Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt a jól ismert Teljes felügyelet keretrendszerekről, és bemutatja, hogyan Microsoft Teljes felügyelet bevezetési modellje segít a keretrendszer megértéséről a nagy léptékű bevezetésre való áttérésben.
Teljes felügyelet nem egy keretrendszer. Ez egy biztonsági modell, amely több iparági és kormányzati szabványnak felel meg. Ezek a szabványok nem versengő megoldások. Mindegyik a Teljes felügyelet egy másik aspektusával foglalkozik, például az alapvető fogalmak meghatározásával, az előrehaladás felmérésével vagy a bevezetés szervezeten belüli koordinálásával.
Bár az iparági keretrendszerek segítenek meghatározni a Teljes felügyelet megvalósítását, a szervezeteknek továbbra is szükségük van arra, hogy az útmutatást egy konkrét stratégiává és architektúrává alakítsák a megoldástervezéshez, tervezéshez és üzembe helyezéshez.
Microsoft Teljes felügyelet bevezetési modellje éppen ezt teszi. Referenciastratégiát és architektúrát biztosít, amely igazodik az iparági keretrendszerekhez, és azokra épül, hogy felgyorsítsa Teljes felügyelet bevezetést és megvalósítást.
Tip
Microsoft számos biztonsági bevezetési workshopot kínál – a Security Adoption Framework (SAF) workshopokat. Strukturált bevezetési modellünk útmutatása összhangban van a Microsoft Unified ezen műhelyekben nyújtott szakértői útmutatásával. További információ a SAF-workshopokról.
NIST Teljes felügyelet
Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének (NIST) 800-207. számú különkiadványa (SP), a Teljes felügyelet architektúra megállapítja a Teljes felügyelet architektúra iparágban elismert definícióját. Ismerteti a Teljes felügyelet és a megbízhatósági döntések meghozatalának módját, függetlenül a konkrét szállítói, termék- vagy üzembehelyezési ütemtervekétől.
Az NIST SP 800-207 akkor hasznos, ha a szervezeteknek közös, mérvadó definícióra van szükségük Teljes felügyelet fogalmakhoz, amelyek megoszthatók a biztonsági, informatikai és architektúracsapatok között.
NIST-funkciók
A NIST a Teljes felügyeletot kifejezetten olyan architektúraként határozza meg, amelyben az erőforrásokhoz való hozzáférés soha nem élvez implicit bizalmat.
Teljes felügyelet NIST alapelvei a következők:
- A holisztikus és gyakorlati biztonsági megközelítés érdekében kompromisszumot (jogsértést) feltételezve.
- Az eszközökhöz való hozzáférés engedélyezése előtt explicit módon ellenőrizze a megbízhatóságot.
- A robbanás sugarának korlátozása a szükséges legkisebb jogosultság biztosításával.
A fő architektúrafogalmak a következőkre összpontosítanak:
- A hozzáférési kérelmek folyamatos dinamikus kiértékelése környezetfüggő jelek használatával.
- Központosított szabályzatdöntési logika, amely kiértékeli a szervezeti szabályzattal szembeni jeleket.
- A védett erőforrások közelében működő szabályzatérvényesítési funkció érvényesíti a döntést.
A NIST által definiált Teljes felügyelet fogalmi architektúra a hozzáférési döntések kiértékelésének és érvényesítésének módjára összpontosít a szabályzatmotorok, a kényszerítési pontok és a környezetfüggő jelek használatával.
Vegye figyelembe:
- Az NIST SP 800-270 nem definiál technológiai pilléreket vagy biztonsági tartományokat, például identitásokat, végpontokat vagy adatvédelemet.
- Az identitás, az eszköztartás, az alkalmazások és az adatok olyan témákként, erőforrásokként és környezeti forrásokként vannak modellezve, amelyek a megbízhatósági döntéseket tájékoztatják, nem pedig különálló architekturális tartományokként.
Microsoft biztonsági bevezetési modellje erre az architektúrára épül, és az alapelveit és összetevőit egy működési keretrendszeren belül alkalmazza.
Bár a NIST meghatározza a megbízhatósági döntések meghozatalának és érvényesítésének módját, bevezetési modellünk ezeket a képességeket a biztonsági szemléletek és a technológiai pillérek között szervezi az üzleti tervezés, a tulajdonjog, a megoldástervezés, az implementáció és az előrehaladás nyomon követése érdekében.
Implementation
A megvalósítási útmutató a NIST SP 1800-35 Teljes felügyelet architektúra implementálásában található.
Ehhez a megvalósítási útmutatóhoz:
- A NIST 24 gyártóval , köztük Microsoft együttműködve dolgozott ki egy útmutatót, amely gyakorlati lépéseket tartalmaz a kiberbiztonsági referenciatervek Teljes felügyelet megvalósítására vágyó szervezetek számára.
- Microsoft a Teljes felügyelet képességek megvalósítására szolgáló technológiát nyújtó szállítók egyikeként részt vett a következőkben:
- Identitás- és hozzáférés-kezelés.
- Végpontkezelés és -konfiguráció.
- Veszélyforrások elleni védelem és figyelés.
- Biztonságos hozzáférés az elosztott erőforrásokhoz.
Ez a diagram az NIST SP 1800-35 együttműködésének eredménye. Letölthető innen: Microsoft Kiberbiztonsági referenciaarchitektúra (MCRA). További információ az MCRA-ról
CISA Zéró Bizalom Érettségi Modell
A Cybersecurity and Infrastructure Security Agency (CISA) Teljes felügyelet Maturity Model a bevezetés és az értékelés köré szerveződik. Ez az érettségi modell segít a szervezeteknek a jelenlegi helyzetük rendszerezésében és értékelésében, a fejlesztések rangsorolásában és az előrehaladás nyomon követésében.
CISA-funkciók
Az NIST-sel ellentétben a CISA nem definiál referenciaarchitektúrát, hanem konkrét tervezési mintáktól függetlenül értékeli a képességeket.
- A modell pilléralapú tartományokat használ, például identitásokat, eszközöket, hálózatokat/környezetet, alkalmazásokat/számítási feladatokat és adatokat.
- Emellett három átfogó képességet is meghatároz: láthatóságot és elemzést, automatizálást, vezénylést és irányítást.
- Négy érettségi szakaszt különböztet meg: tradicionális, kezdeti, haladó és optimális.
- A szabályozást nem önálló pillérként kezelik, hanem olyan átfogó képességként, amely biztosítja az üzleti igazodást, a tiszta tulajdonjogot és a mérhető eredményeket minden területen.
Implementation
A modell összhangban van a Microsoft biztonsági bevezetési modellel, és tájékoztatja arról, Microsoft pedig tovább bővíti azt olyan szemléletek bevezetésével, mint az Architektúra, hogy áthidalja az olyan elméleti keretrendszereket, mint az NIST SP 800-207 a gyakorlati implementációval.
| CISA | Bevezetési szemlélet/pillér | Részletek |
|---|---|---|
|
Identitás Az identitás magában foglalja a hitelesítést, az engedélyezést, az identitáskockázatot és az életciklust. Az alkalmazások és számítási feladatok az alkalmazáshozzáférés-vezérlésre, a számítási feladatok identitására és az alkalmazások biztonságos interakcióira vonatkoznak. |
Szemlélet: Identitás és hozzáférés Technológia: Identitás |
Az Microsoft hozzáférés-vezérlése az identitás- és alkalmazásrétegekre is kiterjed, míg a CISA elkülöníti őket. |
|
Cégirányítás Nagyvállalati szintű szabályzatok, vezérlők és kényszerítés. |
Szemlélet: stratégia, integráció, irányítás Biztonsági architektúra Technológia: Minden. |
A CISA szabályzat- és vezérlési képességei közvetlenül a SecOps-eredményekhez igazodnak. Microsoft az irányítás egyéb aspektusaira (üzleti igazítás, kockázatkezelés, szerepkörök stb.), valamint az architektúra szemléletére és referenciaarchitektúráira összpontosít. |
|
Devices Eszközleltár, testtartás, megfelelőség; hálózati szegmentálás, biztonságos kapcsolat, környezetvédelmi ellenőrzések. Beleértve a nem hagyományos, korlátozott képességű és speciális eszközöket is. |
Szemlélet: Identitás és hozzáférés, Infrastruktúra-biztonság, OT/IoT-biztonság Technológia: Végpontok |
Az infrastruktúra-megbízhatóság az eszköz állapotán és az ellenőrzött kapcsolaton keresztül jön létre, összhangban a Teljes felügyelet célval a robbanási sugár és az oldalirányú mozgás minimalizálása érdekében. Microsoft egyedi tulajdonosi és kockázatkezelési okok miatt az OT/IoT-eszközöket különálló szemléletnek tekinti. |
|
Alkalmazások és számítási feladatok Az Alkalmazások > számítási feladatok az alkalmazáshozzáférés-vezérlőket, a számítási feladatok identitását és az alkalmazások biztonságos interakcióit fedik le. |
Szemlélet: Fejlesztési biztonság Technológia: Alkalmazások |
A CISA számítási feladatainak fókusza igazodik a DevSecOps céljaihoz azáltal, hogy a biztonságot az alkalmazás- és szolgáltatáséletciklusokba ágyazza be, és nem az üzembe helyezés utáni tevékenységként kezeli. |
|
Networks Hálózatszegmentálás, biztonságos kapcsolat, környezetvédelmi ellenőrzések. |
Szemlélet: Identitás és hozzáférés Technológia: Hálózatok |
Microsoft minden hozzáférést (identitást, alkalmazást és hálózatot) egyetlen szemléletbe egyesít, hogy egyértelmű stratégiát, architektúrát és szabályzatkonzisztenciát biztosítson a technológiák között. |
|
Adatok Adatbesorolás, leltár, hozzáférés-vezérlés, titkosítás és védelem a hálózati helyétől függetlenül. |
Szemlélet: Adatbiztonság Technológia: Adatok |
Mindkét modell elsődleges védelmi célként helyezi el az adatokat, és megerősíti a Teljes felügyelet váltást a szegélybiztonságról az adatközpontú vezérlőkre. |
|
Láthatóság és elemzés, automatizálás és vezénylés Telemetriai adatgyűjtés, folyamatos monitorozás, észlelés, válaszautomatizálás és szabályzatkényszerítés nagy méretekben. |
Szakterület: SecOps Technológia: Minden |
A CISA átfogó képességei közvetlenül a SecOps-eredményekre képeznek rá, amelyek magukban foglalják a fenyegetések észlelését, a válasz automatizálását és az összes tartomány megbízhatóságának folyamatos újraértékelését. |
| Az összes alappillér érettségi szakaszai | Biztonsági helyzet | A testtartás-kezelés a CISA-modell alapvető célja: az aktuális állapot felmérése, a hiányosságok azonosítása, a fejlesztések rangsorolása és a Teljes felügyelet előrehaladásának nyomon követése. |
További információért lásd: A CISA Teljes felügyelet Maturity Model bevezetése a Microsoft felhőszolgáltatásaival.
The Open Group Teljes felügyelet referenciamodell
A The Open Group Teljes felügyelet referenciamodell a Teljes felügyelet megközelítését vállalati képességek és integráció szempontjából tárgyalja. A konkrét megvalósítási lépések meghatározása helyett azokat a képességeket és irányítási struktúrákat írja le, amelyeket a szervezeteknek nagy léptékben kell meghatározniuk, integrálniuk és kezelnie Teljes felügyelet.
Csoportfunkciók megnyitása
A funkciók közé tartoznak a következők:
- A Képességek + Architektúra építőelemei (ABB-k) olyan biztonsági képességeket határoznak meg, amelyek tartós biztonsági eredményeket, valamint a személyek, folyamatok és technológiák használatát teszik lehetővé.
- Az együttműködési és integrációs modellek bemutatják, hogyan integrálható a biztonság a stratégiával, a kockázatkezeléssel, a műveletekkel és a szervezet egyéb aspektusaival.
A képességek emberekből, folyamatokból és technológiai elemekből állnak, amelyek együttműködnek:
- Személyek: szerepkörként definiálva a Nyitott csoport szerepkörei és a Szószedet szabványban
- Process: architektúra építőelemként (ABB-k) definiálva ugyanabban a Teljes felügyelet referenciamodell szabványában
- Technológia: ABB-kként definiálva ugyanabban a Teljes felügyelet referenciamodell-szabványban
Ez az ábra a következő képességeket mutatja be:
Ez az ábra azt mutatja be, hogy ezek a képességek hogyan igazodnak a NIST kiberbiztonsági keretrendszer (NIST CSF) funkcióihoz:
Implementation
A modell megfelel az ajánlott bevezetési modellnek.
| Open Group | Bevezetési szemlélet | Igazítás |
|---|---|---|
|
Teljes felügyelet Stratégia és Irányítás Meghatározza, hogy a szervezetek hogyan alakítják ki a Teljes felügyelet üzleti szempontból összehangolt stratégiaként, beleértve az irányítást, a kockázatkezelést, a szabályzat tulajdonjogát és az emberek, a folyamatok és a technológia összehangolását. |
Stratégia, integráció és irányítás | A nyílt csoport és a Microsoft is kifejezetten a Teljes felügyelet vállalati stratégiaként, nem pedig műszaki vezérlőkészletként helyezik el. Ez közvetlenül támogatja a vezetői összhangot, a felelősségvállalást és az integrációt az egész szervezetben. |
|
Képességalapú Teljes felügyelet architektúra Architekturális építőelemeket és képességcsoportokat biztosít Teljes felügyelet architektúrák tervezéséhez, meghatározott technológiák vagy termékek előírása nélkül. |
Biztonsági architektúra | Ez kitölti az NIST absztrakciós architektúrája és megvalósítási útmutatója közötti teret, így az építészek Teljes felügyelet elveket nagyvállalati szintű tervekké alakítják. |
|
Identitáskezelési, hitelesítési, engedélyezési és szabályzatkényszerítési képességek Meghatározza az identitás ellenőrzéséhez, a megbízhatóság dinamikus kiértékeléséhez és a hozzáférési döntések konzisztens érvényesítéséhez szükséges képességeket a környezetekben. |
Identitás és hozzáférés | Közvetlenül a hozzáférés-biztonsághoz kapcsolódik mint bevezetési szakterülethez: ki mihez férhet hozzá, milyen feltételek mellett, és hogyan érvényesítik ezt a döntést. |
|
Adatközpontú védelmi képességek A helytől függetlenül hangsúlyozza az információk védelmét, beleértve az adatbesorolást, a védelmet és a szabályzatalapú hozzáférést. |
Adatbiztonság | A Teljes felügyeletnak a hagyományos peremvédelemről az adatközpontú biztonságra való elmozdulását tükrözi, és természetes módon illeszkedik az adatvédelemhez mint alkalmazási területhez. |
|
Láthatósági, monitorozási, elemzési és válaszképességek A telemetria gyűjtésére, a megbízhatósági jelek monitorozására és a szabályzatnak a megfigyelt kockázatokon alapuló módosítására szolgáló képességeket tartalmaz. |
SecOps | Lehetővé teszi a folyamatos kiértékelést és kikényszerítést – ami alapvető a Teljes felügyelet működéséhez és a nagy léptékű biztonsági monitorozáshoz. |
|
Alkalmazás- és szolgáltatás-interakció biztonsági képességei Ismerteti, hogyan vesznek részt az alkalmazások és szolgáltatások a Teljes felügyelet, beleértve a biztonságos interakciókat, a szolgáltatás identitását és a futásidejű kényszerítéseket. |
Fejlesztői biztonság | Támogatja a Teljes felügyelet modern alkalmazás-életciklusokba és szolgáltatásközi kommunikációba való integrálását. |
|
Platform- és környezetbiztonsági képességek Lefedi a számítási feladatokat üzemeltető platformok, hálózatok és környezetek biztonságos működését anélkül, hogy a hálózatot megbízhatósági határként kezelnék. |
Infrastruktúra biztonsága | Az infrastruktúra biztonságát Teljes felügyelet alapelvekhez igazítja azáltal, hogy az infrastruktúrát kényszeríthetőnek, de nem eredendően megbízhatónak kezeli. |
|
Kiterjesztett környezet és nem hagyományos eszközök támogatása Kifejezetten felismeri az IT/OT/IoT konvergenciát, valamint a korlátozott és heterogén környezetek Teljes felügyelet képességeinek szükségességét. |
Infrastruktúra (OT/IoT-biztonság) | Megfelel a bevezetési valóságnak, ahol az OT/IoT eltérő tulajdonjogot igényel, de továbbra is igazodnia kell a vállalati Teljes felügyelet stratégiához. |
|
Képességalapú érettség és folyamatos fejlesztés Képességmodellt biztosít az aktuális állapot felmérésére, a fejlesztések irányítására és az időbeli alkalmazkodásra a fenyegetések és a technológia fejlődésével. |
Biztonsági helyzet | A Teljes felügyeletot folyamatos programként, nem egyszeri bevezetésként kezeli, ami közvetlenül illeszkedik a biztonságiállapot-kezelési célokhoz. |
Microsoft-technológiák hozzárendelése a modellhez
A Teljes felügyelet referenciamodell az Teljes felügyelet összetevők átfogó összegzését is tartalmazza. Ez az ábra bemutatja, hogy Microsoft technológiák hogyan vannak megfeleltetve az összetevőknek:
DoD Nulla Bizalom Stratégia
Az Egyesült Államok Védelmi Minisztériuma kiadott egy DoD Teljes felügyelet stratégiát és ütemtervet.
A DoD Teljes felügyelet stratégiához való Microsoft felhőszolgáltatás-konfigurálással kapcsolatos információkért lásd a(z) Microsoft-szolgáltatások konfigurálása a DoD Teljes felügyelet stratégiához című témakört.
Következő lépések
Válasszon ki egy üzleti forgatókönyvet , és ismerje meg, hogyan feleltetik meg a biztonsági szemléletek a forgatókönyvet.