Sicherheitskontrolle: Governance und Strategie

Governance und Strategie bietet Leitlinien für die Gewährleistung einer stimmigen Sicherheitsstrategie und eines dokumentierten Governance-Ansatzes zur Lenkung und Aufrechterhaltung der Sicherheitsgarantie, einschließlich Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einer einheitlichen technischen Strategie und der Unterstützung von Richtlinien und Standards.

GS-1: Ausrichten von Organisationsrollen, Zuständigkeiten und Verantwortlichkeiten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
14.9 PL-9, PM-10, PM-13, AT-1, AT-3 2.4

Allgemeine Anleitung: Stellen Sie sicher, dass Sie eine klare Strategie für Rollen und Zuständigkeiten in Ihrer Sicherheitsorganisation definieren und kommunizieren. Priorisieren Sie die Bereitstellung einer klaren Verantwortlichkeit für Sicherheitsentscheidungen, schulen Sie alle über das Modell der gemeinsamen Verantwortung, und schulen Sie technische Teams über Technologie zum Schutz der Cloud.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

GS-2: Definieren und Umsetzen einer Strategie für Unternehmenssegmentierung/Aufgabentrennung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3,12 AC-4, SC-7, SC-2 1.2, 6.4

Allgemeine Anleitung: Richten Sie eine unternehmensweite Strategie zum Segmentieren des Zugriffs auf Ressourcen mithilfe einer Kombination aus Identität, Netzwerk, Anwendung, Abonnement, Verwaltungsgruppe und anderen Steuerelementen ein.

Wägen Sie die Notwendigkeit einer Sicherheitstrennung sorgfältig gegen die Notwendigkeit ab, den täglichen Betrieb der Systeme zu ermöglichen, die miteinander kommunizieren und auf Daten zugreifen müssen.

Stellen Sie sicher, dass die Segmentierungsstrategie in der Workload einheitlich implementiert wird, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsmodelle, Berechtigungs-/Zugriffsmodelle für Anwendungen sowie Kontrollen für Benutzerprozesse.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

GS-3: Definieren und Umsetzen einer Strategie für Datenschutz

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Allgemeine Anleitung: Einrichten einer unternehmensweiten Strategie für den Datenschutz in Ihrer Cloudumgebung:

  • Definieren Sie den Datenklassifizierungs- und Schutzstandard in Übereinstimmung mit dem Verwaltungsstandard für Unternehmensdaten und der Einhaltung gesetzlicher Bestimmungen, und wenden Sie ihn an, um die für die einzelnen Ebenen der Datenklassifizierung erforderlichen Sicherheitskontrollen vorzuschreiben.
  • Richten Sie die Hierarchie der Cloudressourcenverwaltung entsprechend der Strategie für die Unternehmenssegmentierung ein. Bei der Segmentierungsstrategie des Unternehmens sollte auch der Speicherort vertraulicher und unternehmenskritischer Daten und Systeme berücksichtigt werden.
  • Definieren Sie die anwendbaren Zero-Trust-Prinzipien in Ihrer Cloudumgebung, und wenden Sie sie an, um die Implementierung von Vertrauensstellungen basierend auf dem Netzwerkstandort innerhalb eines Umkreisnetzwerks zu vermeiden. Verwenden Sie stattdessen Geräte- und Benutzervertrauensansprüche, um den Zugriff auf Daten und Ressourcen zu schützen.
  • Verfolgen und minimieren Sie den Speicherbedarf vertraulicher Daten (Speicher, Übertragung und Verarbeitung) im gesamten Unternehmen, um die Angriffsfläche und die Kosten für den Datenschutz zu reduzieren. Erwägen Sie nach Möglichkeit Techniken wie unidirektionales Hashing, Datenkürzung und Tokenisierung in der Workload, um zu vermeiden, dass vertrauliche Daten in ihrer ursprünglichen Form gespeichert und übertragen werden.
  • Stellen Sie sicher, dass Sie über eine vollständige Strategie für die Lebenszyklussteuerung verfügen, um die Sicherheit der Daten und Zugriffsschlüssel zu gewährleisten.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

GS-4: Definieren und Umsetzen einer Strategie für Netzwerksicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Allgemeine Anleitung: Richten Sie eine Cloudnetzwerksicherheitsstrategie als Teil der allgemeinen Sicherheitsstrategie Ihrer Organisation für die Zugriffssteuerung ein. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Elemente umfassen:

  • Entwurf eines zentralisierten/dezentralisierten Modells für Netzwerkverwaltung und Sicherheitszuständigkeiten, um Netzwerkressourcen bereitzustellen und zu verwalten
  • Ein Segmentierungsmodell für virtuelle Netzwerke, das auf die Segmentierungsstrategie des Unternehmens abgestimmt ist
  • Eine Strategie für Internetedge sowie Dateneingang und -ausgang
  • Eine Strategie für Konnektivität zwischen Hybrid Cloud und lokalen Systemen
  • Eine Netzwerküberwachungs- und -protokollierungsstrategie
  • Aktuelle Netzwerksicherheitsartefakte (z. B. Netzwerkdiagramme, Referenznetzwerkarchitektur).

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

GS-5: Definieren und Umsetzen einer Strategie für die Verwaltung des Sicherheitsstatus

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Allgemeine Anleitung: Richten Sie eine Richtlinie, ein Verfahren und einen Standard ein, um sicherzustellen, dass die Verwaltung der Sicherheitskonfiguration und die Verwaltung von Sicherheitsrisiken in Ihrem Cloudsicherheitsmandat vorhanden sind.

Die Sicherheitskonfigurationsverwaltung in der Cloud sollte die folgenden Bereiche umfassen:

  • Definieren Sie die sicheren Konfigurationsbaselines für verschiedene Ressourcentypen in der Cloud, z. B. webportal/konsole, Verwaltungs- und Steuerungsebene sowie Ressourcen, die in den IaaS-, PaaS- und SaaS-Diensten ausgeführt werden.
  • Stellen Sie sicher, dass die Sicherheitsbaselines die Risiken in verschiedenen Kontrollbereichen abdecken. Dazu zählen beispielsweise Netzwerksicherheit, Identitätsverwaltung, privilegierter Zugriff und Datenschutz.
  • Verwenden Sie Tools, um die Konfiguration kontinuierlich zu messen, zu überwachen und durchzusetzen und so ein Abweichen der Konfiguration von der Baseline zu verhindern.
  • Entwickeln Sie einen Rhythmus, um mit Sicherheitsfeatures auf dem Laufenden zu bleiben, z. B. abonnieren Sie die Dienstupdates.
  • Verwenden Sie einen Sicherheitsstatus- oder Konformitätsüberprüfungsmechanismus (z. B. Sicherheitsbewertung, Compliance-Dashboard in Microsoft Defender für Cloud), um den Sicherheitskonfigurationsstatus regelmäßig zu überprüfen und die ermittelten Lücken zu beheben.

Die Verwaltung von Sicherheitsrisiken in der Cloud sollte die folgenden Sicherheitsaspekte umfassen:

  • Regelmäßiges Bewerten und Beheben von Sicherheitsrisiken in allen Cloudressourcentypen, z. B. cloudnative Dienste, Betriebssysteme und Anwendungskomponenten.
  • Verwenden Sie einen risikobasierten Ansatz, um die Bewertung und Korrektur zu priorisieren.
  • Abonnieren Sie die sicherheitsrelevanten Hinweise und Blogs von CSPM, um die neuesten Sicherheitsupdates zu erhalten.
  • Stellen Sie sicher, dass die Sicherheitsrisikobewertung und -behebung (z. B. Zeitplan, Umfang und Techniken) die Complianceanforderungen für Ihre organisation.dule, den Umfang und die Techniken erfüllen, die regelmäßigen Complianceanforderungen für Ihre Organisation erfüllen.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

GS-6: Definieren und Umsetzen einer Strategie für Identität und privilegierten Zugriff

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Allgemeine Anleitung: Einrichten eines Cloudidentitäts- und privilegierten Zugriffsansatzes als Teil der allgemeinen Strategie für die Sicherheitszugriffssteuerung Ihrer Organisation. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Aspekte umfassen:

  • Zentralisiertes Identitäts- und Authentifizierungssystem (z. B. Azure AD) und seine Interkonnektivität mit anderen internen und externen Identitätssystemen
  • Privilegierte Identität und Zugriffsgovernance (z. B. Zugriffsanforderung, Überprüfung und Genehmigung)
  • Privilegierte Konten in Notfallsituationen
  • Sichere Authentifizierungsmethoden (kennwortlose Authentifizierung und mehrstufige Authentifizierung) in verschiedenen Anwendungsfällen und Bedingungen.
  • Schützen Sie den Zugriff durch administrative Vorgänge über das Webportal/die Konsole, die Befehlszeile und die API.

In Ausnahmefällen, in denen kein Unternehmenssystem verwendet wird, stellen Sie sicher, dass angemessene Sicherheitskontrollen für Identitäts-, Authentifizierungs- und Zugriffsverwaltung eingerichtet und verwaltet werden. Diese Ausnahmen sollten vom Unternehmensteam genehmigt und regelmäßig überprüft werden. Diese Ausnahmen gelten in der Regel in folgenden Fällen:

  • Verwendung eines bestimmten nicht zum Unternehmen gehörenden Identitäts- und Authentifizierungssystems, z. B. eines cloudbasierten Drittanbietersystems (kann zu unbekannten Risiken führen)
  • Lokale Authentifizierung privilegierter Benutzer und/oder Verwendung unsicherer Authentifizierungsmethoden

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

GS-7: Definieren und Umsetzen einer Strategie für Protokollierung, Bedrohungserkennung und Vorfallsreaktion

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Allgemeine Anleitung: Richten Sie eine Strategie für Protokollierung, Bedrohungserkennung und Reaktion auf Vorfälle ein, um Bedrohungen schnell zu erkennen und zu beheben und Complianceanforderungen zu erfüllen. Das Sicherheitsteam (Security Operations, SecOps/SOC) sollte hochwertige Warnungen und eine nahtlose Funktionalität priorisieren, damit es sich auf Bedrohungen konzentrieren kann, anstatt sich mit der Protokollintegration und manuellen Schritten zu befassen. In dieser Strategie sollten dokumentierte Richtlinien, Verfahren und Standards für die folgenden Aspekte berücksichtigt werden:

  • Rolle und Verantwortlichkeiten der Organisation für Sicherheitsvorgänge (SecOps)
  • Ein gut definierter und regelmäßig getesteter Plan zur Reaktion auf Vorfälle und den Behandlungsprozess, der an NIST SP 800-61 (Leitfaden zur Behandlung von Computersicherheitsvorfällen) oder anderen Branchenframeworks ausgerichtet ist.
  • Kommunikations- und Benachrichtigungsplan für Ihre Kunden, Lieferanten und öffentliche Interessengruppen
  • Simulieren Sie sowohl erwartete als auch unerwartete Sicherheitsereignisse in Ihrer Cloudumgebung, um die Effektivität Ihrer Vorbereitung zu verstehen. Durchlaufen Sie das Ergebnis Ihrer Simulation, um die Skalierung Ihrer Reaktionsposition zu verbessern, die Zeit bis zum Wert zu reduzieren und das Risiko weiter zu reduzieren.
  • Bevorzugen Sie die Verwendung erweiterter Funktionen zur Erkennung und Reaktion (Extended Detection and Response, XDR), z. B. Azure Defender-Funktionen, um Bedrohungen in verschiedenen Bereichen zu erkennen.
  • Nutzung cloudnativer Funktionen (z. B. als Microsoft Defender für Cloud) und Drittanbieterplattformen für die Behandlung von Incidents, z. B. Protokollierung und Bedrohungserkennung, Forensik, Behebung und Tilgung von Angriffen.
  • Bereiten Sie die erforderlichen manuellen und automatisierten Runbooks vor, um zuverlässige und konsistente Antworten zu gewährleisten.
  • Definieren wichtiger Szenarien (z. B. Bedrohungserkennung, Reaktion auf Vorfälle und Konformität) und Einrichten der Protokollerfassung und -aufbewahrung zum Erfüllen der Anforderungen des jeweiligen Szenarios
  • Zentralisierte Sichtbarkeit und Korrelationsinformationen zu Bedrohungen, die sie verwenden, native Cloud-Bedrohungserkennungsfunktionen und andere Quellen.
  • Aktivitäten nach einem Vorfall, z. B. gewonnene Erkenntnisse und Beweisaufbewahrung

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

GS-8: Definieren und Umsetzen einer Strategie für Sicherung und Wiederherstellung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Allgemeine Anleitung: Erstellen Sie eine Sicherungs- und Wiederherstellungsstrategie für Ihre Organisation. Diese Strategie sollte dokumentierte Anleitungen, Richtlinien und Standards für die folgenden Aspekte umfassen:

  • Definitionen für Recovery Time Objective (RTO) und Recovery Point Objective (RPO) in Übereinstimmung mit den Resilienzzielen Ihres Unternehmens und den Anforderungen zur Einhaltung gesetzlicher Bestimmungen.
  • Redundanzentwurf (einschließlich Sicherung, Wiederherstellung und Replikation) in Ihren Anwendungen und in der Infrastruktur sowohl in der Cloud als auch lokal. Berücksichtigen Sie bei Ihrer Strategie die regionale, regionspaarweise und regionsübergreifende Wiederherstellung sowie Speicherorte außerhalb des Standorts.
  • Schutz der Sicherung vor nicht autorisiertem Zugriff und Manipulation mithilfe von Kontrollen wie Datenzugriffssteuerung, Verschlüsselung und Netzwerksicherheit.
  • Verwendung von Sicherung und Wiederherstellung, um die Risiken von neuen Bedrohungen wie Ransomware-Angriffen zu minimieren. Schützen Sie außerdem die Sicherungs- und Wiederherstellungsdaten selbst vor diesen Angriffen.
  • Überwachen der Sicherungs- und Wiederherstellungsdaten und -vorgänge zu Überprüfungs- und Warnungszwecken.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

GS-9: Definieren und Umsetzen einer Strategie für Endpunktsicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Allgemeine Anleitung: Einrichten einer Sicherheitsstrategie für Cloudendpunkte, die die folgenden Aspekte umfasst: Bereitstellen der Endpunkterkennungs- und -antwort- und Anti-Malware-Funktion in Ihrem Endpunkt und Integration in die Bedrohungserkennung und SIEM-Lösung und den Prozess für Sicherheitsvorgänge.

  • Befolgen Sie die Microsoft Cloudsicherheitstest, um sicherzustellen, dass endpunktbezogene Sicherheitseinstellungen in anderen entsprechenden Bereichen (z. B. Netzwerksicherheit, Verwaltung von Sicherheitsrisiken, Identität und privilegierter Zugriff sowie Protokollierung und Bedrohungserkennungen) ebenfalls vorhanden sind, um einen tiefen Verteidigungsschutz für Ihren Endpunkt bereitzustellen.
  • Priorisieren Sie die Endpunktsicherheit in Ihrer Produktionsumgebung, stellen Sie aber sicher, dass auch Nicht-Produktionsumgebungen (z. B. Test- und Buildumgebung, die im DevOps-Prozess verwendet werden) geschützt und überwacht werden, da diese Umgebungen auch verwendet werden können, um Schadsoftware und Sicherheitsrisiken in die Produktionsumgebung einzubringen.

Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

GS-10: Definieren und Umsetzen einer Strategie für DevOps-Sicherheit

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Allgemeine Anleitung: Sie können die Sicherheitskontrollen als Teil des DevOps-Entwicklungs- und Betriebsstandard der Organisation vorordnen. Definieren Sie die Sicherheitsziele, Kontrollanforderungen und Toolspezifikationen gemäß den Unternehmens- und Cloudsicherheitsstandards in Ihrer Organisation.

Fördern Sie die Verwendung von DevOps als wesentliches Betriebsmodell in Ihrer Organisation aufgrund der Vorteile im Hinblick auf die schnelle Identifikation und Korrektur von Sicherheitsrisiken mithilfe verschiedener Automatisierungstypen (z. B. Infrastruktur als Codebereitstellung und automatisierte SAST- und DAST-Scans) im gesamten CI/CD-Workflow. Dieser "Shift Left"-Ansatz erhöht auch die Sichtbarkeit und die Fähigkeit, konsistente Sicherheitsüberprüfungen in Ihrer Bereitstellungspipeline zu erzwingen, und stellt sicherheitsrelevante Schutzmaßnahmen im Voraus in der Umgebung bereit, um Überraschungen in letzter Minute bei der Bereitstellung einer Workload in der Produktion zu vermeiden.

Wenn Sie Sicherheitskontrollen in die Phasen vor der Bereitstellung verschieben (Shift Left), implementieren Sie Sicherheitsmaßnahmen, um sicherzustellen, dass die Kontrollen während des gesamten DevOps-Prozesses bereitgestellt und erzwungen werden. Diese Technologie kann Ressourcenbereitstellungsvorlagen (z. B. azure ARM-Vorlage) enthalten, um Schutzvorrichtungen in der IaC (Infrastructure as Code) zu definieren, ressourcenbereitstellung und überwachung, um einzuschränken, welche Dienste oder Konfigurationen in der Umgebung bereitgestellt werden können.

Befolgen Sie für die Laufzeitsicherheitskontrollen Ihrer Workload die Microsoft Cloud Security Benchmark, um effektive Kontrollen wie Identität und privilegierten Zugriff, Netzwerksicherheit, Endpunktsicherheit und Datenschutz in Ihren Workloadanwendungen und -diensten zu entwerfen und zu implementieren.

Implementierung und zusätzlicher Kontext:

GS-11: Definieren und Implementieren einer Multi-Cloud-Sicherheitsstrategie

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1

Allgemeine Anleitung: Stellen Sie sicher, dass in Ihrem Cloud- und Sicherheitsgovernance-, Risikomanagement- und Betriebsprozess eine Multi-Cloud-Strategie definiert ist, die die folgenden Aspekte umfassen sollte:

  • Einführung in mehrere Clouds: Für Organisationen, die eine Multi-Cloud-Infrastruktur betreiben und Ihre Organisation ausbilden, um sicherzustellen, dass Teams den Featureunterschied zwischen den Cloudplattformen und dem Technologiestapel verstehen. Erstellen, Bereitstellen und/oder Migrieren von Lösungen, die portierbar sind. Ermöglichen Sie eine einfache Verschiebung zwischen Cloudplattformen mit minimaler Herstellereinsperrung, während Sie cloudnative Features angemessen nutzen, um das optimale Ergebnis der Cloudeinführung zu erzielen.
  • Cloud- und Sicherheitsvorgänge: Optimieren Sie die Sicherheitsvorgänge, um die Lösungen in jeder Cloud durch eine zentrale Gruppe von Governance- und Verwaltungsprozessen zu unterstützen, die gemeinsame Betriebsprozesse gemeinsam nutzen, unabhängig davon, wo die Lösung bereitgestellt und betrieben wird.
  • Tool- und Technologiestapel: Wählen Sie die geeigneten Tools aus, die Multi-Cloud-Umgebungen unterstützen, um die Einrichtung einheitlicher und zentralisierter Verwaltungsplattformen zu unterstützen, die alle in diesem Sicherheitsvergleichstest beschriebenen Sicherheitsdomänen umfassen können.

Implementierung und zusätzlicher Kontext: