Řízení antipatternů
Během fáze přechodu na cloud můžete narazit na antipatterny. Seznamte se se sdílenými odpovědnostmi a zjistěte, jak vytvořit strategii zabezpečení na existujících architekturách, abyste se těmto antipatternům vyhnuli.
Antipattern: Nepochopení sdílených odpovědností
Když cloud přijmete, není vždy jasné, kde vaše odpovědnost končí, a odpovědnost poskytovatele cloudu začíná v souvislosti s různými modely služeb. Cloudové dovednosti a znalosti se vyžadují k vytváření procesů a postupů souvisejících s pracovními položkami, které používají modely služeb.
Příklad: Předpokládejme, že poskytovatel cloudu spravuje aktualizace.
Členové oddělení lidských zdrojů společnosti používají infrastrukturu jako službu (IaaS) k nastavení více serverů s Windows v cloudu. Předpokládá se, že poskytovatel cloudu spravuje aktualizace, protože místní IT obvykle zpracovává instalaci aktualizací. Personální oddělení nenakonfiguruje aktualizace, protože neví, že Azure ve výchozím nastavení nenasazuje a nenainstaluje aktualizace operačního systému. Výsledkem je, že servery nedodržují předpisy a představují bezpečnostní riziko.
Upřednostňovaný výsledek: Vytvoření plánu připravenosti
Seznamte se se sdílenou odpovědností v cloudu. Sestavte a vytvořte plán připravenosti. Plán připravenosti může vytvořit trvalý růst pro výuku a rozvoj odborných znalostí.
Antipattern: Předpokládejme, že předefinovaná řešení poskytují zabezpečení
Společnosti obvykle vidí zabezpečení jako funkci, která je součástí cloudových služeb. I když je tento předpoklad často správný, většina prostředí musí dodržovat požadavky na architekturu dodržování předpisů, které se můžou lišit od požadavků na zabezpečení. Azure poskytuje základní zabezpečení a Azure Portal může poskytovat pokročilejší zabezpečení prostřednictvím Microsoft Defenderu pro cloud. Při vytváření předplatného je nutné přizpůsobit řešení tak, aby vynucuje standard dodržování předpisů a zabezpečení.
Příklad: Zanedbávání zabezpečení cloudu
Společnost vyvíjí novou aplikaci v cloudu. Vybírá architekturu založenou na mnoha službách PaaS (Platforma jako služba) a některé komponenty IaaS pro účely ladění. Po uvolnění aplikace do produkčního prostředí společnost zjistí, že došlo k ohrožení jednoho ze svých jump serverů a extrahování dat na neznámou IP adresu. Společnost zjistí, že problém je veřejná IP adresa jump serveru a heslo, které se dá snadno odhadnout. Společnost by se této situaci mohla vyhnout, pokud se více zaměřila na zabezpečení cloudu.
Upřednostňovaný výsledek: Definování strategie cloudového zabezpečení
Definujte správnou strategii zabezpečení cloudu. Další informace najdete v průvodci připraveností na cloud CISO. V této příručce se obraťte na svého šéfa informačního oddělení (CISO). Průvodce připraveností na cloud CISO popisuje témata, jako jsou prostředky platformy zabezpečení, ochrana osobních údajů a kontroly, dodržování předpisů a transparentnost.
Přečtěte si o zabezpečených cloudových úlohách v srovnávacím testu zabezpečení Azure. Stavět na CIS Controls v7.1 z Center for Internet Security, spolu s NIST SP800-53 z National Institute of Standards and Technology, která řeší většinu bezpečnostních rizik a opatření.
Pomocí Programu Microsoft Defender for Cloud můžete identifikovat rizika, přizpůsobit osvědčené postupy a zlepšit stav zabezpečení vaší společnosti.
Implementace nebo podpora automatizovaných požadavků na dodržování předpisů a zabezpečení specifických pro společnost s využitím azure Policy a Azure Policy jako řešení kódu
Antipattern: Použití vlastní architektury dodržování předpisů nebo zásad správného řízení
Zavedení vlastní architektury dodržování předpisů a zásad správného řízení, které není založené na oborových standardech, může výrazně zvýšit dobu přechodu na cloud. Důvodem je, že překlad z vlastní architektury do nastavení cloudu může být složitý. Tato složitost může zvýšit úsilí potřebné k překladu vlastních měr a požadavků do implementovatelných kontrolních mechanismů zabezpečení. Společnosti obvykle potřebují dodržovat podobné sady požadavků na zabezpečení a dodržování předpisů. V důsledku toho se většina vlastních architektur dodržování předpisů a zabezpečení liší pouze mírně od aktuálních architektur dodržování předpisů. Společnosti s dodatečnými požadavky na zabezpečení můžou zvážit vytváření nových architektur.
Příklad: Použití vlastní architektury zabezpečení
CISO společnosti přiřazuje zaměstnancům zabezpečení IT úkol přijít se strategií a architekturou cloudového zabezpečení. Místo toho, aby bylo možné stavět na oborových standardech, vytvoří oddělení zabezpečení IT novou architekturu, která vychází z aktuálních místních zásad zabezpečení. Po dokončení zásad zabezpečení cloudu mají týmy AppOps a DevOps potíže s implementací zásad zabezpečení cloudu.
Azure nabízí komplexnější strukturu zabezpečení a dodržování předpisů, která se liší od vlastní architektury společnosti. Tým CISO si myslí, že kontrolní mechanismy Azure nejsou kompatibilní s vlastními pravidly dodržování předpisů a zabezpečení. Pokud by jeho rámec byl založen na standardizovaných kontrolách, nemělo by k tomu dojít.
Upřednostňovaný výsledek: Spoléhání na existující architektury
Před vytvořením nebo zavedením vlastního rámce dodržování předpisů společnosti použijte nebo sestavte na existujících architekturách, jako jsou ovládací prvky CIS verze 7.1 nebo NIST SP 800-53. Stávající architektury usnadňují přechod na nastavení zabezpečení cloudu a usnadňují měřitelnost. Další informace o implementacích architektury najdete v tématu Možnosti implementace cílových zón Azure.