Microsoft Security Best Practices: Governance, Risk și Compliance

Microsoft Security Best Practices: Governance, Risk și Compliance

Vizualizări: 15

Activitățile Governance, Risk and Compliance (GRC) ajută la reducerea riscului organizațional, urmărind și validând în timp modul de aplicare a politicilor și a celor mai bune practici. Indiferent de dimensiunea unei organizații aceasta va avea constrângeri legate de disponibilitatea resurselor, a bugetelor, oamenilor și timpului, prin urmare vor fi forțate să prioritizeze consumul acestora  și să-și definească corect prioritățile de securitate, pentru a obține un Return of Investment adecvat în domeniul securității. 

Ce este GRC?

Prin Governance se stabilește modul de monitorizare, auditare și raportare a securității organizaționale. Acest lucru se realizează prin proiectarea controalelor de securitate și urmărirea modului în care organizația are sub control vizibilitatea modului în care lucrurile funcționează, dacă sunt necesare îmbunătățiri, există cerințe noi ce trebuie adresate sau raportate obligatoriu conform standardelor externe ale industriei, guvernamentale sau de reglementare la care organizația aderă.

Componenta Risc definește pericolele cu care se confruntă organizația în timp ce încearcă protecția informațiilor, proprietatea intelectuală sau informațiile financiare, definind cine ar putea fi interesat de acestea inclusiv amenințările interne sau externe, intenționate sau neintenționate. Nu trebuie uitat mecanismul de protecție și recuperare în cazul unui dezastru ce asigură continuitatea afacerii. 

Cea de a treia componentă, Compliance (conformitatea) se referă la cerințele specifice industriale, guvernamentale sau de reglementare ce oferă sau impun recomandări cu privire la criteriile pe care trebuie să le adreseze și să le îndeplinească controalele de securitate ale organizației. 

Care sunt capabilitățile GRC incluse în Microsoft Azure?

Conform documentației oficiale Azure Governance Site, componentele și serviciile dedicate din platforma Microsoft Azure sunt următoarele: 

 • Microsoft Defender for Cloud – fostul Azure Security Center, dedicat Identificării și prioritizării problemele de igienă a securității (Security Score), prin validarea și aplicarea recomandărilor pentru respectarea conformității cu CIS, PCI, SOC și ISO.
 • Grupurile de management – ce asigură administrarea consecventă subscripții și resurse.  
 • Azure Policy – Auditează și aplică politica definită la nivelul resurselor Azure sau a unui subset al acestora.  
 • Azure Blueprints – Creează medii consecvente, repetabile, inclusiv resurse, politici, atribuiri de roluri și multe altele. 

O definire corectă a mecanismelor GRC la nivelul platformei Azure trebuie să includă următoarele componente: 

 • Administarea tenanților Azure AD și a susbcripțiilor 
 • Definirea nivelelor de responsabilitate asociate echipelor implicate 
 • Adoptarea unei strategii de segmentare eficiente care să identifice segmentele de securitate necesare organizației ce sunt supuse riscurilor 
 • Asocierea și administrarea centralizată a subscripțiilor asociate tenanților prin folosirea management groupurilor din Azure (Root MG, Top Level MG și maxim 2-3 nivele în adâncime) 
 • Identificarea celor mai importante riscuri ce pot fi asociate pentru a încadra resursele într-un nivel de risc corespunzător 
 • Analiza și vizualizarea accesului prin Access Reviews
 • Îmbunătățirea posturii de securitate prin aplicarea recomandărilor vizibile în Microsoft Defender for Cloud 
 • Implementarea mecanismelor de notificare și administrarea incidentelor
 • Gestionarea accesului personalului de securitate și a nivelului de vizibilitate a acestuia  
 • Descoperirea și dezactivarea protocoalelor vechi de autentificare care sunt vulnerabile (SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, and Weak ciphers in Kerberos) 
 • Folosirea Microsoft Defender for Cloud pentru vizualizarea nivelului de compliance, automatizarea implementerilor de infrastructură folosind Azure Blueprints (conțin permisiuni RBAC, politici și resurse definite în templateuri) și rularea de benchmarkuri adaptate nevoilor definite în CIS (Center for Internet Security) 
 • Implementarea politicilor Azure adaptate nevoilor (exemple de politici Azure) 
 • Utilizarea capabilităților de securitate extinse: Azure Customer LockboxHardware Security Module (HSMs) dedicate și Confidential Computing 
 • Utilizarea testelor de penetrare și monitorizarea riscurilor Azure AD sign-in sau utilizatori 

 Care sunt capabilitățile GRC din microsoft 365?

Organizațiile care folosesc serviciile paltformei cloud Microsoft 365 pot folosi pe baza tipului de subscriptie aleasa, capabilități integrate în platformă specifice nivelului de conformitate dorit, împărțite în patru grupuri principale ce depind de licență plătită: 

 • Information protection 
       – Customer key 
       – Data Loss prevention 
       – Data Loss prevention for Teams DLP 
       – Hold your own key 
       – Message encryption 
       – Advanced message encryption 
       – Multi geo (extra) 
       – Sensitive information types 
       – Sensitivity labels 
       – Sensitivity labels for automated labelling 
 • Information governance 
       – Records management 
       – Retention labels 
       – Retention labels for automated labelling 
       – Retention policies 
       – Retention policies for rules based policies 
 • Insider risk management 
       – Communications compliance 
       – Customer lock box 
       – Information barriers 
       – Insider risk management 
       – Privacy Management 
       – Privileged access management 
 • eDiscovery and Audit 
       – Audit for Advanced Audit 
       – Cloud app discovery 
       – Compliance Manager 
       – Compliance Manager custom assessments 
       – eDiscovery for Advanced eDiscovery 
       – Litigation hold 
       – Microsoft Defender for Cloud Apps (MCAS) 
       – Search 

Este însă o realitate faptul că multe organizații nu folosesc capabilitățile Microsoft 365 integral sau eficient conform nevoilor, ceea ce a determinat Microsoft să definească Microsoft 365 Maturity Model reprezentat prin 5 nivele ale modelului de maturitate reprezentate astfel: 

Rolul acestui model este de a defini o reprezentare holistică a tehnologiilor disponibile și de a înțelege care este starea reală a organizației comparativ cu cea dorită ajutând-o astfel: 

 • Să înțeleagă și să compare opțiunile pentru adresarea nevoilor de afaceri 
 • Să-și concentreze timpul, energia și resursele pe prioritățile reale 
 • Să identifice bugetul și resursele necesare  
 • Să definească o linie de referință la care să se raporteze evoluția în timp a mecanismelor active 

Cu siguranță un subiect atât de amplu cum este gestionarea GRC necesită un nivel avansat de înțelegere și cunoaștere a tehnologiilor amintite mai sus, prin urmare vă recomand să studiați secțiunea documentației oficiale GRC  oferită de Microsoft. 

Autor: MARIAN PANDILICĂ

LinkedIn

Senior Microsoft Certified Trainer
Microsoft Learning Consultant 2010-2024
Customer Learning Architect
Cloud Solution and Cybersecurity Architect

New call-to-action