Első lépések: Biztonság megvalósítása a vállalati környezetben

A biztonság biztosítja a vállalat bizalmasságát, integritását és rendelkezésre állását. A biztonsági erőfeszítések kritikus fontosságúak a belső és külső rosszindulatú és nem szándékos cselekedetek által a műveletekre gyakorolt esetleges hatások elleni védelemre.

Ez az első lépéseket ismertető útmutató ismerteti azokat a fő lépéseket, amelyek mérsékelik vagy elkerülik a kiberbiztonsági támadásokból eredő üzleti kockázatokat. Segítségével gyorsan hozhat létre alapvető biztonsági eljárásokat a felhőben, és integrálhatja a biztonságot a felhőbevezetési folyamatba.

Az útmutató lépései a felhőkörnyezetek és kezdőzónák biztonsági garanciáit támogató szerepkörökhöz készültek. A feladatok közé tartoznak az azonnali kockázatcsökkentési prioritások, a modern biztonsági stratégia kialakítására, a megközelítés üzembe helyezésére és a stratégia végrehajtására vonatkozó útmutatás.

Az útmutató lépéseinek betartásával integrálhatja a biztonságot a folyamat kritikus pontjain. A cél a felhőbevezetés akadályainak elkerülése és a szükségtelen üzleti vagy működési zavarok csökkentése.

A Microsoft olyan képességeket és erőforrásokat fejlesztett ki, amelyek segítenek felgyorsítani a Biztonsági útmutató megvalósítását a Microsoft Azure-ban. Ezekre az erőforrásokra az útmutatóban hivatkozunk. Ezek célja, hogy segítsenek a biztonság kialakításában, figyelésében és betartatásában, és gyakran frissülnek és áttekinthetők.

Az alábbi ábra egy holisztikus megközelítést mutat be a biztonsági útmutatók és platformeszközök használatával a biztonsági láthatóság és az Azure-beli felhőbeli eszközök feletti ellenőrzés kialakításához. Ezt a megközelítést javasoljuk.

Biztonsági diagram

Ezekkel a lépésekkel megtervezheti és végrehajthatja a felhőbeli objektumok védelmére és a felhő használatára vonatkozó stratégiáját a biztonsági műveletek modernizálásához.

1. lépés: Alapvető biztonsági eljárások létrehozása

A felhőbeli biztonság azzal kezdődik, hogy a legfontosabb biztonsági eljárásokat alkalmazza a rendszer felhasználóira, folyamatára és technológiai elemeire. Emellett néhány architekturális döntés alapvető fontosságú, és később nagyon nehéz megváltoztatni, ezért körültekintően kell alkalmazni.

Akár már a felhőben üzemel, akár a jövőbeni bevezetést tervezi, javasoljuk, hogy kövesse ezt a 11 alapvető biztonsági eljárást (az explicit jogszabályi megfelelőségi követelmények teljesítése mellett).

Kapcsolatok:

  1. A csapatok tájékoztatása a felhőbiztonsági folyamatról
  2. A csapatok oktatása a felhőbiztonsági technológiákról

Folyamat:

  1. Elszámoltathatóság hozzárendelése a felhőbiztonsági döntésekhez
  2. Incidenskezelési folyamatok frissítése a felhőben
  3. Biztonsági helyzet kezelésének létrehozása

Technológia:

  1. Jelszó nélküli vagy többtényezős hitelesítés megkövetelése
  2. Natív tűzfal és hálózati biztonság integrálása
  3. Natív fenyegetésészlelés integrálása

Alapvető architektúra-döntések:

  1. Egységesítés egyetlen címtáron és identitáson
  2. Identitásalapú hozzáférés-vezérlés használata (kulcsok helyett)
  3. Egységes biztonsági stratégia létrehozása

Megjegyzés

Minden szervezetnek meg kell határoznia a saját minimumszabványait. A kockázati helyzet és a kockázat későbbi tűréshatára az iparágtól, a kultúrától és más tényezőktől függően változhat. Előfordulhat például, hogy egy bank nem tolerálja a hírnevének esetleges károsodását, még egy tesztrendszer elleni kisebb támadástól sem. Egyes szervezetek szívesen fogadnák el ugyanezt a kockázatot, ha 3-6 hónappal felgyorsítják digitális átalakulásukat.

2. lépés: A biztonsági stratégia modernizálása

A felhő hatékony biztonságához olyan stratégia szükséges, amely tükrözi a jelenlegi fenyegetési környezetet és a vállalati eszközöket üzemeltető felhőplatform jellegét. A világos stratégia javítja az összes csapat azon erőfeszítéseit, hogy biztonságos és fenntartható vállalati felhőkörnyezetet biztosítsanak. A biztonsági stratégiának lehetővé kell tennie a meghatározott üzleti eredményeket, elfogadható szintre kell csökkentenie a kockázatokat, és lehetővé kell tennie az alkalmazottak hatékonyságát.

A felhőbiztonsági stratégia útmutatást nyújt a technológián, folyamatokon és a bevezetésre való felkészültségen dolgozó összes csapat számára. A stratégiának tájékoztatnia kell a felhőarchitektúrát és a technikai képességeket, meg kell irányítania a biztonsági architektúrát és képességeket, valamint ki kell alakítania a csapatok képzését és oktatását.

Termékek:

A stratégiai lépésnek olyan dokumentumot kell eredményeznie, amely könnyen közölhető a szervezet számos érdekelt felével. Az érintettek potenciálisan a szervezet vezetői csapatának vezetőit is bevonhatják.

Javasoljuk, hogy a stratégia rögzítését egy bemutatóban készítse el, hogy megkönnyítse az egyszerű megbeszélést és frissítést. Ez a bemutató a kulturális környezettől és a beállításoktól függően dokumentumokkal is támogatott.

  • Stratégiai bemutató: Lehet, hogy egyetlen stratégiai bemutatóval rendelkezik, vagy dönthet úgy, hogy összefoglaló verziókat is létrehoz a vezetői közönség számára.

    • Teljes bemutató: Ennek tartalmaznia kell a biztonsági stratégia elemeinek teljes készletét a fő bemutatóban vagy az opcionális referenciadiákban.
    • Vezetői összefoglalók: A felsővezetőkkel és az igazgatótanács tagjaival használható verziók csak a szerepkörük szempontjából fontos elemeket tartalmazhatnak, például a kockázati étvágyat, a legfontosabb prioritásokat vagy az elfogadott kockázatokat.
  • A stratégiai és tervsablonban motivációkat, eredményeket és üzleti indoklásokat is rögzíthet.

Ajánlott eljárások a biztonsági stratégia kialakításához:

A sikeres programok ezeket az elemeket beépítik a biztonsági stratégia folyamatába:

  • Szorosan igazodjon az üzleti stratégiához: A biztonsági charta az üzleti érték védelme. Kritikus fontosságú, hogy az összes biztonsági erőfeszítést ehhez a célhoz igazítsa, és minimalizálja a belső ütközést.

    • Az üzleti, informatikai és biztonsági követelmények közös ismerete.
    • A biztonság korai integrálása a felhőbe való bevezetésbe , hogy elkerülje az utolsó pillanatban felmerülő válságokat az elkerülhető kockázatoktól.
    • Agilis megközelítéssel azonnal megállapíthatja a minimális biztonsági követelményeket, és folyamatosan javíthatja a biztonsági garanciákat.
    • A biztonsági kultúra megváltoztatásának ösztönzése szándékos proaktív vezetői intézkedésekkel.

    További információ: Átalakítások, gondolkodásmódok és elvárások.

  • Biztonsági stratégia modernizálása: A biztonsági stratégiának figyelembe kell vennie a modern technológiai környezet minden aspektusát, a jelenlegi fenyegetési környezetet és a biztonsági közösségi erőforrásokat.

    • Alkalmazkodjon a felhő megosztott felelősségi modelljéhez.
    • Tartalmazza az összes felhőtípust és többfelhős üzemelő példányt.
    • A felesleges és káros súrlódások elkerülése érdekében inkább a natív felhővezérlőket részesítse előnyben.
    • Integrálja a biztonsági közösséget, hogy lépést tartson a támadók fejlődésével.

Kapcsolódó erőforrások további környezethez:


Elszámoltatható csapat Felelős és támogató csapatok
  • Biztonsági vezetői csapat (informatikai vezető biztonsági tisztviselő (CISO) vagy azzal egyenértékű)
  • Felhőstratégiáért felelős csapat
  • Felhőbiztonsági csapat
  • Felhőbevezetési csapat
  • Felhőbeli kiválósági központ vagy központi informatikai csapat
  • Stratégia jóváhagyása:

    A vállalaton belüli üzleti vonalak eredményeiért vagy kockázatáért elszámoltatható vezetőknek és üzleti vezetőknek jóvá kell hagyniuk ezt a stratégiát. Ez a csoport a szervezettől függően az igazgatótanácsot is magában foglalhatja.

    3. lépés: Biztonsági terv kidolgozása

    A tervezés az eredmények, a mérföldkövek, az ütemtervek és a feladattulajdonosok meghatározásával teszi működésbe a biztonsági stratégiát. Ez a terv a csapatok szerepköreit és felelősségeit is ismerteti.

    A biztonsági tervezést és a felhőbevezetés tervezését nem szabad külön-külön elvégezni. Kritikus fontosságú, hogy a felhőbiztonsági csapatot korán meghívja a tervezési ciklusokba, hogy elkerülje a munkabeszüntetést vagy a biztonsági problémák túl késői felderítésének megnövekedett kockázatát. A biztonsági tervezés a legjobban a digitális tulajdon és a meglévő informatikai portfólió alapos ismeretével és tudatosításával működik, amely a felhőtervezési folyamatba való teljes integrálásból származik.

    Termékek:

    • Biztonsági csomag: A biztonsági tervnek a felhő fő tervezési dokumentációjának kell lennie. Ez lehet egy olyan dokumentum, amely a stratégiát és a tervsablont, egy részletes diacsomagot vagy egy projektfájlt használ. Vagy ezek a formátumok a szervezet méretétől, kultúrájától és szokásos eljárásaitól függően kombinálhatók.

      A biztonsági tervnek tartalmaznia kell az alábbi elemeket:

      • A szervezeti funkciók tervezése, hogy a csapatok tudják, hogyan változnak a jelenlegi biztonsági szerepkörök és felelősségek a felhőbe való áthelyezéssel.

      • Biztonsági készségeket terveznek , hogy támogassák a csapattagokat a technológia, a szerepkörök és a felelősségek jelentős változásaiban való navigálás során.

      • Műszaki biztonsági architektúra és képességek ütemterve a műszaki csapatok irányításához.

        A Microsoft referenciaarchitektúrákat és technológiai képességeket biztosít az architektúra és az ütemterv létrehozásakor, beleértve a következőket:

      • Biztonsági tudatosság és oktatási terv, így minden csapat alapvető kritikus biztonsági ismeretekkel rendelkezik.

      • Az eszközérzékenység megjelölése a bizalmas objektumok kijelöléséhez az üzleti hatáshoz igazodó osztályozás használatával. A taxonómiát az üzleti érdekelt felek, a biztonsági csapatok és más érdekelt felek közösen építik ki.

      • A felhőcsomag biztonsági változásai: Frissítse a felhőbevezetési terv más szakaszait, hogy tükrözze a biztonsági terv által kiváltott változásokat.

    Ajánlott eljárások a biztonsági tervezéshez:

    A biztonsági terv valószínűleg sikeresebb lesz, ha a tervezés a következő megközelítést alkalmazza:

    • Hibrid környezet feltételezése: Ez magában foglalja a szolgáltatott szoftveres (SaaS-) alkalmazásokat és a helyszíni környezeteket. Emellett több felhőinfrastruktúra (IaaS) és szolgáltatásként nyújtott platform (PaaS) szolgáltatókat is tartalmaz, ha vannak ilyenek.

    • Agilis biztonság bevezetése: Először hozza létre a minimális biztonsági követelményeket, és helyezze át az összes nem kritikus elemet a következő lépések rangsorban szereplő listájára. Ez nem lehet hagyományos, 3-5 éves részletes terv. A felhőbeli és a fenyegetési környezet túl gyorsan változik ahhoz, hogy az ilyen típusú terv hasznos legyen. A tervnek az első lépések és a befejezési állapot fejlesztésére kell összpontosítania:

      • Gyors győzelem a közvetlen jövőben, amely nagy hatással lesz, mielőtt a hosszabb távú kezdeményezések elkezdődnek. Az időkeret 3–12 hónap lehet a szervezeti kultúrától, a szokásos eljárásoktól és egyéb tényezőktől függően.
      • Világos elképzelés a kívánt befejezési állapotról, amely végigvezeti az egyes csapatok tervezési folyamatait (ami akár több évet is igénybe vehet).
    • Ossza meg a tervet széles körben: Az érdekelt felek tájékoztatásának, visszajelzéseinek és bevásárlásának növelése.

    • Ismerje meg a stratégiai eredményeket: Győződjön meg arról, hogy a terv megfelel a biztonsági stratégiában leírt stratégiai eredményeknek, és végrehajtja azokat.

    • Adja meg a tulajdonjogot, az elszámoltathatóságot és a határidőket: Győződjön meg arról, hogy az egyes tevékenységek tulajdonosai azonosítva vannak, és elkötelezettek a feladat adott időkeretben történő elvégzésére.

    • Csatlakozás a biztonság emberi oldalához: Vegye fel a kapcsolatot az emberekkel ebben az átalakulási időszakban és az új elvárásokkal:

      • A csapattagok átalakításának aktív támogatása egyértelmű kommunikációval és coachinggel a következőkkel kapcsolatban:

        • Milyen készségeket kell tanulniuk.
        • Miért kell megtanulniuk a készségeket (és ennek előnyeit).
        • Hogyan szerezheti be ezt a tudást (és hogyan biztosíthatja a tanuláshoz szükséges erőforrásokat).

        A tervet a stratégia és a tervsablon használatával dokumentálhatja. A Microsoft online biztonsági képzésével pedig segíthet a csapattagok oktatásában.

      • A biztonsági tudatosság felkeltése , amely segít az embereknek abban, hogy valóban kapcsolódjanak a szervezet biztonságának fenntartásához.

    • Tekintse át a Microsoft-tanulásokat és -útmutatókat: A Microsoft elemzéseket és perspektívákat tett közzé, amelyek segítenek a szervezetnek megtervezni a felhőbe való átalakítást és a modern biztonsági stratégiát. Az anyag tartalmazza a rögzített betanításokat, dokumentációt, valamint a biztonsági ajánlott eljárásokat és az ajánlott szabványokat.

      A terv és az architektúra felépítéséhez szükséges technikai útmutatásért tekintse meg a Microsoft biztonsági dokumentációját.


    Elszámoltatható csapat Felelős és támogató csapatok
  • Felhőbiztonsági csapat
  • Felhőstratégiáért felelős csapat
  • Felhőszabályozási csapat
  • A szervezet bármely kockázati csapata
  • Felhőbeli kiválósági központ vagy központi informatikai csapat
  • Biztonsági terv jóváhagyása:

    A biztonsági vezető csapatnak (CISO vagy azzal egyenértékű) jóvá kell hagynia a tervet.

    4. lépés: Új számítási feladatok védelme

    Sokkal egyszerűbb biztonságos állapotban kezdeni, mint a biztonsági beállításokat később a környezetbe. Határozottan javasoljuk, hogy kezdjen egy biztonságos konfigurációval, hogy a számítási feladatok biztonságos környezetbe legyenek migrálva és fejlesztve és tesztelve.

    A célzóna megvalósítása során számos döntés befolyásolhatja a biztonsági és kockázati profilokat. A felhőbiztonsági csapatnak át kell tekintenie a célzóna konfigurációját, hogy megfeleljen a szervezet biztonsági alapkonfigurációiban szereplő biztonsági szabványoknak és követelményeknek.

    Termékek:

    • Győződjön meg arról, hogy az új célzónák megfelelnek a szervezet megfelelőségi és biztonsági követelményeinek.

    Útmutató a termék befejezésének támogatásához:

    • Meglévő követelmények és felhőjavaslatok kombinálása: Kezdje az ajánlott útmutatással, majd ezt az egyedi biztonsági követelményekhez igazítsa. Kihívásokat tapasztaltunk a meglévő helyszíni szabályzatok és szabványok kikényszerítésével kapcsolatban, mivel ezek gyakran elavult technológiákra vagy biztonsági megközelítésekre utalnak.

      A Microsoft útmutatót tett közzé a biztonsági alapkonfigurációk létrehozásához:

    • Biztosítson védőkorlátokat: A biztosítékoknak tartalmazniuk kell az automatizált szabályzatvizsgálatot és -végrehajtást. Ezen új környezetek esetében a csapatoknak a szervezet biztonsági alapkonfigurációinak naplózására és kényszerítésére is törekedniük kell. Ezek az erőfeszítések segítenek minimalizálni a biztonsági meglepetéseket a számítási feladatok fejlesztése során, valamint a számítási feladatok folyamatos integrációját és folyamatos üzembe helyezését (CI/CD).

      A Microsoft számos natív képességet biztosít az Azure-ban ennek engedélyezéséhez:

      • Biztonsági pontszám: Az Azure biztonsági helyzetének pontszámos felmérésével nyomon követheti a szervezet biztonsági erőfeszítéseit és projektjeit.
      • Azure Blueprints: A felhőtervezők és a központosított informatikai csoportok meghatározhatnak egy ismétlődő Azure-erőforráskészletet, amely implementálja és betartja a szervezet szabványait, mintáit és követelményeit.
      • Azure Policy: Ez a többi szolgáltatás által használt láthatósági és vezérlési képességek alapja. Azure Policy integrálva van az Azure Resource Manager, így a módosítások naplózása és a szabályzatok kikényszerítése az Azure bármely erőforrásában a létrehozás előtt, alatt vagy után.
      • A célzóna műveleteinek javítása: Ajánlott eljárások használata a célzónán belüli biztonság javításához.

    Elszámoltatható csapat Felelős és támogató csapatok
  • Felhőbiztonsági csapat
  • Felhőbevezetési csapat
  • Felhőplatform-csapat
  • Felhőstratégiáért felelős csapat
  • Felhőszabályozási csapat
  • Felhőbeli kiválósági központ vagy központi informatikai csapat
  • 5. lépés: Meglévő felhőbeli számítási feladatok védelme

    Számos szervezet már üzembe helyezett eszközöket a vállalati felhőkörnyezetekben a biztonsági ajánlott eljárások alkalmazása nélkül, ami növeli az üzleti kockázatokat.

    Miután meggyőződett arról, hogy az új alkalmazások és kezdőzónák megfelelnek a biztonsági ajánlott eljárásoknak, a meglévő környezetek ugyanazon szabványoknak való megfelelésére kell összpontosítania.

    Termékek:

    • Győződjön meg arról, hogy minden meglévő felhőkörnyezet és célzóna megfelel a szervezet megfelelőségi és biztonsági követelményeinek.
    • Tesztelje az éles környezetek üzemkészségét a biztonsági alapkonfigurációk házirendjeinek használatával.
    • Ellenőrizze a tervezési útmutató és a biztonsági követelmények betartását a biztonsági alapkonfigurációkhoz.

    Útmutató a termék befejezésének támogatásához:

    • Használja ugyanazokat a biztonsági alapkonfigurációkat, amelyeket a 4. lépésben beépített, mint az ideális állapot. Előfordulhat, hogy bizonyos szabályzatbeállításokat csak naplózásra kell módosítania a kényszerítés helyett.
    • Az üzemeltetési és biztonsági kockázatok egyensúlyba vitele. Mivel ezek a környezetek olyan éles rendszereket üzemeltethetnek, amelyek kritikus üzleti folyamatokat tesznek lehetővé, előfordulhat, hogy a működési állásidő kockázatának elkerülése érdekében fokozatosan kell végrehajtania a biztonsági fejlesztéseket.
    • Rangsorolja a biztonsági kockázatok felderítését és szervizelését az üzleti kritikusság szerint. Kezdje olyan számítási feladatokkal, amelyek nagy üzleti hatással vannak, ha sérültek, és olyan számítási feladatok, amelyek magas kockázatnak vannak kitéve.

    További információ: Üzletileg kritikus fontosságú alkalmazások azonosítása és besorolása.


    Elszámoltatható csapat Felelős és támogató csapatok
  • Felhőbevezetési csapat
  • Felhőbevezetési csapat
  • Felhőstratégiáért felelős csapat
  • Felhőbiztonsági csapat
  • Felhőszabályozási csapat
  • Felhőbeli kiválósági központ vagy központi informatikai csapat
  • 6. lépés: A biztonsági helyzet kezelésének és javításának szabályozása

    Mint minden modern szemlélet, a biztonság is egy iteratív folyamat, amely a folyamatos fejlesztésre kell összpontosítania. A biztonsági helyzet akkor is romlhat, ha a szervezetek nem összpontosítanak rá az idő múlásával.

    A biztonsági követelmények következetes alkalmazása a megbízható irányítási szemléletekből és automatizált megoldásokból származik. Miután a felhőbiztonsági csapat meghatározta a biztonsági alapkonfigurációkat, ezeket a követelményeket naplózni kell annak biztosítása érdekében, hogy azokat következetesen alkalmazzák az összes felhőkörnyezetre (és szükség esetén érvényesítsék őket).

    Termékek:

    • Győződjön meg arról, hogy a szervezet biztonsági alapkonfigurációi az összes releváns rendszerre érvényesek. Az anomáliák naplózása biztonságos pontszám vagy hasonló mechanizmus használatával.
    • Dokumentálja a biztonsági alapkonfiguráció szabályzatait, folyamatait és tervezési útmutatóját a Biztonsági alapkonfiguráció szemléletsablonban.

    Útmutató a termék befejezésének támogatásához:


    Elszámoltatható csapat Felelős és támogató csapatok
  • Felhőszabályozási csapat
  • Felhőstratégiáért felelős csapat
  • Felhőbiztonsági csapat
  • Felhőbeli kiválósági központ vagy központi informatikai csapat
  • Következő lépések

    Az útmutató lépései segítettek implementálni a vállalat biztonsági kockázatainak következetes kezeléséhez szükséges stratégiát, vezérlőket, folyamatokat, készségeket és kultúrát.

    A felhőbiztonság üzemeltetési módjának folytatásához vegye figyelembe az alábbi lépéseket: