Řízení antipatternů
Zákazníci často narazíte na antipatterny během fáze řízení přechodu na cloud. Když potřebujete čas porozumět sdíleným zodpovědnostem, můžete se těmto antipatternům vyhnout, stejně jako vytváření strategie zabezpečení na existujících architekturách místo vytváření vlastních.
Antipattern: Nesprávné pochopení sdílených odpovědností
Při přechodu na cloud není vždy jasné, kde končí vaše odpovědnost, a začne odpovědnost poskytovatele cloudu týkající se různých modelů služeb. Dovednosti a znalosti v cloudu jsou potřeba k vytváření procesů a postupů obejdoucích se s pracovními položkami, které používají modely služeb.
Příklad: Předpokládejme, že poskytovatel cloudu spravuje aktualizace
Členové oddělení lidských zdrojů společnosti nastavili mnoho serverů s Windows v cloudu pomocí infrastruktury jako služby (IaaS). Předpokládají, že aktualizace spravuje poskytovatel cloudu, protože instalace aktualizací obvykle zajišťuje místní IT. Personální oddělení nenakonfiguruje aktualizace, protože neví, že Azure ve výchozím nastavení nenasazuje a neinstaluje aktualizace operačního systému. V důsledku toho jsou servery nedodržující předpisy a představují bezpečnostní riziko.
Upřednostňovaný výsledek: Vytvoření plánu připravenosti
Pochopení sdílené odpovědnosti v cloudu Sestavte a vytvořte plán připravenosti. Plán připravenosti může vytvořit průběžnou dynamiku pro výuku a rozvoj odborných znalostí.
Antipattern: Předpokládejme, že předefinované řešení poskytují zabezpečení
Společnosti často považují zabezpečení v cloudu za dané. I když je tento předpoklad obvykle správný, většina prostředí také musí splňovat požadavky na architekturu dodržování předpisů, které se můžou lišit od požadavků na zabezpečení. Azure poskytuje základní zabezpečení a Azure Portal může poskytovat pokročilejší zabezpečení prostřednictvím Microsoft Defender pro cloud. Vynucování dodržování předpisů a standardů zabezpečení ale při vytváření předplatného není předefinované prostředí.
Příklad: Zanedbávání zabezpečení cloudu
Společnost vyvíjí novou aplikaci v cloudu. Vybírá architekturu založenou na mnoha službách PaaS (platforma jako služba) a některé komponenty IaaS pro účely ladění. Po uvolnění aplikace do produkčního prostředí si společnost uvědomí, že došlo k ohrožení zabezpečení jednoho z jejích jump serverů a extrahování dat na neznámou IP adresu. Společnost zjistí, že problém je veřejná IP adresa jump serveru a heslo, které se dá snadno uhodnout. Společnost by se této situaci mohla vyhnout, kdyby se více zaměřila na zabezpečení cloudu.
Upřednostňovaný výsledek: Definování strategie zabezpečení cloudu
Definujte správnou strategii zabezpečení cloudu. Další informace najdete v průvodci připraveností na cloud CISO a projděte si tuto příručku od svého hlavního úřadu pro zabezpečení informací (CISO). Probírá témata, jako jsou prostředky platformy zabezpečení, ochrana osobních údajů a kontroly, dodržování předpisů a transparentnost.
Přečtěte si o zabezpečených cloudových úlohách ve srovnávacím testu zabezpečení Azure. Stavět na CIS Controls v7.1 od Center for Internet Security spolu s NIST SP800-53 z Národního institutu standardů a technologií, které řeší většinu bezpečnostních rizik a opatření.
Pomocí Microsoft Defender for Cloud můžete identifikovat rizika, přizpůsobit osvědčené postupy a zlepšit stav zabezpečení vaší společnosti.
Implementujte nebo podpořte automatizované požadavky na dodržování předpisů a zabezpečení specifické pro společnost pomocí Azure Policy a Azure Blueprints.
Antipattern: Použití vlastní architektury dodržování předpisů nebo zásad správného řízení
Zavedení vlastní architektury dodržování předpisů a zásad správného řízení, která není založena na oborových standardech, může výrazně prodloužit dobu přechodu na cloud, protože může být obtížné převést vlastní architekturu na nastavení cloudu. Tento scénář může zvýšit úsilí potřebné k převodu vlastních měr a požadavků na implementovatelné ovládací prvky zabezpečení. Většina společností musí splňovat podobné sady požadavků na zabezpečení a dodržování předpisů. V důsledku toho se většina vlastních architektur dodržování předpisů a zabezpečení od současných architektur dodržování předpisů liší jen mírně. Společnosti s dalšími požadavky na zabezpečení můžou zvážit vytváření nových architektur.
Příklad: Použití vlastní architektury zabezpečení
CISO společnosti přiděluje zaměstnancům zabezpečení IT úkol přijít se strategií a architekturou zabezpečení cloudu. Místo toho, aby vytvářelo oborové standardy, vytváří oddělení zabezpečení IT novou architekturu, která staví na aktuálních místních zásadách zabezpečení. Po dokončení zásad zabezpečení cloudu mají týmy AppOps a DevOps potíže s implementací zásad zabezpečení cloudu.
Azure nabízí komplexnější strukturu zabezpečení a dodržování předpisů, která se liší od vlastní architektury společnosti. Tým CISO se domnívá, že kontroly Azure nejsou kompatibilní s vlastními pravidly dodržování předpisů a zabezpečení. Pokud by svůj rámec zakládal na standardizovaných kontrolách, k takovému závěru by nedošlo.
Upřednostňovaný výsledek: Spoléhat se na existující architektury
Před vytvořením nebo představením vlastní firemní architektury dodržování předpisů můžete použít existující architektury, jako jsou CIS Controls v7.1 nebo NIST SP800-53, nebo na těchto architekturách stavět. Stávající architektury usnadňují přechod na nastavení zabezpečení cloudu a lépe měřitelně. Další implementace architektury najdete na stránce s ukázkami Azure Blueprints. Podrobné plány pro běžné architektury dodržování předpisů jsou k dispozici také pro Azure.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro