Célzónák biztonságának javítása

  • Cikk

Ha egy számítási feladat vagy az azt üzemeltető célzónák bizalmas adatokhoz vagy kritikus rendszerekhez való hozzáférést igényelnek, fontos az adatok és az eszközök védelme.

Biztonságossá tétel

Amikor kilép a Ready (Kész) állapotból, folyamatos felelősséggel tartozik a környezet biztonsága érdekében. A felhőbiztonság is növekményes folyamat, nem csupán statikus célhely. A biztonsági végpontok állapotának meghatározásakor a célkitűzésekre és a fő eredményekre összpontosítson. A felhőbevezetési keretrendszer biztonságos módszertanának alapelveit, keretrendszereit és szabványait a szerepkörök és az emberi szemlélet felelősségeinek leképezése mellett képezte le. A biztonságos módszertan útmutatást nyújt.

Az alábbiakban áttekintést nyújtunk erről az útmutatóról a részletekre mutató hivatkozásokkal.

Kockázati megállapítások

Az üzleti műveletek biztonsági kockázatokkal járnak. A biztonsági csapatnak tájékoztatnia és tájékoztatnia kell a döntéshozókat arról, hogy a biztonsági kockázatok hogyan illeszkednek a keretrendszereikbe az üzletmenet megértésével és a biztonsági gyakorlatok használatával annak felismeréséhez, hogy melyik kockázatot érdemes megfelelően megtervezni és végrehajtani.

  • Mi a kiberbiztonsági kockázat?: Az üzleti tevékenység minden lehetséges károsodását vagy megsemmisítését, amelyet az emberi támadók a pénznem, a belső információ vagy a technológia ellopására próbálnak előidézni.
  • A biztonsági kockázatkezelés összehangolása: Fektetjen be a kiberbiztonság és a szervezeti vezetés áthidaló megoldásába, hogy üzleti felhasználóbarát terminológiával magyarázza el a biztonsági fenyegetéseket, aktívan figyelve és kommunikálva az üzlet minden emberével.
  • A kiberbiztonsági kockázat megértése: Az emberi támadók motivációinak és viselkedési mintáinak megértése pénz, információ vagy technológia ellopása és a különböző típusú támadások lehetséges hatásainak azonosítása céljából.

Biztonsági integráció

Győződjön meg arról, hogy a biztonság szervezeti szempont, és nem egyetlen csoportba van silózva. A biztonsági integráció útmutatást nyújt arra vonatkozóan, hogyan integrálhatja a biztonságot mindenki szerepkörébe, miközben minimálisra csökkenti az üzleti folyamatokkal való súrlódást. A konkrét útmutató a következőket tartalmazza:

  • Kapcsolatok normalizálása: Győződjön meg arról, hogy minden csapat integrálva van a biztonsági csapatokkal, és közösen ismeri a biztonsági célokat. Emellett a biztonsági vezérlők megfelelő szintjének megtalálásán dolgozva biztosíthatja, hogy a vezérlők ne haladják meg az üzleti értéket.
  • Integrálás informatikai és üzleti műveletekkel: Egyensúlyba kell állítani a biztonsági frissítések megvalósítását, és feltérképezni, hogy az összes biztonsági folyamat hogyan befolyásolja a jelenlegi üzleti hatást és a potenciális biztonsági kockázatokat a jövőben.
  • Biztonsági csapatok integrálása: Kerülje a silókban való üzemeltetést azáltal, hogy reagál az aktív fenyegetésekre, és folyamatosan javítja a szervezet biztonsági állapotát a biztonság dinamikus szemlélettel történő gyakorlásával.

Üzleti rugalmasság

Bár a szervezetek soha nem rendelkezhetnek tökéletes biztonsággal, az üzleti rugalmasság pragmatikus megközelítése továbbra is a biztonsági kockázatok teljes életciklusának befektetése egy incidens előtt, alatt és után.

  • Rugalmassági célok: Összpontosítson arra, hogy vállalkozása gyorsan újuljon meg, korlátozza a hatást, és mindig keressen biztonságos módszereket a technológia bevezetésére.
  • Biztonsági rugalmasság és biztonsági incidens feltételezése: A biztonsági rés vagy a biztonsági rés feltételezése a bizalom nélküli működés alapelvének követéséhez és a pragmatikus biztonsági viselkedés gyakorlásához a támadások megelőzése, a károk csökkentése és a gyors helyreállítás érdekében.

Hozzáférés-vezérlés

Hozzon létre egy hozzáférés-vezérlési stratégiát, amely igazodik a felhasználói élményhez és a biztonsági garanciákhoz.

  • A biztonsági peremhálózattól a nulla megbízhatóságig: A hozzáférés-vezérléshez használjon zéró megbízhatósági megközelítést a felhőben végzett munka és az új technológia használata során a biztonsági biztosítékok létrehozásához és javításához.
  • Modern hozzáférés-vezérlés: Átfogó, konzisztens és rugalmas hozzáférés-vezérlési stratégia létrehozása. Több számítási feladathoz, felhőhöz és különböző üzleti érzékenységi szintekhez több taktikát vagy technológiát használhat.
  • Ismert, megbízható, engedélyezett: Kövesse a dinamikus háromlépéses folyamatot az ismert hitelesítés biztosításához, a felhasználó vagy az eszköz megbízhatóságának biztosításához, valamint az alkalmazás, szolgáltatás vagy adatok megfelelő jogosultságainak és jogosultságainak engedélyezéséhez.
  • Adatvezérelt hozzáférési döntések: Megalapozott döntéseket hozhat a felhasználók és eszközök különböző adataiból az explicit ellenőrzés teljesítése érdekében.
  • Szegmentálás: Külön a védelemhez: A belső környezet különálló szegmenseiként hozzon létre határokat a sikeres támadások okozta károk elszigeteléséhez.
  • Elkülönítés: Kerülje a tűzfalat, és felejtse el: Az üzletileg kritikus fontosságú eszközök szegmentálásának egy szélsőséges formáját tervezheti meg, amely személyekből, folyamatokból és technológiákból áll.

Biztonsági műveletek

Biztonsági műveleteket hozhat létre a kockázatok csökkentésével, a gyors reagálással és a helyreállítással a szervezet védelme és a DevOps-folyamat biztonsági szemléletének követése érdekében.

  • Kapcsolatok és folyamat: Hozzon létre egy olyan kultúrát, amely lehetővé teszi, hogy az emberek olyan eszközökkel rendelkezhessenek, amelyek lehetővé teszik számukra a legértékesebb eszközként való használatukat, és diverzifikálják a gondolkodási portfóliót azáltal, hogy a törvényszéki vizsgálati szerepkörökbe erős hátterű, nem technikai személyeket is bevetnek és betanítanak.
  • Biztonsági műveleti modell: Az incidenskezelés, az incidens-előkészítés és a fenyegetésfelderítés eredményeire összpontosít. Delegálja az alrészek közötti eredményeket a nagy mennyiségű és összetett incidensek osztályozására, kivizsgálására és keresésére.
  • SecOps üzleti érintőpontok: Interakció az üzleti vezetéssel a főbb incidensek tájékoztatása és a kritikus rendszerek hatásának meghatározása érdekében. Folyamatos közös gyakorlat a szervezeti kockázatok csökkentése érdekében.
  • SecOps modernizáció: A biztonsági műveletek továbbfejlesztése a platformlefedettség, az identitásközpontú biztonság, az IoT- és OT-eszközök, valamint a felhőből származó releváns telemetriai adatok trendjeinek követésével.

Eszközvédelem

Az üzletileg kritikus fontosságú eszközök védelme, amelyek minden fizikai és virtuális elemet magukban foglalnak az egyes eszköztípusokra egyedi biztonsági vezérlők implementálásával. Következetesen végezzen megelőző és detektívvédelmet a szabályzatok, szabványok és architektúra betartása érdekében.

  • Biztonságossá tétel: Erőforrásokat hozhat létre a szervezet legújabb biztonsági szabványaihoz és szabályzataihoz azáltal, hogy a jelenlegi vezérlőket alkalmazza a barnamezős objektumokra, és gondoskodik arról, hogy a zöldmezős objektumok a legújabb szabványokra legyenek beállítva.
  • Biztonság megőrzése: Gyakorolja a folyamatos felhőfejlesztést, és tervezze meg az életciklus végén lévő szoftverek frissítését vagy kivonását, mivel az üzleti, technológiai és biztonsági követelmények gyorsan változnak.
  • Első lépések: Az eszközök védelmének megkezdéséhez először a jól ismert felhőerőforrásokra kell összpontosítania, és jól ismert és bevált szállítói/iparági alapkonfigurációkat kell használnia a biztonsági konfigurációhoz.
  • Kulcsinformációk: A felelős és felelős csapatok kulcsfontosságú elemeivel kezelheti a nagyvállalati szintű eszközöket, például a felhőrugalmasság számítási feladatainak igényeit és a tervezési vezérlőket az ajánlott eljárások azonosításához. Mérje meg az eszközvédelem üzleti értékét, és részesítse előnyben az automatizált szabályzatot a költségek és a manuális ismétlések elkerülése érdekében.

Biztonsági szabályozás

A biztonsági irányítással történő felügyelet és monitorozás végrehajtása a biztonsági helyzet fenntartásához és javításához üzleti célok és kockázatok használatával a biztonság legjobb irányának meghatározásához.

  • Megfelelőség és jelentéskészítés: A külső és belső biztonsági szabályzatoknak is meg kell felelniük egy adott iparág kötelező követelményeinek.
  • Architektúra és szabványok: Egységes nézetet hozhat létre a vállalati tulajdonban, mivel a legtöbb vállalat hibrid környezet, amely helyszíni és felhőalapú erőforrásokat is tartalmaz.
  • Biztonsági helyzet kezelése: Tervezze meg a szabályozást a biztonsági szabványok monitorozására, útmutatás nyújtására és a folyamatok fejlesztésére. Az agilitás fenntartása a szabályzatok és a folyamatos fejlesztés által irányított irányítás révén.
  • Irányítási és védelmi szemléletek: Alkalmazza a biztonsági vezérlőket, és adjon visszajelzést a legjobb megoldások azonosításához.
  • Irányítási és biztonsági műveletek: Győződjön meg arról, hogy az incidensekből levont tanulságok integrálva vannak a biztonsági műveletekbe és a szabályozásba.

Az innováció biztonsága

Az innováció folyamatainak és adatainak védelme a kibertámadásokkal szemben, mivel az új alkalmazásokat az innovációs biztonság szem előtt tartásával fejlesztik.

  • Mi az a DevSecOps?: Integrált biztonság a DevOpsban a fejlesztési és üzemeltetési folyamatok már kombinált folyamatába az innovációs folyamat kockázatainak mérséklése érdekében.
  • Biztonság a tervezés és a balra tolódás révén: A DevOps életciklusának minden szakaszában részt vesz a biztonság, és a csapatok igazodnak az innovációs sebességhez, a megbízhatósághoz és a rugalmassághoz.
  • Miért érdemes a DevSecOpsot használni?: A DevOps-folyamat védelme a támadók ellen, amelyek kihasználják a szervezet összes informatikai infrastruktúrájának gyengeségeit, ami viszont védelmet nyújt az ügyfeleknek.
  • A DevSecOps Journey: Az ötlet-inkubáció és a DevOps használata kétfázisú folyamatként, mint a legtöbb szervezet. Azonosítsa az MVP-követelményeket (minimálisan működőképes termék), használjon vezetői technikákat a csapatok ütközéseinek megoldásához, és integrálja a biztonságot a meglévő folyamatokba és eszközökbe.
  • Tippek az utazáshoz: A biztonság átalakítása során gyakori kihívásokkal kell szembenéznie az egész út során, amely magában foglalja az oktatást, az időt, a forráskezelést és az informatikai műveletek általános eltolódását.

DevSecOps-vezérlők

A DevSecOps-vezérlők létrehozásakor a folyamatos integráció és a folyamatos teljesítés (CI/CD) minden egyes szakaszához hozzá kell adni a biztonságot.

  • Tervezés és fejlesztés: A biztonság megvalósítása a modern fejlesztési módszertanok tervezési szakaszában a fenyegetésmodellezés, az IDE biztonsági beépülő modulok/előzetes véglegesítés és a társértékelés implementálásához.
  • Véglegesítse a kódot: Értékelje ki és implementálja a biztonságirés-ellenőrzési képességet a központosított adattárakban a kockázatok felderítése és a szervizelés végrehajtása érdekében.
  • Buildelés és tesztelés: Buildelési és kiadási folyamatokat használhat automatizáláshoz és szabványosításhoz a biztonságos kód létrehozásának és üzembe helyezésének folyamataihoz anélkül, hogy nagy mennyiségű időt fordítanának a meglévő környezetek ismételt üzembe helyezésére vagy frissítésére.
  • Üzemelés és üzemeltetés: A megoldás éles környezetben történő üzembe helyezésével felügyelheti és felügyelheti a biztonsági állapotot. Az infrastruktúra-ellenőrzési eszközök és behatolástesztelési eljárások használatával lehetővé teszi, hogy a csapatok megtalálják a kezelni kívánt kockázatokat és biztonsági réseket.

Tesztalapú fejlesztési ciklus

A biztonsági fejlesztések megkezdése előtt fontos megérteni a "kész definícióját" és az összes "elfogadási feltételt". További információkért tekintse meg a kezdőzónák tesztalapú fejlesztéséről és az Azure-beli tesztalapú fejlesztésről szóló cikkeket.

Következő lépések

Ismerje meg, hogyan javíthatja a célzónaműveleteket a kritikus fontosságú alkalmazások támogatásához.

Célzónák műveleteinek fejlesztése