Eszközvédelem
Az eszközök közé tartoznak a fizikai és virtuális elemek, például laptopok, adatbázisok, fájlok és virtuális tárfiókok. Az üzletileg kritikus fontosságú eszközök védelme gyakran a mögöttes rendszerek, például a tárolás, az adatok, a végponteszközök és az alkalmazásösszetevők biztonságára támaszkodik. A legértékesebb műszaki eszközök általában az adatok és az alkalmazások rendelkezésre állása, például az üzleti webhelyek, a gyártósorok és a kommunikáció.
Az eszközvédelem vezérlőket implementál a biztonsági architektúra, szabványok és szabályzatok támogatásához. Minden eszköztípus és biztonsági követelmény egyedi. Minden eszköztípusra vonatkozó biztonsági szabványokat minden példányra következetesen alkalmazni kell.
Az eszközvédelem az összes vezérlőtípus konzisztens végrehajtására összpontosít. A megelőző, a detektív és mások a szabályzatoknak, szabványoknak és architektúrának való megfeleléshez igazodnak.
A vagyonvédelem az eszközök műszaki szakértőjeként működik. Együttműködik más diszciplínákkal, például az irányítással, az architektúrával, a biztonsági műveletekkel és a számítási feladatokkal foglalkozó csapatokkal. Az eszközvédelem biztosítja, hogy a szabályzatok és szabványok megvalósíthatók legyenek, és lehetővé teszi az ellenőrzések végrehajtását a szabályzat és a szabványok támogatásához. Az eszközvédelem visszajelzést ad a folyamatos fejlesztéshez.
Megjegyzés
Az eszközvédelmet általában olyan informatikai üzemeltetési csapatok valósítják meg, amelyek fenntartják az eszközöket, és a biztonsági csapat szakértelmével egészítik ki. További információ: Vezérlők tervezése csapatként.
A veszélyforrás-szereplők állandóak, és olyan biztonsági réseket keresnek, amelyek a szabványok és szabályzatok alkalmazásának hiányosságaiból erednek. A támadók közvetlenül megcélozhatják az üzleti szempontból kritikus adatokat vagy alkalmazásokat. Azt az infrastruktúrát is megcélzhatják, amely hozzáférést biztosít számukra az üzleti szempontból kritikus fontosságú adatokhoz és alkalmazásokhoz. A hozzáférés-vezérlés az erőforrásokhoz való engedélyezett hozzáférés kezelésével foglalkozik. Az eszközvédelem minden más lehetséges sávon kívüli módon kezeli az erőforrások elérését vagy ellenőrzését. Ez a két szemlélet kiegészíti egymást, és együtt kell megtervezni, hogy megfeleljenek az architektúrának, a szabályzatoknak és a szabványoknak. További információ: Hozzáférés-vezérlés.
Az alábbi videóból megismerheti az eszközvédelem előzményeit, valamint a régi és az új eszközök biztonságának megőrzését.
Biztonságossá tétel
A biztonságossá tétel célja, hogy az erőforrások megfeleljenek a szervezet jelenlegi biztonsági szabványainak, szabályzatainak és architektúrájának. Kétféle tevékenység létezik:
- Barnamező: A jelenlegi biztonsági szabványok és vezérlők átalakítása a meglévő eszközökre. A szervezetek alacsony prioritású biztonsági informatikai környezeteket tervezhetnek és üzemeltethetnek. Ez a megközelítés "technikai adósságot" hoz létre: gyenge biztonsági konfigurációkat, nem frissített szoftvereket, titkosítatlan kommunikációt vagy tárolást, örökölt szoftvereket és protokollokat stb. A biztonsági vezérlők naprakészen való kezelése. Ez a fejlesztés kritikus fontosságú a kockázatok mérséklése szempontjából, mivel a támadók folyamatosan javítják a lehetőségek kihasználásának képességét.
- Greenfield: Győződjön meg arról, hogy az új eszközök és az új eszköztípusok szabványokhoz vannak konfigurálva. Ez a folyamat kritikus fontosságú, hogy ne hozzon létre folyamatosan azonnali örökölt vagy barnamezős, vagy olyan rendszereket, amelyek nem felelnek meg a jelenlegi szabványoknak. Ezt a technikai adósságot később nagyobb költséggel kell kezelni, ami a kockázatnak való kitettség növelését eredményezi, amíg be nem fejeződik.
Pénzügyi szempontból általában leképezi az egyszeri befektetés tőkebefektetési (CAPEX) dinamikáját. A zöldmezős biztonsági költségvetést a lehető legközelebb kell képezni az eszköz létrehozásához, az egyes új szoftverprojektek, a nagyobb szoftverfrissítések vagy az általános felhőbevezetési kezdeményezés biztonsági keretének fenntartott százalékával. Számos szervezet a költségvetés körülbelül 10 százalékát foglalja le a biztonság érdekében. A barnamezős költségvetés általában egy speciális projekt, amelyet a biztonsági ellenőrzések a jelenlegi szabványoknak és megfelelőségnek megfelelően finanszíroznak.
Biztonság megőrzése
Idővel minden romlik. A fizikai elemek elhasználódása. A környezet megváltozik a virtuális elemek, például a szoftverek, a biztonsági vezérlők és a biztonság körül. Előfordulhat, hogy már nem felelnek meg a változó követelményeknek. Ezek a változások ma gyorsan történnek a következő gyors változások miatt:
- Üzleti követelmények, amelyeket a digitális átalakítás hajt.
- Technológiai követelmények, amelyeket a felhőplatformok gyors fejlődése és a funkciókiadások hajtanak.
- Biztonsági követelmények, amelyeket a támadók innovációja és a natív felhőbiztonsági képességek gyors fejlődése vezérel.
Ez a dinamikus működés a biztonság minden részét érinti, beleértve a biztonsági műveleteket, a hozzáférés-vezérlést, és különösen a DevSecOpsot az innováció biztonságában.
A biztonság fenntartása számos elemet tartalmaz. Összpontosítson a vagyonvédelem e két konkrét területére:
- Folyamatos felhőfejlesztés: A felhő által nyújtott biztonsági képességek folyamatos továbbfejlesztése. Az Azure számos szolgáltatása, például az Azure Storage és a Azure SQL Database például olyan biztonsági funkciókat is hozzáadott, amelyekkel az idő múlásával védekezhet a támadók ellen.
- A szoftver életciklusa: Minden szoftver, beleértve az operációs rendszereket is, mindig az élettartam végét éri el, ha a biztonsági frissítések már nem érhetők el. Ez a helyzet az üzleti szempontból kritikus adatokat és alkalmazásokat olcsó és egyszerű támadásoknak teheti ki. Bár a szolgáltatott szoftvereket (SaaS) és a felhőinfrastruktúrát és -platformokat a felhőszolgáltató tartja karban, a vállalatok gyakran jelentős mennyiségű szoftvert telepítenek, szerkeznek és karbantartanak.
Tervezze meg az életciklus végén lévő szoftverek frissítését vagy kivonását. A biztonsági helyzetbe való befektetés csökkenti a nagyobb biztonsági incidensek kockázatát. A biztonság megőrzése a rendszeres folyamatban lévő beruházások működési kiadásainak (OPEX) dinamikájának része.
A javítás dilemmája
Az üzleti vezetők számára kritikus fontosságú, hogy támogassák informatikai és biztonsági vezetőiket és csapataikat. Az összetett szoftverek ellenséges környezetben való futtatása eredendő kockázattal jár. A biztonsági és informatikai vezetők folyamatosan nehéz döntéseket hoznak a működési kockázatról és a biztonsági kockázatról.
- Működési kockázat: A szoftver módosítása, amelyben a rendszer fut, megszakíthatja az üzleti folyamatokat. Az ilyen módosítások hatással vannak a rendszer szervezetre való testreszabásakor tett feltételezésekre. Ez a tény nyomást gyakorol a rendszer megváltoztatásának elkerülésére.
- Biztonsági kockázat: A támadás az állásidő üzleti kockázatával jár. A támadók minden nagyobb biztonsági frissítést elemeznek a kiadáskor. 24–48 órán belül kidolgozhatnak egy működő biztonsági rést, hogy megtámadják azokat a szervezeteket, amelyek nem alkalmazták a biztonsági frissítést.
A szervezetnek ez a dilemmája gyakran a technológia folyamatos változása és a támadási technika fejlődése miatt merülhet fel. Az üzleti vezetőknek tisztában kell lennie a vállalat összetett szoftverekkel való futtatásának kockázatával. Az alábbi példákhoz hasonló üzleti folyamatok frissítésének támogatása:
- A szoftverkarbantartás integrálása az üzleti működési előfeltételekbe, az ütemezésbe, az előrejelzésbe és más üzleti folyamatokba.
- Olyan architektúrákba való befektetés, amelyek megkönnyítik a karbantartást, és csökkentik az üzleti műveletekre gyakorolt hatást. Ez a megközelítés magában foglalhatja a meglévő architektúrák frissítését vagy az új architektúrákra való áttérést teljes mértékben a felhőszolgáltatásokra vagy egy szolgáltatásorientált architektúrára való migrálással.
Az üzleti vezetés támogatása nélkül a biztonság és az informatikai vezetők elvonják a figyelmet a fontos üzleti célok támogatásáról. Folyamatosan kezelniük kell a nem-win helyzet politikáját.
Hálózatelkülönítés
Előfordulhat, hogy a hálózatelkülönítés érvényes lehetőség a régebbi, már nem biztonságos, de nem azonnal kivonható objektumok védelmére. Ez a forgatókönyv általában az életciklus végéhez tartozó operációs rendszerek és alkalmazások esetében fordulhat elő. Ez gyakori az operatív technológiai (OT) környezetekben és az örökölt rendszerekben.
Maga az elkülönítés hozzáférés-vezérlésnek minősül, annak ellenére, hogy a nem biztonságos eszközök az eszközvédelem részeként vannak azonosítva. További információt a Tűzfal és a felejtés elkerülése című témakörben talál.
Néhány rendszer az élet végén nehéz leválasztani és elkülöníteni teljesen. Nem javasoljuk, hogy ezek a nem biztonságos rendszerek teljes mértékben csatlakozva maradjanak egy éles hálózathoz. Ez a konfiguráció lehetővé teszi, hogy a támadók feltörhessék a rendszert, és hozzáférjenek a szervezet eszközeihez.
Soha nem olcsó vagy könnyű frissíteni vagy lecserélni a számítógépes technológiát, amely már egy évtizede jól működik. Előfordulhat, hogy a funkciójáról korlátozott dokumentáció áll rendelkezésre. A több üzleti szempontból kritikus eszköz feletti irányítás elvesztésének lehetséges üzleti hatása gyakran meghaladja a frissítés vagy csere költségeit. A nem elkülöníthető objektumok esetében a szervezetek gyakran tapasztalják, hogy a számítási feladatok felhőtechnológiával és elemzéssel történő modernizálása új üzleti értéket hozhat létre, amely ellensúlyozhatja vagy indokolhatja a frissítés vagy csere költségeit.
A biztonság fenntartása kihívást jelent egy folyamatosan változó világban. Kritikus fontosságú, hogy folyamatosan döntse el, milyen eszközöket kell modernizálni, és mit kell a lehető legjobban biztonságossá tenni. Üzleti kockázat és üzleti prioritások használata az értékeléshez.
Első lépések
Az eszközvédelem használatának megkezdéséhez javasoljuk, hogy a szervezetek végezze el az alábbi lépéseket.
Először a jól ismert erőforrásokra összpontosítson: Gondolja át a felhőben lévő virtuális gépeket, hálózatokat és identitásokat, amelyeket a csapat már ismer. Ez a technika lehetővé teszi az azonnali előrehaladást, és gyakran egyszerűbben kezelhetők és biztonságosak natív felhőeszközökkel, például a felhőhöz Microsoft Defender.
Kezdje a szállítói/iparági alapkonfigurációkkal: Indítsa el a biztonsági konfigurációt egy jól ismert és bevált megoldással, például:
- Az Azure Security Benchmark biztonsági alapkonfigurációi. A Microsoft az egyes Azure-szolgáltatásokra szabott biztonsági konfigurációs útmutatót nyújt. Ezek az alapkonfigurációk az Azure biztonsági teljesítményteszteit alkalmazzák az egyes szolgáltatások egyedi attribútumaira. Ez a módszer lehetővé teszi a biztonsági csapatok számára az egyes szolgáltatások védelmét és a konfigurációk igény szerinti finomítását. További információ: Az Azure biztonsági alapkonfigurációi.
- A Microsoft biztonsági alapkonfigurációi. A Microsoft biztonsági konfigurációs útmutatást nyújt a gyakran használt technológiákhoz, például a Windowshoz, a Microsoft Office-hoz és a Microsoft Edge-hez. További információ: A Microsoft biztonsági alapkonfigurációi. Microsoft-security-baselines) további információért
- CIS-teljesítménytesztek. A Center for Internet Security (CIS) speciális konfigurációs útmutatást nyújt számos termékhez és gyártóhoz. További információ: CIS-teljesítménytesztek.
Kulcsinformációk
Ezek a kulcselemek segítenek az eszközvédelmi folyamat irányításában:
Elszámoltatható és felelős csapatok
A biztonság elszámoltathatóságának mindig a vállalat végső erőforrás-tulajdonosával kell lennie, amely minden más kockázattal és előnnyel rendelkezik. A biztonsági csapatok és a téma szakértői együttesen felelősek azért, hogy tanácsot adjanak az elszámoltatható tulajdonosnak a kockázatokról, az esetleges kockázatcsökkentésről és a tényleges végrehajtásról.
Az eszközvédelmi feladatokat olyan informatikai műveletek hajthatják végre, amelyek nagyvállalati szintű eszközöket kezelnek, a számítási feladat eszközeiért felelős DevOps- és DevSecOps-csapatok, illetve az informatikai vagy DevOps- és DevSecOps-csapatokkal együttműködő biztonsági csapatok.
Ahogy a szervezetek a felhőbe költöznek, ezen felelősségek nagy része átkerülhet a felhőszolgáltatóra, például frissítheti a belső vezérlőprogramot és a virtualizálási megoldást, vagy megkönnyítheti például a biztonsági konfigurációk vizsgálatát és szervizelését.
A megosztott felelősségi modellel kapcsolatos további információkért lásd: Megosztott felelősség a felhőben.
Felhőrugalmasság
A helyszíni erőforrásoktól eltérően a felhőbeli erőforrások csak rövid ideig létezhetnek. Szükség esetén a számítási feladatok több kiszolgálópéldányt, Azure Functions és egyéb erőforrást hozhatnak létre a feladatok elvégzéséhez. Az Azure ezt követően eltávolítja az erőforrásokat. Ez a forgatókönyv hónapokon belül, de néha percek vagy órák alatt is előfordulhat. Vegye figyelembe ezt a lehetőséget az eszközvédelmi folyamatokhoz és mérésekhez.
A felhőrugalmasság számos folyamat módosítását igényli. A statikus jelentések helyett az igény szerinti leltárral javítja a láthatóságot. A felhőrugalmasság emellett javítja a problémák kijavításának képességét. Egy új virtuális gép biztonsági okokból történő létrehozása például gyorsan megtörténhet.
Kivételek kezelése
Miután azonosította egy objektum ajánlott eljárását, következetesen alkalmazza azt az eszköz összes példányára. Előfordulhat, hogy ideiglenes kivételeket kell létrehoznia, de a kivételeket adott lejárati dátumokkal kell kezelnie. Győződjön meg arról, hogy az ideiglenes kivételek nem válnak állandó üzleti kockázattá.
Az értékméréssel kapcsolatos kihívások
Nehéz lehet mérni az eszközvédelem üzleti értékét. A probléma hatása nem egyértelmű, amíg nem jelentkezik valós hiba. A biztonsági rések biztonságának frissítésének elmaradása csendes és láthatatlan.
Automatizált szabályzat előnyben részesítve
Az automatizált kényszerítési és szervizelési mechanizmusok, például a Azure Policy előnyben részesítése az eszközvédelemhez. Ez a megközelítés segít elkerülni a költség- és morális problémákat a manuális feladatok ismételt végrehajtása során. Emellett csökkenti az emberi hibák kockázatát is.
Azure Policy lehetővé teszi, hogy a központi csapatok megadják a felhőkben lévő eszközökhöz használandó konfigurációkat.
Tervezési vezérlők csapatként
Minden ellenőrzést a főbb érdekelt felekkel való partnerségként kell megtervezni:
- Az eszközvédelem szakterületi szakértelmet biztosít az eszközökkel, a számukra elérhető ellenőrzésekkel és az ellenőrzések végrehajtásának megvalósíthatóságával kapcsolatban.
- A szabályozási csapat kontextust biztosít arról, hogy a vezérlők hogyan illeszkednek a biztonsági architektúrába, a szabályzatokba és szabványokba, valamint a jogszabályi megfelelőségi követelményekbe.
- A biztonsági műveletek tanácsokat adnak a nyomozók ellenőrzéséhez. Riasztásokat és naplókat integrálnak a biztonsági műveleti eszközökbe, folyamatokba és betanításokba.
- A szállítók és a felhőszolgáltatók részletes szakértelmet nyújthatnak a rendszerekhez és összetevőkhöz, hogy elkerüljék az ügyfélkörük ismert problémáit.
Következő lépések
A következő áttekintendő szempont a biztonsági szabályozás
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: