Principes de conception de la sécurité
Une charge de travail Well-Architected doit être générée avec une approche de confiance zéro. Une charge de travail sécurisée est résiliente aux attaques et intègre les principes de sécurité interdépendants de confidentialité, d’intégrité et de disponibilité (également appelée triade CIA) en plus de répondre aux objectifs de l’entreprise. Tout incident de sécurité peut devenir une violation majeure qui porte atteinte à la marque et à la réputation de la charge de travail ou de organization. Pour mesurer l’efficacité de la sécurité de votre stratégie globale pour une charge de travail, commencez par les questions suivantes :
Vos investissements défensifs fournissent-ils des coûts et des frictions significatifs pour empêcher les attaquants de compromettre votre charge de travail ?
Vos mesures de sécurité seront-ils efficaces pour limiter le rayon d’explosion d’un incident ?
Comprenez-vous comment le contrôle de la charge de travail peut être utile pour un attaquant ? Comprenez-vous l’impact sur votre entreprise si la charge de travail et ses données sont volées, indisponibles ou falsifiées ?
La charge de travail et les opérations peuvent-elles rapidement détecter les interruptions, y répondre et les récupérer ?
Lorsque vous concevez votre système, utilisez le modèle Microsoft Confiance nulle comme boussole pour atténuer les risques de sécurité :
Vérifiez explicitement afin que seules les identités approuvées effectuent des actions prévues et autorisées provenant des emplacements attendus. Cette protection empêche les attaquants d’emprunter l’identité d’utilisateurs et de comptes légitimes.
Utilisez l’accès aux privilèges minimum pour les identités appropriées, avec le jeu d’autorisations approprié, pour la durée appropriée et pour les ressources appropriées. La limitation des autorisations permet d’empêcher les attaquants d’abuser des autorisations dont les utilisateurs légitimes n’ont même pas besoin.
Supposez la violation des contrôles de sécurité et concevez des contrôles de compensation qui limitent les risques et les dommages en cas d’échec d’une couche de défense principale. Cela vous aide à mieux défendre votre charge de travail en pensant comme un attaquant intéressé par la réussite (quelle que soit la façon dont il l’obtient).
La sécurité n’est pas un effort ponctuel. Vous devez implémenter ces conseils de manière périodique. Améliorez en permanence vos connaissances en matière de défense et de sécurité pour protéger votre charge de travail contre les attaquants qui accèdent constamment à des vecteurs d’attaque innovants à mesure qu’ils sont développés et ajoutés à des kits d’attaque automatisés.
Les principes de conception sont destinés à établir un état d’esprit de sécurité continu pour vous aider à améliorer en permanence la posture de sécurité de votre charge de travail à mesure que les tentatives d’attaquants évoluent continuellement. Ces principes doivent guider la sécurité de votre architecture, les choix de conception et les processus opérationnels. Commencez par les approches recommandées et justifiez les avantages d’un ensemble d’exigences de sécurité. Après avoir défini votre stratégie, effectuez des actions à l’aide de la liste de contrôle de sécurité comme étape suivante.
Si ces principes ne sont pas appliqués correctement, un impact négatif sur les opérations commerciales et le chiffre d’affaires peut être attendu. Certaines conséquences peuvent être évidentes, comme les pénalités pour les charges de travail réglementaires. D’autres peuvent ne pas être aussi évidents et peuvent entraîner des problèmes de sécurité continus avant qu’ils ne soient détectés.
Dans de nombreuses charges de travail critiques, la sécurité est la principale préoccupation, parallèlement à la fiabilité, étant donné que certains vecteurs d’attaque, comme l’exfiltration de données, n’affectent pas la fiabilité. La sécurité et la fiabilité peuvent tirer une charge de travail dans des directions opposées, car la conception axée sur la sécurité peut introduire des points de défaillance et augmenter la complexité opérationnelle. L’effet de la sécurité sur la fiabilité est souvent indirect, introduit par le biais de contraintes opérationnelles. Réfléchissez soigneusement aux compromis entre sécurité et fiabilité.
En suivant ces principes, vous pouvez améliorer l’efficacité de la sécurité, renforcer les ressources de charge de travail et établir une relation de confiance avec vos utilisateurs.
Planifier la préparation de votre sécurité
Essayez d’adopter et d’implémenter des pratiques de sécurité dans les décisions et les opérations de conception architecturale avec un minimum de frictions. |
---|
En tant que propriétaire de charge de travail, vous avez une responsabilité partagée avec le organization de protéger les ressources. Créez un plan de préparation de la sécurité aligné sur les priorités de l’entreprise. Il aboutira à des processus bien définis, à des investissements adéquats et à des responsabilités appropriées. Le plan doit fournir les exigences de charge de travail au organization, qui partage également la responsabilité de la protection des ressources. Les plans de sécurité doivent prendre en compte votre stratégie de fiabilité, de modélisation de l’intégrité et d’auto-conservation.
En plus des ressources organisationnelles, la charge de travail elle-même doit être protégée contre les attaques d’intrusion et d’exfiltration. Toutes les facettes de la Confiance nulle et de la triade de la CIA doivent être intégrées au plan.
Les exigences fonctionnelles et non fonctionnelles, les contraintes budgétaires et d’autres considérations ne doivent pas restreindre les investissements en sécurité ni diluer les garanties. Dans le même temps, vous devez concevoir et planifier les investissements de sécurité en tenant compte de ces contraintes et restrictions.
Approche | Avantage |
---|---|
Utilisez la segmentation comme stratégie pour planifier les limites de sécurité dans l’environnement de charge de travail, les processus et la structure d’équipe afin d’isoler l’accès et la fonction. Votre stratégie de segmentation doit être pilotée par les besoins de l’entreprise. Vous pouvez la baser sur la criticité des composants, la division du travail, les problèmes de confidentialité et d’autres facteurs. |
Vous serez en mesure de réduire les frictions opérationnelles en définissant des rôles et en établissant des lignes de responsabilité claires. Cet exercice vous aide également à identifier le niveau d’accès pour chaque rôle, en particulier pour les comptes à impact critique. L’isolation vous permet de limiter l’exposition des flux sensibles aux seuls rôles et ressources qui ont besoin d’un accès. Une exposition excessive peut entraîner par inadvertance la divulgation du flux d’informations. Pour résumer, vous serez en mesure de dimensionner correctement les efforts de sécurité en fonction des besoins de chaque segment. |
Développez en permanence des compétences par le biais d’une formation de sécurité basée sur les rôles qui répond aux exigences du organization et aux cas d’usage de la charge de travail. | Une équipe hautement qualifiée peut concevoir, implémenter et surveiller des contrôles de sécurité qui restent efficaces contre les attaquants, qui recherchent constamment de nouvelles façons d’exploiter le système. La formation à l’échelle de l’organisation se concentre généralement sur le développement d’un ensemble de compétences plus large pour sécuriser les éléments communs. Toutefois, avec la formation basée sur les rôles, vous vous concentrez sur le développement d’une expertise approfondie dans les offres de plateforme et les fonctionnalités de sécurité qui répondent aux problèmes de charge de travail. Vous devez implémenter les deux approches pour vous défendre contre les adversaires par une bonne conception et des opérations efficaces. |
Assurez-vous qu’il existe un plan de réponse aux incidents pour votre charge de travail. Utilisez des frameworks du secteur qui définissent la procédure opérationnelle standard pour la préparation, la détection, l’endiguement, l’atténuation et l’activité post-incident. |
Au moment de la crise, il faut éviter toute confusion. Si vous disposez d’un plan bien documenté, les rôles responsables peuvent se concentrer sur l’exécution sans perdre de temps sur des actions incertaines. En outre, un plan complet peut vous aider à vous assurer que toutes les exigences de correction sont remplies. |
Renforcez votre posture de sécurité en comprenant les exigences de conformité de sécurité imposées par des influences extérieures à l’équipe de charge de travail, telles que les stratégies organisationnelles, la conformité réglementaire et les normes du secteur. | Clarity sur les exigences de conformité vous aidera à concevoir les garanties de sécurité appropriées et à éviter les problèmes de non-conformité, qui peuvent entraîner des pénalités. Les normes du secteur peuvent fournir une base de référence et influencer votre choix d’outils, de stratégies, de protections de sécurité, d’instructions, d’approches de gestion des risques et de formation. Si vous savez que la charge de travail respecte la conformité, vous serez en mesure d’instaurer la confiance dans votre base d’utilisateurs. |
Définissez et appliquez des normes de sécurité au niveau de l’équipe tout au long du cycle de vie et des opérations de la charge de travail. Recherchez des pratiques cohérentes dans des opérations telles que le codage, les approbations contrôlées, la gestion des mises en production et la protection et la conservation des données. |
La définition de bonnes pratiques de sécurité peut réduire la négligence et la surface d’exposition pour les erreurs potentielles. L’équipe optimisera les efforts et le résultat sera prévisible , car les approches sont rendues plus cohérentes. L’observation des normes de sécurité au fil du temps vous permettra d’identifier les opportunités d’amélioration, notamment l’automatisation, ce qui simplifiera davantage les efforts et augmentera la cohérence. |
Alignez votre réponse aux incidents avec la fonction centralisée SOC (Security Operation Center) dans votre organization. | La centralisation des fonctions de réponse aux incidents vous permet de tirer parti des professionnels de l’informatique spécialisés qui peuvent détecter les incidents en temps réel pour traiter les menaces potentielles aussi rapidement que possible. |
Concevoir pour protéger la confidentialité
Empêchez l’exposition à la confidentialité, à la réglementation, aux applications et aux informations propriétaires par le biais de restrictions d’accès et de techniques d’obfuscation. |
---|
Les données de charge de travail peuvent être classées par utilisateur, utilisation, configuration, conformité, propriété intellectuelle, etc. Ces données ne peuvent pas être partagées ou accessibles au-delà des limites d’approbation établies. Les efforts visant à protéger la confidentialité doivent se concentrer sur les contrôles d’accès, l’opacité et la conservation d’une piste d’audit des activités relatives aux données et au système.
Approche | Avantage |
---|---|
Implémentez des contrôles d’accès forts qui accordent l’accès uniquement sur la base du besoin de connaître. |
Privilège minimum. La charge de travail sera protégée contre les accès non autorisés et les activités interdites. Même lorsque l’accès provient d’identités approuvées, les autorisations d’accès et le temps d’exposition sont réduits , car le chemin de communication est ouvert pendant une période limitée. |
Classifiez les données en fonction de leur type, de leur sensibilité et du risque potentiel. Attribuez un niveau de confidentialité pour chaque. Inclure les composants système qui sont dans l’étendue du niveau identifié. |
Vérification explicite. Cette évaluation vous aide à dimensionner correctement les mesures de sécurité. Vous serez également en mesure d’identifier les données et les composants qui ont un impact potentiel élevé et/ou une exposition à un risque. Cet exercice ajoute de la clarté à votre stratégie de protection des informations et vous aide à garantir l’accord. |
Protégez vos données au repos, en transit et pendant le traitement à l’aide du chiffrement. Basez votre stratégie sur le niveau de confidentialité attribué. |
Prise en compte des violations. Même si un attaquant obtient l’accès, il ne pourra pas lire correctement les données sensibles chiffrées . Les données sensibles incluent des informations de configuration utilisées pour obtenir un accès supplémentaire à l’intérieur du système. Le chiffrement des données peut vous aider à limiter les risques. |
Protégez-vous contre les attaques susceptibles de provoquer une exposition injustifiée d’informations. |
Vérification explicite. Il est essentiel de réduire les vulnérabilités dans les implémentations d’authentification et d’autorisation, le code, les configurations, les opérations et celles qui découlent des habitudes sociales des utilisateurs du système. Les mesures de sécurité à jour vous permettent d’empêcher les vulnérabilités de sécurité connues d’entrer dans le système. Vous pouvez également atténuer les nouvelles vulnérabilités qui peuvent apparaître au fil du temps en implémentant des opérations de routine tout au long du cycle de développement, ce qui améliore continuellement les garanties de sécurité. |
Protégez-vous contre l’exfiltration des données résultant d’un accès malveillant ou involontaire aux données. |
Prise en compte des violations. Vous serez en mesure de contenir un rayon d’explosion en bloquant le transfert de données non autorisé. En outre, les contrôles appliqués à la mise en réseau, à l’identité et au chiffrement protègent les données à différentes couches. |
Maintenir le niveau de confidentialité à mesure que les données circulent dans différents composants du système. |
Prise en compte des violations. L’application des niveaux de confidentialité dans tout le système vous permet de fournir un niveau de renforcement cohérent. Cela permet d’éviter les vulnérabilités pouvant résulter du déplacement de données vers un niveau de sécurité inférieur. |
Gérer une piste d’audit de tous les types d’activités d’accès. |
Prise en compte des violations. Les journaux d’audit prennent en charge une détection et une récupération plus rapides en cas d’incidents et facilitent la surveillance continue de la sécurité. |
Concevoir pour protéger l’intégrité
Empêcher l’altération de la conception, de l’implémentation, des opérations et des données afin d’éviter les interruptions susceptibles d’empêcher le système de fournir l’utilitaire prévu ou de l’amener à fonctionner en dehors des limites prescrites. Le système doit fournir une assurance des informations tout au long du cycle de vie de la charge de travail. |
---|
La clé consiste à implémenter des contrôles qui empêchent la falsification de la logique métier, des flux, des processus de déploiement, des données et même des composants de pile inférieure, comme le système d’exploitation et la séquence de démarrage. Le manque d’intégrité peut introduire des vulnérabilités qui peuvent entraîner des violations de la confidentialité et de la disponibilité.
Approche | Avantage |
---|---|
Implémentez des contrôles d’accès forts qui authentifient et autorisent l’accès au système. Réduisez l’accès en fonction des privilèges, de l’étendue et du temps. |
Privilège minimum. En fonction de la force des contrôles, vous serez en mesure d’empêcher ou de réduire les risques liés aux modifications non approuvées. Cela permet de garantir la cohérence et la fiabilité des données. La réduction de l’accès limite l’étendue de la corruption potentielle. |
Protégez en permanence contre les vulnérabilités et détectez-les dans votre chaîne d’approvisionnement pour empêcher les attaquants d’injecter des erreurs logicielles dans votre infrastructure, votre système de build, vos outils, vos bibliothèques et d’autres dépendances. La chaîne logistique doit rechercher les vulnérabilités pendant la génération et l’exécution. |
Prise en compte des violations. Connaître l’origine du logiciel et vérifier son authenticité tout au long du cycle de vie offre une prévisibilité. Vous connaîtrez les vulnérabilités bien à l’avance afin de pouvoir les corriger de manière proactive et sécuriser le système en production. |
Établissez l’approbation et la vérification à l’aide de techniques de chiffrement telles que l’attestation, la signature de code, les certificats et le chiffrement. Protégez ces mécanismes en autorisant le déchiffrement fiable. |
Vérifiez explicitement, privilège minimum. Vous savez que les modifications apportées aux données ou à l’accès au système sont vérifiées par une source approuvée. Même si des données chiffrées sont interceptées en transit par un acteur malveillant, celui-ci ne pourra pas déverrouiller ou déchiffrer le contenu. Vous pouvez utiliser des signatures numériques pour vous assurer que les données n’ont pas été falsifiées pendant la transmission. |
Vérifiez que les données de sauvegarde sont immuables et chiffrées lorsque les données sont répliquées ou transférées. |
Vérifier de manière explicite. Vous serez en mesure de récupérer des données en montrant que les données de sauvegarde n’ont pas été modifiées au repos, par inadvertance ou par malveillance. |
Évitez ou atténuez les implémentations système qui permettent à votre charge de travail de fonctionner en dehors de ses limites et objectifs prévus. |
Vérifier de manière explicite. Lorsque votre système dispose de garanties solides qui case activée si l’utilisation s’aligne sur ses limites et objectifs prévus, l’étendue des abus potentiels ou de la falsification de vos magasins de calcul, de mise en réseau et de données est réduite. |
Concevoir pour protéger la disponibilité
Évitez ou réduisez les temps d’arrêt et la dégradation du système et de la charge de travail en cas d’incident de sécurité à l’aide de contrôles de sécurité forts. Vous devez maintenir l’intégrité des données pendant l’incident et après la récupération du système. |
---|
Vous devez trouver un équilibre entre les choix d’architecture de disponibilité et les choix d’architecture de sécurité. Le système doit disposer de garanties de disponibilité pour s’assurer que les utilisateurs ont accès aux données et que les données sont accessibles. Du point de vue de la sécurité, les utilisateurs doivent fonctionner dans l’étendue d’accès autorisée et les données doivent être approuvées. Les contrôles de sécurité doivent bloquer les acteurs malveillants, mais ils ne doivent pas empêcher les utilisateurs légitimes d’accéder au système et aux données.
Approche | Avantage |
---|---|
Empêchez les identités compromises d’une mauvaise utilisation de l’accès pour prendre le contrôle du système. Vérifiez l’étendue et les limites de temps trop répandues pour réduire l’exposition aux risques. |
Privilège minimum. Cette stratégie atténue les risques d’autorisations d’accès excessives, inutiles ou mal utilisées sur les ressources essentielles. Les risques incluent les modifications non autorisées et même la suppression de ressources. Tirez parti des modes de sécurité juste-à-temps (JIT) fournis par la plateforme, juste-assez d’accès (JEA) et de sécurité basé sur le temps pour remplacer les autorisations permanentes dans la mesure du possible. |
Utilisez des contrôles de sécurité et des modèles de conception pour empêcher les attaques et les défauts de code de provoquer un épuisement des ressources et bloquer l’accès. |
Vérification explicite. Le système ne subira pas de temps d’arrêt dû à des actions malveillantes, telles que les attaques par déni de service distribué (DDoS). |
Implémentez des mesures préventives pour les vecteurs d’attaque qui exploitent les vulnérabilités dans le code d’application, les protocoles réseau, les systèmes d’identité, la protection contre les programmes malveillants et d’autres domaines. |
Prise en compte des violations. Implémentez des scanneurs de code, appliquez les derniers correctifs de sécurité, mettez à jour les logiciels et protégez votre système avec un anti-programme malveillant efficace sur une base continue. Vous serez en mesure de réduire la surface d’attaque pour garantir la continuité de l’activité. |
Hiérarchiser les contrôles de sécurité sur les composants et flux critiques dans le système qui sont sensibles aux risques. |
Supposez une violation, vérifiez explicitement. Des exercices de détection et de hiérarchisation réguliers peuvent vous aider à appliquer l’expertise en sécurité aux aspects critiques du système. Vous serez en mesure de vous concentrer sur les menaces les plus probables et les plus dommageables et de commencer votre atténuation des risques dans les domaines qui nécessitent le plus d’attention. |
Appliquez au moins le même niveau de rigueur de sécurité dans vos ressources et processus de récupération que dans l’environnement principal, y compris les contrôles de sécurité et la fréquence des sauvegardes. |
Prise en compte des violations. Vous devez disposer d’un état de système sécurisé préservé disponible dans la récupération d’urgence. Si c’est le cas, vous pouvez basculer vers un système ou un emplacement secondaire sécurisé et restaurer des sauvegardes qui n’introduisent pas de menace. Un processus bien conçu peut empêcher un incident de sécurité d’entraver le processus de récupération. Des données de sauvegarde endommagées ou chiffrées qui ne peuvent pas être déchiffrées peuvent ralentir la récupération. |
Soutenir et faire évoluer votre posture de sécurité
Intégrez l’amélioration continue et appliquez la vigilance pour garder une longueur d’avance sur les attaquants qui évoluent continuellement leurs stratégies d’attaque. |
---|
Votre posture de sécurité ne doit pas se dégrader au fil du temps. Vous devez continuellement améliorer les opérations de sécurité afin que les nouvelles interruptions soient gérées plus efficacement. S’efforcer d’aligner les améliorations sur les phases définies par les normes de l’industrie. Cela permet d’améliorer la préparation, de réduire le temps de détection des incidents et d’assurer un confinement et une atténuation efficaces. L’amélioration continue doit être basée sur les leçons tirées des incidents passés.
Il est important de mesurer votre posture de sécurité, d’appliquer des stratégies pour maintenir cette posture et de valider régulièrement vos mesures d’atténuation de la sécurité et vos contrôles de compensation afin d’améliorer continuellement votre posture de sécurité face à l’évolution des menaces.
Approche | Avantage |
---|---|
Créez et gérez un inventaire complet des ressources qui comprend des informations classifiées sur les ressources, les emplacements, les dépendances, les propriétaires et d’autres métadonnées pertinentes pour la sécurité. Dans la mesure du possible, automatisez l’inventaire pour dériver les données du système. |
Un inventaire bien organisé fournit une vue holistique de l’environnement, ce qui vous place dans une position avantageuse par rapport aux attaquants, en particulier pendant les activités post-incident. Il crée également un rythme d’entreprise pour stimuler la communication, l’entretien des composants critiques et la désaffectation des ressources orphelines. |
Effectuez une modélisation des menaces pour identifier et atténuer les menaces potentielles. | Vous aurez un rapport des vecteurs d’attaque classés par ordre de priorité en fonction de leur niveau de gravité. Vous serez en mesure d’identifier rapidement les menaces et les vulnérabilités et de configurer des contre-mesures. |
Capturez régulièrement des données pour quantifier votre état actuel par rapport à votre base de référence de sécurité établie et définissez des priorités pour les corrections. Tirez parti des fonctionnalités fournies par la plateforme pour la gestion de la posture de sécurité et l’application de la conformité imposée par les organisations externes et internes. |
Vous avez besoin de rapports précis qui apportent de la clarté et du consensus dans les domaines d’intérêt. Vous serez en mesure d’exécuter immédiatement des corrections techniques, en commençant par les éléments les plus prioritaires. Vous identifierez également les lacunes, qui offrent des possibilités d’amélioration. L’implémentation de l’application permet d’éviter les violations et les régressions, ce qui préserve votre posture de sécurité. |
Exécutez des tests de sécurité périodiques effectués par des experts externes à l’équipe de charge de travail qui tentent de pirater le système de manière éthique. Effectuez une analyse des vulnérabilités de routine et intégrée pour détecter les attaques dans l’infrastructure, les dépendances et le code d’application. |
Ces tests vous permettent de valider les défenses de sécurité en simulant des attaques réelles à l’aide de techniques telles que les tests d’intrusion. Les menaces peuvent être introduites dans le cadre de votre gestion des modifications. L’intégration d’analyseurs dans les pipelines de déploiement vous permet de détecter automatiquement les vulnérabilités et même de mettre en quarantaine l’utilisation jusqu’à ce que les vulnérabilités soient supprimées. |
Détectez, répondez et récupérez avec des opérations de sécurité rapides et efficaces. | Le principal avantage de cette approche est qu’elle vous permet de préserver ou de rétablir les garanties de sécurité de la triade de la CIA pendant et après une attaque. Vous devez être alerté dès qu’une menace est détectée afin de pouvoir démarrer vos investigations et prendre les mesures appropriées. |
Mener des activités post-incident telles que des analyses de la cause racine, des post-mortems et des rapports d’incident. | Ces activités fournissent un aperçu de l’impact de la violation et des mesures de résolution, ce qui permet d’améliorer les défenses et les opérations. |
Restez à jour et restez à jour. Restez à jour sur les mises à jour, les mises à jour correctives et les correctifs de sécurité. Évaluez en permanence le système et améliorez-le en fonction des rapports d’audit, des analyses comparatives et des leçons tirées des activités de test. Envisagez l’automatisation, le cas échéant. Utilisez le renseignement sur les menaces optimisé par l’analytique de sécurité pour la détection dynamique des menaces. À intervalles réguliers, passez en revue la conformité de la charge de travail aux meilleures pratiques sdl (Security Development Lifecycle). |
Vous serez en mesure de vous assurer que votre posture de sécurité ne se dégrade pas au fil du temps. En intégrant les résultats des attaques réelles et des activités de test, vous serez en mesure de combattre les attaquants qui améliorent et exploitent continuellement de nouvelles catégories de vulnérabilités. L’automatisation des tâches répétitives réduit le risque d’erreur humaine pouvant créer un risque. Les révisions SDL apportent de la clarté sur les fonctionnalités de sécurité. SDL peut vous aider à gérer un inventaire des ressources de charge de travail et de leurs rapports de sécurité, qui couvrent l’origine, l’utilisation, les faiblesses opérationnelles et d’autres facteurs. |