安全性控制:治理和策略
治理和策略提供指引,以確保一致的安全性策略和記載的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略,以及支援原則和標準。
GS-1:讓組織角色、責任和責任保持一致
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
一般指引:請確定您定義並傳達安全性組織中角色和責任的明確策略。 優先提供清楚的安全性決策責任、教育所有人分享責任模型,以及教育技術小組技術來保護雲端。
實作和其他內容:
- Azure 安全性最佳做法 1 – 人員:讓小組熟知雲端安全性旅程 (機器翻譯)
- Azure 安全性最佳做法 2 - 人員:讓小組熟知雲端安全性技術 (機器翻譯)
- Azure 安全性最佳做法 3 - 流程:指派雲端安全性決策的權責 (機器翻譯)
客戶安全性專案關係人 (深入瞭解) :
GS-2:定義及實作責任策略的企業分割/區隔
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
3.12 | AC-4、SC-7、SC-2 | 1.2, 6.4 |
一般指引:建立全企業策略,以使用身分識別、網路、應用程式、訂用帳戶、管理群組和其他控制項的組合來區隔資產的存取權。
審慎權衡安全性區隔的需求,以及需要與彼此通訊並存取資料的啟用每日作業需求。
請確定分割策略一致地在工作負載中實作,包括網路安全性、身分識別和存取模型,以及應用程式許可權/存取模型,以及人為程式控制。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-3:定義及實作資料保護策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
3.1, 3.7, 3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
一般指引:在雲端環境中建立適用于資料保護的企業策略:
- 根據企業資料管理標準和法規合規性來定義及套用資料分類和保護標準,以指定每個資料分類層級所需的安全性控制。
- 設定符合企業分割策略的雲端資源管理階層。 企業分割策略也應傳達至敏感性或業務關鍵資料和系統的所在位置。
- 在雲端環境中定義並套用適用的零信任原則,以避免根據周邊網路位置實作信任。 請改用裝置和使用者信任宣告來閘道存取資料和資源。
- 追蹤並最小化整個企業的敏感性資料使用量 (儲存體、傳輸和處理) ,以減少受攻擊面和資料保護成本。 請考慮盡可能在工作負載中進行單向雜湊、截斷和權杖化等技術,以避免以原始形式儲存和傳輸敏感性資料。
- 請確定您有完整的生命週期控制策略,以提供資料和存取金鑰的安全性保證。
實作和其他內容:
- Microsoft雲端安全性基準測試 - 資料保護
- 雲端採用架構 - Azure 資料安全性和加密最佳做法 (機器翻譯)
- Azure 安全性基礎觀念 - Azure 資料安全性、加密和儲存體 (機器翻譯)
客戶安全性專案關係人 (深入瞭解) :
GS-4:定義及實作網路安全性策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
12.2, 12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
一般指引:建立雲端網路安全性策略,作為組織存取控制整體安全性策略的一部分。 此策略應該包含下列項目的已記載指引、原則和標準:
- 設計集中式/分散式網路管理和安全性責任模型,以部署和維護網路資源。
- 與企業分割策略一致的虛擬網路分割模型。
- 網際網路邊緣和輸入和輸出策略。
- 混合式雲端和內部部署互連性策略。
- 網路監視和記錄策略。
- 最新的網路安全性成品 (,例如網狀圖、參考網路架構) 。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-5:定義及實作安全性狀態管理原則
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
4.1、4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
一般指引:建立原則、程式和標準,以確保安全性組態管理和弱點管理已就緒于您的雲端安全性授權中。
雲端中的安全性組態管理應包含下列領域:
- 定義雲端中不同資源類型的安全性群組態基準,例如 Web 入口網站/主控台、管理和控制平面,以及 IaaS、PaaS 和 SaaS 服務中執行的資源。
- 請確定安全性基準可解決不同控制區域中的風險,例如網路安全性、身分識別管理、特殊許可權存取、資料保護等。
- 使用工具來持續測量、稽核及強制執行設定,以防止設定偏離基準。
- 開發頻率,以使用安全性功能保持更新,例如訂閱服務更新。
- 利用安全性健康情況或合規性檢查機制 (,例如安全分數、雲端) Microsoft Defender中的合規性儀表板,定期檢閱安全性設定狀態並補救所識別的差距。
雲端中的弱點管理應包含下列安全性層面:
- 定期評估並補救所有雲端資源類型的弱點,例如雲端原生服務、作業系統和應用程式元件。
- 使用以風險為基礎的方法來設定評量和補救的優先順序。
- 訂閱相關的 CSPM 安全性諮詢通知和部落格,以接收最新的安全性更新。
- 請確定弱點評量和補救 (,例如排程、範圍和技術) 符合貴組織的合規性需求。dule、範圍和技術) 符合組織的定期合規性需求。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-6:定義及實作身分識別和特殊許可權存取策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
5.6, 6.5, 6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
一般指引:建立雲端身分識別和特殊許可權存取方法,作為組織整體安全性存取控制策略的一部分。 此策略應包含下列層面的記載指引、原則和標準:
- 集中式身分識別和驗證系統 (,例如 Azure AD) 及其與其他內部和外部身分識別系統的互連能力
- 特殊許可權身分識別和存取治理 (,例如存取要求、檢閱和核准)
- 緊急 (斷) 情況的特殊許可權帳戶
- 增強式驗證 (無密碼驗證和多重要素驗證) 不同使用案例和條件的方法。
- 透過入口網站/主控台、命令列和 API,透過系統管理作業來保護存取。
針對未使用企業系統的例外狀況,請確定已備妥適當的安全性控制,以進行身分識別、驗證和存取管理,並受到控管。 企業小組應核准並定期檢閱這些例外狀況。 這些例外狀況通常是在下列情況中:
- 使用非企業指定的身分識別和驗證系統,例如雲端式協力廠商系統, (可能會造成未知的風險)
- 在本機和/或使用非強式驗證方法的特殊許可權使用者
實作和其他內容:
- Microsoft雲端安全性基準 - 身分識別管理
- Microsoft雲端安全性基準 - 特殊許可權存取
- Azure 安全性最佳做法 11 - 架構。 單一整合安全性策略
- Azure 身分識別管理安全性概觀
客戶安全性專案關係人 (深入瞭解) :
GS-7:定義及實作記錄、威脅偵測和事件回應策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
8.1, 13.1, 17.2, 17.4,17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
一般指引:建立記錄、威脅偵測和事件回應策略,以快速偵測和補救威脅,並符合合規性需求。 安全性作業 (SecOps / SOC) 小組應優先處理高品質警示和順暢的體驗,讓他們可以專注于威脅,而不是記錄整合和手動步驟。 此策略應包含下列層面的記載原則、程式和標準:
- 安全性作業 (SecOps) 組織的角色和責任
- 與 NIST SP 800-61 (電腦安全性性事件處理指南) 或其他產業架構一致的妥善定義且定期測試的事件回應計畫與處理常式。
- 與客戶、供應商和感興趣的公開合作物件通訊和通知計畫。
- 模擬雲端環境中的預期和非預期安全性事件,以瞭解準備的有效性。 逐一查看模擬的結果,以改善回應狀態的規模、減少價值的時間,以及進一步降低風險。
- 偏好使用擴充偵測和回應 (XDR) 功能,例如 Azure Defender 功能,以偵測各種區域中的威脅。
- 使用雲端原生功能 (例如,作為雲端) 的Microsoft Defender,以及用於事件處理的協力廠商平臺,例如記錄和威脅偵測、鑒識和攻擊補救和攻擊補救和修復。
- 準備手動和自動化的必要 Runbook,以確保可靠且一致的回應。
- 定義重要案例 (,例如威脅偵測、事件回應和合規性) ,以及設定記錄擷取和保留,以符合案例需求。
- 使用 SIEM、原生雲端威脅偵測功能和其他來源,集中查看與威脅相關的相互關聯資訊。
- 事件後活動,例如學到的課程和辨識項保留。
實作和其他內容:
- Microsoft雲端安全性效能評定 - 記錄和威脅偵測
- Microsoft雲端安全性效能評定 - 事件回應
- Azure 安全性最佳做法 4 - 程式。 更新雲端的事件回應程式
- Azure 採用架構、記錄與報告決策指南
- Azure 企業規模、管理與監視 (機器翻譯)
- NIST SP 800-61 電腦安全性性事件處理指南
客戶安全性專案關係人 (深入瞭解) :
GS-8:定義及實作備份和復原策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
11.1 | CP-1、CP-9、CP-10 | 3.4 |
一般指引:為您的組織建立備份和復原策略。 此策略應包含下列層面的記載指引、原則和標準:
- 復原時間目標 (RTO) 和復原點目標, (RPO) 定義,根據您的商務復原目標,以及法規合規性需求。
- 備援設計 (,包括雲端和內部部署中應用程式和基礎結構中的備份、還原和複寫) 。 請考慮區域、區域配對、跨區域復原和異地儲存位置,作為策略的一部分。
- 保護備份免于未經授權的存取,並使用資料存取控制、加密和網路安全性等控制措施進行強化。
- 使用備份和復原來降低新興威脅的風險,例如勒索軟體攻擊。 此外,也保護備份和復原資料本身免于遭受這些攻擊。
- 監視備份和復原資料,以及用於稽核和警示用途的作業。
實作和其他內容:
- Microsoft雲端安全性效能評定 - 備份和復原Azure Well-Architecture 架構 - Azure 應用程式的備份和災害復原:/azure/architecture/framework/resiliency/backup-and-recovery
- Azure 採用架構-商務持續性和災害復原
- 備份和還原計劃以防範勒索軟體
客戶安全性專案關係人 (深入瞭解) :
GS-9:定義及實作端點安全性策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
---|---|---|
4.4, 10.1 | SI-2、SI-3、SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
一般指引:建立雲端端點安全性策略,其中包含下列層面:- 將端點偵測和回應和反惡意程式碼功能部署到您的端點,並與威脅偵測和 SIEM 解決方案和安全性作業程式整合。
- 遵循 Microsoft Cloud Security Benchmark,以確保其他個別區域中的端點相關安全性設定 (,例如網路安全性、狀態弱點管理、身分識別和特殊許可權存取,以及記錄和威脅偵測) 也已備妥,為您的端點提供深度防禦防護。
- 在生產環境中設定端點安全性的優先順序,但確保非生產環境 (,例如 DevOps 程式中使用的測試和建置環境) 也受到保護及監視,因為這些環境也可以用來在生產環境中導入惡意程式碼和弱點。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
GS-10:定義及實作 DevOps 安全性策略
CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
---|---|---|
4.1, 4.2, 16.1, 16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
一般指引:將安全性控制規定為組織 DevOps 工程和作業標準的一部分。 根據組織中的企業和雲端安全性標準,定義安全性目標、控制需求和工具規格。
鼓勵在組織中使用 DevOps 作為基本作業模型,以利快速識別和補救使用不同類型的自動化 (弱點,例如基礎結構即程式碼布建,以及整個 CI/CD 工作流程中的自動化 SAST 和 DAST 掃描) 。 此「左移」方法也會提高在部署管線中強制執行一致安全性檢查的可見度和能力,並事先有效地將安全性護欄部署至環境,以避免在將工作負載部署到生產環境時發生最後一分鐘的安全性意外狀況。
將安全性控制項向左移轉至部署前階段時,請實作安全性護欄,以確保在整個 DevOps 程式中部署和強制執行控制項。 這項技術可能包括資源部署範本 (,例如 Azure ARM 範本) ,在 IaC (基礎結構中定義護欄,作為程式碼) 、資源布建和稽核,以限制哪些服務或設定可以布建到環境中。
針對工作負載的執行時間安全性控制,請遵循Microsoft雲端安全性效能評定來設計和實作有效控制措施,例如身分識別和特殊許可權存取、網路安全性、端點安全性和工作負載應用程式和服務內的資料保護。
實作和其他內容:
- Microsoft雲端安全性基準 - DevOps 安全性
- 保護 DevOps
- 雲端採用架構 - DevSecOps 控制一般指引客戶安全性專案關係人 (深入瞭解) **:
- 所有專案關係人
GS-11:定義及實作多雲端安全性策略
CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
---|---|---|
N/A | N/A | N/A |
一般指引:確定雲端和安全性治理、風險管理和作業程式定義了多雲端策略,其中應包含下列層面:
- 多雲端採用:對於操作多雲端基礎結構並教育組織的組織,確保小組瞭解雲端平臺和技術堆疊之間的功能差異。 建置、部署及/或移轉可攜式解決方案。 允許在雲端平臺之間輕鬆移動,同時充分運用雲端原生功能,以達到雲端採用的最佳結果。
- 雲端和安全性作業:透過一組集中的治理和管理程式,簡化安全性作業以支援每個雲端的解決方案,不論解決方案部署和操作的位置為何。
- 工具和技術堆疊:選擇支援多雲端環境的適當工具,以協助建立統一且集中式的管理平臺,其中可能包含此安全性基準中所討論的所有安全性網域。
實作和其他內容: