Definování strategie zabezpečení

Konečné cíle pro organizaci zabezpečení se nemění s přijetím cloudových služeb, ale jak se tyto cíle budou měnit. Týmy zabezpečení se stále musí zaměřit na snížení obchodního rizika útoků a pracovat na získání důvěrnosti, integrity a záruk dostupnosti integrovaných do všech informačních systémů a dat.

Modernizace strategie zabezpečení

Týmy zabezpečení potřebují modernizovat strategie, architektury a technologie, protože organizace přijímá cloud a pracuje s nimi v průběhu času. I když se velikost a počet změn můžou zpočátku zdát nepříjemné, modernizace bezpečnostního programu umožňuje zabezpečení částečně bolestivé zátěži spojené se staršími přístupy. Organizace může dočasně pracovat se starší strategií a nástroji, ale tento přístup je obtížné udržet tempo změn v cloudu a prostředí hrozeb:

  • Týmy zabezpečení budou pravděpodobně vynechána rozhodnutí o přechodu na cloud, pokud mají starší názor na zabezpečení "arms-length", kde odpověď vždy začíná "ne" (místo toho, aby spolupracovaly s IT a obchodními týmy, aby snížily riziko při povolování firmy).
  • Bezpečnostní týmy budou mít potíže s detekcí a obranou před cloudovými útoky, pokud používají pouze starší místní nástroje a výhradně dodržují nauku o hraniční síti pro všechny obrany a monitorování.

Monitorování a ochrana v cloudovém měřítku

Obrana v cloudovém měřítku je značné úsilí o transformaci, vyžadování používání funkcí detekce a automatizace nativních pro cloud a zavedení hraniční sítě identity, která pomáhá monitorovat a chránit cloudové a mobilní prostředky.

  • Microsoft identity platform vám pomůže začlenit do aplikací moderní mechanismy ověřování a autorizace.
  • Microsoft Sentinel poskytuje analýzy zabezpečení nativní pro cloud a analýzu hrozeb ve vaší organizaci, což umožňuje vylepšenou detekci hrozeb, která využívá velké úložiště analýzy hrozeb, a téměř neomezené možnosti zpracování a úložiště cloudu.

Doporučujeme, aby týmy zabezpečení provedly agilní přístup k modernizaci zabezpečení – rychle modernizovaly nejdůležitější aspekty strategie, neustále se zdokonalují v přírůstcích a klouzavých krocích.

Zabezpečení cloudu a z cloudu

Když vaše organizace přijme cloudové služby, týmy zabezpečení budou pracovat na dvou hlavních cílech:

  • Zabezpečení cloudu (zabezpečení cloudových prostředků): Zabezpečení by mělo být integrováno do plánování a provozu cloudových služeb, aby se zajistilo, že se tyto základní záruky zabezpečení konzistentně použijí ve všech prostředcích.
  • Zabezpečení z cloudu (pomocí cloudu k transformaci zabezpečení): Zabezpečení by mělo okamžitě začít plánovat a přemýšlet o tom, jak pomocí cloudových technologií modernizovat nástroje a procesy zabezpečení, zejména nativně integrované nástroje zabezpečení. Nástroje zabezpečení se stále častěji hostují v cloudu – poskytují možnosti, které jsou obtížné nebo nemožné provádět v místním prostředí.

Zabezpečení softwarově definovaných datacenter

Mnoho organizací začíná tím, že zachází s cloudovými prostředky jako s jiným virtuálním datovým centrem, které je efektivním výchozím bodem zabezpečení cloudu. Protože organizace modernizuje zabezpečení z cloudu, většina z nich rychle přeroste tento model myšlení. Zabezpečení softwarově definovaného datacentra umožňuje funkce nad rámec toho, co můžou nabízet místní modely. Nabídka nástrojů zabezpečení hostovaných v cloudu:

  • Rychlé povolení a škálování možností zabezpečení
  • Vysoce efektivní zjišťování inventáře prostředků a konfigurace zabezpečení

Nasazení Microsoft Defenderu pro cloud umožňuje průběžné hodnocení stavu a řízení zabezpečení vaší organizace. Posiluje stav zabezpečení vašich cloudových prostředků a s integrovanými plány Programu Microsoft Defender, Defender for Cloud chrání úlohy běžící v Azure, hybridním a dalším cloudovým platformám. Přečtěte si další informace o programu Microsoft Defender for Cloud.

Poznámka

Azure Security Center a Azure Defender se teď nazývají Microsoft Defender for Cloud. Také jsme přejmenovali plány Azure Defenderu na plány Microsoft Defenderu. Například Azure Defender for Storage je teď Microsoft Defender for Storage.

Přečtěte si další informace o nedávném přejmenování služeb zabezpečení Microsoftu.

Správná úroveň tření zabezpečení

Zabezpečení přirozeně vytváří třecí prvky, které zpomalují procesy, je důležité určit, které prvky jsou v DevOps a IT procesech v pořádku a které nejsou:

  • Zdravé tření: Podobně jako odolnost ve cvičení je sval silnější, integrace správné úrovně bezpečnostních tření posiluje systém nebo aplikaci vynucením kritického myšlení ve správný čas. Obvykle se jedná o způsob, jakým a proč se útočník může během návrhu snažit ohrozit aplikaci nebo systém (označovaný jako modelování hrozeb) a kontrolovat, identifikovat a ideálně opravit potenciální ohrožení zabezpečení, které může útočník zneužít v softwarovém kódu, konfiguracích nebo provozních postupech.
  • Nezdravé tření: Brání větší hodnotě, než chrání. K tomu často dochází v případě, že chyby zabezpečení generované nástroji mají vysokou falešně pozitivní míru (například falešná alarmy) nebo když úsilí o zjišťování nebo řešení problémů se zabezpečením výrazně překročí potenciální dopad útoku.

Samostatné a integrované odpovědnosti

Zajištění důvěrnosti, integrity a dostupnosti vyžaduje, aby odborníci na zabezpečení provozují vyhrazené funkce zabezpečení a úzce spolupracovali s dalšími týmy v organizaci:

  • Jedinečné funkce zabezpečení: Týmy zabezpečení provádějí nezávislé funkce, které nejsou nalezeny jinde v organizaci, jako jsou operace zabezpečení, správa ohrožení zabezpečení (například pro virtuální počítače, kontejnery) a další funkce.
  • Integrace zabezpečení do jiných funkcí: Bezpečnostní týmy také slouží jako odborníci na předměty v jiných týmech a funkcích v organizaci, které řídí obchodní iniciativy, posuzování rizik, navrhování nebo vývoj aplikací a operačních SYSTÉMŮ. Týmy zabezpečení doporučují tyto týmy s odbornými znalostmi a kontextem pro útočníky, metody útoku a trendy, ohrožení zabezpečení, která by mohla umožnit neoprávněný přístup, a možnosti pro kroky nebo alternativní řešení a jejich potenciální výhody nebo úskalí. Tato funkce zabezpečení se podobá funkci kvality, protože bude vytěsněna do mnoha míst velké a malé na podporu jednoho výsledku.

Provádění těchto zodpovědností při zachování rychlého tempa změn v cloudu a transformace firmy vyžaduje, aby týmy zabezpečení modernizovaly své nástroje, technologie a procesy.

Transformace, myšlenky a očekávání

Řada organizací spravuje řetězec více souběžných transformací v organizaci. Tyto interní transformace se obvykle začínají, protože téměř všechny externí trhy se transformují tak, aby splňovaly nové předvolby zákazníků pro mobilní a cloudové technologie. Organizace často čelí konkurenční hrozbě nových startupů a digitální transformaci tradičních konkurentů, kteří mohou narušit trh.

Řetěz více souběžných transformací v organizaci

Interní proces transformace obvykle zahrnuje:

  • Digitální transformace firmy zachytává nové příležitosti a zůstává konkurenceschopná vůči digitálním nativním startupům.
  • Technologická transformace IT organizace, která podporuje iniciativu s cloudovými službami, modernizovanými postupy vývoje a souvisejícími změnami.
  • Transformace zabezpečení , která se přizpůsobí cloudu a současně řeší stále sofistikovanější prostředí hrozeb.

Vnitřní konflikt může být nákladný

Změna vytváří stres a konflikt, což může rozmístit rozhodování na zastavení. To platí zejména v případě, že odpovědnost za bezpečnostní riziko je často chybně umístěna na odborníky na problematiku (bezpečnostní týmy), nikoli na vlastníky majetku (vlastníci firmy), kteří jsou zodpovědní za obchodní výsledky a všechny ostatní typy rizik. K této chybné odpovědnosti často dochází, protože všichni účastníci nesprávně považují zabezpečení za technický nebo absolutní problém, který se má vyřešit, a ne dynamické probíhající riziko, jako je firemní špionáž a jiné tradiční zločinecké činnosti.

Během této transformace musí vedení všech týmů aktivně pracovat, aby omezilo konflikty, které můžou vyřadit kritické projekty i incentivizovat týmy, aby obešly zmírnění rizik zabezpečení. Konflikt mezi týmy může vést k konfliktu mezi týmy:

  • Zvýšené bezpečnostní riziko , jako jsou například incidenty zabezpečení nebo zvýšené obchodní škody před útoky (zejména když se týmy frustrují bezpečnostními a obejití normálních procesů nebo když zastaralé přístupy k zabezpečení snadno obcházejí útočníci).
  • Negativní dopad na firmu nebo poslání , jako je například v případě, že obchodní procesy nejsou povolené nebo aktualizovány dostatečně rychle, aby vyhovovaly potřebám trhu (často v případě, že procesy zabezpečení uchovávají klíčové obchodní iniciativy).

Je důležité mít přehled o stavu vztahů v rámci týmů a mezi týmy, aby jim pomohly přecházet na krajinu, která by mohla ponechat cenné členy týmu nezabezpečené a nezabezpečené. Trpělivost, empatie a vzdělávání na těchto myšlenkách a pozitivní potenciál budoucnosti pomůže vašim týmům lépe přecházet v tomto období a řídit dobré bezpečnostní výsledky pro organizaci.

Vedoucí pracovníci můžou pomoci řídit změny kultury konkrétními proaktivními kroky, jako jsou:

  • Veřejně modeluje chování, které očekávají od svých týmů.
  • Být transparentní ohledně výzev změn, včetně zvýrazňování vlastních problémů, které se mají přizpůsobit.
  • Pravidelně připomínáme týmy naléhavosti a důležitosti modernizace a integrace zabezpečení.

Odolnost kybernetické bezpečnosti

Řada klasických strategií zabezpečení se zaměřuje výhradně na prevenci útoků, což je přístup, který není dostatečný pro moderní hrozby. Týmy zabezpečení musí zajistit, aby jejich strategie překročila tuto úroveň, a také umožňuje rychlou detekci útoku, reakci a obnovení, aby se zvýšila odolnost. Organizace musí předpokládat, že útočníci budou ohrozit některé prostředky (někdy označované jako předpokládat porušení zabezpečení) a pracovat na tom, aby prostředky a technické návrhy byly vyváženy mezi prevenci útoku a správou útoků (nikoli obvyklým výchozím přístupem jen při pokusu o zabránění útokům).

Mnoho organizací již na této cestě pracuje, protože v posledních letech spravují stabilní nárůst objemu a sofistikovanost útoků. Tato cesta často začíná prvním hlavním incidentem, což může být emocionální událost, kdy lidé ztratí svůj předchozí smysl pro invulnerability a bezpečnost. I když není tak závažná jako ztráta života, může tato událost aktivovat podobné emoce začínající na odepření a nakonec končí přijetím. Tento předpoklad "selhání" může být pro některé zpočátku obtížné přijmout, ale má silné paralely s dobře zavedeným technickým principem "selhání-bezpečný" a předpoklad umožňuje vašim týmům zaměřit se na lepší definici úspěchu: odolnost.

Funkce rámce kybernetické bezpečnosti NIST slouží jako užitečný průvodce, jak vyvážit investice mezi doplňkovými aktivitami identifikace, ochrany, detekce, reakce a zotavení v odolné strategii.

Další informace o odolnosti kybernetické bezpečnosti a konečných cílech kontrolních mechanismů kybernetické bezpečnosti jsou popsány v tématu Jak udržet riziko vaší organizace.

Změna zabezpečení v cloudu

Přechod na cloud pro zabezpečení je více než jednoduchá změna technologií, je to generační posun technologie, která se podobá přechodu z sálových počítačů na stolní počítače a na podnikové servery. Úspěšná navigace v této změně vyžaduje zásadní posun očekávání a myšlení týmů zabezpečení. Přijetí správných myšlení a očekávání snižuje konflikt v rámci vaší organizace a zvyšuje efektivitu týmů zabezpečení.

I když by to mohlo být součástí jakéhokoli plánu modernizace zabezpečení, rychlé tempo změn v cloudu je přijímá jako naléhavé priority.

  • Partnerství se sdílenými cíli. V tomto věku rychlého tempa rozhodování a neustálého vývoje procesů už zabezpečení nemůže přijmout přístup "arms-length" ke schvalování nebo zamítnutí změn v prostředí. Týmy zabezpečení musí úzce spolupracovat s obchodními a IT týmy, aby vytvořily sdílené cíle ohledně produktivity, spolehlivosti a zabezpečení a společně s těmito partnery spolupracovaly, aby je dosáhli.

    Toto partnerství je konečnou formou "posunu doleva" – princip integrace zabezpečení dříve v procesech, který usnadňuje a efektivněji opravuje problémy se zabezpečením. To vyžaduje změnu kultury všemi účastníky (zabezpečení, podnikání a IT), které vyžadují, aby se každý naučil kulturu a normy jiných skupin a současně učí ostatní o svém vlastním.

    Týmy zabezpečení musí:

    • Seznamte se s obchodními a IT cíli a zjistěte, proč je každá důležitá a jak přemýšlí o jejich dosažení při transformaci.
    • Sdílejte , proč je zabezpečení důležité v kontextu těchto obchodních cílů a rizik, co ostatní týmy můžou dělat, aby splňovaly cíle zabezpečení a jak by to měly udělat.

    I když to není jednoduchý úkol, je nezbytné pro udržitelné zabezpečení organizace a jejích prostředků. Toto partnerství bude pravděpodobně vést ke zdravým kompromisům, kdy se můžou zpočátku splnit pouze minimální cíle zabezpečení, podnikání a spolehlivosti, ale postupně se postupně vylepšují v průběhu času.

  • Zabezpečení je trvalé riziko, ne problém. Nemůžete "vyřešit" zločin. Zabezpečení je v podstatě jen disciplína řízení rizik, která se stává zaměřená na škodlivé akce lidí, a ne na přirozené události. Stejně jako všechna rizika není zabezpečení problém, který může řešení vyřešit, je to kombinace pravděpodobnosti a dopadu poškození negativní události, útoku. Je nejrovnanější s tradičními firemními špionážemi a zločineckými aktivitami, kde organizace čelí motivovaným lidským útočníkům, kteří mají finanční pobídku k úspěšnému útoku na organizaci.

  • Úspěch v produktivitě nebo zabezpečení vyžaduje obojí. Organizace se musí zaměřit na zabezpečení i produktivitu v dnešním "inovačním nebo irelevantním" prostředí. Pokud organizace není produktivní a vede k novým inovacím, může přijít o konkurenceschopnost na marketplace, která ji způsobí, že oslabí finanční nebo nakonec selžou. Pokud organizace není zabezpečená a ztratí kontrolu nad prostředky útočníkům, může přijít o konkurenceschopnost na marketplace, která způsobí, že oslabí finanční a nakonec selžou.

  • Nikdo není dokonalý. Žádná organizace není dokonalá při zavádění cloudu, ani Microsoftu. It a bezpečnostní týmy Microsoftu se potýkají s mnoha stejnými výzvami, které naši zákazníci dělají, jako je zjištění, jak dobře strukturovat programy, vyvážení podpory staršího softwaru s podporou špičkových inovací a dokonce i mezery v technologiích v cloudových službách. Vzhledem k tomu, že se tyto týmy učí, jak lépe pracovat a zabezpečit cloud, aktivně sdílejí své poznatky získané prostřednictvím dokumentů, jako je tato, spolu s ostatními na webu s prezentacemi IT, a současně neustále poskytují zpětnou vazbu našim technickým týmům a dodavatelům třetích stran, aby zlepšili své nabídky.

    Na základě našich zkušeností doporučujeme, aby se týmy držely standardu nepřetržitého učení a zlepšování, a ne standardu dokonalosti.

  • Příležitost v transformaci. Je důležité si prohlédnout digitální transformaci jako pozitivní příležitost pro zabezpečení. I když je snadné vidět potenciální nevýhody a riziko této změny, je snadné zmeškat obrovskou příležitost znovu vymyslet roli zabezpečení a získat místo v tabulce, kde se rozhodnutí provádějí. Partnering s firmou může vést ke zvýšení financování zabezpečení, snížení plýtvání opakovaným úsilím v oblasti zabezpečení a lepší práci v oblasti zabezpečení, protože budou více propojené s posláním organizace.

Přijetí modelu sdílené odpovědnosti

Hostování IT služeb v cloudu rozděluje provozní a bezpečnostní odpovědnosti za úlohy mezi poskytovatele cloudu a tenanta zákazníka, což vytváří de facto partnerství se sdílenými odpovědnostmi. Všechny bezpečnostní týmy musí tento model sdílené odpovědnosti studovat a pochopit, aby se přizpůsobily svým procesům, nástrojům a dovednostem novým světům. To vám pomůže vyhnout se neúmyslnému vytváření mezer nebo překrývání v stavu zabezpečení, což vede k rizikům zabezpečení nebo plýtvání prostředkům.

Tento diagram znázorňuje, jak se odpovědnost za zabezpečení rozdělí mezi dodavatele cloudu a organizace zákazníků cloudu ve faktické spolupráci:

Distribuované odpovědnosti za zabezpečení

Vzhledem k tomu, že existují různé modely cloudových služeb, odpovědnost za každou úlohu se bude lišit v závislosti na tom, jestli je hostovaná na softwaru jako službě (SaaS), platformě jako službě (PaaS), infrastruktuře jako službě (IaaS) nebo v místním datacentru.

Sestavování iniciativ zabezpečení

Tento diagram znázorňuje tři hlavní iniciativy zabezpečení, které by většina programů zabezpečení měla dodržovat, aby upravila své cíle strategie zabezpečení a programu zabezpečení pro cloud:

Primární iniciativy zabezpečení

Vytvoření odolného stavu zabezpečení v cloudu vyžaduje několik paralelních doplňkových přístupů:

  • Důvěřovat, ale ověřit: V případě odpovědností prováděných poskytovatelem cloudu by organizace měly využít přístup "důvěryhodnosti, ale ověřit". Organizace by měly vyhodnotit postupy zabezpečení svých poskytovatelů cloudu a kontrolní mechanismy zabezpečení, které nabízejí, aby zajistily, že poskytovatel cloudu splňuje požadavky organizace na zabezpečení.

  • Modernizace infrastruktury a zabezpečení aplikací: U technických prvků, které jsou pod kontrolou organizace, upřednostňujte modernizace nástrojů zabezpečení a přidružených sad dovedností, aby se minimalizovaly mezery pokrytí pro zabezpečení prostředků v cloudu. Skládá se ze dvou různých doplňkových úsilí:

    • Zabezpečení infrastruktury: Organizace by měly pomocí cloudu modernizovat přístup k ochraně a monitorování běžných komponent používaných mnoha aplikacemi, jako jsou operační systémy, sítě a infrastruktura kontejnerů. Tyto cloudové funkce můžou často obsahovat správu komponent infrastruktury napříč IaaS i místními prostředími. Optimalizace této strategie je důležitá, protože tato infrastruktura je závislostí aplikací a dat, která na ní běží, což často umožňuje důležité obchodní procesy a ukládat důležitá obchodní data.

    • Zabezpečení aplikací: Organizace by také měly modernizovat způsob zabezpečení jedinečných aplikací a technologií, které vyvíjí nebo pro jejich organizaci. Tato disciplína se rychle mění přechodem agilních procesů DevOps, rostoucím využitím opensourcových komponent a zavedením cloudových rozhraní API a cloudových služeb na nahrazení komponent aplikací nebo propojení aplikací.

      To je důležité, protože tyto aplikace často umožňují důležité obchodní procesy a ukládají důležitá obchodní data.

    • Moderní obvod: Organizace by měly mít komplexní přístup k ochraně dat napříč všemi úlohami, organizace by měly vytvořit moderní hraniční síť konzistentních, centrálně spravovaných ovládacích prvků identit za účelem ochrany dat, zařízení a účtů. To je silně ovlivněno strategií nulové důvěryhodnosti, kterou podrobně popisuje modul 3 workshopu CISO.

Zabezpečení a důvěryhodnost

Použití slova důvěryhodnosti v zabezpečení může být matoucí. Tato dokumentace se na ni odkazuje dvěma způsoby, které ilustrují užitečné aplikace tohoto konceptu:

  • Nulová důvěryhodnost je běžným oborovým termínem pro strategický přístup k zabezpečení, který předpokládá, že podniková nebo intranetová síť je nepřátelská (stojí za nulovou důvěru) a odpovídajícím způsobem navrhne zabezpečení.
  • Důvěřovat, ale ověřit je výraz, který zachycuje podstatu dvou různých organizací, které spolupracují na společném cíli, i když mají některé další potenciálně odlišné zájmy. To stručně zachycuje řadu drobných odlišností počátečních fází partnerství s komerčním poskytovatelem cloudu pro organizace.

Poskytovatel cloudu a jeho postupy a procesy mohou být zodpovědné za splnění smluvních a regulačních požadavků a mohou získat nebo ztratit důvěru. Síť je nelivující připojení, které nemůže čelit důsledkům, pokud je používají útočníci (podobně jako nemůžete držet silnici nebo auto zodpovědné za zločince, kteří je používají).

Změna vztahů zabezpečení a odpovědností v cloudu

Stejně jako u předchozích přechodů na novou generaci technologií, jako je desktopová architektura a podniková serverová architektura, je přechod na cloud computing narušovat dlouhotrvající vztahy, role, zodpovědnosti a sady dovedností. Popisy úloh, na které jsme se v posledních několika desetiletích zvyklí, nemapují čistě na podnik, který teď zahrnuje cloudové funkce. Vzhledem k tomu, že odvětví souhrnně pracuje na normalizaci nového modelu, budou se organizace muset zaměřit na poskytování co nejpřesnějšího řešení, aby se v průběhu této změny mohly řídit nejistotu nejednoznačnosti.

Bezpečnostní týmy jsou ovlivněny těmito změnami v oblasti podnikání a technologií, které podporují, jakož i vlastní interní modernizace, aby se lépe orientovaly na aktéry hrozeb. Útočníci se aktivně vyvíjejí, aby neustále hledali nejsnadnější slabá místa pro zneužití lidí, procesů a technologií organizace a zabezpečení, musí rozvíjet schopnosti a dovednosti, které tyto úhly řeší.

Tato část popisuje klíčové vztahy, které se často mění na cestě ke cloudu, včetně poznatků o minimalizaci rizika a přijetí příležitostí ke zlepšení:

  • Mezi bezpečnostními a obchodními zúčastněnými stranami: Vedení zabezpečení bude muset stále více spolupracovat s obchodními vedoucími pracovníky, aby organizace mohly snížit riziko. Vedoucí pracovníci zabezpečení by měli podporovat rozhodování o podnikání jako odborníka na problematiku zabezpečení (MSP) a měli by usilovat o rozvoj důvěryhodných poradců pro tyto vedoucí pracovníky. Tento vztah pomůže zajistit, aby vedoucí pracovníci podniku při rozhodování o zabezpečení zvážili bezpečnostní rizika, informovali zabezpečení obchodních priorit a pomohli zajistit, aby investice do zabezpečení byly odpovídajícím způsobem upřednostňovány společně s dalšími investicemi.

  • Mezi vedením zabezpečení a členy týmu: Vedení zabezpečení by mělo tyto poznatky vzít od vedení firmy zpět ke svým týmům, aby provedlo své investiční priority.

    Nastavením tónu spolupráce s obchodními vedoucími pracovníky a jejich týmy, nikoli klasickým vztahem "arms-length", se vedoucí zabezpečení mohou vyhnout nežádoucí dynamice, která brání cílům zabezpečení i produktivity.

    Vedoucí zabezpečení by se měli snažit zajistit přehlednost týmu o tom, jak spravovat každodenní rozhodnutí o produktivitě a kompromisech zabezpečení, protože to může být pro mnoho týmů nové.

  • Mezi týmy aplikací a infrastruktury (a poskytovateli cloudu): Tento vztah prochází významnými změnami kvůli několika trendům v OBLASTI IT a zabezpečení, jejichž cílem je zvýšit rychlost inovací a produktivitu vývojářů.

    Staré normy a organizační funkce byly narušeny, ale stále se objevují nové normy a funkce, takže doporučujeme přijmout nejednoznačnost, udržet krok s aktuálním myšlením a experimentovat s tím, co funguje pro vaše organizace, dokud to neuskutečují. V tomto prostoru nedoporučujeme přijmout přístup s čekáním a pohledem, protože by vaše organizace mohla mít velkou konkurenční nevýhodu.

    Tyto trendy jsou náročné na tradiční normy pro role a vztahy aplikací a infrastruktury:

    • Disciplíny devOps: Ve svém ideálním stavu to efektivně vytvoří jeden vysoce funkční tým, který kombinuje obě sady odborných znalostí předmětu a rychle inovovat, vydávat aktualizace a řešit problémy (zabezpečení a jinak). I když tento ideální stav bude nějakou dobu trvat a povinnosti uprostřed jsou stále nejednoznačné, organizace už kvůli tomuto kooperativnímu přístupu využívají některé výhody rychlých vydání. Microsoft doporučuje integrovat zabezpečení do tohoto cyklu, aby se naučil tyto jazykové verze, sdílet poznatky o zabezpečení a pracovat na společném cíli rychlého vydávání zabezpečených a spolehlivých aplikací.

    Disciplíny devOps- fusing

    • Kontejnerizace se stává běžnou součástí infrastruktury: Aplikace se stále častěji hostují a orchestrují technologiemi, jako jsou Docker, Kubernetes a podobné technologie. Tyto technologie zjednodušují vývoj a vydávání abstrakcí mnoha prvků nastavení a konfigurace základního operačního systému.

    Infrastruktura kontejnerizace

    Zatímco kontejnery začaly jako technologie vývoje aplikací spravované vývojovými týmy, stává se běžnou komponentou infrastruktury, která se stále častěji přesouvá na týmy infrastruktury. Tento přechod stále probíhá v mnoha organizacích, ale je přirozeným a pozitivním směrem k mnoha aktuálním výzvám, které budou nejlépe vyřešeny s tradičními sadami dovedností infrastruktury, jako jsou sítě, úložiště a správa kapacity.

    Týmy infrastruktury a členové týmu zabezpečení, kteří je podporují, by měli mít k dispozici školení, procesy a nástroje, které pomáhají spravovat, monitorovat a zabezpečit tuto technologii.

    • Bezserverové a cloudové aplikační služby: Jedním z dominantních trendů v oboru je teď snížení množství času a vývojové práce potřebné k vytváření nebo aktualizaci aplikací.

      Bezserverové a cloudové aplikační služby

      Vývojáři také stále častěji používají cloudové služby k:

      • Místo hostování aplikací na virtuálních počítačích a serverech spusťte kód.
      • Místo vývoje vlastních komponent poskytněte aplikační funkce. To vedlo k bezserverovém modelu, který používá stávající cloudové služby pro běžné funkce. Počet a řada cloudových služeb (a jejich tempo inovací) také překročila schopnost bezpečnostních týmů vyhodnocovat a schvalovat používání těchto služeb, takže si mohou vybrat mezi tím, že vývojářům umožní používat libovolnou službu, snaží se zabránit vývojovým týmům v používání neschválené služby nebo se snaží najít lepší způsob.
      • Aplikace bez kódu a Power Apps: Dalším vznikajícím trendem je použití bezkódových technologií, jako je Microsoft Power Apps. Tato technologie umožňuje lidem bez kódování dovedností vytvářet aplikace, které dosahují obchodních výsledků. Vzhledem k tomuto nízkému třecímu a vysokému potenciálu má tento trend potenciál rychle zvýšit popularitu a odborníci na zabezpečení by měli rychle pochopit jeho důsledky. Úsilí o zabezpečení by se mělo zaměřit na oblasti, ve kterých by člověk mohl v aplikaci udělat chybu, konkrétně návrh oprávnění aplikace a prostředku prostřednictvím modelování komponent aplikace, interakcí/vztahů a oprávnění rolí.
  • Mezi vývojáři a autory opensourcových komponent: Vývojáři také zvyšují efektivitu tím, že místo vývoje vlastních komponent využívají opensourcové komponenty a knihovny. To přináší hodnotu prostřednictvím efektivity, ale také přináší bezpečnostní rizika vytvořením externí závislosti a požadavkem na správnou údržbu a opravu těchto komponent. Vývojáři efektivně za předpokladu rizika zabezpečení a dalších chyb při používání těchto komponent a musí zajistit, aby bylo možné je zmírnit ve stejných standardech jako kód, který by vytvořil.

  • Mezi aplikacemi a daty: Hranice mezi zabezpečením dat a aplikací je rozmazaná na místech a nové předpisy vytvářejí potřebu užší spolupráce mezi týmy pro ochranu osobních údajů a bezpečnostními týmy:

    • Algoritmy strojového učení: Algoritmy strojového učení se podobají aplikacím, které jsou navržené tak, aby zpracovávaly data za účelem vytvoření výsledku. Hlavní rozdíly:

      • Strojové učení s vysokou hodnotou: Strojové učení často přináší významnou konkurenční výhodu a často se považuje za citlivé duševní vlastnictví a obchodní tajemství.

      • Otisk citlivosti: Strojové učení pod dohledem je vyladěné pomocí datových sad, které otiskují charakteristiky datové sady v algoritmu. Z tohoto důvodu může být vyladěný algoritmus považován za citlivý kvůli datové sadě použité k jeho trénování. Například trénování algoritmu strojového učení pro vyhledání tajných armád na mapě pomocí datové sady tajných armádních bází by z něj udělalo citlivé prostředky.

      Poznámka

      Ne všechny příklady jsou zřejmé, takže je důležité spojit tým se správnými zúčastněnými stranami od týmů datových věd, obchodních zúčastněných stran, týmů zabezpečení, týmů ochrany osobních údajů a dalších. Tyto týmy by měly mít odpovědnost za splnění společných cílů inovací a odpovědnosti. Měly by řešit běžné problémy, jako je způsob a kde ukládat kopie dat v nezabezpečených konfiguracích, jak klasifikovat algoritmy a co se týká vašich organizací.

      Společnost Microsoft publikovala naše zásady zodpovědné umělé inteligence pro vedení vlastních týmů a našich zákazníků.

      • Vlastnictví dat a ochrana osobních údajů: Nařízení, jako je GDPR, zvýšily viditelnost problémů s daty a aplikací. Aplikační týmy teď mají možnost řídit, chránit a sledovat citlivá data na úrovni srovnatelné se sledováním finančních dat bankami a finančními institucemi. Vlastníci dat a týmy aplikací potřebují vytvořit bohaté znalosti o tom, jaké datové aplikace ukládají a jaké ovládací prvky jsou potřeba.
  • Mezi organizacemi a poskytovateli cloudu: Protože organizace hostují úlohy v cloudu, zadávají obchodní vztah s jednotlivými poskytovateli cloudu. Používání cloudových služeb často přináší obchodní hodnotu, například:

    • Zrychlení iniciativ digitální transformace zkrácením doby uvedení na trh pro nové funkce

    • Zvýšení hodnoty aktivit IT a zabezpečení tím, že týmy uvolní zaměření na aktivity s vyšší hodnotou (v souladu s podnikáním) a ne na úkoly komodit nižší úrovně, které jsou poskytovány efektivněji cloudovými službami jejich jménem.

    • Vyšší spolehlivost a rychlost odezvy: Většina moderních cloudů má ve srovnání s tradičními místními datovými centry vysokou dobu provozu a ukázala, že se můžou rychle škálovat (například během covid-19) a zajistit odolnost proti přírodním událostem, jako jsou bleskové útoky (což by mohlo mít mnoho místních ekvivalentů mnohem déle).

      I když je to výhodné, přechod na cloud není bez rizika. Vzhledem k tomu, že organizace přijímají cloudové služby, měly by zvážit potenciální rizikové oblasti, mezi které patří:

    • Provozní kontinuita a zotavení po havárii: Je poskytovatel cloudu finančně zdravý s obchodním modelem, který bude pravděpodobně přežít a prospívá při používání služby vaší organizace? Poskytovatel cloudu provedl ustanovení, která umožňují kontinuitu zákazníků, pokud poskytovatel zažije finanční nebo jiné selhání, jako je poskytnutí zdrojového kódu zákazníkům nebo opensourcový zdroj?

      Další informace a dokumenty týkající se finančního zdraví Společnosti Microsoft najdete v tématu Vztahy s investory Společnosti Microsoft.

    • Zabezpečení: Dodržuje poskytovatel cloudu osvědčené postupy pro zabezpečení? Ověřili jsme to nezávislými regulačními orgány?

      • Microsoft Defender for Cloud Apps vám umožní zjistit využití více než 16 000 cloudových aplikací, které jsou seřazené a hodnocené na základě více než 70 rizikových faktorů, které poskytují průběžný přehled o používání cloudu, stínovém IT a riziku, které stínové IT představuje pro vaši organizaci.
      • Portál Microsoft Service Trust Portal zajišťuje certifikaci dodržování právních předpisů, sestavy auditu, testy pera a další dostupné zákazníkům. Tyto dokumenty zahrnují mnoho podrobností o interních postupech zabezpečení (zejména sestavu SOC 2 typu 2 a plán zabezpečení systému FedRAMP Moderate). Microsoft Defender for Cloud umožňuje správu zásad zabezpečení a může indikovat úroveň dodržování předdefinovaných oborových a regulačních standardů.
    • Obchodní konkurent: Je poskytovatel cloudu významným obchodním konkurentem ve vašem odvětví? Máte dostatek ochrany ve smlouvě o cloudových službách nebo jiných prostředcích k ochraně vaší firmy před potenciálně nepřátelskou akcí?

      Projděte si tento článek , kde najdete komentář k tomu, jak se Microsoftu vyhnout soutěžit s cloudovými zákazníky.

    • Multicloud: Mnoho organizací má de facto nebo úmyslnou strategii multicloudu. Může se jednat o záměrný cíl omezit závislost na jednom dodavateli nebo získat přístup k jedinečnému nejlepšímu výkonu plemen, ale může dojít také proto, že vývojáři zvolili upřednostňované nebo známé cloudové služby nebo vaše organizace získala jinou firmu. Bez ohledu na důvod může tato strategie zavést potenciální rizika a náklady, které musí být spravovány, včetně těchto:

      • Výpadek z více závislostí: Systémy, které jsou navrženy tak, aby využívaly více cloudů, jsou vystaveny většímu riziku výpadku, protože přerušení v poskytovatelích cloudu (nebo jejich používání vašeho týmu) může způsobit výpadky nebo přerušení vaší firmy. Tato zvýšená složitost systému by také zvýšila pravděpodobnost přerušení událostí, protože členové týmu jsou méně pravděpodobné, že plně pochopí složitější systém.
      • Vyjednávající síla: Větší organizace by také měly zvážit, jestli strategie s jedním cloudem (vzájemné závazky nebo partnerství) nebo multicloudová strategie (schopnost posunout podnikání) dosáhne většího vlivu na poskytovatele cloudu, aby získali prioritu požadavků na funkce organizace.
      • Zvýšená režie na údržbu: Prostředky IT a zabezpečení už jsou přetížené ze stávajících úloh a udržují krok se změnami jedné cloudové platformy. Každá další platforma dále zvyšuje tuto režii a přebírá členy týmu od aktivit s vyšší hodnotou, jako je streamování technického procesu, aby se urychlil obchodní inovace, konzultace s obchodními skupinami o efektivnějším používání technologií atd.
      • Personál a školení: Organizace často nebere v úvahu požadavky na pedagogy nezbytné pro podporu více platforem a školení potřebné k udržování znalostí a měny nových funkcí, které jsou uvolněny rychlým tempem.