Biztonsági szabályozás
A biztonságirányítás áthidalja az üzleti prioritásokat az olyan technikai megvalósításokkal, mint az architektúra, a szabványok és a szabályzat. A szabályozási csapatok felügyeletet és monitorozást biztosítanak a biztonsági helyzet fenntartásához és javításához az idő múlásával. Ezek a csapatok a szabályozó szervek által megkövetelt megfelelőséget is jelentik.
Az üzleti célok és kockázatok biztosítják a legjobb irányt a biztonsághoz. Ez az irány biztosítja, hogy a biztonság a szervezet fontos kérdéseire összpontosítsa erőfeszítéseit. Emellett a kockázattulajdonosokat a kockázatkezelési keretrendszerben már ismert nyelv és folyamatok használatával is tájékoztatja.
Ha többet szeretne megtudni a biztonsági szabályozásról, watch az alábbi videót.
Megfelelőség és jelentéskészítés
A külső biztonsági követelményeknek való megfelelés és jelentéskészítés, valamint néha a belső szabályzatok az adott iparágban való működés alapvető szükséges elemei. A kötelező követelmények olyanok, mint egy medve etetése az állatkertben. Ha nem eteted a medvét minden nap, megeszel.
Architektúra és szabványok
Az architektúra, a szabványok és a szabályzat biztosítja az üzleti követelmények és kockázatok kritikus fordítását a műszaki környezetbe. Javasoljuk, hogy a felhő és a helyszíni környezet felosztása helyett egységes nézetet használjon a vállalati tulajdonban. A támadók nem törődnek a belső folyamatokkal, és a céljuknak való legkisebb ellenállás útját követik. Ez magában foglalja az oldalirányú áthelyezést a felhőbeli és a helyszíni környezetek között. A legtöbb vállalat jelenleg egy hibrid környezet, amely a következőkre terjed ki:
- Helyszíni: Több generációnyi technológiát és gyakran jelentős mennyiségű régi szoftvert és hardvert tartalmaz. Ez a technológia néha magában foglalja a fizikai rendszereket szabályozó működési technológiát, amely potenciális élet- vagy biztonsági hatással jár.
- Felhők: Általában több szolgáltatót is tartalmaz a következőkhöz:
- Szolgáltatott szoftveres (SaaS-) alkalmazások
- Szolgáltatott infrastruktúra (IaaS)
- Szolgáltatásként nyújtott platform (PaaS)
Biztonsági helyzet kezelése
A remény és a problémák jelentése nem terv. A felhőkorszak szabályozásának aktív összetevővel kell rendelkeznie, amely folyamatosan együttműködik más csapatokkal. A biztonsági helyzet kezelése egy kialakulóban lévő függvény. A biztonsági funkciók hosszú távú konvergenciájában előrelépést jelent. Ezek a függvények választ adnak a "mennyire biztonságos a környezet?" kérdésre, beleértve a biztonságirés-kezelést és a biztonsági megfelelőség jelentését.
A helyszíni világban a biztonsági szabályozás követte a környezettel kapcsolatos adatok gyakoriságát. Az adatok lekérésének ez a módja időt vehet igénybe, és folyamatosan elavult lehet. A felhőtechnológia mostantól igény szerinti betekintést nyújt az aktuális biztonsági helyzetbe és eszközlefedettségbe. Ez a láthatóság a cégirányítás dinamikusabb szervezetté alakítását vezérli. Ez a szervezet szorosabb kapcsolatot biztosít más biztonsági csapatokkal a biztonsági szabványok monitorozása, útmutatás nyújtása és a folyamatok fejlesztése érdekében.
Ideális állapotában a kormányzás a folyamatos fejlődés középpontjában áll. Ez a fejlesztés a szervezeten belül folyamatosan javítja a biztonsági helyzeteket.
A cégirányítás sikerének legfontosabb szempontjai a következők:
- Eszközök és eszköztípusok folyamatos felderítése: Dinamikus felhőkörnyezetben nem lehet statikus leltárt készíteni. A szervezetnek az eszközök és az eszköztípusok folyamatos felderítésére kell összpontosítania. A felhőben rendszeresen új típusú szolgáltatásokat adnak hozzá. A számítási feladatok tulajdonosai igény szerint dinamikusan léptetik fel és bontják fel az alkalmazások és szolgáltatások példányait, így a készletkezelés dinamikus szemléletet alkot. A cégirányítási csapatoknak folyamatosan fel kell derítenie az eszköztípusokat és -példányokat, hogy lépést tartsanak a változás ütemével.
- Az eszközbiztonság helyzetének folyamatos javítása: A szabályozási csapatoknak a szabványok javítására és a szabványok betartatására kell összpontosítaniuk, hogy lépést tartsanak a felhővel és a támadókkal. Az informatikai szervezeteknek gyorsan reagálniuk kell az új fenyegetésekre, és ennek megfelelően kell alkalmazkodniuk. A támadók folyamatosan fejlesztik technikáikat, és a védelem folyamatosan fejlődik, és lehetséges, hogy engedélyezni kell őket. A kezdeti konfigurációhoz nem mindig juthat hozzá minden szükséges biztonsági elemhez.
- Szabályzatalapú szabályozás: Ez a szabályozás konzisztens végrehajtást biztosít azáltal, hogy egyszer kijavít valamit a szabályzatban, amely automatikusan lép érvénybe lép az erőforrások között. Ez a folyamat korlátozza az ismétlődő manuális feladatok során elpazarolt időt és erőfeszítést. Gyakran Azure Policy vagy külső szabályzatautomatizálási keretrendszerek használatával valósítják meg.
Az agilitás fenntartása érdekében az ajánlott eljárásokra vonatkozó útmutatás gyakran iteratív. Több forrásból származó kis mennyiségű információt emészt fel a teljes kép létrehozásához és a kis módosítások folyamatos elvégzéséhez.
Irányítási és védelmi szemléletek
A védelmi szemléletek közé tartozik a hozzáférés-vezérlés, az eszközvédelem és az innovációs biztonság. A biztonsági irányítási csapat szabványokat és útmutatást nyújt a biztonsági ajánlott eljárások és vezérlők következetes végrehajtásához.
Ideális állapotban a védelmi csapatok ezeket a vezérlőket alkalmazzák, és visszajelzést adnak a működésről, például a vezérlők alkalmazásával kapcsolatos kihívásokról. A csapatok ezután együttműködve azonosítják a legjobb megoldásokat.
Irányítási és biztonsági műveletek
A biztonsági szabályozás és a biztonsági műveletek együttesen biztosítják a teljes láthatóságot. Biztosítják, hogy a valós eseményekből levont tanulságok integrálva legyenek az architektúrába, a szabványokba és a politikába.
A szabályozási és biztonsági műveletek kiegészítő láthatósági típusokat biztosítanak.
- A biztonsági műveletek betekintést nyújtanak az aktív támadások azonnali kockázatába.
- A biztonsági szabályozás átfogó vagy hosszú áttekintést nyújt a lehetséges jövőbeli támadások és támadási vektorok kockázatáról.
A szabályozási funkció biztonsági tervezői segítenek azonosítani az incidensekből levont tanulságokat. Például a fő incidensek kiváltó oka. A tanulságokat a szervezet szabványaiba rögzítve biztosítják a vállalaton belüli egységes alkalmazást.
További információ: Biztonsági integráció.
Megjegyzés
Egyes szervezetek biztonsági műveletek során figyelik a biztonsági helyzeteket. Javasoljuk, hogy ezt a monitorozást a cégirányításban is felügyelje. Ez az elhelyezés jobb kapcsolatot teremt a szabványokat alkalmazó informatikai mérnöki és üzemeltetési csapatokkal. Ez a kapcsolat gyakran jobb minőségű kommunikációt és jobb biztonsági eredményeket eredményez. Ellenkező esetben olyan cégirányítási csapattal rendelkezik, amely soha nem látja a szabványok valós hatását.
Következő lépések
A következő szemlélet az innováció biztonsága.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: