Rekommendationer för att upprätta en säkerhetsbaslinje
Gäller för checklista för Azure Well-Architected Framework Security:
SE:01 | Upprätta en säkerhetsbaslinje som är anpassad efter efterlevnadskrav, branschstandarder och plattformsrekommendationer. Mät regelbundet din arbetsbelastningsarkitektur och dina åtgärder mot baslinjen för att upprätthålla eller förbättra din säkerhetsstatus över tid. |
---|
Den här guiden beskriver rekommendationerna för att upprätta en säkerhetsbaslinje. En säkerhetsbaslinje är ett dokument som anger organisationens minsta säkerhetskrav och förväntningar inom en rad olika områden. En bra säkerhetsbaslinje hjälper dig:
- Skydda dina data och system.
- Följ regelkraven.
- Minimera risken för tillsyn.
- Minska sannolikheten för överträdelser och efterföljande affärseffekter.
Säkerhetsbaslinjer bör publiceras brett i hela organisationen så att alla intressenter är medvetna om förväntningarna.
Den här guiden innehåller rekommendationer om hur du anger en säkerhetsbaslinje som baseras på interna och externa faktorer. Interna faktorer är affärskrav, risker och tillgångsutvärdering. Externa faktorer är branschriktmärken och regelstandarder.
Definitioner
Period | Definition |
---|---|
Baslinje | Den lägsta säkerhetsnivå som en arbetsbelastning måste ha för att undvika att utnyttjas. |
Benchmark | En standard som innebär den säkerhetsstatus som organisationen strävar efter. Den utvärderas, mäts och förbättras med tiden. |
Kontroller | Tekniska eller operativa kontroller för arbetsbelastningen som hjälper till att förhindra attacker och öka angriparens kostnader. |
Myndighetskrav | En uppsättning affärskrav, som drivs av branschstandarder, som lagar och myndigheter inför. |
Viktiga designstrategier
En säkerhetsbaslinje är ett strukturerat dokument som definierar en uppsättning säkerhetskriterier och funktioner som arbetsbelastningen måste uppfylla för att öka säkerheten. I ett mer moget format kan du utöka en baslinje till att omfatta en uppsättning principer som du använder för att ange skyddsräcken.
Baslinjen bör betraktas som standard för att mäta din säkerhetsstatus. Målet bör alltid vara fullt uppnåendet samtidigt som ett brett omfång bibehålls.
Din säkerhetsbaslinje bör aldrig vara en ad hoc-insats. Branschstandarder, efterlevnad (interna eller externa) eller regelkrav, regionala krav och molnplattformens riktmärken är viktiga faktorer för baslinjen. Exempel är Center for Internet Security(CIS) Controls, National Institute of Standards and Technology (NIST) och plattformsdrivna standarder, till exempel Microsoft Cloud Security Benchmark (MCSB). Alla dessa standarder anses vara en startpunkt för din baslinje. Skapa grunden genom att införliva säkerhetskrav från affärskraven.
Länkar till ovanstående tillgångar finns i Relaterade länkar.
Skapa baslinjen genom att få konsensus bland affärs- och teknikledare. Baslinjen bör inte begränsas till tekniska kontroller. Den bör också omfatta driftsaspekterna för att hantera och upprätthålla säkerhetsstatusen. Baslinjedokumentet fungerar därför också som organisationens åtagande att investera i arbetsbelastningssäkerhet. Dokumentet om säkerhetsbaslinje bör distribueras brett inom din organisation för att säkerställa att det finns en medvetenhet om arbetsbelastningens säkerhetsstatus.
När arbetsbelastningen växer och ekosystemet utvecklas är det viktigt att hålla baslinjen i synk med ändringarna för att säkerställa att de grundläggande kontrollerna fortfarande är effektiva.
Att skapa en baslinje är en metodisk process. Här följer några rekommendationer om processen:
Tillgångsinventering. Identifiera intressenter för arbetsbelastningstillgångar och säkerhetsmålen för dessa tillgångar. I tillgångsinventeringen klassificerar du efter säkerhetskrav och kritiskhet. Information om datatillgångar finns i Rekommendationer om dataklassificering.
Riskbedömning. Potentiella identitetsrisker som är associerade med varje tillgång och prioriterar dem.
Efterlevnadskrav. Grunda eventuella regler eller efterlevnad för dessa tillgångar och tillämpa branschtips.
Konfigurationsstandarder. Definiera och dokumentera specifika säkerhetskonfigurationer och inställningar för varje tillgång. Om möjligt kan du ändra eller hitta ett repeterbart, automatiserat sätt att tillämpa inställningarna konsekvent i hela miljön.
Åtkomstkontroll och autentisering. Ange kraven för rollbaserad åtkomstkontroll (RBAC) och multifaktorautentisering (MFA). Dokumentera vad precis tillräckligt med åtkomst innebär på tillgångsnivå. Börja alltid med principen om lägsta behörighet.
Uppdateringshantering. Använd de senaste versionerna på alla resurstyper för att stärka mot angrepp.
Dokumentation och kommunikation. Dokumentera alla konfigurationer, principer och procedurer. Förmedla informationen till relevanta intressenter.
Tillämpning och ansvarsskyldighet. Upprätta tydliga tillämpningsmekanismer och konsekvenser för inkompatibilitet med säkerhetsbaslinjen. Håll individer och team ansvariga för att upprätthålla säkerhetsstandarder.
Kontinuerlig övervakning. Utvärdera säkerhetsbaslinjens effektivitet genom observerbarhet och förbättra övertiden.
Definiera baslinjen
Här är några vanliga kategorier som ska ingå i en baslinje. Följande lista är inte fullständig. Det är avsett som en översikt över dokumentets omfång.
Regelefterlevnad
En arbetsbelastning kan omfattas av regelefterlevnad för specifika branschsegment, det kan finnas vissa geografiska begränsningar och så vidare. Det är viktigt att förstå kraven enligt de reglerande specifikationerna eftersom de påverkar designvalen och i vissa fall måste ingå i arkitekturen.
Baslinjen bör omfatta regelbunden utvärdering av arbetsbelastningen mot regelkrav. Dra nytta av de plattformsverktyg som tillhandahålls, till exempel Microsoft Defender för molnet, som kan identifiera områden med inkompatibilitet. Samarbeta med organisationens efterlevnadsteam för att se till att alla krav uppfylls och underhålls.
Arkitekturkomponenter
Baslinjen behöver normativa rekommendationer för huvudkomponenterna i arbetsbelastningen. Dessa omfattar vanligtvis tekniska kontroller för nätverk, identitet, beräkning och data. Referera till säkerhetsbaslinjerna som tillhandahålls av plattformen och lägg till de kontroller som saknas i arkitekturen.
Utvecklingsprocesser
Baslinjen måste ha rekommendationer om:
- Systemklassificering.
- Den godkända uppsättningen med resurstyper.
- Spåra resurserna.
- Framtvinga principer för att använda eller konfigurera resurser.
Utvecklingsteamet måste ha en tydlig förståelse för omfånget för säkerhetskontroller. Hotmodellering är till exempel ett krav för att se till att potentiella hot identifieras i kod och i distributionspipelines. Var specifik om statiska kontroller och sårbarhetsgenomsökning i din pipeline och hur regelbundet teamet behöver utföra dessa genomsökningar.
Mer information finns i Rekommendationer om hotanalys.
Utvecklingsprocessen bör också fastställa standarder för olika testmetoder och deras takt. Mer information finns i Rekommendationer om säkerhetstestning.
Operations
Baslinjen måste ange standarder för användning av funktioner för hotidentifiering och aviseringar om avvikande aktiviteter som indikerar faktiska incidenter. Hotidentifiering måste innehålla alla lager av arbetsbelastningen, inklusive alla slutpunkter som kan nås från fientliga nätverk.
Baslinjen bör innehålla rekommendationer för att konfigurera incidenthanteringsprocesser, inklusive kommunikation och en återställningsplan, och vilka av dessa processer som kan automatiseras för att påskynda identifiering och analys. Exempel finns i Säkerhetsbaslinjer för Azure-översikt.
Incidenthanteringen bör också innehålla en återställningsplan och kraven för planen, till exempel resurser för att regelbundet ta och skydda säkerhetskopior.
Du utvecklar planer för dataintrång med hjälp av branschstandarder och rekommendationer som tillhandahålls av plattformen. Teamet har sedan en omfattande plan att följa när ett intrång upptäcks. Kontrollera också med din organisation för att se om det finns täckning via cyberförsäkring.
Utbildning
Utveckla och underhålla ett säkerhetsutbildningsprogram för att säkerställa att arbetsbelastningsteamet är utrustat med lämpliga färdigheter för att stödja säkerhetsmålen och kraven. Teamet behöver grundläggande säkerhetsutbildning, men använder det du kan från din organisation för att stödja specialiserade roller. Rollbaserad efterlevnad av säkerhetsträning och deltagande i övningar är en del av din säkerhetsbaslinje.
Tillämpa baslinjen
Använd baslinjen för att driva initiativ, till exempel:
Beredskap inför designbeslut. Skapa säkerhetsbaslinjen och publicera den innan du startar arkitekturdesignprocessen. Se till att teammedlemmarna är fullt medvetna om organisationens förväntningar tidigt, vilket undviker kostsamt omarbete som orsakas av bristande tydlighet. Du kan använda baslinjekriterier som arbetsbelastningskrav som organisationen har åtagit sig och utforma och verifiera kontroller mot dessa begränsningar.
Mät din design. Betygsätta de aktuella besluten mot den aktuella baslinjen. Baslinjen anger faktiska tröskelvärden för kriterier. Dokumentera eventuella avvikelser som skjuts upp eller bedöms vara långsiktiga.
Driva förbättringar. Även om baslinjen anger uppnåeliga mål finns det alltid luckor. Prioritera luckor i kvarvarande uppgifter och åtgärda baserat på prioritering.
Spåra förloppet mot baslinjen. Kontinuerlig övervakning av säkerhetsåtgärder mot en fast baslinje är nödvändig. Trendanalys är ett bra sätt att granska säkerhetsförloppet över tid och kan visa konsekventa avvikelser från baslinjen. Använd automatisering så mycket som möjligt, hämta data från olika källor, interna och externa, för att åtgärda aktuella problem och förbereda för framtida hot.
Ställ in skyddsräcken. Om möjligt måste dina baslinjekriterier ha skyddsräcken. Skyddsräcken framtvingar nödvändiga säkerhetskonfigurationer, tekniker och åtgärder baserat på interna faktorer och externa faktorer. Interna faktorer är affärskrav, risker och tillgångsutvärdering. Externa faktorer är riktmärken, regelstandarder och hotmiljöer. Skyddsräcken hjälper till att minimera risken för oavsiktlig tillsyn och straffböter för inkompatibilitet.
Utforska Azure Policy för anpassade alternativ eller använd inbyggda initiativ som CIS-riktmärken eller Azure Security Benchmark för att tillämpa säkerhetskonfigurationer och efterlevnadskrav. Överväg att skapa Azure-principer och initiativ från baslinjer.
Utvärdera baslinjen regelbundet
Kontinuerligt förbättra säkerhetsstandarder inkrementellt mot det idealiska tillståndet för att säkerställa kontinuerlig riskreducering. Genomför regelbundna granskningar för att säkerställa att systemet är uppdaterat och i enlighet med externa påverkan. Alla ändringar av baslinjen måste vara formella, överenskomna och skickas genom korrekta ändringshanteringsprocesser.
Mät systemet mot den nya baslinjen och prioritera reparation baserat på deras relevans och effekt på arbetsbelastningen.
Se till att säkerhetsstatusen inte försämras över tid genom att införa gransknings- och övervakningsefterlevnad med organisationens standarder.
Azure-underlättande
Microsoft Cloud Security Benchmark (MCSB) är ett omfattande ramverk för bästa praxis för säkerhet som du kan använda som utgångspunkt för din säkerhetsbaslinje. Använd den tillsammans med andra resurser som ger indata till baslinjen.
Mer information finns i Introduktion till Microsofts prestandamått för molnsäkerhet.
Använd instrumentpanelen för regelefterlevnad i Microsoft Defender för molnet (MDC) för att spåra dessa baslinjer och få aviseringar om ett mönster utanför en baslinje identifieras. Mer information finns i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.
Andra funktioner som hjälper dig att upprätta och förbättra baslinjen:
Exempel
Det här logiska diagrammet visar ett exempel på säkerhetsbaslinje för arkitekturkomponenter som omfattar nätverk, infrastruktur, slutpunkt, program, data och identitet för att visa hur en gemensam IT-miljö kan skyddas på ett säkert sätt. Andra rekommendationsguider bygger på det här exemplet.
Infrastruktur
En vanlig IT-miljö med ett lokalt lager med grundläggande resurser.
Azure Security Services
Azures säkerhetstjänster och funktioner efter vilka typer av resurser de skyddar.
Azure Security Monitoring Services
De övervakningstjänster som är tillgängliga i Azure som går utöver enkla övervakningstjänster, inklusive siem-lösningar (security information event management) och soar-lösningar (security orchestration automated response) och Microsoft Defender for Cloud.
Hot
Det här lagret ger en rekommendation och påminnelse om att hot kan mappas enligt organisationens problem med hot, oavsett metod eller matrisliknande Mitre Attack Matrix eller Cyber Kill-kedja.
Relaterade länkar
Communitylänkar
Säkerhetskontrollista
Se den fullständiga uppsättningen rekommendationer.