Biztonságos

  • 10 perc

A biztonsági helyzetének javítására használhatja a Biztonságos módszertan. Ez az útmutató a felhőbevezetési keretrendszer minden módszertanára vonatkozik, mivel minden fázis szerves részeként kell implementálnia a biztonságot. A Biztonságos módszertanban szereplő összes javaslat betartja a megbízhatósági zéró elveket, amelyek a biztonsági kockázatot (vagy a jogsértés feltételezését), a minimális jogosultságot és a megbízhatóság explicit ellenőrzését jelentik.

A biztonsági útmutatás előnyeinek kihasználása

Ez a felhőbevezetési keretrendszer biztonságos útmutatója a Microsoft nagyobb, holisztikus biztonsági útmutatóinak egyik összetevője, amelynek célja, hogy segítsen a különböző csapatoknak megérteni és ellátni a biztonsági feladataikat. A teljes készlet a következő útmutatást tartalmazza:

  • A felhőbevezetési keretrendszer biztonságos módszertana biztonsági útmutatást nyújt az Azure-ban üzemeltetett számítási feladatok fejlesztését és műveleteit támogató technológiai infrastruktúrát kezelő csapatok számára.

  • Azure Well-Architected Framework biztonsági útmutatója útmutatást nyújt az egyes számítási feladatok tulajdonosai számára az alkalmazásfejlesztési és DevOps- és DevSecOps-folyamatok biztonsági ajánlott eljárásainak alkalmazásához. A Microsoft útmutatást nyújt, amely kiegészíti ezt a dokumentációt a biztonsági eljárások és a DevSecOps-vezérlők biztonsági fejlesztési életciklusban való alkalmazásával kapcsolatban.

  • A microsoftos felhőbiztonsági teljesítményteszt ajánlott eljárásokkal segíti az érdekelt feleket a robusztus felhőbiztonság biztosításában. Ez az útmutató olyan biztonsági alapkonfigurációkat tartalmaz, amelyek ismertetik a rendelkezésre álló biztonsági funkciókat és az Azure-szolgáltatásokhoz javasolt optimális konfigurációkat.

  • Zéró megbízhatósági útmutató útmutatást nyújt a biztonsági csapatok számára a zéró megbízhatóságú modernizálási kezdeményezés támogatásához szükséges technikai képességek megvalósításához.

A felhőbevezetési folyamat során keressen lehetőségeket az általános biztonsági helyzet javítására modernizálási, incidens-előkészítésiés válaszlehetőségek révén. Az incidensekre való felkészülés és az azokra való reagálás jelentősen befolyásolhatja a felhőben való sikerességet. A jól megtervezett előkészítési mechanizmusok és üzemeltetési eljárások gyors fenyegetésészlelést tesznek lehetővé, és segítenek minimalizálni az incidensek robbanási sugarát.

A CIA Triad modell alkalmazása

A CIA Triad az információbiztonság alapvető modellje, amely három alapelvet képvisel: a bizalmasságot, az integritást és a rendelkezésre állást.

  • Bizalmasság biztosítja, hogy csak az arra jogosult személyek férhessenek hozzá a bizalmas információkhoz. Ez az elv olyan mértékeket tartalmaz, mint a titkosítás és a hozzáférés-vezérlés az adatok jogosulatlan hozzáféréssel szembeni védelme érdekében.

  • Integritás megőrzi az adatok pontosságát és teljességét. Ez az alapelv azt jelenti, hogy az adatok illetéktelen felhasználók általi megváltoztatásával vagy illetéktelen módosításával szemben védelmet nyújtanak, ami biztosítja, hogy az adatok megbízhatóak maradnak.

  • A rendelkezésre állás biztosítja, hogy az információk és erőforrások szükség esetén elérhetők legyenek a jogosult felhasználók számára. Ez az elv magában foglalja a rendszerek és hálózatok fenntartását az állásidő megakadályozása és az adatokhoz való folyamatos hozzáférés biztosítása érdekében.

Néhány módszer, amellyel a hármas alapelvek segíthetnek a biztonság és a megbízhatóság biztosításában:

  • Adatvédelem: Bizalmas adatok védelme a biztonsági incidensek ellen a CIA Triad használatával, amely biztosítja a magánélet védelmét és a szabályozásoknak való megfelelést.

  • Üzletmenet folytonossága: Az adatok integritásának és rendelkezésre állásának biztosítása az üzleti műveletek fenntartása és az állásidő elkerülése érdekében.

  • ügyfelek bizalma: A CIA Triad implementálása az ügyfelekkel és az érdekelt felekkel való bizalom kiépítéséhez az adatbiztonság iránti elkötelezettség bemutatásával.

Szerepkörök hozzárendelése

A megfelelő biztonsági szerepkörök hozzárendelése annak biztosítása érdekében, hogy a csapat a felhő életciklusának minden szakaszában elvégezhesse a biztonsági funkciókat a fejlesztéstől a folyamatos fejlesztésig.

  • A meglévő szerepkörök és az általuk lefedett funkciók térképezése.
  • Ellenőrizze, hogy van-e rés.
  • Felmérni, hogy szervezete képes és érdemes-e befektetni ezen hiányosságok kezelésére.

Győződjön meg arról, hogy mindenki tisztában van a biztonságban betöltött szerepével és a többi csapattal való munkavégzés módjával. A cél elérése érdekében dokumentálja a csapatközi biztonsági folyamatokat és a műszaki csapatok közös felelősségi modelljét. A megosztott felelősségi modell hasonló egy felelős, elszámoltatható, konzultált, tájékozott (RACI) modellhez. A megosztott felelősségi modell segít az együttműködésen alapuló megközelítés szemléltetésében, beleértve azt is, hogy ki hoz döntéseket, és mit kell tennie a csapatoknak, hogy együttműködjenek az adott elemek és eredmények esetében.

Folyamatosan javítania kell a biztonságot, hogy stabil biztonsági helyzet maradjon fenn a felhőben, mivel a kiberfenyegetések folyamatosan fejlődnek és kifinomultabbak lesznek. A visszatekintés és a monitorozás segíthet azonosítani azokat a területeket, amelyek hasznosak lehetnek a fejlesztésben. Gondoskodjon arról is, hogy megfelelő képzést nyújtson a folyamatosan változó fenyegetések és technológiák naprakészen maradásához.