Précédent

Suivant

Planifier votre préparation à la sécurité

Effectué

S’efforcer d’adopter et d’implémenter des pratiques de sécurité dans les décisions et opérations de conception architecturale avec un minimum de frictions.

En tant que propriétaire de charge de travail, vous avez une responsabilité partagée avec l’organisation de protéger les ressources. Créez un plan de préparation de la sécurité aligné sur les priorités de l’entreprise. Il conduira à des processus bien définis, à des investissements adéquats et à des responsabilités appropriées. Le plan doit fournir les exigences de charge de travail à l’organisation, qui partage également la responsabilité de la protection des ressources. Les plans de sécurité doivent tenir compte de votre stratégie pour la fiabilité, la modélisation de l’intégrité et la conservation automatique.

En plus des ressources organisationnelles, la charge de travail elle-même doit être protégée contre les attaques d’intrusion et d’exfiltration. Toutes les facettes de la Confiance Zéro et de la triade de la CIA doivent être considérées dans le plan.

Les exigences fonctionnelles et non fonctionnelles, les contraintes budgétaires et d’autres considérations ne doivent pas restreindre les investissements en sécurité ni réduire les garanties. En même temps, vous devez concevoir et planifier des investissements en matière de sécurité avec ces contraintes et restrictions à l’esprit.

Exemple de scénario

Contoso Supermarket n’a jamais eu de programme de fidélité client avant, mais l’entreprise a décidé qu’il est judicieux de créer un. La fonctionnalité NFC sur les téléphones clients sera utilisée comme solution au point de vente à la fois pour la caisse en libre-service et la caisse avec caissier. Un kiosque d’inscription en libre-service à l’entrée et à la sortie du magasin permettra aux clients de s’inscrire au programme. La solution de traitement back-end sera hébergée dans le cloud, mais la conception n’est pas encore finalisée.

Optimiser la sécurité via la segmentation

Utilisez la segmentation comme stratégie de planification des limites de sécurité dans l’environnement de charge de travail, des processus et de la structure d’équipe pour isoler l’accès et la fonction.

Votre stratégie de segmentation doit être pilotée par les exigences métier. Vous pouvez la baser sur la criticité des composants, la division du travail, les préoccupations relatives à la vie privée et d’autres facteurs.

Vous serez à même de minimiser les frictions opérationnelles en définissant des rôles et en établissant des lignes claires de responsabilité. Cet exercice vous aide également à identifier le niveau d’accès pour chaque rôle, en particulier pour les comptes essentiels.

L’isolation vous permet de limiter l’exposition des flux sensibles aux seuls rôles et ressources qui ont besoin d’un accès. Une exposition excessive pourrait entraîner par inadvertance une divulgation de flux d’informations.

Problématique de Contoso

• À des fins de simplicité, l’équipe a historiquement favorisé les approches à faible coût. Ces approches ont inclus la colocalisation des composants de charge de travail disparates afin de réduire la surface de gestion et organiser des individus disparates dans des groupes de sécurité afin de simplifier la gestion des accès.
• Malheureusement, un stagiaire de l’AQ qui a obtenu un accès étendu au nouvel environnement de déploiement en raison de l’appartenance à leur groupe de sécurité a été soumis à une attaque d’ingénierie sociale qui a conduit à une compromission de leur compte.
• L’attaquant a pu compromettre la confidentialité de non seulement ce déploiement, mais tous les autres s’exécutant sur la même plateforme d’application.

Application de l’approche et résultats

• Heureusement, et bien que l’entreprise conçoive le nouveau système de programme de fidélité des clients pour le système de point de vente, l’environnement compromis hébergeait un prototype de test précoce de la charge de travail, donc aucun système de production n’a été violé.
• L’équipe de sécurité de la charge de travail prévoit d’investir du temps et de l’argent pour concevoir la charge de travail afin d’isoler les systèmes qui gèrent les informations personnelles (PII), telles que l’adresse et l’e-mail des clients, de ces composants qui ne le font pas (tels que les coupons pour les produits) ; de concevoir des contrôles d’accès qui sont nécessaires au savoir et au juste-à-temps (JIT) le cas échéant ; et d’isoler les réseaux au sein de la charge de travail pour protéger d’autres composants et revenir à Contoso pour protéger l’organisation.
• Grâce à la segmentation, une compromission peut avoir un impact sur les aspects de la charge de travail, mais le rayon d’exposition sera restreint.

Répondre efficacement aux incidents

Vérifiez qu’il existe un plan de réponse aux incidents pour votre charge de travail. Utilisez des infrastructures industrielles qui définissent la procédure d’exploitation standard pour la préparation, la détection, l’endiguement, l’atténuation des risques et l’activité post-incident.

En temps de crise, la confusion doit être évitée. Si vous disposez d’un plan bien documenté, les rôles responsables peuvent se concentrer sur l’exécution sans perdre de temps sur les actions incertaines. En outre, un plan complet peut vous aider à vous assurer que toutes les exigences de correction sont remplies.

Problématique de Contoso

• L’équipe responsable des charges de travail commence à officialiser les canaux d’assistance pour les détaillants, les canaux de service clientèle et les rotations techniques sur appel pour les escalades d’assistance et pour les pannes.
• Dans ces plans, la sécurité n’est pas abordée de manière spécifique. L’équipe ignore également ce que Contoso offre en tant qu’organisation propose en termes d’assistance.

Application de l’approche et résultats

• L’équipe responsable des charges de travail travaille avec l’équipe responsable de la sécurité chez Contoso pour comprendre les exigences de conformité pour traiter les informations d’identification personnelle de cette nature, tant du point de vue de l’organisation que du point de vue de la conformité externe.
• L’équipe crée un plan de détection, d’atténuation et d’escalade des incidents de sécurité, y compris des exigences de communication standardisées pour les incidents.
• L’équipe responsable des charges de travail se sent maintenant tout aussi à l’aise avec la préparation aux incidents de sécurité qu’avec leur assistance de fiabilité. Elle planifie d’explorer en profondeur les incidents de sécurité pour exécuter et affiner le plan avant qu’ils ne soient mis en service avec le système.

Codifier des opérations et des pratiques de développement sécurisées

Définissez et appliquez des normes de sécurité au niveau de l’équipe dans le cycle de vie et les opérations de la charge de travail. Recherchez des pratiques cohérentes dans les opérations telles que le codage, les approbations contrôlées, la gestion des mises en production, ainsi que la protection et la rétention des données.

La définition de bonnes pratiques de sécurité peut réduire la négligence et la surface d’exposition des erreurs potentielles. L’équipe optimisera les efforts et les résultats seront prévisibles, car les approches sont plus cohérentes.

Observer les normes de sécurité au fil du temps vous permettra d’identifier les possibilités d’amélioration, éventuellement l’automatisation, ce qui simplifiera davantage les efforts et améliorera la cohérence.

Problématique de Contoso

• Après avoir préparé la réponse aux incidents, l’équipe responsable des charges de travail décide qu’elle doit investir du temps et des efforts pour éviter les problèmes en premier lieu.
• L’équipe n’a pas encore pensé à un cycle de vie de développement sécurisé spécifique et prévoit d’utiliser les mêmes processus que ceux utilisés sur les projets précédents.

Application de l’approche et résultats

• Bien que cette charge de travail ne contienne pas de données hautement confidentielles telles que les informations de carte de crédit, l’équipe traite les données de leurs clients avec respect et sait qu’il existe des réglementations locales et fédérales qui doivent être suivies pour les types de données qui seront conservées.
• L’équipe investit dans l’apprentissage des pratiques actuelles de développement et d’exploitation sécurisés standard et prend des mesures qui manquaient auparavant.
• L’équipe partage également ses connaissances avec l’équipe responsable de la sécurité chez Contoso pour s’assurer que les meilleures pratiques sont adoptées dans toute l’entreprise.

Contrôle de vos connaissances

1.

Quel avantage y a-t-il à utiliser la segmentation dans votre approche de la sécurité ?

La segmentation vous permet d’isoler l’accès aux ressources en fonction du principe du privilège minimum.

La segmentation bloque l’accès à toutes les ressources, ce qui empêche les attaquants d’y accéder.

La segmentation force tous les utilisateurs à utiliser l’authentification multifacteur (MFA) pour accéder aux ressources.

La segmentation force tous les utilisateurs à utiliser l’authentification unique (SSO) pour accéder aux ressources.

2.

Quel type de plan devez-vous créer pour vous assurer que les événements de sécurité soient détectés et résolus en temps opportun ?

Plan de reprise d’activité après sinistre

Plan de continuité de l’activité

Plan de réponse aux incidents de sécurité

Plan d’atténuation des risques liés aux attaques DDoS

3.

Vrai ou faux : Le fait que Contoso utilise des pratiques de développement sécurisées permettra à l’équipe de s’assurer que tout le code est développé de manière standard et cohérente.

Vrai.

False.

Vous devez répondre à toutes les questions avant de vérifier votre travail.

Continuer