الأمان في Microsoft Cloud Adoption Framework لـ Azure
كما أن استخدام السحابة هو رحلة، فإن أمان السحابة هو رحلة مستمرة من التقدم والنضج المتزايدين، وليس وجهة ثابتة.
تخيل حالة أمنية نهائية
إن الرحلة بدون وجهة مستهدفة هي مجرد تجول. قد يؤدي هذا النهج في نهاية المطاف إلى التنوير، ولكن غالبا ما تتطلب أهداف العمل والقيود التركيز على الأهداف والنتائج الرئيسية.
توفر المنهجية الآمنة رؤية للحالة النهائية الكاملة، والتي توجه تحسين برنامج الأمان الخاص بك بمرور الوقت. تعين المرئيات التالية الطرق الرئيسية التي يتكامل بها الأمان مع مؤسسة أكبر وتعرض التخصصات داخل الأمان.
يرشد Cloud Adoption Framework رحلة الأمان هذه من خلال توفير الوضوح للعمليات وأفضل الممارسات والنماذج والتجارب. تستند هذه الإرشادات إلى الدروس المستفادة وتجارب العالم الحقيقي للعملاء الحقيقيين، ورحلة أمان Microsoft، والعمل مع المؤسسات، مثل NIST والمجموعة المفتوحة ومركز أمان الإنترنت (CIS).
يوضح الفيديو التالي كيف تساعد منهجية Secure في توجيه تحسينات الأمان بمرور الوقت.
تعيين إلى المفاهيم والأطر والمعايير
الأمان هو ضابط تنظيمي مستقل وسمة متكاملة أو متراكبة على التخصصات الأخرى. من الصعب تحديد التفاصيل وتعيينها بدقة. تستخدم صناعة الأمان أطر عمل مختلفة لتشغيل عناصر التحكم في المخاطر والتقاطها وتخطيطها. ترتبط التخصصات في منهجية CAF Secure بمفاهيم وإرشادات الأمان الأخرى بالطرق التالية:
ثقة معدومة: تعتقد Microsoft أن جميع ضوابط الأمان يجب أن تتبع مبادئ ثقة معدومة، والتي تفترض حدوث خرقوالتحقق بشكل صريحواستخدام الوصول الأقل امتيازا. تدعم هذه المبادئ أي استراتيجية أمنية سليمة ويجب أن تكون متوازنة مع أهداف تمكين الأعمال . الجزء الأول والأكثر وضوحا من ثقة معدومة هو في التحكم في الوصول، لذلك يتم تمييزه في وصف ضابط أمان التحكم في الوصول.
المجموعة المفتوحة: يتم تعيين تخصصات الأمان هذه بشكل وثيق إلى مكونات ثقة معدومة في المستند التقني للمبادئ الأساسية الذي نشرته المجموعة المفتوحة حيث تشارك Microsoft بنشاط. الاستثناء الملحوظ هو أن Microsoft رفعت من مستوى ضابط أمان الابتكار بحيث يكون DevSecOps عنصرا من المستوى الأعلى بسبب مدى الجديد والمهم والتحويلي لهذا الانضباط للعديد من المؤسسات.
إطار الأمن السيبراني NIST: بالنسبة للمؤسسات التي تستخدم إطار الأمن السيبراني NIST ، قمنا بتسليط الضوء على النص الواضح حيث يرسم إطار العمل بشكل وثيق. ويتم تعيين التحكم الحديث في الوصول و DevSecOps على نطاق واسع إلى النطاق الكامل لإطار العمل، لذلك لا تُلاحظ هذه العناصر بشكل فردي.
تعيين الأدوار والمسؤوليات
يلخص الرسم البياني التالي الأدوار والمسؤوليات في برنامج الأمان.
لمزيد من المعلومات، راجع وظائف أمان السحابة.
تحويل الأمان
عندما تعتمد المؤسسات السحابة، فإنها تجد بسرعة أن عمليات الأمان الثابتة لا يمكن أن تواكب وتيرة التغيير في الأنظمة الأساسية السحابية وبيئة التهديد وتطور تقنيات الأمان. يجب أن يتحول الأمان إلى نهج متطور باستمرار لمطابقة الوتيرة مع هذا التغيير. وهو يحول الثقافة التنظيمية والعمليات اليومية في جميع أنحاء المؤسسة.
توجه هذه المنهجية تكامل الأمان مع العمليات التجارية والتخصصات التقنية الأمنية. تمكن هذه العمليات والتخصصات من إحراز تقدم هادف ومستدام في رحلتك الأمنية لتقليل المخاطر التنظيمية. يمكن لعدد قليل من المؤسسات إتقان كل هذه الممارسات في وقت واحد، ولكن يجب على جميع المنظمات أن تنضج باطراد كل عملية وانضباط.
تغيير برامج التشغيل
تواجه مؤسسات الأمان نوعين من التحويلات الرئيسية في نفس الوقت.
-
الأمان كمخاطر تجارية: وقد دفع الأمن إلى مجال إدارة مخاطر الأعمال التجارية من الانضباط التقني البحت الموجه نحو الجودة. القوى المزدوجة التي تحرك الأمن هي:
- التحول الرقمي: تزيد البصمة الرقمية باستمرار من سطح الهجوم المحتمل للمؤسسة.
- مشهد التهديد: الزيادات في حجم الهجوم والرقي الذي يغذيه اقتصاد هجوم صناعي مع مهارات متخصصة والسلع المستمرة من أدوات وتقنيات الهجوم.
- تغيير النظام الأساسي: يتشابك الأمان مع تغيير النظام الأساسي التقني إلى السحابة. هذا التحول على نطاق المصانع التي تتحول من تشغيل مولداتها الكهربائية إلى توصيلها بشبكة كهربائية. في حين أن فرق الأمان غالبا ما يكون لديها المهارات الأساسية الصحيحة، فإنها تصبح غارقة في التغييرات التي تطرأ على كل عملية وتكنولوجيا تستخدمها كل يوم تقريبا.
- التحول في التوقعات: في العقد الماضي، أعاد الابتكار الرقمي تعريف صناعات بأكملها. يمكن لخفة الحركة التجاري، وخاصة المرونة المتعلقة بالتحول الرقمي، أن تطيح بسرعة بمؤسسة ما كرائدة في السوق. يمكن أن يكون لفقدان ثقة المستهلك تأثير مماثل على الأعمال التجارية. كان من المقبول مرة واحدة أن يبدأ الأمان ب "لا" لحظر مشروع وحماية المؤسسة. الآن يجب أن تغير الحاجة الملحة لاعتناق التحول الرقمي نموذج المشاركة إلى "دعونا نتحدث عن كيفية البقاء آمنا أثناء القيام بما هو مطلوب للبقاء على صلة".
دليل التحول الدائم
لتحويل كيفية عرض فرق الأعمال والتكنولوجيا للأمان يتطلب مواءمة الأمان مع الأولويات والعمليات وإطار عمل المخاطر. المجالات الرئيسية التي تدفع النجاح هي:
- الثقافه: يجب أن تركز ثقافة الأمن على الوفاء بأمان بمهمة الأعمال التجارية، وليس إعاقة ذلك. يجب أن يصبح الأمن جزءا عاديا من ثقافة المنظمة. الإنترنت، حيث تعمل الشركة، مفتوح ويسمح للخصوم بمحاولة الهجمات في أي وقت. يتطلب هذا التحول الثقافي تحسين العمليات والشراكات ودعم القيادة المستمر على جميع المستويات لتوصيل التغيير ونمذجة السلوك وتعزيز التحول.
- ملكية المخاطر: يجب تعيين المساءلة عن المخاطر الأمنية لنفس الأدوار التي تمتلك جميع المخاطر الأخرى. هذه المساءلة تحرر الأمن ليكون مستشارا موثوقا به وخبيرا في الموضوع بدلا من كبش فداء. يجب أن يكون الأمان مسؤولا عن المشورة السليمة والمتوازنة التي يتم توصيلها بلغة هؤلاء القادة ولكن لا ينبغي محاسبتهم على القرارات التي لا يمتلكونها.
-
المواهب الأمنية: الموهبة الأمنية تعاني من نقص مزمن وينبغي للمؤسسات أن تخطط لكيفية تطوير وتوزيع المعرفة والمهارات الأمنية على أفضل نحو. بالإضافة إلى تنمية فرق الأمان مباشرة مع مجموعات مهارات الأمان التقنية، تقوم فرق الأمان الناضجة بتنويع استراتيجيتها من خلال التركيز على:
- زيادة مجموعات المهارات الأمنية والمعرفة داخل الفرق الموجودة في تكنولوجيا المعلومات وداخل الأعمال. هذه المهارات مهمة بشكل خاص لفرق DevOps مع نهج DevSecOps. يمكن أن تتخذ المهارات أشكالا عديدة، مثل مكتب المساعدة الأمنية، أو تحديد الأبطال وتدريبهم داخل المجتمع، أو برامج تبديل الوظائف.
- توظيف مجموعات مهارات متنوعة للفرق الأمنية لجلب وجهات نظر وأطر عمل جديدة للمشاكل (مثل الأعمال أو علم النفس البشري أو الاقتصاد) وبناء علاقات أفضل داخل المنظمة.
محاذاة الأعمال
وبسبب هذه التحولات، يجب أن يركز برنامج اعتماد السحابة بشكل كبير على محاذاة الأعمال في ثلاث فئات:
- رؤى المخاطر: محاذاة ودمج رؤى الأمان وإشارات المخاطر أو المصادر مع مبادرات الأعمال. تأكد من أن العمليات القابلة للتكرار تقوم بتثقيف الفرق حول تطبيق تلك الرؤى ومحاسبة الفرق على التحسينات.
- تكامل الأمان: دمج المعرفة الأمنية والمهارات والرؤى في العمليات اليومية لبيئة الأعمال وبيئة تكنولوجيا المعلومات. دمج عمليات قابلة للتكرار وشراكة عميقة على جميع مستويات المنظمة.
- المرونة التشغيلية: تأكد من أن المؤسسة مرنة من خلال استمرار العمليات أثناء الهجوم (حتى لو كانت في حالة تدهور). يجب أن ترتد المنظمة بسرعة مرة أخرى إلى التشغيل الكامل.
الضوابط الأمنية
يؤثر هذا التحول على كل ضابط أمان بشكل مختلف. كل من هذه التخصصات مهمة وتتطلب الاستثمار. يتم ترتيب التخصصات التالية (تقريبا) التي لديها الفرص الأكثر إلحاحا لتحقيق مكاسب سريعة أثناء اعتماد السحابة:
- التحكم في الوصول: يؤدي تطبيق الشبكة والهوية إلى إنشاء حدود وصول وتجزئة لتقليل تكرار الانتهاكات الأمنية والوصول إليها.
- عمليات الأمان: مراقبة عمليات تكنولوجيا المعلومات للكشف عن الخرق والاستجابة له والتعافي منه. استخدم البيانات لتقليل مخاطر الخرق باستمرار.
- حماية الأصول: تكبير حماية الأصول، مثل البنية الأساسية والأجهزة والبيانات والتطبيقات والشبكات والهويات، لتقليل المخاطر على البيئة العامة.
- حوكمة الأمان: وتسريع القرارات المفوضة الابتكار وتقدم مخاطر جديدة. مراقبة القرارات والتكوينات والبيانات لإدارة القرارات التي يتم اتخاذها عبر البيئة وضمن أحمال العمل عبر قائمة المشاريع.
- أمان الابتكار: نظرا لأن المؤسسة تعتمد نماذج DevOps لزيادة وتيرة الابتكار، يجب أن يصبح الأمان جزءا لا يتجزأ من عملية DevSecOps. دمج الخبرة والموارد الأمنية مباشرة في هذه الدورة عالية السرعة. تتضمن هذه العملية نقل بعض عمليات اتخاذ القرار من الفرق المركزية لتمكين الفرق التي تركز على حمل العمل.
المبادئ التوجيهية
يجب محاذاة أنشطة الأمان وتشكيلها من خلال التركيز المزدوج على:
- تمكين الأعمال: يتوافق مع هدف الأعمال وإطار عمل المخاطر في المؤسسة.
-
ضمانات الأمان: التركيز على تطبيق المبادئ ثقة معدومة، وهي:
- افترض حدوث خرق: عند تصميم الأمان لمكون أو نظام، قلل من مخاطر قيام المهاجم بتوسيع الوصول بافتراض تعرض الموارد الأخرى في المؤسسة للخطر.
- التحقق الصريح: تحقق بشكل صريح من صحة الثقة باستخدام جميع نقاط البيانات المتوفرة، بدلا من افتراض الثقة. على سبيل المثال، في التحكم في الوصول، تحقق من صحة هوية المستخدم والموقع وصحة الجهاز والخدمة أو حمل العمل وتصنيف البيانات والشذوذ، بدلا من السماح بالوصول من شبكة داخلية موثوق بها ضمنيا.
- الوصول الأقل امتيازا: الحد من مخاطر المستخدم أو المورد المخترق من خلال توفير الوصول في الوقت المناسب والوصول الكافي (JIT/JEA)، والسياسات التكيفية المستندة إلى المخاطر وحماية البيانات للمساعدة في تأمين البيانات والإنتاجية.
الخطوات التالية
تعد المنهجية الآمنة جزءا من مجموعة شاملة من الإرشادات الأمنية التي تتضمن أيضا:
- Azure Well-Architected Framework: إرشادات حول تأمين أعباء العمل الخاصة بك على Azure.
- تصميم بنية الأمان: رحلة على مستوى التنفيذ لبنى الأمان الخاصة بنا. استعرض بنيات الأمان.
- معايير أمان Azure: أفضل الممارسات وعناصر التحكم الإلزامية لأمان Azure.
- المنطقة المنتقل إليها على نطاق المؤسسة: بنية Azure المرجعية والتنفيذ مع أمان متكامل.
- أفضل 10 ممارسات أمان ل Azure: أفضل أفضل ممارسات أمان Azure التي توصي بها Microsoft استنادا إلى الدروس المستفادة عبر العملاء والبيئات الخاصة بنا.
- بنيات الأمان عبر الإنترنت من Microsoft: تصف الرسومات التخطيطية كيفية تكامل قدرات أمان Microsoft مع الأنظمة الأساسية ل Microsoft والأنظمة الأساسية التابعة لجهات خارجية.