Felhőbiztonsági funkciók

A függvények olyan feladatok és felelősségek, amelyek kulcsfontosságúak a szervezet számára. Más szóval a függvények "elvégzendő feladatok".

Ez a cikk összefoglalja a vállalat információbiztonsági kockázatának kezeléséhez szükséges szervezeti funkciókat. Ezek a szerepkörök és felelősségek alkotják az általános kiberbiztonsági rendszer emberi részét.

A biztonság egy csapatsport

A biztonsági csapat tagjainak együtt kell dolgozniuk, és az egész szervezet szerves részeiként kell látniuk egymást. Egy nagyobb biztonsági közösség tagja, amely ugyanezekkel a támadókkal szemben védekezik.

Ez a holisztikus világnézet segít a csapatnak a szerepkörök és felelősségek fejlődése során felfedezett nem tervezett hiányosságokon és átfedéseken.

A biztonsági függvények típusai

Az alábbi ábrán a biztonságon belüli konkrét szervezeti funkciók láthatók. Az ábrázolt függvények egy teljes vállalati biztonsági csapat ideális nézetét ábrázolják. Előfordulhat, hogy a korlátozott erőforrásokkal rendelkező biztonsági csapatok nem rendelkeznek formális felelősségekkel ezen funkciók köré. Minden függvényt egy vagy több személy hajthat végre, és minden egyes személy egy vagy több funkciót hajthat végre olyan tényezőktől függően, mint a kultúra, a költségvetés és a rendelkezésre álló erőforrások.

Egy vállalati biztonsági csapat funkcióinak ábrája.

Az egyes függvényekről az alábbi cikkekből tudhat meg többet. Ezek közé tartozik a célkitűzések összegzése, a függvény fejlődésének menete, valamint a siker szempontjából kritikus fontosságú kapcsolatok és függőségek.

Szerepkörök és felelősségek

A biztonsági szerepkörökre és a felelősségekre a Microsoft dokumentációja hivatkozik, beleértve az Azure Biztonsági teljesítménytesztet, a biztonságos emelt szintű hozzáférés gyors modernizálási tervét és az Azure biztonsági ajánlott eljárásait.

Az alábbi ábra azt szemlélteti, hogy ezek a függvények hogyan képeznek le szerepkörtípusokat egy szervezeten belül:

Biztonsági szerepkörök és felelősségek diagramja.

A biztonság és az üzleti eredmények leképezése

Szervezeti szinten a biztonsági szemléletek az iparágak és szervezetek széles körben elterjedt, szabványos, tervalapú buildelési fázisaihoz vannak leképezve. A biztonság egy olyan szemlélet, amelynek egyedi funkciói és kritikus eleme a normál üzleti műveletekbe való integrálásnak.

Szerepkörtípusok

Az ábrán a felelősségek jellemző szerepkörökbe vannak rendezve, amelyek közös képességcsoportokkal és karrierprofilokkal rendelkeznek. Ezek a csoportosítások segítenek tisztázni, hogy az iparági trendek milyen hatással vannak a biztonsági szakemberekre:

  • Biztonsági vezetés: Ezek a szerepkörök gyakran kiterjednek a függvényekre, így biztosítva, hogy a csapatok összehangolják egymást. Emellett fontossági sorrendet is biztosítanak, és kulturális normákat, szabályzatokat és biztonsági szabványokat határoznak meg.
  • Biztonsági tervező: Ezek a szerepkörök a függvényekre is kiterjednek, és kulcsfontosságú szabályozási képességet biztosítanak, hogy az összes technikai függvény harmonikusan működjön egy egységes architektúrán belül.
  • Biztonsági helyzet és megfelelőség: Egy újabb szerepkörtípus, amely a megfelelőségi jelentések konvergenciáját jelenti a hagyományos biztonsági szemléletekkel, például a sebezhetőség-kezeléssel és a konfigurációs alapkonfigurációkkal. Bár a hatókör és a célközönség eltérő a biztonsági és megfelelőségi jelentések esetében, mindkettő a szervezet biztonságát méri. A kérdés megválaszolásának módja egyre inkább hasonló az olyan eszközökkel, mint a Microsoft Secure Score és a Microsoft Defender for Cloud:
    • A felhőszolgáltatásokból származó igény szerinti adatcsatornák használata csökkenti a megfelelőség jelentéséhez szükséges időt.
    • A rendelkezésre álló adatok nagyobb köre lehetővé teszi a biztonsági szabályozás számára, hogy a hagyományos szoftverfrissítéseken túl is feltárja a biztonsági konfigurációk és az üzemeltetési gyakorlatok biztonsági réseit.
  • Platformbiztonsági mérnök: Ezek a technológiai szerepkörök olyan platformokra összpontosítanak, amelyek több számítási feladatot is üzemeltetnek – hozzáférés-vezérlést és eszközvédelmet is. Ezek a szerepkörök gyakran speciális technikai képességcsoportokkal rendelkező csoportokba vannak csoportosítva, beleértve a hálózati biztonságot, az infrastruktúrát és a végpontokat, az identitás- és kulcskezelést és másokat. Ezek a csapatok mind a megelőző ellenőrzéseken, mind a detektívvezérlőkön dolgoznak, mivel a detektívvezérlők a SecOpsszal való partnerséget, a megelőző vezérlők pedig elsősorban az informatikai üzemeltetéssel való partnerséget alkotják. További információ: Biztonsági integráció.
  • Alkalmazásbiztonsági mérnök: Ezek a technológiai szerepkörök az adott számítási feladatok biztonsági vezérlőire összpontosítanak, és támogatják a klasszikus fejlesztési modelleket és a modern DevOps/DevSecOps-modellt is. Az alkalmazás-fejlesztési biztonsági készségeket ötvözik az olyan gyakori technikai összetevők egyedi kód- és infrastruktúra-készségeihez, mint a virtuális gépek, adatbázisok és tárolók. Ezek a szerepkörök lehetnek központi informatikai vagy biztonsági szervezetekben, illetve üzleti és fejlesztési csapatokban, a szervezeti tényezőktől függően.

Megjegyzés

A DevOps és a kódként nyújtott infrastruktúra trendjeinek előrehaladtával bizonyos biztonsági tehetségek valószínűleg áttérnek a platformbiztonsági mérnöki csapatokról az alkalmazásbiztonsági csapatokra és a testtartás-felügyeleti szerepkörökre. A DevOps-modellhez infrastruktúrabiztonsági ismeretekre van szükség, például a DevOpsban lévő műveletek biztonságossá tételéhez. A cégirányítási csapatoknak szükségük lesz ezekre a készségekre és tapasztalatokra a műszaki biztonsági helyzet valós idejű figyeléséhez. Emellett a kódként nyújtott infrastruktúra automatizálja az ismétlődő manuális technikai feladatokat, csökkentve ezzel a platformbiztonsági mérnök szerepkörökben ezekhez a készségekhez szükséges időt (bár egyre nagyobb szükség van a széles körű technikai készségekre, valamint az automatizálási vagy szkriptelési készségekre).

Következő lépések

További információ a Microsoft felhőadaptálási keretrendszer biztonságáról.