1 | CP-1、CP-9、CP-10 | 3.4 |
一般指导:为组织制定备份和恢复策略。 此策略应包括以下方面的记录在案的指导、策略和标准:
- 符合你业务复原目标的恢复时间目标 (RTO) 和恢复点目标 (RPO) 定义,以及法规合规性要求。
- 用于云和本地的应用程序和基础结构中的冗余设计(包括备份、恢复和复制)。 请考虑在策略中使用区域、区域对、跨区域恢复和非现场存储位置。
- 使用数据访问控制、加密和网络安全等控制措施对备份进行保护,以防未经授权的访问和篡改。
- 使用备份和恢复来缓解新出现的威胁(如勒索软件攻击)的风险。 并且还可以保护备份和恢复数据本身,使其免受这些攻击。
- 出于审核和警报目的,监视备份和恢复数据以及操作。
实现和其他上下文:
- Microsoft云安全基准 - 备份和恢复 Azure Well-Architecture框架 - Azure 应用程序的备份和恢复:/azure/architecture/framework/resiliency/backup-and-recovery
- Azure 采用框架-业务连续性和灾难恢复
- 旨在防范勒索软件的备份和还原计划
客户安全利益干系人 (了解) 的详细信息:
GS-9:定义并实现终结点安全策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4、10.1 | SI-2、SI-3、SC-3 | 5.1、5.2、5.3、5.4、11.5 |
常规指导:建立云终结点安全策略,其中包括以下方面:- 将终结点检测和响应以及反恶意软件功能部署到终结点,并与威胁检测和 SIEM 解决方案以及安全操作过程集成。
- 遵循Microsoft云安全基准,确保其他相应领域的终结点相关安全设置, (例如网络安全、态势漏洞管理、标识和特权访问,以及日志记录和威胁检测) 也已到位,以便为终结点提供深层防御保护。
- 确定生产环境中的终结点安全性的优先级,但确保非生产环境 ((如 DevOps 过程) 中使用的测试和生成环境)也受到保护和监视,因为这些环境还可用于将恶意软件和漏洞引入生产环境。
实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
GS-10:定义并实现 DevOps 安全策略
CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.1、4.2、16.1、16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2、6.1、6.2、6.3、6.5、7.1、10.1、10.2、10.3、10.6、12.2 |
一般指导:将安全控制作为组织的 DevOps 工程和操作标准的一部分进行授权。 根据组织中的企业和云安全标准,定义安全目标、控制要求和工具规范。
建议将 DevOps 用作你组织中的基本操作模型,因为这样可以在整个 CI/CD 工作流中使用不同类型的自动化操作(例如基础结构即代码预配和 SAST 和 DAST 自动扫描)来快速识别和修复漏洞。 这种“左移”方法还提高了在部署管道中强制实施一致安全检查的可见性和能力,从而提前有效地将安全防护措施部署到环境中,以避免在将工作负荷部署到生产环境时出现最后一分钟的安全意外。
当将安全控制向左转移到预先部署阶段时,请实现安全护栏以确保在整个 DevOps 过程中部署和执行控制。 此技术可能包括资源部署模板 (,例如 Azure ARM 模板) ,用于将 IaC (基础结构中的防护条件定义为代码) 、资源预配和审核,以限制哪些服务或配置可以预配到环境中。
对于工作负载的运行时安全控制,请遵循Microsoft云安全基准来设计和实现有效的控制措施,例如工作负载应用程序和服务中的标识和特权访问、网络安全、终结点安全性和数据保护。
实现和其他上下文:
- Microsoft云安全基准 - DevOps 安全性
- 保护 DevOps
- 云采用框架 - DevSecOps 控制常规指导客户安全利益干系人 (了解详细信息) **:
- 所有利益干系人
GS-11:定义和实施多云安全策略
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
空值 | 空值 | 空值 |
常规指导:确保在云和安全治理、风险管理和操作过程中定义多云策略,其中应包括以下方面:
- 多云采用:适用于运营多云基础结构的组织,并培训组织,以确保团队了解云平台和技术堆栈之间的功能差异。 生成、部署和/或迁移可移植的解决方案。 允许在具有最少供应商锁定的云平台之间轻松移动,同时充分利用云原生功能,实现云采用的最佳结果。
- 云和安全运营:通过一组共享常见操作流程的集中治理和管理流程,简化安全操作,以支持每个云中的解决方案,而不考虑解决方案的部署和操作位置。
- 工具和技术堆栈:选择支持多云环境的相应工具,以帮助建立统一的集中式管理平台,其中可能包括本安全基准中讨论的所有安全域。
实现和其他上下文: