تحسين أمان المنطقة المنتقل إليها
عندما يتطلب حمل العمل أو المناطق المنتقل إليها التي تستضيفه الوصول إلى أي بيانات حساسة أو أنظمة مهمة، من المهم حماية البيانات والأصول.
آمن
أثناء خروجك من حالة Ready، تتحمل مسؤولية مستمرة للحفاظ على أمان بيئتك. أمان السحابة هو أيضا عملية تزايدية بدلا من مجرد وجهة ثابتة. التركيز على الأهداف والنتائج الرئيسية عند تصور حالة نهاية أمنية. قم بتعيين المفاهيم والأطر والمعايير للتخصصات في منهجية CAF الآمنة جنبا إلى جنب مع تعيين الأدوار والمسؤوليات للانضباط البشري. توفر المنهجية الآمنة إرشادات.
نقدم أدناه نظرة عامة على هذه الإرشادات مع ارتباطات إلى التفاصيل.
رؤى المخاطر
العمليات التجارية لها مخاطر أمنية. يجب على فريق الأمان إبلاغ صانعي القرار وتقديم المشورة بشأن كيفية احتواء المخاطر الأمنية في أطر عملهم من خلال فهم الأعمال واستخدام الممارسات الأمنية للتعرف على المخاطر التي يجب التخطيط لها واتخاذ الإجراءات اللازمة بشأنها.
- ما هي مخاطر الأمان عبر الإنترنت؟: جميع الأضرار المحتملة أو التدمير المحتملة للأعمال التجارية التي يسببها المهاجمون البشريون الذين يحاولون سرقة العملة أو داخل المعلومات أو التكنولوجيا.
- مواءمة إدارة المخاطر الأمنية: استثمر في سد الأمان عبر الإنترنت والقيادة التنظيمية لشرح التهديدات الأمنية باستخدام مصطلحات صديقة للأعمال، والاستماع الفعال والتواصل مع جميع الأشخاص عبر الأعمال.
- فهم مخاطر الأمان عبر الإنترنت: فهم دوافع وأنماط سلوك المهاجمين البشريين لسرقة الأموال أو المعلومات أو التكنولوجيا وتحديد التأثير المحتمل للأنواع المختلفة من الهجمات.
تكامل الأمان
تأكد من أن الأمان هو مصدر قلق تنظيمي وليس منعزلا في مجموعة واحدة. يوفر لك تكامل الأمان إرشادات حول كيفية دمج الأمان في دور الجميع مع تقليل الاحتكاك مع العمليات التجارية. تتضمن الإرشادات المحددة ما يلي:
- تطبيع العلاقات: تأكد من أن جميع الفرق متكاملة مع فرق الأمان وأن يكون لديها فهم مشترك للأهداف الأمنية. علاوة على ذلك، اعمل على العثور على المستوى الصحيح من عناصر التحكم في الأمان، مما يضمن عدم تفوق عناصر التحكم على قيمة الأعمال.
- التكامل مع تكنولوجيا المعلومات والعمليات التجارية: تحقيق التوازن بين تنفيذ تحديثات الأمان وتعيين كيفية تأثير جميع عمليات الأمان على تأثير الأعمال الحالي والمخاطر الأمنية المحتملة في المستقبل.
- دمج فرق الأمان: تجنب العمل في الصوامع من خلال الاستجابة للتهديدات النشطة وتحسين الوضع الأمني للمؤسسة باستمرار من خلال ممارسة الأمان باعتباره ضابطا ديناميكيا.
مرونة الأعمال
في حين أن المؤسسات لا يمكن أن يكون لديها أمان مثالي أبدا، لا يزال هناك نهج عملي لمرونة الأعمال في استثمار دورة الحياة الكاملة لمخاطر الأمان قبل وقوع حادث وأثناءه وبعده.
- أهداف المرونة: ركز على تمكين شركتك من الابتكار بسرعة والحد من التأثير والبحث دائما عن طرق آمنة لاعتماد التكنولوجيا.
- المرونة الأمنية وافتراض الخرق: افترض الخرق أو الاختراق لاتباع المبدأ الرئيسي المتمثل في عدم الثقة وممارسة السلوكيات الأمنية العملية لمنع الهجمات والحد من الضرر والتعافي السريع منها.
التحكم في الوصول
قم بإنشاء استراتيجية التحكم في الوصول التي تتوافق مع تجربة المستخدم وضمانات الأمان.
- من محيط الأمان إلى الثقة المعدومة: تبني نهج ثقة معدومة للتحكم في الوصول لإنشاء ضمانات الأمان وتحسينها عند العمل في السحابة واستخدام التكنولوجيا الجديدة.
- التحكم في الوصول الحديث: اجعل استراتيجية التحكم في الوصول شاملة ومتسقة ومرنة. تجاوز تكتيك واحد أو تقنية واحدة لأحمال العمل المتعددة والسحب ومستويات حساسية الأعمال المختلفة.
- معروف وموثوق به ومسموح به: اتبع العملية الديناميكية المكونة من ثلاث خطوات لضمان المصادقة المعروفة، والثقة بالمستخدم أو الجهاز، والسماح بالحقوق والامتيازات المناسبة للتطبيق أو الخدمة أو البيانات.
- قرارات الوصول المستندة إلى البيانات: اتخاذ قرارات مستنيرة من البيانات المتنوعة على المستخدمين والأجهزة لتحقيق التحقق الصريح.
- التجزئة: منفصلة للحماية: إنشاء حدود كأجزاء منفصلة من بيئة داخلية لاحتواء أضرار الهجمات الناجحة.
- العزل: تجنب جدار الحماية والنسيان: تصميم شكل متطرف من التجزئة للأصول المهمة للأعمال التي تتكون من: الأشخاص والعملية والتكنولوجيا.
عمليات الأمان
قم بإنشاء عمليات أمان عن طريق تقليل المخاطر والاستجابة السريعة والاسترداد لحماية مؤسستك واتباع الانضباط الأمني لعملية DevOps.
- الأشخاص والعملية: خلق ثقافة لتمكين الناس من الأدوات لتمكينهم كأهم أصولك وتنويع محفظة تفكيرك من خلال تضمين وتدريب الأشخاص غير التقنيين ذوي الخلفيات القوية في أدوار التحقيق الجنائي.
- نموذج العمليات الأمنية: التركيز على نتائج إدارة الحوادث وإعداد الحوادث والتحليل الذكي للمخاطر. تفويض النتائج بين النماذج الفرعية لفرز الحوادث الكبيرة والحوادث المعقدة والتحقيق فيها والبحث عنها.
- نقاط لمس أعمال SecOps: التفاعل مع قيادة الأعمال من أجل إبلاغ الحوادث الرئيسية وتحديد تأثير الأنظمة الحرجة. الاستجابة للممارسة المشتركة باستمرار للحد من المخاطر التنظيمية.
- تحديث SecOps: تطوير عمليات الأمان باتباع الاتجاهات التي تتضمن تغطية النظام الأساسي والأمان الذي يركز على الهوية وأجهزة IoT وOT وبيانات تتبع الاستخدام ذات الصلة من السحابة.
حماية الأصول
تأمين الأصول المهمة للأعمال، والتي تتضمن جميع العناصر المادية والظاهرية من خلال تنفيذ عناصر التحكم في الأمان الفريدة لكل نوع من أنواع الأصول. تنفيذ الحماية الوقائية والتحري باستمرار لتلبية السياسات والمعايير والهندسة المعمارية.
- الحصول على الأمان: إحضار الموارد إلى أحدث معايير ونهج الأمان لمؤسستك من خلال تطبيق عناصر التحكم الحالية على أصول brownfield وضمان تعيين أصول greenfield إلى أحدث المعايير.
- البقاء آمنا: ممارسة التحسين المستمر للسحابة والتخطيط لترقية برامج نهاية العمر الافتراضي أو إيقافها مع تغير متطلبات الأعمال والتكنولوجيا والأمان بسرعة.
- البدء: ابدأ في حماية الأصول من خلال التركيز على موارد السحابة المعروفة أولا واستخدام خطوط الأساس المعروفة والمثبتة للمورد/الصناعة لتكوين الأمان الخاص بك.
- المعلومات الرئيسية: استخدم العناصر الرئيسية للفرق المسؤولة والمسؤولة لإدارة الأصول على مستوى المؤسسة مثل احتياجات حمل عمل مرونة السحابة وعناصر التحكم في التصميم لتحديد أفضل الممارسات. قياس القيمة التجارية لحماية الأصول وتفضيل السياسة الآلية لتجنب التكلفة والتكرار اليدوي.
حوكمة الأمان
إجراء الرقابة والمراقبة باستخدام الحوكمة الأمنية للحفاظ على الوضع الأمني وتحسينه بمرور الوقت باستخدام أهداف الأعمال والمخاطر لتحديد أفضل اتجاه للأمان.
- التوافق وإعداد التقارير: يجب أن تفي سياسات الأمان الخارجية والداخلية بالمتطلبات الإلزامية في صناعة معينة.
- البنية والمعايير: أنشئ طريقة عرض موحدة عبر ملكية مؤسستك لأن معظم المؤسسات هي بيئة مختلطة تتضمن كلا من الموارد المحلية والسحابية.
- إدارة الوضع الأمني: خطط للحوكمة لمراقبة معايير الأمان وتوفير التوجيه وتحسين العمليات. الحفاظ على المرونة من خلال الحوكمة المدفوعة من خلال السياسة والتحسين المستمر.
- ضوابط الحوكمة والحماية: تطبيق عناصر التحكم في الأمان وتقديم الملاحظات لتحديد أفضل الحلول.
- عمليات الحوكمة والأمن: تأكد من دمج الدروس المستفادة من الحوادث في العمليات الأمنية والحوكمة.
أمان الابتكار
حماية عمليات وبيانات الابتكار من الهجمات الإلكترونية مع تطوير تطبيقات جديدة مع وضع أمان الابتكار في الاعتبار.
- ما هو DevSecOps؟: الأمان المتكامل في عملية التطوير والعمليات المجمعة بالفعل في DevOps للتخفيف من المخاطر في عملية الابتكار.
- الأمان من خلال التصميم والتحول إلى اليسار: إشراك الأمان في جميع مراحل دورة حياة DevOps وتوافق الفرق مع سرعة الابتكار والموثوقية والمرونة.
- لماذا DevSecOps؟: لتأمين عملية DevOps التي تحمي من المهاجمين الذين يستغلون نقاط الضعف في جميع البنية الأساسية تكنولوجيا المعلومات داخل مؤسستك، والتي بدورها تحمي عملائك.
- رحلة DevSecOps: استخدم احتضان الأفكار وDevOps كعملية من مرحلتين مثل معظم المؤسسات. حدد متطلبات MVP (الحد الأدنى من المنتجات القابلة للتطبيق)، واستخدم تقنيات القيادة لحل تعارضات الفرق، ودمج الأمان في العمليات والأدوات الحالية.
- نصائح حول التنقل في الرحلة: أثناء تحويل أمانك، ستكون هناك تحديات شائعة طوال الرحلة تتضمن التعليم والوقت والمورد والطبيعة المتغيرة بشكل عام لعمليات تكنولوجيا المعلومات.
عناصر تحكم DevSecOps
أضف الأمان إلى كل مرحلة من مراحل التكامل المستمر والتسليم المستمر (CI/CD) عند إنشاء عناصر تحكم DevSecOps.
- التخطيط والتطوير: جلب الأمان إلى مرحلة التخطيط في منهجيات التطوير الحديثة لتنفيذ نمذجة المخاطر والمكونات الإضافية لأمان IDE/التثبيت المسبق ومراجعة النظراء.
- تنفيذ التعليمات البرمجية: تقييم وتنفيذ إمكانية فحص الثغرات الأمنية في مستودعاتك المركزية لاكتشاف المخاطر وإجراء المعالجة.
- الإنشاء والاختبار: استخدم البنية الأساسية لبرنامج ربط العمليات التجارية للإنشاء والإصدار للأتمتة والتوحيد القياسي لعمليات إنشاء التعليمات البرمجية الآمنة وتوزيعها دون قضاء كميات كبيرة من الوقت في إعادة توزيع البيئات الحالية أو ترقيتها.
- انتقل إلى الإنتاج والتشغيل: الإشراف على حالة الأمان وإدارتها عند تقديم الحل للإنتاج. استخدم أدوات فحص البنية الأساسية وممارسات اختبار الاختراق لتمكين الفرق من العثور على المخاطر والثغرات الأمنية لمعالجتها.
دورة التطوير المستندة إلى الاختبار
قبل البدء في أي تحسينات أمنية، من المهم فهم "تعريف تم" وجميع "معايير القبول". لمزيد من المعلومات، راجع المقالات حول التطوير المستند إلى الاختبار للمناطق المنتقل إليهاوالتطوير المستند إلى الاختبار في Azure.
الخطوات التالية
فهم كيفية تحسين عمليات المنطقة المنتقل إليها لدعم التطبيقات الهامة.