Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Governance e strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio alla governance documentato per guidare e sostenere la garanzia della sicurezza, tra cui definizione di ruoli e responsabilità per le diverse funzioni di sicurezza del cloud, strategia tecnica unificata e criteri e standard di supporto.
GS-1: Allineare i ruoli e le responsabilità dell'organizzazione
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Indicazioni generali: assicurarsi di definire e comunicare una strategia chiara per i ruoli e le responsabilità nell'organizzazione di sicurezza. Classificare in ordine di priorità una chiara responsabilità per le decisioni di sicurezza, educare tutti i membri del modello di responsabilità condivisa e formare i team tecnici sulla tecnologia per proteggere il cloud.
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 1 - Persone: Educare Teams nel percorso di sicurezza cloud
- Procedura consigliata per la sicurezza di Azure 2 - Persone: Informare Teams sulla tecnologia di sicurezza cloud
- Procedura consigliata per la sicurezza di Azure 3 - Processo: Assegnare la responsabilità per le decisioni relative alla sicurezza del cloud
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-2: Definire e implementare una strategia di segmentazione aziendale/separazione dei compiti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Linee guida generali: stabilire una strategia a livello aziendale per segmentare l'accesso agli asset usando una combinazione di identità, rete, applicazione, sottoscrizione, gruppo di gestione e altri controlli.
Bilanciare attentamente la necessità di separare la sicurezza con la necessità di abilitare il funzionamento giornaliero dei sistemi che devono comunicare tra loro e accedere ai dati.
Assicurarsi che la strategia di segmentazione sia implementata in modo coerente nel carico di lavoro, tra cui sicurezza di rete, modelli di identità e accesso e modelli di autorizzazione/accesso delle applicazioni e controlli dei processi umani.
Implementazione e contesto aggiuntivo:
- Sicurezza nel Microsoft Cloud Adoption Framework per Azure - Segmentazione: separare per proteggere
- Sicurezza in Microsoft Cloud Adoption Framework per Azure - Architettura: stabilire una singola strategia di sicurezza unificata
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-3: Definire e implementare una strategia di protezione dei dati
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Linee guida generali: definire una strategia a livello aziendale per la protezione dei dati nell'ambiente cloud:
- Definire e applicare lo standard di classificazione e protezione dei dati in base allo standard di gestione dei dati aziendali e alla conformità alle normative per determinare i controlli di sicurezza necessari per ogni livello di classificazione dei dati.
- Configurare la gerarchia di gestione delle risorse cloud allineata alla strategia di segmentazione aziendale. La strategia di segmentazione aziendale deve essere informata anche dalla posizione di dati e sistemi sensibili o critici per l'azienda.
- Definire e applicare i principi di zero trust applicabili nell'ambiente cloud per evitare di implementare l'attendibilità in base al percorso di rete all'interno di un perimetro. Usare invece attestazioni di attendibilità utente e dispositivo per controllare l'accesso ai dati e alle risorse.
- Tenere traccia e ridurre al minimo il footprint dei dati sensibili (archiviazione, trasmissione ed elaborazione) in tutta l'azienda per ridurre la superficie di attacco e i costi di protezione dei dati. Prendere in considerazione tecniche come hash unidirezionale, troncamento e tokenizzazione nel carico di lavoro, se possibile, per evitare di archiviare e trasmettere dati sensibili nel formato originale.
- Assicurarsi di disporre di una strategia completa di controllo del ciclo di vita per garantire la sicurezza dei dati e delle chiavi di accesso.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Protezione dei dati
- Cloud Adoption Framework - Procedure consigliate per la sicurezza e la crittografia dei dati di Azure
- Concetti fondamentali sulla sicurezza di Azure - Sicurezza, crittografia e archiviazione dei dati di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-4: Definire e implementare una strategia di sicurezza di rete
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Linee guida generali: stabilire una strategia di sicurezza della rete cloud come parte della strategia di sicurezza complessiva dell'organizzazione per il controllo di accesso. Questa strategia deve includere linee guida, criteri e standard documentati per gli elementi seguenti:
- Progettare un modello centralizzato/decentralizzato di gestione della rete e responsabilità della sicurezza per distribuire e gestire le risorse di rete.
- Modello di segmentazione della rete virtuale allineato alla strategia di segmentazione aziendale.
- Una strategia per il perimetro della rete Internet e per l'ingresso e l'uscita.
- Un cloud ibrido e una strategia di interconnettività locale.
- Una strategia di monitoraggio e registrazione di rete.
- Artefatti di sicurezza di rete aggiornati, ad esempio diagrammi di rete, architettura di rete di riferimento.
Implementazione e contesto aggiuntivo:
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Benchmark della sicurezza del cloud Microsoft - Sicurezza di rete
- Panoramica della sicurezza di rete di Azure
- Strategia di architettura di rete aziendale
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-5: Definire e implementare la strategia di gestione del comportamento di sicurezza
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Linee guida generali: stabilire criteri, procedure e standard per garantire che la gestione della configurazione della sicurezza e della vulnerabilità sia in vigore nel proprio mandato di sicurezza cloud.
La gestione della configurazione della sicurezza nel cloud deve includere le aree seguenti:
- Definire le linee di base di configurazione sicure per diversi tipi di risorse nel cloud, ad esempio il portale Web/la console, il piano di gestione e il piano di controllo e le risorse in esecuzione nei servizi IaaS, PaaS e SaaS.
- Assicurarsi che le baseline di sicurezza affrontino i rischi in diverse aree di controllo, ad esempio sicurezza di rete, gestione delle identità, accesso con privilegi, protezione dei dati e così via.
- Usare gli strumenti per misurare, controllare e applicare continuamente la configurazione per impedire la deviazione della configurazione dalla linea di base.
- Sviluppare una cadenza per rimanere aggiornati con le funzionalità di sicurezza, ad esempio, sottoscrivere gli aggiornamenti del servizio.
- Usare un meccanismo di controllo dell'integrità o della conformità della sicurezza (ad esempio Secure Score, Compliance Dashboard in Microsoft Defender for Cloud) per esaminare regolarmente il comportamento di configurazione della sicurezza e correggere le lacune identificate.
La gestione delle vulnerabilità nel cloud deve includere gli aspetti di sicurezza seguenti:
- Valutare e correggere regolarmente le vulnerabilità in tutti i tipi di risorse cloud, ad esempio servizi nativi del cloud, sistemi operativi e componenti dell'applicazione.
- Usare un approccio basato sul rischio per classificare in ordine di priorità la valutazione e la correzione.
- Sottoscrivere gli avvisi di sicurezza e i blog pertinenti di CSPM per ricevere gli aggiornamenti della sicurezza più recenti.
- Assicurarsi che la valutazione e la correzione delle vulnerabilità(ad esempio pianificazione, ambito e tecniche) soddisfino i requisiti di conformità per l'organizzazione.dule, l'ambito e le tecniche) soddisfino regolarmente i requisiti di conformità per l'organizzazione.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Gestione della posizione e delle vulnerabilità
- Procedura consigliata per la sicurezza di Azure 9 - Stabilire la gestione del comportamento di sicurezza
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-6: Definire una strategia di identità e di accesso con privilegi
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Linee guida generali: stabilire un approccio basato sull'identità cloud e l'accesso con privilegi come parte della strategia generale di controllo degli accessi alla sicurezza dell'organizzazione. Questa strategia deve includere linee guida, criteri e standard documentati per gli aspetti seguenti:
- Sistema centralizzato di identità e autenticazione (ad esempio Azure AD) e la sua interconnettività con altri sistemi di identità interni ed esterni
- Governance dell'identità e dell'accesso privilegiato (ad esempio, richiesta di accesso, approvazione e revisione)
- Account privilegiati in situazioni di emergenza estrema (break-glass)
- Metodi di autenticazione avanzata (autenticazione senza password e autenticazione a più fattori) in casi d'uso e condizioni diversi.
- Proteggere l'accesso tramite operazioni amministrative tramite il portale Web/la console, la riga di comando e l'API.
Per i casi di eccezione, in cui non viene usato un sistema aziendale, assicurarsi che siano applicati controlli di sicurezza adeguati per la gestione delle identità, dell'autenticazione e dell'accesso e regolati. Queste eccezioni devono essere approvate e periodicamente esaminate dal team aziendale. Queste eccezioni sono in genere in casi come:
- Uso di un sistema di identità e autenticazione designato non aziendale, ad esempio sistemi di terze parti basati sul cloud (possono introdurre rischi sconosciuti)
- Gli utenti con privilegi autenticati in locale e/o usano metodi di autenticazione non sicuri
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Gestione delle identità
- Benchmark della sicurezza del cloud Microsoft - Accesso con privilegi
- Procedura consigliata per la sicurezza di Azure 11 - Architettura. Singola strategia di sicurezza unificata
- Panoramica della sicurezza di Gestione delle identità di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-7: Definire e implementare una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Indicazioni generali: stabilire una strategia di registrazione, rilevamento delle minacce e risposta agli eventi imprevisti per rilevare e correggere rapidamente le minacce e soddisfare i requisiti di conformità. Il team delle operazioni di sicurezza (SecOps/SOC) deve classificare in ordine di priorità gli avvisi di alta qualità e le esperienze semplici in modo che possano concentrarsi sulle minacce invece di registrare l'integrazione e i passaggi manuali. Questa strategia deve includere criteri, procedure e standard documentati per gli aspetti seguenti:
- Il ruolo e le responsabilità dell'organizzazione delle operazioni di sicurezza (SecOps)
- Un piano di risposta agli eventi imprevisti ben definito e testato regolarmente e allineato con NIST SP 800-61 (Guida alla gestione degli eventi imprevisti per la sicurezza dei computer) o con altri framework di settore.
- Piano di comunicazione e notifica con i clienti, i fornitori e le parti pubbliche di interesse.
- Simulare sia gli eventi di sicurezza previsti che imprevisti all'interno dell'ambiente cloud per comprendere l'efficacia della preparazione. Iterare sul risultato della simulazione per migliorare il livello della gestione della risposta, ridurre il tempo per raggiungere il valore e ridurre ulteriormente il rischio.
- Preferenza per l'uso di funzionalità XDR (Extended Detection and Response), ad esempio le funzionalità di Azure Defender, per rilevare le minacce in varie aree.
- Uso di funzionalità native del cloud (ad esempio, come Microsoft Defender for Cloud) e piattaforme di terze parti per la gestione degli eventi imprevisti, ad esempio la registrazione e il rilevamento delle minacce, le analisi forensi e la correzione e l'eliminazione degli attacchi.
- Preparare i runbook necessari, sia manuali che automatizzati, per assicurare risposte affidabili e coerenti.
- Definire scenari chiave, ad esempio rilevamento delle minacce, risposta agli eventi imprevisti e conformità, e configurare l'acquisizione e la conservazione dei log per soddisfare i requisiti dello scenario.
- Visibilità centralizzata delle informazioni di correlazione e sulle minacce, uso di SIEM, funzionalità di rilevamento delle minacce cloud native e altre origini.
- Attività post-evento imprevisto, ad esempio lezioni apprese e conservazione delle prove.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Registrazione e rilevamento delle minacce
- Benchmark della sicurezza del cloud Microsoft - Risposta agli eventi imprevisti
- Procedura consigliata per la sicurezza di Azure 4 - Processo. Aggiornare i processi di risposta agli eventi imprevisti per il cloud
- Guida alle decisioni relative ad Azure Adoption Framework, registrazione e creazione di report
- Scalabilità aziendale, gestione e monitoraggio di Azure
- Guida alla gestione degli eventi imprevisti per la sicurezza dei computer NIST SP 800-61
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-8: Definire e implementare una strategia di backup e ripristino
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Indicazioni generali: stabilire una strategia di backup e ripristino per l'organizzazione. Questa strategia deve includere indicazioni, criteri e standard documentati negli aspetti seguenti:
- Definizioni di obiettivo del tempo di ripristino (RTO) e obiettivo del punto di ripristino (RPO) in base agli obiettivi di resilienza aziendale e ai requisiti di conformità alle normative.
- Progettazione della ridondanza (inclusi backup, ripristino e replica) nelle applicazioni e nell'infrastruttura per sia nel cloud che in locale. Prendere in considerazione i fattori regionali, le coppie di aree, il ripristino tra regioni e la posizione di archiviazione fuori sede nell'ambito della vostra strategia.
- Protezione del backup da accessi non autorizzati e attenuazione usando controlli come il controllo di accesso ai dati, la crittografia e la sicurezza di rete.
- Uso del backup e del ripristino per attenuare i rischi derivanti da minacce emergenti, ad esempio attacchi ransomware. E anche proteggere i dati di backup e ripristino da questi attacchi.
- Monitoraggio dei dati e delle operazioni di backup e ripristino per scopi di controllo e avvisi.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Backup e ripristino Azure Well-Architecture Framework - Backup e ripristino di emergenza per le applicazioni Azure: /azure/architecture/framework/resiliency/backup-and-recovery
- Continuità aziendale e ripristino di emergenza in Azure Adoption Framework
- Piano di backup e ripristino per la protezione da ransomware
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-9: Definire e implementare una strategia di sicurezza degli endpoint
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Linee guida generali: stabilire una strategia di sicurezza degli endpoint cloud che include gli aspetti seguenti: distribuire la funzionalità di rilevamento e risposta degli endpoint e antimalware nell'endpoint e integrarsi con la soluzione SIEM e il rilevamento delle minacce e il processo di operazioni di sicurezza.
- Seguire Microsoft Cloud Security Benchmark per assicurarsi che le impostazioni di sicurezza correlate agli endpoint in altre aree , ad esempio sicurezza di rete, gestione delle vulnerabilità del comportamento, accesso con identità e accesso con privilegi e rilevamento delle minacce, siano disponibili anche per fornire una protezione avanzata per l'endpoint.
- Classificare in ordine di priorità la sicurezza degli endpoint nell'ambiente di produzione, ma assicurarsi che anche gli ambienti non di produzione (ad esempio l'ambiente di test e di compilazione usati nel processo DevOps) siano protetti e monitorati, poiché questi ambienti possono essere usati anche per introdurre malware e vulnerabilità nell'ambiente di produzione.
Implementazione e contesto aggiuntivo:
- Benchmark della sicurezza del cloud Microsoft - Sicurezza degli endpoint
- Procedure consigliate per la sicurezza degli endpoint in Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
GS-10: Definire e implementare una strategia di sicurezza DevOps
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Indicazioni generali: imporre i controlli di sicurezza come parte dello standard di progettazione e funzionamento di DevOps dell'organizzazione. Definire gli obiettivi di sicurezza, i requisiti di controllo e le specifiche degli strumenti in base agli standard di sicurezza aziendali e cloud nell'organizzazione.
Incoraggiare l'uso di DevOps come modello operativo essenziale nell'organizzazione per i suoi vantaggi nell'identificazione e nella correzione rapida delle vulnerabilità usando diversi tipi di automazione (ad esempio l'infrastruttura come il provisioning del codice e l'analisi SAST automatizzata e DAST) in tutto il flusso di lavoro CI/CD. Questo approccio "shift left" aumenta anche la visibilità e la capacità di applicare controlli di sicurezza coerenti nella pipeline di distribuzione, distribuendo in modo efficace le protezioni di sicurezza nell'ambiente in anticipo per evitare sorprese di sicurezza dell'ultimo minuto durante la distribuzione di un carico di lavoro nell'ambiente di produzione.
Quando si spostano i controlli di sicurezza lasciati nelle fasi di pre-distribuzione, implementare protezioni di sicurezza per assicurarsi che i controlli vengano distribuiti e applicati durante il processo DevOps. Questa tecnologia può includere modelli di distribuzione delle risorse (ad esempio il modello di Azure RESOURCE Manager) per definire protezioni nell'IaC (infrastruttura come codice), il provisioning delle risorse e il controllo per limitare i servizi o le configurazioni di cui è possibile effettuare il provisioning nell'ambiente.
Per i controlli di sicurezza in fase di esecuzione del carico di lavoro, seguire Microsoft Cloud Security Benchmark per progettare e implementare controlli efficaci, ad esempio identità e accesso con privilegi, sicurezza di rete, sicurezza degli endpoint e protezione dei dati all'interno delle applicazioni e dei servizi del carico di lavoro.
Implementazione e contesto aggiuntivo:
- Benchmark di sicurezza del cloud Microsoft - Sicurezza DevOps
- DevOps sicuro
- Cloud Adoption Framework - DevSecOps controllale linee guida generaliStakeholder per la sicurezza dei clienti (Altre informazioni)**:
- Tutti i portatori di interesse
GS-11: Definire e implementare una strategia di sicurezza multi-cloud
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| Non disponibile | Non disponibile | Non disponibile |
Linee guida generali: assicurarsi che una strategia multi-cloud sia definita nel cloud e nel processo di governance della sicurezza, della gestione dei rischi e delle operazioni che devono includere gli aspetti seguenti:
- Adozione multi-cloud: per le organizzazioni che gestiscono l'infrastruttura multi-cloud e Informare l'organizzazione per assicurarsi che i team comprendano la differenza di funzionalità tra le piattaforme cloud e lo stack di tecnologie. Compilare, distribuire e/o eseguire la migrazione di soluzioni portabili. Consentire la facilità di spostamento tra le piattaforme cloud con il blocco minimo del fornitore mentre si usano le funzionalità native del cloud in modo adeguato per il risultato ottimale dall'adozione del cloud.
- Operazioni cloud e sicurezza: semplifica le operazioni di sicurezza per supportare le soluzioni in ogni cloud, tramite un set centrale di processi di governance e gestione che condividono processi operativi comuni, indipendentemente dalla posizione in cui viene distribuita e gestita la soluzione.
- Stack di strumenti e tecnologie: scegliere gli strumenti appropriati che supportano l'ambiente multi-cloud per facilitare la creazione di piattaforme di gestione unificate e centralizzate che possono includere tutti i domini di sicurezza descritti in questo benchmark di sicurezza.
Implementazione e contesto aggiuntivo: