Empfehlungen für die Festlegung einer Sicherheitsbasislinie

Gilt für die Empfehlung der Sicherheitsprüfliste für Azure Well-Architected Framework:

SE:01 Richten Sie eine Sicherheitsbasislinie ein, die auf Complianceanforderungen, Branchenstandards und Plattformempfehlungen abgestimmt ist. Messen Sie ihre Workloadarchitektur und -vorgänge regelmäßig anhand des Basisplans, um Ihren Sicherheitsstatus im Laufe der Zeit aufrechtzuerhalten oder zu verbessern.

In diesem Leitfaden werden die Empfehlungen zum Einrichten einer Sicherheitsgrundlinie beschrieben. Ein Sicherheitsgrundwert ist ein Dokument, das die reinen Mindestsicherheitsanforderungen und Erwartungen Ihrer Organisation in verschiedenen Bereichen angibt. Eine gute Sicherheitsbasis hilft Ihnen bei:

  • Schützen Sie Ihre Daten und Systeme.
  • Einhaltung gesetzlicher Vorschriften.
  • Minimieren Sie das Risiko der Aufsicht.
  • Verringern Sie die Wahrscheinlichkeit von Verstößen und nachfolgenden Geschäftseffekten.

Sicherheitsgrundwerte sollten in ihrer gesamten Organisation umfassend veröffentlicht werden, damit alle Beteiligten die Erwartungen kennen.

Dieses Handbuch enthält Empfehlungen zum Festlegen einer Sicherheitsbasislinie, die auf internen und externen Faktoren basiert. Interne Faktoren umfassen Geschäftsanforderungen, Risiken und Vermögensbewertungen. Externe Faktoren umfassen Branchen-Benchmarks und regulatorische Standards.

Definitionen

Begriff Definition
Baseline Das Mindestmaß an Sicherheitsangeboten, die eine Workload vermeiden muss, um zu vermeiden, dass sie ausgenutzt werden.
Vergleichstest Ein Standard, der den Sicherheitsstatus angibt, den die Organisation anstrebt. Sie wird im Laufe der Zeit ausgewertet, gemessen und verbessert.
Steuerelemente Technische oder betriebliche Kontrollen auf der Workload, die Angriffe verhindern und die Kosten des Angreifers erhöhen.
Rechtliche Anforderungen Eine Reihe von Geschäftlichen Anforderungen, die von Branchenstandards gesteuert werden, die Gesetze und Behörden auferlegen.

Wichtige Entwurfsstrategien

Eine Sicherheitsbasislinie ist ein strukturiertes Dokument, das eine Reihe von Sicherheitskriterien und Funktionen definiert, die die Workload erfüllen muss, um die Sicherheit zu erhöhen. In einer ausgereifteren Form können Sie einen Basisplan erweitern, um eine Reihe von Richtlinien einzuschließen, die Sie zum Festlegen von Schutzläufen verwenden.

Der Basisplan sollte als Standard für die Messung Ihres Sicherheitsstatus betrachtet werden. Das Ziel sollte immer voll erreicht werden und gleichzeitig ein breites Spektrum behalten.

Ihre Sicherheitsbasis sollte niemals ein Ad-hoc-Aufwand sein. Branchenstandards, Compliance (intern oder extern) oder behördliche Anforderungen, regionale Anforderungen und die Cloudplattform-Benchmarks sind haupttreiber für die Basislinie. Beispiele sind Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) und plattformgesteuerte Standards wie Microsoft Cloud Security Benchmark (MCSB). Alle diese Standards gelten als Ausgangspunkt für Ihre Basislinie. Erstellen Sie die Grundlage, indem Sie Sicherheitsanforderungen aus den Geschäftsanforderungen integrieren.

Links zu den vorherigen Ressourcen finden Sie unter "Verwandte Links".

Schaffen Sie die Basislinie, indem Sie einen Konsens zwischen den Geschäftlichen und technischen Führungskräften gewinnen. Der Basisplan sollte nicht auf technische Steuerelemente beschränkt sein. Sie sollte auch die operativen Aspekte der Verwaltung und Aufrechterhaltung des Sicherheitsstatus umfassen. Das Basisdokument dient also auch dem Engagement der Organisation für Investitionen in die Arbeitsauslastungssicherheit. Das Sicherheitsbasisplandokument sollte in Ihrer Organisation weit verteilt werden, um sicherzustellen, dass der Sicherheitsstatus der Workload bekannt ist.

Da sich die Arbeitsauslastung wächst und sich das Ökosystem weiterentwickelt, ist es wichtig, Ihren Basisplan mit den Änderungen synchron zu halten, um sicherzustellen, dass die grundlegenden Kontrollen weiterhin wirksam sind.

Das Erstellen eines Basisplans ist ein methodischer Prozess. Hier sind einige Empfehlungen für den Prozess:

  • Bestandsbestand. Identifizieren Sie die Projektbeteiligten von Arbeitsauslastungsressourcen und die Sicherheitsziele für diese Ressourcen. Klassifizieren Sie im Bestandsbestand nach Sicherheitsanforderungen und Kritischität. Informationen zu Datenressourcen finden Sie unter Empfehlungen zur Datenklassifizierung.

  • Risikobewertung. Identifizieren Sie potenzielle Risiken, die mit den einzelnen Vermögenswerten verbunden sind, und priorisieren Sie sie.

  • Complianceanforderungen. Baseline any regulatory or compliance for those assets and apply industry best practices.

  • Konfigurationsstandards. Definieren und dokumentieren Sie bestimmte Sicherheitskonfigurationen und -einstellungen für jedes Objekt. Wenn möglich, templatieren oder suchen Sie eine wiederholbare, automatisierte Methode, um die Einstellungen konsistent in der gesamten Umgebung anzuwenden.

  • Zugriffssteuerung und Authentifizierung. Geben Sie die Anforderungen für die rollenbasierte Zugriffssteuerung (RBAC) und die mehrstufige Authentifizierung (MFA) an. Dokumentieren Sie, was nur genügend Zugriff auf Ressourcenebene bedeutet. Starten Sie dabei immer nach dem Prinzip der geringsten Rechte.

  • Patchverwaltung: Wenden Sie die neuesten Versionen auf alle Ressourcentypen an, um gegen Angriffe zu stärken.

  • Dokumentation und Kommunikation. Dokumentieren Sie alle Konfigurationen, Richtlinien und Verfahren. Teilen Sie den relevanten Beteiligten die Details mit.

  • Durchsetzung und Rechenschaftspflicht. Stellen Sie klare Durchsetzungsmechanismen und Konsequenzen für Nichtcompliance mit den Sicherheitsgrundwerten fest. Halten Sie Einzelpersonen und Teams für die Aufrechterhaltung von Sicherheitsstandards verantwortlich.

  • Kontinuierliche Überwachung. Bewerten Sie die Effektivität der Sicherheitsgrundwerte durch Observability und verbessern Sie Überstunden.

Definieren des Basisplans

Im Folgenden finden Sie einige allgemeine Kategorien, die Teil eines Basisplans sein sollten. Die folgende Liste ist nicht vollständig. Es ist als Übersicht über den Bereich des Dokuments vorgesehen.

Einhaltung gesetzlicher Bestimmungen

Eine Workload unterliegt möglicherweise der Einhaltung gesetzlicher Vorschriften für bestimmte Branchensegmente, es gibt möglicherweise einige geografische Einschränkungen usw. Es ist wichtig, die Anforderungen zu verstehen, die in den gesetzlichen Spezifikationen angegeben sind, da diese die Designentscheidungen beeinflussen und in einigen Fällen in die Architektur einbezogen werden müssen.

Die Basislinie sollte eine regelmäßige Bewertung der Arbeitsauslastung anhand gesetzlicher Anforderungen umfassen. Nutzen Sie die von der Plattform bereitgestellten Tools, z. B. Microsoft Defender für Cloud, die Bereiche von Nichtcompliance identifizieren können. Arbeiten Sie mit dem Complianceteam der Organisation zusammen, um sicherzustellen, dass alle Anforderungen erfüllt und verwaltet werden.

Architekturkomponenten

Der Basisplan erfordert präskriptive Empfehlungen für die Hauptkomponenten der Workload. Dazu gehören in der Regel technische Steuerelemente für Netzwerke, Identität, Compute und Daten. Verweisen Sie auf die von der Plattform bereitgestellten Sicherheitsgrundwerte, und fügen Sie der Architektur die fehlenden Steuerelemente hinzu.

Weitere Informationen finden Sie unter Beispiel.

Entwicklungsprozesse

Der Basisplan muss Empfehlungen zu folgenden Themen haben:

  • Systemklassifizierung.
  • Der genehmigte Satz von Ressourcentypen.
  • Nachverfolgen der Ressourcen.
  • Erzwingen von Richtlinien für die Verwendung oder Konfiguration von Ressourcen.

Das Entwicklungsteam muss über ein klares Verständnis des Umfangs für Sicherheitsüberprüfungen verfügen. Beispielsweise ist die Bedrohungsmodellierung eine Anforderung, um sicherzustellen, dass potenzielle Bedrohungen im Code und in Bereitstellungspipelines identifiziert werden. Achten Sie darauf, dass statische Überprüfungen und Sicherheitsrisiken in Ihrer Pipeline überprüft werden und wie regelmäßig das Team diese Scans durchführen muss.

Weitere Informationen finden Sie unter Empfehlungen zur Bedrohungsanalyse.

Der Entwicklungsprozess sollte auch Standards für verschiedene Testmethoden und deren Häufigkeit festlegen. Weitere Informationen finden Sie unter Empfehlungen zu Sicherheitstests.

Vorgänge

Der Basisplan muss Standards für die Verwendung von Bedrohungserkennungsfunktionen festlegen und Warnungen zu anomalien Aktivitäten auslösen, die auf tatsächliche Vorfälle hinweisen. Die Bedrohungserkennung muss alle Ebenen der Workload enthalten, einschließlich aller Endpunkte, die von feindlichen Netzwerken erreichbar sind.

Die Basislinie sollte Empfehlungen für die Einrichtung von Prozessen zur Reaktion auf Vorfälle umfassen, einschließlich Kommunikation und Wiederherstellungsplan, und welche dieser Prozesse automatisiert werden können, um die Erkennung und Analyse zu beschleunigen. Beispiele finden Sie unter "Sicherheitsbaselines für Azure".

Die Reaktion auf Vorfälle sollte auch einen Wiederherstellungsplan und die Anforderungen für diesen Plan enthalten, z. B. Ressourcen für die regelmäßige Aufnahme und den Schutz von Sicherungen.

Sie entwickeln Pläne für Datenschutzverletzungen mithilfe von Branchenstandards und Empfehlungen, die von der Plattform bereitgestellt werden. Das Team hat dann einen umfassenden Plan zur Folge, wenn eine Verletzung entdeckt wird. Wenden Sie sich auch an Ihre Organisation, um festzustellen, ob eine Abdeckung durch Cyberinsurance besteht.

Training

Entwickeln und pflegen Sie ein Sicherheitsschulungsprogramm, um sicherzustellen, dass das Workload-Team mit den entsprechenden Fähigkeiten ausgestattet ist, um die Sicherheitsziele und -anforderungen zu unterstützen. Das Team benötigt ein grundlegendes Sicherheitstraining, aber nutzen Sie die Möglichkeiten Ihrer Organisation, um spezialisierte Rollen zu unterstützen. Die Rollenbasierte Sicherheitsschulungscompliance und die Teilnahme an Drills sind Teil Ihrer Sicherheitsbasis.

Anwenden des Basisplans

Verwenden Sie den Basisplan, um Initiativen voranzutreiben, z. B.:

  • Bereitschaft zur Gestaltung von Entscheidungen. Erstellen Sie die Sicherheitsbasislinie, und veröffentlichen Sie sie, bevor Sie den Architekturentwurfsprozess starten. Stellen Sie sicher, dass Teammitglieder frühzeitig die Erwartungen Ihrer Organisation kennen, wodurch kostspielige Überarbeitungen vermieden werden, die durch mangelnde Klarheit verursacht werden. Sie können Basiskriterien als Arbeitsauslastungsanforderungen verwenden, die die Organisation verpflichtet hat, steuerelemente für diese Einschränkungen zu entwerfen und zu validieren.

  • Messen Sie Ihr Design. Notieren Sie die aktuellen Entscheidungen anhand des aktuellen Basisplans. Der Basisplan legt tatsächliche Schwellenwerte für Kriterien fest. Dokumentieren Sie alle Abweichungen, die verzögert oder als langfristig akzeptabel eingestuft werden.

  • Fördern Sie Verbesserungen. Während der Basisplan erreichbare Ziele festlegt, gibt es immer Lücken. Priorisieren Sie die Lücken in Ihrem Backlog und korrigieren Sie basierend auf der Priorisierung.

  • Verfolgen Sie Ihren Fortschritt anhand der Basislinie. Eine kontinuierliche Überwachung der Sicherheitsmaßnahmen gegen einen festgelegten Basisplan ist unerlässlich. Die Trendanalyse ist eine gute Möglichkeit, den Sicherheitsfortschritt im Laufe der Zeit zu überprüfen und konsistente Abweichungen vom Basisplan zu erkennen. Verwenden Sie die Automatisierung so weit wie möglich, indem Sie Daten aus verschiedenen Quellen, intern und extern abrufen, um aktuelle Probleme zu beheben und sich auf zukünftige Bedrohungen vorzubereiten.

  • Legen Sie Schutzschienen fest. Wenn möglich, müssen Ihre Basiskriterien über Schutzschienen verfügen. Guardrails erzwingen erforderliche Sicherheitskonfigurationen, Technologien und Vorgänge basierend auf internen Faktoren und externen Faktoren. Interne Faktoren umfassen Geschäftsanforderungen, Risiken und Vermögensbewertungen. Externe Faktoren umfassen Benchmarks, regulatorische Standards und Bedrohungsumgebung. Guardrails tragen dazu bei, das Risiko versehentlicher Aufsicht und strafvoller Geldbußen für Nichtcompliance zu minimieren.

Erkunden Sie Azure-Richtlinie für benutzerdefinierte Optionen oder verwenden Sie integrierte Initiativen wie CIS-Benchmarks oder Azure Security Benchmark, um Sicherheitskonfigurationen und Complianceanforderungen durchzusetzen. Erwägen Sie das Erstellen von Azure-Richtlinien und -Initiativen aus Basiswerten.

Regelmäßiges Auswerten des Basisplans

Verbessern Sie die Sicherheitsstandards kontinuierlich inkrementell in Richtung des idealen Zustands, um eine kontinuierliche Risikoreduzierung sicherzustellen. Führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass das System auf dem neuesten Stand und in Übereinstimmung mit externen Einflüssen ist. Jede Änderung an der Basislinie muss formal, vereinbart und durch die richtigen Change Management-Prozesse gesendet werden.

Messen Sie das System anhand der neuen Basisplan- und Priorisierungskorrekturen basierend auf deren Relevanz und Auswirkungen auf die Arbeitsauslastung.

Stellen Sie sicher, dass der Sicherheitsstatus im Laufe der Zeit nicht beeinträchtigt wird, indem Sie die Überwachung und Überwachung der Einhaltung von Organisationsstandards aktivieren.

Azure-Erleichterung

Der Microsoft Cloud Security Benchmark (MCSB) ist ein umfassendes Framework für bewährte Sicherheitspraxis, das Sie als Ausgangspunkt für Ihre Sicherheitsgrundwerte verwenden können. Verwenden Sie sie zusammen mit anderen Ressourcen, die Eingaben für Ihren Basisplan bereitstellen.

Weitere Informationen finden Sie in der Einführung in den Microsoft Cloud Security-Benchmark.

Verwenden Sie das Microsoft Defender for Cloud (MDC)-Compliance-Dashboard, um diese Basispläne nachzuverfolgen und benachrichtigt zu werden, wenn ein Muster außerhalb eines Basisplans erkannt wird. Weitere Informationen finden Sie unter " Anpassen der Standards" in Ihrem Dashboard für die Einhaltung gesetzlicher Vorschriften.

Weitere Features, die beim Einrichten und Verbessern der Basislinie helfen:

Beispiel

Dieses logische Diagramm zeigt ein Beispiel für sicherheitsrelevante Komponenten, die Netzwerk-, Infrastruktur-, Endpunkt-, Anwendungs-, Daten- und Identitätsbasis umfassen, um zu veranschaulichen, wie eine gemeinsame IT-Umgebung sicher geschützt werden kann. Andere Empfehlungsleitfäden bauen auf diesem Beispiel auf.

Diagramm, das ein Beispiel für die Sicherheitsbaseline-IT-Umgebung einer Organisation mit Architekturkomponenten zeigt.

Infrastruktur

Eine allgemeine IT-Umgebung mit einer lokalen Ebene mit grundlegenden Ressourcen.

Azure Security Services

Azure-Sicherheitsdienste und -features durch die Arten von Ressourcen, die sie schützen.

Azure-Sicherheitsüberwachungsdienste

Die überwachungsdienste, die in Azure verfügbar sind, die über einfache Überwachungsdienste hinausgehen, einschließlich SIEM-Lösungen (Security Information Event Management) und Automatisierte Reaktionslösungen (Security Orchestration Automated Response, SOAR) und Microsoft Defender for Cloud.

Threats

Diese Ebene bietet eine Empfehlung und Erinnerung, dass Bedrohungen gemäß den Bedenken Ihrer Organisation bezüglich Bedrohungen zugeordnet werden können, unabhängig von der Methodik oder matrixähnlichen Mitre Attack Matrix oder Cyber Kill Chain.

Checkliste für die Sicherheit

Lesen Sie den vollständigen Satz von Empfehlungen.