Контроль безопасности версии 3. Управление и стратегия

Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

GS-1. Согласование ролей, обязанностей и подотчетности в организации

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
14,9 ПЛ-9, ПМ-10, ПМ-13, АТ-1, АТ-3 2.4

Руководство по Azure. Убедитесь, что вы определяете и сообщаете четкую стратегию для ролей и обязанностей в организации безопасности. Делать приоритетом обеспечение прозрачной ответственности за принимаемые решения по безопасности, информирование всех о модели общей ответственности, а также обучение технических групп технологиям для защиты облака.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-2. Определение и внедрение корпоративной стратегии сегментации и разделения обязанностей

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
3.12 АС-4, ПК-7, ПК-2 1.2, 6.4

Руководство по Azure. Создание корпоративной стратегии для сегментирования доступа к ресурсам с помощью сочетания удостоверений, сети, приложения, подписки, группы управления и других элементов управления.

Тщательно сбалансируйте необходимость разделения безопасности с необходимостью обеспечить ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.

Убедитесь, что стратегия сегментации реализована последовательно в рабочей нагрузке, включая сетевую безопасность, модели идентификации и доступа, а также модели разрешений и доступа приложений, а также элементы управления человеческими процессами.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-3. Определение и внедрение стратегии защиты данных

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, А3.2

Руководство по Azure. Создание корпоративной стратегии защиты данных в Azure:

  • Определите и примените стандарт классификации и защиты данных в соответствии со стандартом управления корпоративными данными и нормативным соответствием, чтобы диктовать элементы управления безопасностью, необходимые для каждого уровня классификации данных.
  • Настройте иерархию управления облачными ресурсами, выровненную с стратегией сегментации предприятия. Стратегия сегментации предприятия также должна быть проинформирована расположением конфиденциальных или критически важных для бизнеса данных и систем.
  • Определите и примените применимые принципы нулевого доверия в облачной среде, чтобы избежать реализации доверия на основе сетевого расположения в периметре. Вместо этого используйте доверительные заявления устройств и пользователей для ограничения доступа к данным и ресурсам.
  • Отслеживайте и минимизируйте объем конфиденциальных данных (хранение, передачу и обработку) в организации, чтобы снизить затраты на защиту данных и поверхность атаки. Рассмотрим такие методы, как одностороннее хеширование, усечение и токенизация в рабочем процессе, где это возможно, чтобы избежать хранения и передачи конфиденциальных данных в исходной форме.
  • Убедитесь, что у вас есть полная стратегия управления жизненным циклом, чтобы обеспечить безопасность ключей данных и доступа.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-4. Определение и внедрение стратегии безопасности сети

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
12.2, 12.4 АС-4, АС-17, СА-3, СМ-1, СМ-2, СМ-6, СМ-7, ПК-1, ПК-2, ПК-5, ПК-7, ПК-20, ПК-21, СИ-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, А2.1, А2.2, А2.3, А3.2

Руководство по Azure. Создание стратегии безопасности сети Azure в рамках общей стратегии безопасности организации для контроля доступа. Эта стратегия должна включать в себя документированные рекомендации, политику и стандарты для следующих элементов:

  • Разработка централизованной и децентрализованной модели управления сетями и безопасности для развертывания и обслуживания сетевых ресурсов.
  • Модель сегментации виртуальной сети, согласованная с стратегией сегментации предприятия.
  • Стратегия граничного соединения с интернетом и стратегии обработки входящего и исходящего трафика.
  • Гибридная облачная и локальная стратегия взаимодействия.
  • Стратегия мониторинга сети и ведения журнала.
  • Артефакты безопасности сети up-to-date (например, сетевые схемы, эталонная архитектура сети).

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-5. Определение и внедрение стратегии управления состоянием безопасности

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Руководство по Azure. Создайте политику, процедуру и стандарт, чтобы обеспечить управление конфигурацией безопасности и управление уязвимостями в вашем мандате облачной безопасности.

Управление конфигурацией безопасности в Azure должно включать следующие области:

  • Определите базовые показатели безопасной конфигурации для различных типов ресурсов в облаке, таких как портал Azure, уровень управления и управление, а также ресурсы, работающие в службах IaaS, PaaS и SaaS.
  • Убедитесь, что базовые показатели безопасности устраняют риски в различных областях управления, таких как безопасность сети, управление удостоверениями, привилегированный доступ, защита данных и т. д.
  • Используйте средства для непрерывного измерения, аудита и принудительного применения конфигурации, чтобы предотвратить отклонение конфигурации от базового плана.
  • Разработайте периодичность, чтобы оставаться в обновлении с помощью функций безопасности Azure, например, подписываться на обновления службы.
  • Используйте оценку безопасности в Azure Defender для облака, чтобы регулярно просматривать конфигурацию безопасности Azure и устранять обнаруженные пробелы.

Управление уязвимостями в Azure должно включать следующие аспекты безопасности:

  • Регулярно оценивать и устранять уязвимости во всех типах облачных ресурсов, таких как собственные службы Azure, операционные системы и компоненты приложений.
  • Используйте подход на основе рисков для определения приоритетов оценки и исправления.
  • Подпишитесь на соответствующие уведомления о безопасности и блоги Майкрософт и Azure, чтобы получать последние обновления системы безопасности о Azure.
  • Убедитесь, что оценка и исправление уязвимостей, включая такие аспекты, как расписание, охват и методы, соответствовали регулярным требованиям по соблюдению норм вашей организации.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-6. Определение и внедрение стратегии идентификации и привилегированного доступа

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
5.6, 6.5, 6.7 АС-1, АС-2, АС-3, АС-4, АС-5, АС-6, ИА-1, ИА-2, ИА-4, ИА-5, ИА-8, ИА-9, СИ-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, А3.4

Руководство по Azure. Создание подхода к удостоверению Azure и привилегированного доступа в рамках общей стратегии контроля доступа к безопасности организации. Эта стратегия должна включать в себя документированные рекомендации, политику и стандарты для следующих аспектов:

  • Централизованная система идентификации и проверки подлинности (Azure AD) и ее взаимодействие с другими внутренними и внешними системами удостоверений
  • Управление привилегированными удостоверениями и доступом (например, запрос на доступ, проверка и утверждение)
  • Привилегированные учетные записи в чрезвычайной ситуации (разрыв)
  • Надежные методы проверки подлинности (без пароля и многофакторная проверка подлинности) в различных вариантах использования и условиях
  • Обеспечение безопасного доступа к административным операциям через портал Azure, интерфейс командной строки и API.

В случаях исключения, когда корпоративная система не используется, убедитесь, что для идентификации, проверки подлинности и управления доступом используются надлежащие средства управления безопасностью. Эти исключения должны быть утверждены и периодически проверяются командой предприятия. Эти исключения обычно относятся к таким случаям, как:

  • Использование не корпоративной системы идентификации и проверки подлинности, таких как облачные сторонние системы (могут привести к неизвестным рискам).
  • Привилегированные пользователи, прошедшие проверку подлинности локально и (или) используют нестроговые методы проверки подлинности

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-7. Определение и реализация стратегии ведения журнала, обнаружения угроз и реагирования на инциденты

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.1, 13.1, 17.2, 17.4,17.7 АУ-1, ИК-1, ИК-2, ИК-10, СИ-1, СИ-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Руководство по Azure. Создание стратегии ведения журнала, обнаружения угроз и реагирования на инциденты для быстрого обнаружения и устранения угроз и соответствия требованиям. Команда по операциям безопасности (SecOps/SOC) должна определять приоритеты высококачественных оповещений и бесшовных процессов, чтобы они могли сосредоточиться на угрозах, а не на интеграции журналов и выполнении ручных действий.

Эта стратегия должна включать документированную политику, процедуру и стандарты для следующих аспектов:

  • Роль и обязанности организации по операциям безопасности (SecOps)
  • Четко определенный и регулярно проверенный план реагирования на инциденты и процесс обработки, согласованный с NIST или другими отраслевыми платформами.
  • План коммуникации и уведомлений с клиентами, поставщиками и общественными сторонами, интересующими вас.
  • Предпочтение использования расширенных возможностей обнаружения и ответа (XDR), таких как возможности Azure Defender для обнаружения угроз в различных областях.
  • Использование собственных возможностей Azure (например, Microsoft Defender для облака) и сторонних платформ для обработки инцидентов, таких как ведение журнала и обнаружение угроз, судебно-медицинские экспертизы и исправление атак и искоренение.
  • Определите ключевые сценарии (например, обнаружение угроз, реагирование на инциденты и соответствие требованиям) и настройте сбор и хранение журналов в соответствии с требованиями сценария.
  • Централизованная видимость и корреляция сведений об угрозах с помощью SIEM, возможностей обнаружения угроз Azure и других источников.
  • Мероприятия после инцидента, такие как уроки и хранение доказательств.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-8. Определение и внедрение стратегии резервного копирования и восстановления

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
11.1 КП-1, СР-9, КП-10 3.4

Руководство по Azure. Создание стратегии резервного копирования и восстановления Azure для вашей организации. Эта стратегия должна включать документированные рекомендации, политику и стандарты в следующих аспектах:

  • Целевые значения времени восстановления (RTO) и целевые точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса и нормативными требованиями соответствия.
  • Проектирование избыточности (включая резервное копирование, восстановление и репликацию) в приложениях и инфраструктуре как в облаке, так и в локальной среде. Рассмотрите региональные, парные регионы, межрегиональное восстановление и расположение хранилища вне площадки в рамках стратегии.
  • Защита резервного копирования от несанкционированного доступа и изменения с помощью таких мер контроля, как управление доступом к данным, шифрование и безопасность сети.
  • Использование резервного копирования и восстановления для снижения рисков от возникающих угроз, таких как атака программы-шантажистов. Кроме того, обеспечьте защиту данных резервного копирования и восстановления от этих атак.
  • Мониторинг данных и операций резервного копирования и восстановления для целей аудита и оповещения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-9. Определение и внедрение стратегии безопасности конечной точки

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.4, 10.1 СИ-2, СИ-3, ПК-3 5.1, 5.2, 5.3, 5.4, 11.5

Руководство по Azure. Создание стратегии безопасности облачной конечной точки, которая включает следующие аспекты:

  • Разверните возможности обнаружения конечных точек и реагирования и защиты от вредоносных программ в конечной точке и интегрируйте их с решением SIEM и процессом операций безопасности.
  • Следуйте требованиям Azure Security Benchmark, чтобы обеспечить выполнение параметров безопасности, связанных с конечной точкой, в других областях (например, сетевой безопасности, управлении уязвимостями конфигурации, идентификации и привилегированном доступе, а также ведении журнала и обнаружении угроз) для обеспечения многоуровневой защиты конечной точки.
  • Определите приоритет безопасности конечных точек в рабочей среде, но убедитесь, что непроизводственные среды (например, тестовая среда и среда сборки, используемая в процессе DevOps), также защищены и отслеживаются, так как эта среда также может использоваться для внедрения вредоносных программ и уязвимостей в рабочую среду.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-10. Определение и внедрение стратегии безопасности DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
4.1, 4.2, 16.1, 16.2 СА-12, СА-15, СМ-1, СМ-2, СМ-6, АС-2, АС-3, АС-6, СА-11, АУ-6, АУ-12, СИ-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Руководство по Azure: Предписание мер по обеспечению безопасности в рамках стандарта разработки и эксплуатации DevOps в организации. Определите цели безопасности, требования к контролю и спецификации инструментов в соответствии со стандартами корпоративной и облачной безопасности в вашей организации.

Рекомендуется использовать DevOps в качестве важной операционной модели в организации для быстрого выявления и устранения уязвимостей с помощью различных типов автоматизации (например, инфраструктуры подготовки кода и автоматической проверки SAST и DAST) в рабочем процессе CI/CD. Этот подход "shift влево" также повышает видимость и возможность обеспечения согласованной проверки безопасности в конвейере развертывания, эффективно развертывая средства безопасности в среде заранее, чтобы избежать неприятных сюрпризов в последнюю минуту при развертывании нагрузки в продуктовой среде.

При переносе контроля безопасности на этапы предварительного развертывания внедряйте охранные меры безопасности, чтобы обеспечить развертывание и применение контроля на протяжении всего процесса DevOps. Эта технология может включать шаблоны Azure ARM для определения ограничений в IaC (инфраструктура как код), развертывание ресурсов и политику Azure для аудита и ограничения, какие службы или конфигурации можно развернуть в среде.

Для управления безопасностью во время выполнения рабочей нагрузки следуйте azure Security Benchmark, чтобы разработать и реализовать эффективные элементы управления, такие как идентификация и привилегированный доступ, сетевая безопасность, безопасность конечных точек и защита данных в приложениях и службах рабочей нагрузки.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):