Améliorer la sécurité des zones d’atterrissage

  • Article

Quand une charge de travail ou les zones d’atterrissage qui l’hébergent requièrent un accès à des données sensibles ou à des systèmes critiques, il est important de protéger les données et les ressources.

Sécuriser

Lorsque vous quittez l’état Prêt, vous avez la responsabilité continue de maintenir la sécurité de votre environnement. La sécurité cloud est également un processus incrémentiel et non une destination statique. Concentrez-vous sur les objectifs et les résultats clés lors de la conception de l’état final de sécurité. Mappez les concepts, les infrastructures et les normes sur les disciplines méthode sécurisée CAF, en même temps que le mappage des rôles et responsabilités de la discipline humaine. La méthode sécurisée fournit des conseils.

Vous trouverez ci-dessous une vue d’ensemble de ces conseils avec des liens vers les détails.

Insights sur les risques

Les opérations commerciales présentent des risques de sécurité. L’équipe de sécurité doit informer et conseiller les décideurs sur la façon dont les risques de sécurité s’intègrent dans leurs infrastructures en comprenant le fonctionnement l’entreprise et en utilisant des pratiques de sécurité pour détecter les risques à prévoir et à prendre les mesures appropriées.

  • Quel est le risque de cybersécurité ? : tous les dommages potentiels ou la destruction de l’entreprise causées par des agresseurs humains tentant de voler de l’argent, des informations ou des technologies.
  • Alignez votre gestion des risques de sécurité : investissez dans amélioration de la cybersécurité et du leadership organisationnel pour expliquer les menaces de sécurité à l’aide d’une terminologie conviviale, de l’écoute et de la communication active de toutes les personnes de l’ensemble de l’entreprise.
  • Comprendre le risque de cybersécurité : comprendre les motivations et les modèles de comportement des agresseurs humains pour voler de l’argent, de l’information ou de la technologie et identifier l’impact potentiel des différents types d’attaques.

Intégration de la sécurité

Vérifiez que la sécurité est une préoccupation organisationnelle et non pas celle d’un seul groupe. L’intégration de la sécurité fournit des conseils sur la façon d’intégrer la sécurité au rôle de tout le monde tout en réduisant les frictions avec les processus métier. Les conseils spécifiques sont par exemple les suivants :

  • Normalisation des relations : assurez-vous que toutes les équipes sont intégrées aux équipes de sécurité et ont une compréhension commune des objectifs de sécurité. En outre, travaillez pour trouver le bon niveau de contrôles de sécurité, en veillant à ce que ces contrôles ne prennent pas le dessus sur la valeur métier.
  • Intégrer aux opérations informatiques et métier : équilibrez l’implémentation des mises à jour de sécurité et le mappage de la façon dont tous les processus de sécurité affectent l’impact actuel de l’entreprise et les risques de sécurité potentiels à l’avenir.
  • Intégrer des équipes de sécurité : évitez de fonctionner en silos en répondant aux menaces actives et en améliorant continuellement la posture de sécurité de l’organisation en abordant la sécurité comme une discipline dynamique.

Résilience de l’entreprise

Bien que les organisations ne puissent jamais avoir une sécurité parfaite, il existe toujours l’approche pragmatique de la résilience métier, en investissant le cycle de vie complet d’un risque de sécurité avant, pendant et après un incident.

  • Objectifs de résilience : concentrez-vous sur l’innovation rapide de votre entreprise, limitez l’impact et recherchez toujours des moyens sûrs d’adopter la technologie.
  • Résilience de la sécurité et hypothèse d’une fuite : supposons que la fuite ou l’attaque suivent le principe clé de la confiance zéro et pratiquent des comportements de sécurité pragmatiques pour empêcher les attaques, limiter les dommages et bénéficier d’une récupération rapide.

Contrôle d’accès

Créez une stratégie de contrôle d’accès qui aligne à la fois l’expérience utilisateur et les garanties de sécurité.

  • Du périmètre de sécurité à la confiance zéro : adoptez une approche de confiance zéro pour le contrôle d’accès pour établir et améliorer les garanties de sécurité lors de l’utilisation du cloud et l’utilisation de nouvelles technologies.
  • Contrôle d’accès moderne : définissez une stratégie de contrôle d’accès complète, cohérente et flexible. Dépassez une seule tactique ou technologie pour plusieurs charges de travail, clouds et différents niveaux de sensibilité métier.
  • Connu, approuvé, autorisé : suivez le processus dynamique en trois étapes pour garantir l’authentification connue, approuver l’utilisateur ou l’appareil et autoriser les droits et privilèges appropriés pour l’application, le service ou les données.
  • Décisions d’accès pilotées par les données : prenez des décisions éclairées à partir des données diverses sur les utilisateurs et les appareils pour répondre à une validation explicite.
  • Segmentation : séparer pour protéger : créez des limites et des segments distincts de l’environnement interne pour contenir des dommages d’attaques réussies.
  • Isolation : évitez le pare-feu simple : concevez une forme extrême de segmentation pour les ressources critiques pour l’entreprise qui se composent des personnes, des processus et de la technologie.

Opérations de sécurité

Établissez des opérations de sécurité en réduisant les risques, en répondant rapidement et en récupérant pour protéger votre organisation et suivre la discipline de sécurité du processus DevOps.

  • Personnes et processus : créez une culture pour permettre aux personnes d’utiliser des outils pour les permettre comme votre ressource la plus précieuse et de diversifier votre portefeuille de réflexion en incluant et en formant des personnes non techniques avec de solides connaissances dans les rôles d’investigation judiciaire.
  • Modèle d’opérations de sécurité : concentrez-vous sur les résultats de la gestion des incidents, de la préparation des incidents et du renseignement sur les menaces. Déléguez les résultats entre les sous-équipes pour le triage, l’examen et la chasse sur un volume élevé et des incidents complexes.
  • Points de contact professionnels SecOps : interagissez avec les dirigeants de l’entreprise afin d’informer les incidents majeurs et de déterminer l’impact des systèmes critiques. Réponse conjointe en permanence à la pratique pour réduire les risques organisationnels.
  • Modernisation SecOps : évoluez les opérations de sécurité en suivant les tendances qui impliquent la couverture de la plateforme, la sécurité centrée sur les identités, les appareils IoT et OT et les données de télémétrie pertinentes du cloud.

Protection des ressources

Sécurisez les ressources critiques pour l’entreprise, dont tous les éléments physiques et virtuels en implémentant des contrôles de sécurité uniques à chaque type de ressource. Exécutez constamment la protection préventive et détective pour répondre aux stratégies, normes et architectures.

  • Sécuriser : mettez les ressources en conformité avec les dernières normes et stratégies de sécurité de votre organisation en appliquant des contrôles actuels aux ressources anciennes et en veillant à ce que nouvelles ressources vertes respectent les dernières normes.
  • Restez sécurisé : pratiquez l’amélioration continue du cloud et planifiez la mise à niveau ou la mise à niveau des logiciels de fin de vie en tant qu’entreprise, technologie et exigences de sécurité changent rapidement.
  • Prise en main : commencez à protéger les ressources en vous concentrant sur les ressources cloud connues en premier et en utilisant des bases de référence connues et éprouvées pour votre configuration de sécurité.
  • Informations clés : utilisez les éléments clés des équipes responsables et responsables pour gérer les ressources à l’échelle de l’entreprise, telles que les besoins de charge de travail d’élasticité cloud et les contrôles de conception pour identifier les meilleures pratiques. Mesurez la valeur métier de la protection des actifs et favorisez la stratégie automatisée pour éviter les coûts et la répétition manuelle.

Gouvernance de la sécurité

Effectuez la supervision et la surveillance avec la gouvernance de la sécurité pour maintenir et améliorer la posture de sécurité au fil du temps en utilisant des objectifs métier et des risques pour déterminer la meilleure direction pour la sécurité.

  • Conformité et création de rapports : les stratégies de sécurité externes et internes répondent aux exigences obligatoires d’un secteur donné.
  • Architecture et normes : créez une vue unifiée sur votre patrimoine d’entreprise, car la plupart des entreprises sont un environnement hybride qui inclut à la fois des ressources locales et cloud.
  • Gestion de la posture de sécurité : planifiez la gouvernance pour surveiller les normes de sécurité, fournir des conseils et améliorer les processus. Maintenir l’agilité en faisant passer la gouvernance par le biais d’une stratégie et d’une amélioration continue.
  • Disciplines de gouvernance et de protection : appliquez des contrôles de sécurité et fournissez des commentaires pour identifier les meilleures solutions.
  • Opérations de gouvernance et de sécurité : vérifiez que les leçons tirées des incidents sont intégrées aux opérations de sécurité et à la gouvernance.

Sécurité de l’innovation

Protégez les processus et les données de l’innovation contre les cyberattaques à mesure que de nouvelles applications sont développées avec la sécurité de l’innovation à l’esprit.

  • Qu’est-ce que DevSecOps ? : sécurité intégrée dans le processus déjà combiné de développement et d’opérations dans DevOps pour limiter les risques dans le processus d’innovation.
  • Sécurité dès la conception et déplacement : tenez compte de la sécurité dans toutes les phases du cycle de vie DevOps et faites en sorte que les équipes s’alignent sur la vitesse d’innovation, la fiabilité et la résilience.
  • Pourquoi DevSecOps ? : pour assurer la sécurité du processus DevOps qui protège contre les attaquants qui exploitent les faiblesses de toute infrastructure informatique au sein de votre organisation, ce qui protège à son tour vos clients.
  • Parcours DevSecOps : utilisez l’incubation d’idées et la DevOps comme un processus en deux phases comme la plupart des organisations. Identifiez les exigences du produit minimum viable, utilisez des techniques de leadership pour résoudre les conflits d’équipes et intégrez la sécurité dans les processus et outils existants.
  • Conseils sur la navigation dans le parcours : à mesure que vous transformez votre sécurité, il y aura des défis tout au long du parcours qui impliqueront l’éducation, le temps, la ressource et la nature globale des opérations informatiques.

Contrôles DevSecOps

Ajoutez la sécurité à chaque étape de l’intégration continue et de la livraison continue (CI/CD) lors de la création de contrôles DevSecOps.

  • Planifier et développer : apportez la sécurité à la phase de planification des méthodologies de développement modernes pour implémenter la modélisation des menaces, les plug-ins de sécurité IDE/pré-validation et l’examen des pairs.
  • Validez le code : évaluez et implémentez la fonctionnalité d’analyse des vulnérabilités sur vos référentiels centralisés pour découvrir les risques et effectuer une correction.
  • Générer et tester : utilisez des pipelines de build et de mise en production pour l’automatisation et la normalisation des processus de création et de déploiement de code sécurisé sans passer de temps à redéployer ou à mettre à niveau des environnements existants.
  • Passez en production et fonctionnez : supervisez et gérez l’état de sécurité lorsque la solution est mise en production. Utilisez des outils d’analyse de l’infrastructure et des pratiques de test d’intrusion pour permettre aux équipes de trouver les risques et les vulnérabilités à résoudre.

Cycle de développement piloté par les tests

Avant de commencer à apporter des améliorations à la sécurité, il est important de comprendre la « définition de Terminé » et tous les « critères d’acceptation ». Pour plus d'informations, consultez les articles consacrés au développement piloté par les tests des zones d'atterrissage et au développement piloté par les tests dans Azure.

Étapes suivantes

Découvrez comment améliorer les opérations de zone d’atterrissage pour prendre en charge les applications critiques.

Améliorer les opérations de zone d’atterrissage