Рекомендации по созданию базовых показателей безопасности
Применяется к рекомендации по безопасности Azure Well-Architected Framework:
| SE:01 | Создайте базовые показатели безопасности, соответствующие требованиям, отраслевым стандартам и рекомендациям платформы. Регулярно измеряйте архитектуру и операции рабочей нагрузки на базовые показатели для поддержания или улучшения состояния безопасности с течением времени. |
|---|
В этом руководстве описываются рекомендации по созданию базовых показателей безопасности. Базовый план безопасности — это документ, определяющий минимальные требования и ожидания вашей организации в различных областях. Хороший базовый план безопасности помогает вам:
- Обеспечение безопасности данных и систем.
- Соблюдайте нормативные требования.
- Свести к минимуму риск надзора.
- Уменьшите вероятность нарушений и последующих бизнес-последствий.
Базовые показатели безопасности должны быть опубликованы широко во всей организации, чтобы все заинтересованные лица знали о ожиданиях.
В этом руководстве приводятся рекомендации по настройке базовых показателей безопасности, основанных на внутренних и внешних факторах. Внутренние факторы включают бизнес-требования, риски и оценку активов. Внешние факторы включают отраслевые тесты и нормативные стандарты.
Определения
| Термин | Определение |
|---|---|
| Базовые показатели | Минимальный уровень доступности безопасности, необходимый рабочей нагрузке, чтобы избежать использования. |
| Тест производительности | Стандарт, указывающий на состояние безопасности, к которому стремится организация. Он оценивается, измеряется и улучшается с течением времени. |
| Элементы управления | Технические или операционные средства управления рабочей нагрузкой, которые помогают предотвратить атаки и увеличить расходы злоумышленников. |
| Нормативные требования | Набор бизнес-требований, обусловленных отраслевыми стандартами, которые налагают законы и власти. |
Основные стратегии проектирования
Базовый план безопасности — это структурированный документ, определяющий набор критериев безопасности и возможностей, которые рабочая нагрузка должна выполнять для повышения безопасности. В более зрелой форме можно расширить базовые показатели, чтобы включить набор политик, используемых для установки охранников.
Базовые показатели должны рассматриваться как стандартные для измерения состояния безопасности. Цель всегда должна быть полной достижением при сохранении широкой области.
Базовые показатели безопасности никогда не должны быть нерегламентированными усилиями. Отраслевые стандарты, соответствие (внутренние или внешние) или нормативные требования, региональные требования и эталонные показатели облачной платформы являются основными факторами для базового плана. Примеры: Центр управления интернет-безопасностью (CIS), Национальный институт стандартов и технологий (NIST) и стандарты на основе платформы, такие как microsoft cloud security benchmark (MCSB). Все эти стандарты считаются отправной точкой для базовых показателей. Создайте основу, включив требования к безопасности из бизнес-требований.
Ссылки на предыдущие ресурсы см. в разделе "Связанные ссылки".
Создайте базовые показатели, получив консенсус среди бизнес-и технических лидеров. Базовые показатели не должны быть ограничены техническими элементами управления. Он также должен включать в себя операционные аспекты управления и поддержания состояния безопасности. Таким образом, базовый документ также выступает в качестве обязательства организации в отношении инвестиций в обеспечение безопасности рабочей нагрузки. Базовый документ безопасности должен распространяться широко в организации, чтобы обеспечить осведомленность о состоянии безопасности рабочей нагрузки.
По мере роста рабочей нагрузки и развития экосистемы жизненно важно обеспечить синхронизацию базовых показателей с изменениями, чтобы гарантировать, что основные элементы управления по-прежнему эффективны.
Создание базового плана — это методический процесс. Ниже приведены некоторые рекомендации по процессу.
Инвентаризация активов. Определите заинтересованные стороны ресурсов рабочей нагрузки и цели безопасности этих активов. В инвентаризации активов классифицируйте требования к безопасности и критически важное значение. Сведения о ресурсах данных см. в рекомендациях по классификации данных.
Оценка рисков. Потенциальные риски идентификации, связанные с каждым активом и приоритетами их.
Требования к соответствию требованиям. Базовое соответствие нормативным требованиям для этих активов и применение отраслевых рекомендаций.
Стандарты конфигурации. Определите и задокументируйте определенные конфигурации и параметры безопасности для каждого ресурса. Если это возможно, шаблонируйте или найдите повторяющийся, автоматический способ применения параметров последовательно в среде.
Управление доступом и проверка подлинности. Укажите требования к управлению доступом на основе ролей (RBAC) и многофакторной проверке подлинности (MFA). Документируйте, что только достаточно доступа означает на уровне актива. Всегда начинайте с принципа наименьшей привилегии.
Управление исправлениями. Применяйте последние версии ко всем типам ресурсов для укрепления атак.
Документация и обмен данными. Задокументируйте все конфигурации, политики и процедуры. Сообщите сведения соответствующим заинтересованным лицам.
Принудительное применение и подотчетность. Определите четкие механизмы и последствия для несоответствия базовым показателем безопасности. Ведения ответственности отдельных лиц и команд за поддержание стандартов безопасности.
Непрерывный мониторинг. Оцените эффективность базовых показателей безопасности с помощью наблюдаемости и улучшения сверхурочного времени.
Определение базовых показателей
Ниже приведены некоторые распространенные категории, которые должны быть частью базового плана. Следующий список не является исчерпывающим. Он предназначен в качестве обзора области документа.
Соблюдение нормативных требований
Рабочая нагрузка может быть подвержена нормативным требованиям для конкретных отраслевых сегментов, могут быть некоторые географические ограничения и т. д. Важно понимать требования, указанные в нормативных спецификациях, так как они влияют на выбор дизайна и в некоторых случаях должны быть включены в архитектуру.
Базовые показатели должны включать регулярное вычисление рабочей нагрузки в соответствии с нормативными требованиями. Воспользуйтесь преимуществами предоставляемых платформой средств, таких как Microsoft Defender для облака, которые могут определять области несоответствия. Обратитесь к группе по соответствию требованиям организации, чтобы убедиться, что все требования выполнены и поддерживаются.
Компоненты архитектуры
Базовые показатели требуют предварительных рекомендаций для основных компонентов рабочей нагрузки. Обычно они включают технические элементы управления для сетевых сетей, удостоверений, вычислений и данных. Ссылаться на базовые показатели безопасности, предоставляемые платформой, и добавлять отсутствующие элементы управления в архитектуру.
Процессы разработки
Базовые показатели должны иметь рекомендации по следующим возможностям:
- Системная классификация.
- Утвержденный набор типов ресурсов.
- Отслеживание ресурсов.
- Применение политик для использования или настройки ресурсов.
Команда разработчиков должна иметь четкое представление о области проверки безопасности. Например, моделирование угроз является обязательным требованием в том, чтобы потенциальные угрозы были определены в коде и в конвейерах развертывания. Обратите внимание на статические проверки и сканирование уязвимостей в конвейере и регулярное выполнение этих проверок командой.
Дополнительные сведения см . в рекомендациях по анализу угроз.
Процесс разработки также должен задавать стандарты по различным методологиям тестирования и их частоте. Дополнительные сведения см. в рекомендациях по тестированию безопасности.
Операции
Базовый план должен задать стандарты по использованию возможностей обнаружения угроз и повышению оповещений об аномальных действиях, указывающих на фактические инциденты. Обнаружение угроз должно включать все уровни рабочей нагрузки, включая все конечные точки, доступные из враждебных сетей.
Базовые показатели должны включать рекомендации по настройке процессов реагирования на инциденты, включая обмен данными и план восстановления, и какие из этих процессов можно автоматизировать для ускорения обнаружения и анализа. Примеры см. в разделе "Базовые показатели безопасности" для Azure.
Ответ на инциденты также должен включать план восстановления и требования для этого плана, такие как ресурсы для регулярного принятия и защиты резервных копий.
Вы разрабатываете планы нарушения данных с помощью отраслевых стандартов и рекомендаций, предоставляемых платформой. Затем команда имеет полный план, чтобы следовать при обнаружении нарушения. Кроме того, ознакомьтесь с вашей организацией, чтобы узнать, есть ли покрытие через киберстраховку.
Обучение
Разработка и обслуживание программы обучения безопасности для обеспечения того, чтобы команда рабочей нагрузки была оснащена соответствующими навыками для поддержки целей и требований безопасности. Команда нуждается в базовом обучении безопасности, но используйте то, что вы можете из вашей организации для поддержки специализированных ролей. Соответствие требованиям по обучению безопасности на основе ролей и участие в детализации являются частью базового плана безопасности.
Применение базовых показателей
Используйте базовые показатели для реализации таких инициатив, как:
Готовность к принятию решений по проектированию. Создайте базовый план безопасности и опубликуйте его перед началом процесса разработки архитектуры. Убедитесь, что участники команды полностью осведомлены о ожиданиях вашей организации рано, что позволяет избежать дорогостоящих переработок, вызванных отсутствием ясности. Базовые критерии можно использовать в качестве требований к рабочей нагрузке, которые организация установила и проверит элементы управления для этих ограничений.
Измеряйте дизайн. Оценка текущих решений по текущему базовому плану. Базовые показатели задают фактические пороговые значения для критериев. Задокументируйте любые отклонения, которые откладываются или считаются долгосрочными допустимыми.
Улучшения диска. Хотя базовые показатели задают достижимые цели, всегда существуют пробелы. Определите приоритеты пробелов в невыполненной работы и исправлении на основе приоритета.
Отслеживайте ход выполнения по базовому плану. Непрерывный мониторинг мер безопасности по заданному базовому плану является важным. Анализ тенденций — это хороший способ проверки хода выполнения безопасности с течением времени и может выявить последовательные отклонения от базового плана. Используйте автоматизацию как можно больше, извлекая данные из различных источников, внутренних и внешних, для решения текущих проблем и подготовки к будущим угрозам.
Установите ограждения. По возможности базовые критерии должны иметь сторожевые линии. Guardrails применяет необходимые конфигурации безопасности, технологии и операции на основе внутренних факторов и внешних факторов. Внутренние факторы включают бизнес-требования, риски и оценку активов. Внешние факторы включают тесты, нормативные стандарты и среду угроз. Guardrails помогает свести к минимуму риск непреднамеренного надзора и карательных штрафов за несоответствие.
Изучите Политика Azure для пользовательских параметров или используйте встроенные инициативы, такие как тесты cis или Azure Security Benchmark, чтобы применить конфигурации безопасности и требования к соответствию требованиям. Рассмотрите возможность создания политик и инициатив Azure из базовых показателей.
Регулярное вычисление базовых показателей
Непрерывно повышайте стандарты безопасности постепенно в сторону идеального состояния, чтобы обеспечить постоянное сокращение рисков. Проводите периодические проверки, чтобы обеспечить актуальность системы и соответствие внешним влияниям. Любые изменения в базовом плане должны быть формальными, согласованными и отправленными через надлежащие процессы управления изменениями.
Измеряйте систему с учетом новых базовых показателей и приоритета исправлений на основе их релевантности и влияния на рабочую нагрузку.
Убедитесь, что состояние безопасности не ухудшается с течением времени путем добавления аудита и мониторинга соответствия стандартам организации.
Упрощение функций Azure
Microsoft Cloud Security Benchmark (MCSB) — это комплексная платформа рекомендаций по обеспечению безопасности, которую можно использовать в качестве отправной точки для базовых показателей безопасности. Используйте его вместе с другими ресурсами, которые предоставляют входные данные для базовых показателей.
Дополнительные сведения см. в статье "Общие сведения о тесте безопасности в облаке Майкрософт".
Используйте панель мониторинга соответствия нормативным требованиям Microsoft Defender для облака (MDC) для отслеживания этих базовых показателей и оповещения о том, обнаружен ли шаблон за пределами базового плана. Дополнительные сведения см. в разделе " Настройка набора стандартов" на панели мониторинга соответствия нормативным требованиям.
Другие функции, которые помогают в создании и улучшении базовых показателей:
Пример
На этой логической схеме показан пример базовых показателей безопасности для архитектурных компонентов, охватывающих сеть, инфраструктуру, конечную точку, приложение, данные и удостоверения, чтобы продемонстрировать, как обычная ИТ-среда может быть безопасно защищена. Другие руководства по рекомендациям основаны на этом примере.
Инфраструктура
Общая ИТ-среда с локальным уровнем с основными ресурсами.
Службы безопасности Azure
Службы безопасности Azure и функции по типам ресурсов, которые они защищают.
Службы мониторинга безопасности Azure
Службы мониторинга, доступные в Azure, которые выходят за рамки простых служб мониторинга, включая управление событиями безопасности (SIEM) и решениями автоматического реагирования системы безопасности (SOAR) и Microsoft Defender для облака.
Угрозы
Этот уровень содержит рекомендацию и напоминание о том, что угрозы могут быть сопоставлены в соответствии с проблемами вашей организации в отношении угроз, независимо от методологии или матрицы, такой как Матрица атак Mitre или цепочка кибер-убийства.
Дополнительные ссылки
Ссылки на ресурсы сообщества
Контрольный список по безопасности
Ознакомьтесь с полным набором рекомендаций.