Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.
GS-1. Согласование ролей, обязанностей и подотчетности в организации
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 14,9 | ПЛ-9, ПМ-10, ПМ-13, АТ-1, АТ-3 | 2.4 |
Общие рекомендации. Убедитесь, что вы определяете и сообщаете четкую стратегию для ролей и обязанностей в организации безопасности. Приоритетом должно стать обеспечение четкой ответственности за решения по безопасности, обучение всех пользователей модели общей ответственности и обучение технических команд использованию технологий для защиты облака.
Реализация и дополнительный контекст:
- Лучшая практика безопасности Azure 1 – Люди: Обучение команд в области облачной безопасности
- Рекомендации по безопасности Azure 2. Люди: обучение команд технологиям безопасности облака
- Рекомендации по безопасности Azure 3. Процесс. Назначение ответственности за решения Cloud Security
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-2. Определение и внедрение корпоративной стратегии сегментации и разделения обязанностей
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.12 | АС-4, ПК-7, ПК-2 | 1.2, 6.4 |
Общие рекомендации. Создание корпоративной стратегии для сегментирования доступа к ресурсам с помощью сочетания удостоверений, сети, приложения, подписки, группы управления и других элементов управления.
Тщательно сбалансируйте необходимость разделения безопасности с необходимостью обеспечить ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.
Убедитесь, что стратегия сегментации реализована последовательно в рабочей нагрузке, включая сетевую безопасность, модели идентификации и доступа, а также модели разрешений и доступа приложений, а также элементы управления человеческими процессами.
Реализация и дополнительный контекст:
- Безопасность в рамках Microsoft Cloud Adoption Framework для Azure — сегментация: разделение для защиты
- Безопасность в Microsoft Cloud Adoption Framework для Azure — архитектура: создание единой стратегии безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-3. Определение и внедрение стратегии защиты данных
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, А3.2 |
Общие рекомендации. Создание корпоративной стратегии защиты данных в облачной среде:
- Определите и примените стандарт классификации и защиты данных в соответствии со стандартом управления корпоративными данными и нормативным соответствием, чтобы диктовать элементы управления безопасностью, необходимые для каждого уровня классификации данных.
- Настройте иерархию управления облачными ресурсами, выровненную с стратегией сегментации предприятия. Стратегия сегментации предприятия также должна быть проинформирована расположением конфиденциальных или критически важных для бизнеса данных и систем.
- Определите и примените применимые принципы нулевого доверия в облачной среде, чтобы избежать реализации доверия на основе сетевого расположения в периметре. Вместо этого используйте доверительные заявления устройств и пользователей для ограничения доступа к данным и ресурсам.
- Отслеживайте и минимизируйте объем конфиденциальных данных (хранение, передачу и обработку) в организации, чтобы снизить затраты на защиту данных и поверхность атаки. Рассмотрим такие методы, как одностороннее хеширование, усечение и токенизация в рабочем процессе, где это возможно, чтобы избежать хранения и передачи конфиденциальных данных в исходной форме.
- Убедитесь, что у вас есть полная стратегия управления жизненным циклом, чтобы обеспечить безопасность ключей данных и доступа.
Реализация и дополнительный контекст:
- Microsoft cloud security benchmark — Data Protection
- Cloud Adoption Framework — рекомендации по обеспечению безопасности и шифрованию данных Azure
- Основы безопасности Azure— безопасность данных Azure, шифрование и хранилище
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-4. Определение и внедрение стратегии безопасности сети
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 12.2, 12.4 | АС-4, АС-17, СА-3, СМ-1, СМ-2, СМ-6, СМ-7, ПК-1, ПК-2, ПК-5, ПК-7, ПК-20, ПК-21, СИ-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, А2.1, А2.2, А2.3, А3.2 |
Общие рекомендации. Создание стратегии безопасности облачной сети в рамках общей стратегии безопасности организации для контроля доступа. Эта стратегия должна включать в себя документированные рекомендации, политику и стандарты для следующих элементов:
- Разработка централизованной и децентрализованной модели управления сетями и безопасности для развертывания и обслуживания сетевых ресурсов.
- Модель сегментации виртуальной сети, согласованная с стратегией сегментации предприятия.
- Стратегия граничного соединения с интернетом и стратегии обработки входящего и исходящего трафика.
- Гибридная облачная и локальная стратегия взаимодействия.
- Стратегия мониторинга сети и ведения журнала.
- Актуальные артефакты безопасности сети (например, сетевые схемы, эталонная архитектура сети).
Реализация и дополнительный контекст:
- Рекомендации по обеспечению безопасности Azure 11 — архитектура. Единая унифицированная стратегия безопасности
- Microsoft Cloud Security Benchmark — сетевая безопасность
- Общие сведения о безопасности сети Azure
- Стратегия корпоративной сетевой архитектуры
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-5. Определение и внедрение стратегии управления состоянием безопасности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Общие рекомендации. Создайте политику, процедуру и стандарт, чтобы обеспечить управление конфигурацией безопасности и управление уязвимостями в вашем мандате облачной безопасности.
Управление конфигурацией безопасности в облаке должно включать следующие области:
- Определите базовые настройки безопасной конфигурации для различных типов ресурсов в облаке, таких как веб-портал или консоль, плоскость управления и контрольная плоскость, а также ресурсы, работающие в службах IaaS, PaaS и SaaS.
- Убедитесь, что базовые показатели безопасности устраняют риски в различных областях управления, таких как безопасность сети, управление удостоверениями, привилегированный доступ, защита данных и т. д.
- Используйте средства для непрерывного измерения, аудита и принудительного применения конфигурации, чтобы предотвратить отклонение конфигурации от базового плана.
- Разработайте процесс, чтобы оставаться в курсе функций безопасности, например, подписывайтесь на обновления сервиса.
- Используйте механизм проверки работоспособности безопасности или соответствия требованиям (например, оценка безопасности, панель мониторинга соответствия требованиям в Microsoft Defender для облака), чтобы регулярно просматривать конфигурацию безопасности и устранять выявленные пробелы.
Управление уязвимостями в облаке должно включать следующие аспекты безопасности:
- Регулярно оценивать и устранять уязвимости во всех типах облачных ресурсов, таких как облачные собственные службы, операционные системы и компоненты приложений.
- Используйте подход на основе рисков для определения приоритетов оценки и исправления.
- Подпишитесь на соответствующие уведомления о безопасности CSPM и блоги, чтобы получать последние обновления системы безопасности.
- Убедитесь, что оценка уязвимостей и их устранение (например, расписание, объем и методы) соответствуют требованиям соблюдения норм вашей компании.
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — управление стратегией безопасности и уязвимостями
- Рекомендации по обеспечению безопасности Azure 9. Создание системы управления безопасностью
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-6. Определение и внедрение стратегии идентификации и привилегированного доступа
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | АС-1, АС-2, АС-3, АС-4, АС-5, АС-6, ИА-1, ИА-2, ИА-4, ИА-5, ИА-8, ИА-9, СИ-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, А3.4 |
Общие рекомендации. Создание облачного удостоверения и привилегированного доступа в рамках общей стратегии управления доступом в организации. Эта стратегия должна включать в себя документированные рекомендации, политику и стандарты для следующих аспектов:
- Централизованная система идентификации и проверки подлинности (например, Azure AD) и ее взаимосвязь с другими внутренними и внешними системами идентификации
- Управление привилегированными удостоверениями и доступом (например, запрос на доступ, проверка и утверждение)
- Привилегированные учетные записи в чрезвычайной ситуации (разрыв)
- Методы строгой проверки подлинности (без пароля и многофакторной проверки подлинности) в различных вариантах использования и условиях.
- Безопасный доступ с помощью административных операций с помощью веб-портала или консоли, командной строки и API.
В исключительных случаях, когда корпоративная система не используется, убедитесь, что для управления удостоверениями, проверки подлинности и доступа используются надлежащие средства управления безопасностью и управляются. Эти исключения должны быть утверждены и периодически проверяются командой предприятия. Эти исключения обычно относятся к таким случаям, как:
- Использование не корпоративной системы идентификации и проверки подлинности, таких как облачные сторонние системы (могут привести к неизвестным рискам).
- Привилегированные пользователи, прошедшие проверку подлинности локально и (или) используют нестроговые методы проверки подлинности
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — эталон безопасности для облачных сервисов Microsoft: управление удостоверениями
- Microsoft Cloud Security Benchmark — привилегированный доступ
- Рекомендации по обеспечению безопасности Azure 11 — архитектура. Единая унифицированная стратегия безопасности
- Общие сведения о безопасности управления удостоверениями Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-7. Определение и реализация стратегии ведения журнала, обнаружения угроз и реагирования на инциденты
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | АУ-1, ИК-1, ИК-2, ИК-10, СИ-1, СИ-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Общие рекомендации. Создание стратегии ведения журнала, обнаружения угроз и реагирования на инциденты для быстрого обнаружения и устранения угроз и соответствия требованиям. Команда по операциям безопасности (SecOps/SOC) должна определять приоритеты высококачественных оповещений и бесшовных процессов, чтобы они могли сосредоточиться на угрозах, а не на интеграции журналов и выполнении ручных действий. Эта стратегия должна включать документированную политику, процедуру и стандарты для следующих аспектов:
- Роль и обязанности организации по операциям безопасности (SecOps)
- Четко определенный и регулярно проверенный план реагирования на инциденты и процесс обработки, согласованный с NIST SP 800-61 (руководство по обработке инцидентов на компьютере) или другими отраслевыми платформами.
- План коммуникации и уведомлений с клиентами, поставщиками и общественными сторонами, интересующими вас.
- Имитируйте ожидаемые и непредвиденные события безопасности в облачной среде, чтобы понять эффективность подготовки. Повторите моделирование, чтобы улучшить масштаб вашей стратегии реагирования, уменьшить время до достижения результата и дополнительно снизить риск.
- Предпочтение использования расширенных возможностей обнаружения и ответа (XDR), таких как возможности Azure Defender, для обнаружения угроз в различных областях.
- Использование собственных возможностей облака (например, Microsoft Defender для облака) и сторонних платформ для обработки инцидентов, таких как ведение журнала и обнаружение угроз, судебно-медицинские экспертизы и исправление атак и искоренение атак.
- Подготовьте необходимые руководства, как для ручной работы, так и для автоматизации, чтобы обеспечить надежные и стабильные результаты.
- Определите ключевые сценарии (например, обнаружение угроз, реагирование на инциденты и соответствие требованиям) и настройте сбор и хранение журналов в соответствии с требованиями сценария.
- Централизованная видимость и корреляция сведений об угрозах с помощью SIEM, возможностей обнаружения угроз в собственном облаке и других источников.
- Мероприятия после инцидента, такие как уроки и хранение доказательств.
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — ведение журнала и обнаружение угроз
- Microsoft Cloud Security Benchmark — реагирование на инциденты
- Рекомендации по обеспечению безопасности Azure 4. Процесс. Обновление процессов реагирования на инциденты для облака
- Руководство по принятию решений в рамках Azure Adoption Framework, ведению журналов и составлению отчетов
- Корпоративное масштабирование, управление и мониторинг Azure
- Руководство по обработке инцидентов безопасности компьютеров NIST SP 800-61
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-8. Определение и внедрение стратегии резервного копирования и восстановления
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.1 | КП-1, СР-9, КП-10 | 3.4 |
Общие рекомендации. Создание стратегии резервного копирования и восстановления для вашей организации. Эта стратегия должна включать документированные рекомендации, политику и стандарты в следующих аспектах:
- Целевые значения времени восстановления (RTO) и целевые точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса и нормативными требованиями соответствия.
- Проектирование избыточности (включая резервное копирование, восстановление и репликацию) в приложениях и инфраструктуре как в облаке, так и в локальной среде. Рассмотрите региональные, парные регионы, межрегиональное восстановление и расположение хранилища вне площадки в рамках стратегии.
- Защита резервного копирования от несанкционированного доступа и изменения с помощью таких мер контроля, как управление доступом к данным, шифрование и безопасность сети.
- Использование резервного копирования и восстановления для снижения рисков от возникающих угроз, таких как атаки программ-шантажистов. Кроме того, обеспечьте защиту данных резервного копирования и восстановления от этих атак.
- Мониторинг данных и операций резервного копирования и восстановления для целей аудита и оповещения.
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — резервное копирование и восстановление Azure Well-Architecture Framework — резервное копирование и аварийное восстановление для приложений Azure: /azure/архитектура/framework/устойчивость/резервное копирование и восстановление
- Непрерывность бизнес-процессов и аварийное восстановление в Azure Adoption Framework
- План резервного копирования и восстановления для защиты от программ-шантажистов
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-9. Определение и внедрение стратегии безопасности конечной точки
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4.4, 10.1 | СИ-2, СИ-3, ПК-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Общие рекомендации. Создание стратегии безопасности облачной конечной точки, которая включает в себя следующие аспекты: развертывание возможностей обнаружения и реагирования на конечные точки и защиты от вредоносных программ в конечной точке и интеграция с решением siEM и процессом операций безопасности.
- Следуйте требованиям Microsoft Cloud Security Benchmark, чтобы обеспечить параметры безопасности конечной точки и в других соответствующих областях (таких как сетевая безопасность, управление уязвимостями, идентификация и привилегированный доступ, а также ведение журналов и обнаружение угроз), создавая многоуровневую защиту вашей конечной точки.
- Определите приоритет безопасности конечных точек в рабочей среде, но убедитесь, что непроизводственные среды (например, тестовая среда и среда сборки, используемая в процессе DevOps), также защищены и отслеживаются, так как эти среды также можно использовать для внедрения вредоносных программ и уязвимостей в рабочую среду.
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — безопасность конечных точек
- Рекомендации по обеспечению безопасности конечных точек в Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
GS-10. Определение и внедрение стратегии безопасности DevOps
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | СА-12, СА-15, СМ-1, СМ-2, СМ-6, АС-2, АС-3, АС-6, СА-11, АУ-6, АУ-12, СИ-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Общее руководство: Обязать меры безопасности как часть стандарта разработки и эксплуатации DevOps организации. Определите цели безопасности, требования к контролю и спецификации инструментов в соответствии со стандартами корпоративной и облачной безопасности в вашей организации.
Рекомендуется использовать DevOps в качестве важной операционной модели в организации для быстрого выявления и устранения уязвимостей с помощью различных типов автоматизации (например, инфраструктуры подготовки кода и автоматической проверки SAST и DAST) в рабочем процессе CI/CD. 'Shift left' подход также повышает видимость и возможность обеспечения согласованных проверок безопасности в конвейере развертывания, эффективно внедряя ограничители безопасности в среду заранее, чтобы избежать неожиданных проблем с безопасностью в последнюю минуту при развертывании нагрузки в производство.
При переносе контроля безопасности на этапы предварительного развертывания внедряйте охранные меры безопасности, чтобы обеспечить развертывание и применение контроля на протяжении всего процесса DevOps. Эта технология может включать шаблоны развертывания ресурсов (например, шаблон Azure ARM) для определения ограждений в IaC (инфраструктура как код), подготовки ресурсов и аудита, чтобы ограничить, какие службы или конфигурации можно подготовить в среде.
Для управления безопасностью во время выполнения рабочей нагрузки следуйте мониторингу безопасности Microsoft Cloud, чтобы разработать и реализовать эффективные меры контроля, такие как идентификация и привилегированный доступ, безопасность сети, безопасность конечных устройств и защита данных в ваших приложениях и службах рабочей нагрузки.
Реализация и дополнительный контекст:
- Microsoft Cloud Security Benchmark — безопасность DevOps
- Secure DevOps
- Cloud Adoption Framework — контроли DevSecOpsОбщие рекомендации для участников обеспечения безопасности клиентов (Подробнее)**
- Все заинтересованные лица
GS-11: определение и реализация стратегии многооблачной безопасности
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | Не применимо | Не применимо |
Общие рекомендации. Убедитесь, что в облачной и системе управления безопасностью, управления рисками и операций определена многооблачная стратегия, которая должна включать следующие аспекты:
- Внедрение многооблачных систем: для организаций, которые работают с многооблачной инфраструктурой и обучают сотрудников, чтобы команды понимали различия в функциях между облачными платформами и стеком технологий. Создавайте, развертывайте и/или переносите мобильные решения. Обеспечивает легкость перемещения между облачными платформами с минимальной зависимостью от поставщика, эффективно используя облачные функции для достижения оптимального результата при освоении облачных технологий.
- Операции с облаком и безопасностью. Упрощение операций безопасности для поддержки решений в каждом облаке с помощью централизованного набора процессов управления и управления, которые совместно используют общие операции, независимо от того, где развернуто и работает решение.
- Стек инструментов и технологий. Выберите подходящее средство, которое поддерживает многооблачную среду, чтобы помочь в создании унифицированных и централизованных платформ управления, которые могут включать все домены безопасности, рассмотренные в этом тесте безопасности.
Реализация и дополнительный контекст: