通过

安全控制:治理和策略

治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。

GS-1:协调组织角色、责任和职责

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
14.9 PL-9、PM-10、PM-13、AT-1、AT-3 2.4

常规指导:确保定义并传达安全组织中角色和职责的明确策略。 优先为安全决策提供明确的责任,让每个人都了解共同责任模型,并教育技术团队制定保护云的技术方案。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-2:定义并实施企业职责划分/分离策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12 AC-4、SC-7、SC-2 1.2, 6.4

一般指导:建立企业范围的策略,以使用标识、网络、应用程序、订阅、管理组和其他控件的组合来细分对资产的访问。

仔细权衡安全分离需求与为需要彼此通信并访问数据的系统启用日常操作的需求。

确保在工作负荷中一致地实施分段策略,包括网络安全、标识和访问模型、应用程序权限/访问模型以及人工流程控制。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-3:定义并实施数据保护策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.1, 3.7, 3.12 AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2

一般指导:在云环境中建立企业范围的数据保护策略:

  • 根据企业数据管理标准和法规合规性定义并应用数据分类和保护标准,以规定每个级别数据分类所需的安全控制。
  • 设置与企业分段策略一致的云资源管理层次结构。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。
  • 在云环境中定义并应用适用的零信任原则,以避免基于外围网络位置实现信任。 请改用设备和用户信任声明来限制对数据和资源的访问。
  • 跟踪并最大程度地减少整个企业中的敏感数据占用量(存储、传输和处理),以减少攻击面和数据保护成本。 尽可能考虑工作负荷中的单向哈希、截断和标记化等技术,以避免以原始形式存储和传输敏感数据。
  • 确保拥有完整的生命周期管理策略,以提供数据和访问密钥的安全措施。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-4:定义并实施网络安全策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.2, 12.4 AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2

常规指导:建立云网络安全策略,作为组织访问控制总体安全策略的一部分。 此策略应包括针对以下元素的记录在案的指南、策略和标准:

  • 设计集中式/分散式网络管理和安全责任模型,以部署和维护网络资源。
  • 与企业分段策略一致的虚拟网络分段模型。
  • Internet 边缘和入口和出口策略。
  • 混合云和本地互连策略。
  • 网络监视和日志记录策略。
  • 最新的网络安全构件(例如网络图、参考网络架构)。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-5:定义并实施安全态势管理策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1、4.2 CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

一般指导:建立策略、过程和标准,确保安全配置管理和漏洞管理已落实到云安全授权中。

云中的安全配置管理应包括以下方面:

  • 为云中的不同资源类型定义安全配置基线,例如 Web 门户/控制台、管理和控制平面以及 IaaS、PaaS 和 SaaS 服务中运行的资源。
  • 确保安全基线解决不同控制领域的风险,例如网络安全、标识管理、特权访问、数据保护等。
  • 使用工具持续度量、审核和强制实施配置,以防止配置偏离基线。
  • 开发一个节奏,以随时更新安全功能,例如订阅服务更新。
  • 利用安全运行状况或符合性检查机制(例如Microsoft Defender for Cloud 中的安全分数、合规性仪表板)定期查看安全配置状况并修正确定的漏洞。

云中的漏洞管理应包括以下安全方面:

  • 定期评估和修正所有云资源类型(例如云本机服务、作系统和应用程序组件)中的漏洞。
  • 使用基于风险的方法确定评估和修正的优先级。
  • 订阅相关的 CSPM 安全公告通知和博客,以接收最新的安全更新。
  • 确保漏洞评估和修正(如计划、范围和技术)符合组织的定期合规性要求。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-6:定义并实施标识和特权访问策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.6, 6.5, 6.7 AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4

常规指导:在组织的整体安全访问控制策略中建立云标识和特权访问方法。 此策略应包括以下方面的记录指南、策略和标准:

  • 集中式标识和身份验证系统(如 Azure AD)及其与其他内部和外部标识系统的互连
  • 特权标识和访问治理(例如访问请求、评审和批准)
  • 紧急(紧急解锁)情况下的特权帐户
  • 不同用例和条件中的强身份验证(无密码身份验证和多重身份验证)方法。
  • 通过 Web 门户/控制台、命令行和 API 确保管理操作的安全访问。

对于未使用企业系统的异常情况,请确保对标识、身份验证和访问管理有足够的安全控制措施,并进行管理。 企业团队应批准并定期审查这些例外。 这些异常通常适用于以下情况:

  • 使用非企业指定的标识和身份验证系统,例如基于云的第三方系统(可能带来未知风险)
  • 经过本地认证和/或使用非强身份验证方法的特权用户

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-7:定义并实施日志记录、威胁检测和事件响应策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5

常规指导:建立日志记录、威胁检测和事件响应策略,以快速检测和修正威胁并满足合规性要求。 安全作(SecOps/SOC)团队应优先考虑高质量的警报和无缝体验,以便他们能够专注于威胁,而不是日志集成和手动步骤。 此策略应包括以下方面的记录策略、过程和标准:

  • 安全运营 (SecOps) 组织的角色和职责
  • 与 NIST SP 800-61(计算机安全事件处理指南)或其他行业框架保持一致的明确且定期测试的事件响应计划和处理过程。
  • 与客户、供应商和相关公共利益方的沟通和通知计划。
  • 在云环境中模拟预期和意外的安全事件,以了解准备的有效性。 对模拟结果进行迭代,以改善响应策略的规模,缩短实现价值的时间,并进一步降低风险。
  • 首选使用扩展检测和响应功能(例如 Azure Defender 功能)来检测各种区域中的威胁。
  • 使用云原生功能(例如,Microsoft Defender for Cloud)和第三方平台来处理事件,例如日志记录和威胁检测、取证以及攻击修正和根除。
  • 准备必要的操作手册(包括手动和自动化的过程),以确保响应可靠且一致。
  • 定义关键方案(例如威胁检测、事件响应和符合性),并设置日志捕获和保留以满足方案要求。
  • 使用 SIEM、本机云威胁检测功能和其他源集中查看和关联有关威胁的信息。
  • 事后活动,如吸取的教训和证据保留。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-8:定义并实施备份和恢复策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
11.1 CP-1、CP-9、CP-10 3.4

常规指导:为组织建立备份和恢复策略。 此策略应在以下方面包括记录的指南、策略和标准:

  • 恢复时间目标(RTO)和恢复点目标(RPO)定义符合业务复原能力和法规合规性要求。
  • 云和本地的应用程序和基础结构中的冗余设计(包括备份、还原和复制)。 请考虑将区域、区域对、跨区域数据恢复和异地存储位置视为策略的一部分。
  • 使用数据访问权限控制、加密和网络安全等控制措施保护备份免受未经授权的访问和篡改。
  • 使用备份和恢复来缓解新兴威胁(如勒索软件攻击)的风险。 此外,还保护备份和恢复数据本身免受这些攻击。
  • 出于审核和警报的目的监视备份和恢复的数据及操作。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-9:定义并实施终结点安全策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4, 10.1 SI-2、SI-3、SC-3 5.1, 5.2, 5.3, 5.4, 11.5

常规指导:建立云终结点安全策略,其中包括以下几个方面:-将终结点检测和响应和反恶意软件功能部署到终结点,并与威胁检测和 SIEM 解决方案和安全作过程集成。

  • 按照Microsoft云安全基准,确保其他方面(例如网络安全、状况漏洞管理、标识和特权访问以及日志记录和威胁检测)中的终结点相关安全设置也已到位,以便为终结点提供深层防御保护。
  • 确定生产环境中的终结点安全性的优先级,但确保非生产环境(如 DevOps 过程中使用的测试和生成环境)也受到保护和监视,因为这些环境还可用于在生产环境中引入恶意软件和漏洞。

实现和其他上下文

客户安全利益干系人(了解详细信息

GS-10:定义并实施 DevOps 安全策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

一般指导:将安全控制强制作为组织的 DevOps 工程和运行标准的一部分。 根据组织中的企业和云安全标准定义安全目标、控制要求和工具规范。

鼓励在整个 CI/CD 工作流中使用 DevOps 作为组织的基本作模型,以利用不同类型的自动化(例如基础结构(如代码预配、自动化 SAST 和 DAST 扫描)快速识别和修正漏洞。 这种“左移”方法还提高了在部署管道中强制实施一致的安全检查的可见性和能力,从而提前有效地将安全防护措施部署到环境中,以避免将工作负荷部署到生产环境时出现最后一刻的安全意外。

将安全控制转移到部署前阶段时,请实施安全防护措施,以确保在整个 DevOps 过程中部署并强制实施控制措施。 此技术可能包括资源部署模板(如 Azure ARM 模板),以在 IaC(基础结构即代码)、资源预配和审核中定义防护措施,以限制可预配到环境中的服务或配置。

对于工作负荷的运行时安全控制,请遵循Microsoft云安全基准来设计和实施有效的控制措施,例如标识和特权访问、网络安全、终结点安全性和工作负载应用程序和服务内的数据保护。

实现和其他上下文

GS-11:定义和实施多云安全策略

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1

一般指导:确保在云和安全治理、风险管理和作过程中定义多云策略,其中应包括以下几个方面:

  • 多云采用:对于运营多云基础结构并教育组织的组织,确保团队了解云平台和技术堆栈之间的功能差异。 生成、部署和/或迁移可移植的解决方案。 允许在云平台之间轻松移动,同时将供应商锁定降到最低,并充分利用云原生功能,以实现云采用的最佳效果。
  • 云和安全操作:简化安全操作,以支持各个云中的解决方案,通过一组集中的治理和管理流程来共享常见的操作流程,不考虑解决方案的部署和运行位置。
  • 工具和技术堆栈:选择支持多云环境的适当工具,以帮助建立统一的集中式管理平台,其中可能包括此安全基准中讨论的所有安全域。

实现和其他上下文