Mengatur antipattern
Anda mungkin mengalami antipattern selama fase Tata Kelola adopsi cloud. Pahami tanggung jawab bersama dan cara membangun strategi keamanan Anda pada kerangka kerja yang ada untuk membantu Anda menghindari antipattern ini.
Antipattern: Salah memahami tanggung jawab bersama
Ketika Anda mengadopsi cloud, tidak selalu jelas sampai mana tanggung jawab Anda dan sejak kapan tanggung jawab penyedia cloud dimulai terkait model layanan yang berbeda. Keterampilan dan pengetahuan cloud diperlukan untuk membangun proses dan praktik di sekitar item kerja yang menggunakan model layanan.
Contoh: Berasumsi bahwa penyedia cloud mengelola pembaruan
Anggota departemen sumber daya manusia (SDM) perusahaan menggunakan infrastruktur sebagai layanan (IaaS) untuk menyiapkan beberapa server Windows di cloud. Mereka berasumsi bahwa penyedia cloud mengelola pembaruan karena TI di situs biasanya menangani penginstalan pembaruan. Departemen SDM tidak mengonfigurasi pembaruan karena mereka tidak menyadari bahwa Azure tidak menyebarkan dan menginstal pembaruan sistem operasi (OS) secara default. Akibatnya, server tidak patuh dan menimbulkan risiko keamanan.
Hasil yang disukai: Membuat rencana kesiapan
Memahami tanggung jawab bersama di cloud. Membangun dan membuat rencana kesiapan. Rencana kesiapan dapat menciptakan momentum berkelanjutan untuk belajar dan mengembangkan keahlian.
Antipattern: Membuat asumsi bahwa solusi yang tidak biasa menyediakan keamanan
Perusahaan cenderung melihat keamanan sebagai fitur yang melekat pada layanan cloud. Meskipun asumsi ini sering kali benar, sebagian besar lingkungan perlu mematuhi persyaratan kerangka kerja kepatuhan, yang dapat berbeda dari persyaratan keamanan. Azure menyediakan keamanan dasar, dan portal Azure dapat memberikan keamanan yang lebih canggih melalui Microsoft Defender untuk Cloud. Saat membuat langganan, Anda harus menyesuaikan solusi anda untuk menerapkan standar kepatuhan dan keamanan.
Contoh: Mengbaikan keamanan cloud
Sebuah perusahaan mengembangkan aplikasi baru di cloud. Perusahaan memilih arsitektur berdasarkan banyak layanan platform sebagai layanan (PaaS), ditambah beberapa komponen IaaS untuk tujuan penelusuran kesalahan. Setelah merilis aplikasi untuk produksi, perusahaan menyadari bahwa salah satu server lompatannya telah disusupi dan mengekstrak data ke alamat IP yang tidak diketahui. Perusahaan menemukan bahwa masalahnya adalah alamat IP publik server lompatan dan kata sandi yang mudah ditebak. Perusahaan bisa menghindari situasi ini jika lebih fokus pada keamanan cloud.
Hasil yang disukai: Menentukan strategi keamanan cloud
Tentukan strategi keamanan cloud yang tepat. Untuk informasi selengkapnya, lihat panduan kesiapan cloud CISO. Lihat kepala petugas keamanan informasi (CISO) Anda ke panduan ini. Panduan kesiapan cloud CISO membahas topik seperti sumber daya platform keamanan, privasi dan kontrol, kepatuhan, dan transparansi.
Baca tentang beban kerja cloud yang aman di Azure Security Benchmark. Bangun pada CIS Controls v7.1 dari Pusat untuk Keamanan Internet, bersama dengan NIST SP800-53 dari Institut Standar dan Teknologi Nasional, yang menangani sebagian besar risiko dan langkah-langkah keamanan.
Gunakan Microsoft Defender untuk Cloud guna mengidentifikasi risiko, menyesuaikan praktik terbaik, dan meningkatkan postur keamanan perusahaan Anda.
Menerapkan atau mendukung persyaratan kepatuhan dan keamanan otomatis khusus perusahaan dengan menggunakan Azure Policy dan Azure Policy sebagai solusi Kode.
Antipattern: Menggunakan kerangka kerja pemerintahan atau kepatuhan kustom
Memperkenalkan kerangka kerja kepatuhan dan tata kelola kustom yang tidak didasarkan pada standar industri dapat secara substansial meningkatkan waktu adopsi cloud. Ini karena terjemahan dari kerangka kerja kustom ke pengaturan cloud bisa rumit. Kompleksitas ini dapat meningkatkan upaya yang diperlukan untuk menerjemahkan langkah dan persyaratan kustom ke dalam kontrol keamanan yang dapat diterapkan. Perusahaan biasanya perlu mematuhi serangkaian persyaratan keamanan dan kepatuhan yang sama. Akibatnya, sebagian besar kerangka kerja kepatuhan dan keamanan kustom hanya sedikit berbeda dari kerangka kerja kepatuhan saat ini. Perusahaan dengan persyaratan keamanan ekstra dapat mempertimbangkan untuk membangun kerangka kerja baru.
Contoh: Menggunakan kerangka kerja keamanan kustom
CISO dari sebuah perusahaan menugaskan karyawan keamanan TI untuk menghasilkan strategi dan kerangka kerja keamanan cloud. Alih-alih membangun standar industri, departemen keamanan TI menciptakan kerangka kerja baru yang dibangun di atas kebijakan keamanan lokal saat ini. Setelah menyelesaikan kebijakan keamanan cloud, tim AppOps dan DevOps mengalami kesulitan menerapkan kebijakan keamanan cloud.
Azure menawarkan struktur keamanan dan kepatuhan yang lebih komprehensif yang berbeda dari kerangka kerja perusahaan itu sendiri. Tim CISO berpikir bahwa kontrol Azure tidak kompatibel dengan aturan kepatuhan dan keamanannya sendiri. Jika kerangka kerjanya berdasarkan pada kontrol yang terstandardisasi, itu tidak akan sampai pada kesimpulan tersebut.
Hasil yang disukai: Mengandalkan kerangka kerja yang ada
Gunakan atau bangun pada kerangka kerja yang ada, seperti Kontrol CIS versi 7.1 atau NIST SP 800-53, sebelum Anda membuat atau memperkenalkan kerangka kerja kepatuhan perusahaan kustom. Kerangka kerja yang ada membuat transisi ke pengaturan keamanan cloud lebih mudah dan lebih terukur. Untuk informasi selengkapnya tentang implementasi kerangka kerja, lihat Opsi implementasi zona pendaratan Azure.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk