安全性控制 V2：治理和策略

注意

這裡 提供最新的Azure 安全性效能評定。

治理和策略提供指引，以確保一致的安全性策略和記載的治理方法來引導及維持安全性保證，包括建立不同雲端安全性功能的角色和責任、統一的技術策略和支援原則和標準。

GS-1：定義資產管理和資料保護策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-1	2, 13	SC、AC

請確定您記錄並傳達清楚的策略，以持續監視和保護系統和資料。 請優先探索、評估、保護及監視業務關鍵資料和系統。

此策略應該包含下列項目的已記載指引、原則和標準：

• 符合商業風險的資料分類標準

• 安全性組織對風險和資產清查的可見度

• 安全性組織核准 Azure 服務以供使用的程序

• 資產在其生命週期中的安全性

• 符合組織資料分類的必要存取控制策略

• Azure 原生和第三方資料保護功能的使用

• 傳輸中和待用使用案例的資料加密需求

• 適當的密碼編譯標準

如需詳細資訊，請參閱下列參考資料：

• Azure 安全性架構建議 - 儲存體、資料和加密 (機器翻譯)

• Azure 安全性基礎觀念 - Azure 資料安全性、加密和儲存體 (機器翻譯)

• 雲端採用架構 - Azure 資料安全性和加密最佳做法 (機器翻譯)

• Azure 安全性效能評定 - 資產管理

• Azure 安全性效能評定 - 資料保護

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-2：定義企業分割策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-2	4, 9, 16	AC、CA、SC

使用身分識別、網路、應用程式、訂用帳戶、管理群組和其他控制項的組合，建立全企業策略來分割資產的存取權。

審慎權衡安全性區隔的需求，以及需要與彼此通訊並存取資料的啟用每日作業需求。

確保在各種控制項類型上一致地實作分割策略，這些控制項類型包括網路安全性、身分識別和存取模型，以及應用程式權限/存取模型與人力流程控制。

• Azure 中的分割策略指引 (影片) (機器翻譯)

• Azure 中的分割策略指引 (文件) (機器翻譯)

• 使用企業分割策略來調整網路分割 (機器翻譯)

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-3：定義安全性狀態管理策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-3	20, 3, 5	RA、CM、SC

持續測量並降低個別資產及其裝載環境的風險。 優先處理高價值資產和高度公開的攻擊面，例如已發佈的應用程式、網路輸入和輸出點、使用者和系統管理員端點等等。

• Azure 安全性效能評定 - 狀態和弱點管理

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-4：協調組織角色、責任及權責

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-4	N/A	PL、PM

請確定您記錄並傳達安全性組織中角色和責任的清楚策略。 優先為安全性決策提供清楚的權責、讓每個人熟知共同責任模型，並讓技術團隊熟知保護雲端的技術。

• Azure 安全性最佳做法 1 – 人員：讓小組熟知雲端安全性旅程 (機器翻譯)

• Azure 安全性最佳做法 2 - 人員：讓小組熟知雲端安全性技術 (機器翻譯)

• Azure 安全性最佳做法 3 - 流程：指派雲端安全性決策的權責 (機器翻譯)

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-5：定義網路安全性策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-5	9	CA、SC

建立 Azure 網路安全性方法，作為組織整體安全性存取控制策略的一部分。

此策略應該包含下列項目的已記載指引、原則和標準：

• 集中式網路管理和安全性責任

• 與企業分割策略一致的虛擬網路分割模型

• 不同威脅和攻擊案例的補救策略

• 網際網路邊緣和輸入與輸出策略

• 混合式雲端和內部部署互連能力策略

• 最新的網路安全性成品 (，例如網狀圖、參考網路架構)

如需詳細資訊，請參閱下列參考資料：

• Azure 安全性最佳做法 11 - 架構。 單一整合安全性策略

• Azure 安全性效能評定 - 網路安全性

• Azure 網路安全性概觀

• 企業網路架構策略 (機器翻譯)

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-6：定義身分識別和特殊權限存取策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-6	16, 4	AC、AU、SC

建立 Azure 身分識別和特殊許可權存取方法，作為組織整體安全性存取控制策略的一部分。

此策略應該包含下列項目的已記載指引、原則和標準：

• 集中式身分識別和驗證系統，以及其與其他內部和外部身分識別系統的互連能力

• 不同使用案例和條件中的增強式驗證方法

• 高權限使用者的保護

• 異常使用者活動監視和處理

• 使用者身分識別、存取權檢閱與核對流程

如需詳細資訊，請參閱下列參考資料：

• Azure 安全性效能評定 - 身分識別管理

• Azure 安全性效能評定 - 特殊權限存取

• Azure 安全性最佳做法 11 - 架構。 單一整合安全性策略

• Azure 身分識別管理安全性概觀

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-7：定義記錄和威脅回應策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-7	19	IR、AU、RA、SC

建立記錄和威脅回應策略，以在符合合規性需求時快速偵測和補救威脅。 優先為分析師提供高品質的警示和順暢的體驗，使其能夠全心處理威脅，而非整合和手動步驟。

此策略應包含針對下列元素而記載的指引、原則和標準：

• 安全性作業 (SecOps) 組織的角色和責任

• 妥善定義且與 NIST 或其他產業架構一致的事件回應流程

• 記錄擷取和保留，以支援威脅偵測、事件回應及合規性需求

• 使用 SIEM、原生 Azure 功能及其他來源，集中顯示及相互關聯威脅的相關資訊

• 與客戶、供應商和相關公開合作對象之間的溝通和通知計畫

• 使用 Azure 原生和協力廠商平台進行事件處理，例如記錄和威脅偵測、鑑定，以及攻擊補救和根除

• 處理事件和事件後活動的流程，例如吸取的經驗和證據保留

如需詳細資訊，請參閱下列參考資料：

• Azure 安全性效能評定 - 記錄與威脅偵測

• Azure 安全性效能評定 - 事件回應

• Azure 安全性最佳做法 4 - 程式。 更新雲端的事件回應程式

• Azure 採用架構、記錄與報告決策指南

• Azure 企業規模、管理與監視 (機器翻譯)

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人

GS-8：定義備份和復原策略

Azure 識別碼	CIS 控制項 v7.1 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)
GS-8	10	CP

為您的組織建立 Azure 備份和復原策略。

此策略應該包含下列項目的已記載指引、原則和標準：

• 復原時間目標 (RTO) 和復原點目標 (RPO) 定義，根據您的商務復原目標

• 應用程式和基礎結構設定中的備援設計

• 使用存取控制和資料加密來保護備份

如需詳細資訊，請參閱下列參考資料：

• Azure 安全性效能評定 - 備份和復原

• Azure Well-Architecture Framework - Azure 應用程式的備份和災害復原

• Azure 採用架構 - 商務持續性和災害復原

責任：客戶

客戶安全性專案關係人 (深入瞭解) ：

• 所有專案關係人