Keamanan dalam Microsoft Cloud Adoption Framework untuk Azure

  • Artikel
  • 7 menit untuk membaca

Sama seperti adopsi cloud yang merupakan perjalanan, keamanan cloud juga merupakan perjalanan berkelanjutan dengan kemajuan dan kematangan tambahan, bukan tujuan statis.

Membayangkan kondisi akhir keamanan

Perjalanan tanpa tujuan target hanya mengembara. Sementara pendekatan ini pada akhirnya dapat mengarah pada pencerahan, tujuan, dan kendala bisnis sering membutuhkan fokus pada tujuan dan hasil utama.

Metodologi Aman memberikan visi tentang keadaan akhir yang lengkap untuk memandu peningkatan program keamanan Anda dari waktu ke waktu. Infografis berikut menyediakan pemetaan visual tentang cara-cara utama yang terintegrasi dengan keamanan dengan organisasi yang lebih besar dan disiplin ilmu dalam keamanan.

Metodologi Aman CAF

Cloud Adoption Framework memberikan panduan keamanan untuk perjalanan keamanan ini dengan memberikan kejelasan untuk proses, praktik terbaik, model, dan pengalaman. Panduan ini didasarkan pada pelajaran yang dipetik dan pengalaman dunia nyata dari pelanggan nyata, perjalanan keamanan Microsoft, dan bekerja dengan organisasi seperti NIST, The Open Group, dan Center for Internet Security (CIS).

Tonton video berikut untuk mempelajari selengkapnya tentang metodologi Aman dan bagaimana metodologi ini membantu memandu peningkatan keamanan berkelanjutan dari waktu ke waktu.

Pemetaan terhadap konsep, kerangka kerja, dan standar

Keamanan itu sendiri adalah disiplin organisasi mandiri dan kualitas/atribut yang terintegrasi atau dilapisi pada disiplin ilmu lain, yang membuatnya sulit untuk mendefinisikan secara presisi dan memetakan secara detail. Industri keamanan menggunakan banyak kerangka kerja yang berbeda untuk menangkap risiko, merencanakan kontrol, dan beroperasi. Berikut adalah ringkasan singkat tentang bagaimana disiplin ilmu dalam metodologi CAF Secure berhubungan dengan konsep dan panduan keamanan lainnya:

  • Nol kepercayaan: Microsoft percaya semua disiplin keamanan harus mengikuti prinsip-prinsip nol kepercayaan untuk menganggap pelanggaran, memverifikasi secara eksplisit, dan menggunakan akses hak istimewa paling sedikit. Prinsip-prinsip ini mendukung setiap strategi keamanan yang sehat dan juga harus diimbangi dengan tujuan pengaktifan bisnis. Bagian pertama dan paling terlihat dari nol kepercayaan adalah dalam kontrol akses, sehingga disorot dalam deskripsi disiplin keamanan kontrol akses.

  • The Open Group: Disiplin keamanan ini memetakan dengan seksama komponen nol kepercayaan dalam laporan resmi prinsip inti yang diterbitkan oleh The Open Group, tempat Microsoft berpartisipasi aktif. Satu-satunya pengecualian adalah bahwa Microsoft meningkatkan disiplin keamanan inovasi sehingga DevSecOps adalah elemen tingkat atas karena disiplin ini memang merupakan hal yang baru, penting, dan transformatif bagi banyak organisasi.

  • Kerangka kerja keamanan siber NIST: Untuk organisasi yang menggunakan kerangka kerja keamanan siber NIST, kami telah menyoroti teks tebal tempat pemetaan kerangka kerja paling dekat. Kontrol akses modern dan peta DevSecOps secara luas ke spektrum penuh kerangka kerja, sehingga item tersebut tidak dicatat secara individual.

Pemetaan ke peran dan tanggung jawab

Sementara keamanan adalah disiplin yang sangat teknis, disiplin manusia yang mencerminkan sejarah panjang konflik manusia (tetapi diperbarui untuk komputer dan internet) merupakan hal pertama dan utama. Diagram berikut merangkum peran dan tanggung jawab dalam program keamanan.

Melihat tanggung jawab/fungsi tim keamanan perusahaan

Untuk informasi selengkapnya, lihat Fungsi keamanan cloud.

Transformasi keamanan

Ketika organisasi mengadopsi cloud, mereka dengan cepat menemukan bahwa proses keamanan statis tidak dapat mengikuti laju perubahan dalam platform cloud, lingkungan ancaman, dan evolusi teknologi keamanan. Keamanan harus beralih ke pendekatan yang terus berkembang untuk mencocokkan kecepatan dengan perubahan ini yang akan mengubah budaya organisasi dan proses sehari-hari di seluruh organisasi.

Untuk memandu transformasi ini, metodologi ini memberikan panduan tentang integrasi keamanan dengan proses bisnis (baris atas) dan disiplin teknis keamanan (baris bawah). Ini secara kolektif memungkinkan kemajuan yang bermakna dan berkelanjutan dalam perjalanan keamanan Anda untuk mengurangi risiko organisasi. Beberapa organisasi dapat menguasai semua ini sekaligus, tetapi semua organisasi harus terus mematangkan setiap proses dan disiplin.

Mengubah driver

Organisasi keamanan mengalami dua jenis transformasi besar pada saat yang sama

  • Keamanan sebagai risiko bisnis: Keamanan telah didorong ke ranah manajemen risiko bisnis dari disiplin berorientasi kualitas teknis murni. Hal ini didorong oleh kekuatan ganda dari:
    • Transformasi digital: Peningkatan jejak digital terus meningkatkan permukaan serangan potensial organisasi
    • Lanskap ancaman: Peningkatan volume serangan dan kecanggihan yang didorong oleh ekonomi serangan industri dengan keterampilan khusus dan komoditisasi terus-menerus alat dan teknik serangan.
  • Perubahan platform: Keamanan juga bergulat dengan perubahan platform teknis ke cloud. Pergeseran ini pada skala pabrik yang bergeser dari menjalankan generator listrik mereka sendiri ke mencolokkan ke jaringan listrik. Sementara tim keamanan sering memiliki keterampilan dasar yang tepat, mereka menjadi kewalahan oleh perubahan pada hampir setiap proses dan teknologi yang mereka gunakan setiap hari.
  • Pergeseran harapan: Dalam dekade terakhir, inovasi digital telah mendefinisikan kembali seluruh industri. Kelincahan bisnis, terutama kelincahan yang terkait dengan transformasi digital, dapat dengan cepat menggeser organisasi sebagai pemimpin pasar. Demikian juga, hilangnya kepercayaan konsumen dapat memiliki dampak yang sama pada bisnis. Meskipun pernah dapat diterima bagi keamanan untuk memulai dengan "tidak" untuk memblokir proyek dan melindungi organisasi, urgensi merangkul transformasi digital harus mengubah model keterlibatan menjadi "mari kita bicara tentang bagaimana tetap aman saat Anda melakukan apa yang diperlukan untuk tetap relevan."

Membimbing transformasi yang berlangsung lama

Mengubah cara tim bisnis dan teknologi memandang keamanan memerlukan penyelarasan keamanan dengan ketat dengan prioritas, proses, dan kerangka kerja risiko. Bidang-bidang kunci yang mendorong kesuksesan adalah

  • Budaya: Budaya keamanan harus difokuskan untuk memenuhi misi bisnis dengan aman, bukan menghalanginya. Pada saat yang sama, keamanan harus menjadi bagian yang dinormalisasi dari budaya organisasi karena internet tempat bisnis beroperasi terbuka, memungkinkan musuh untuk mencoba serangan kapan saja. Pergeseran budaya ini membutuhkan proses yang lebih baik, kemitraan, dan dukungan kepemimpinan yang berkelanjutan di semua tingkatan untuk mengkomunikasikan perubahan, memodelkan perilaku, dan memperkuat pergeseran.
  • Kepemilikan risiko: Akuntabilitas untuk risiko keamanan harus ditugaskan untuk peran yang sama yang memiliki semua risiko lain, membebaskan keamanan hingga menjadi penasihat tepercaya dan ahli materi pelajaran daripada kambing hitam. Keamanan harus bertanggung jawab atas saran yang sehat dan seimbang yang dikomunikasikan dalam bahasa para pemimpin tersebut, tetapi tidak boleh bertanggung jawab atas keputusan yang tidak mereka miliki.
  • Bakat keamanan: Bakat keamanan berada dalam kekurangan kronis dan organisasi harus selalu merencanakan cara terbaik untuk mengembangkan dan mendistribusikan pengetahuan dan keterampilan keamanan. Selain menumbuhkan tim keamanan secara langsung dengan set keahlian keamanan teknis, tim keamanan yang matang juga mendiversifikasi strategi mereka dengan berfokus pada
    • Meningkatkan keahlian keamanan dan pengetahuan dalam tim yang ada di bidang TI dan bisnis. Hal ini sangat penting bagi tim Azure DevOps dengan pendekatan DevSecOps dan dapat mengambil banyak bentuk (seperti meja bantuan keamanan, mengidentifikasi dan melatih juara dalam komunitas, atau program pertukaran pekerjaan).
    • Merekrut beragam keahlian ke tim keamanan untuk membawa perspektif dan kerangka kerja baru ke masalah (seperti bisnis, psikologi manusia, atau ekonomi) dan membangun hubungan yang lebih baik dalam organisasi. Untuk palu, semua masalah terlihat seperti paku.

Penyelarasan bisnis

Karena pergeseran ini, program adopsi cloud Anda harus sangat fokus pada penjajaran bisnis dalam tiga kategori

  • Wawasan risiko: Menyelaraskan dan mengintegrasikan wawasan keamanan dan sinyal risiko/sumber untuk inisiatif bisnis. Pastikan proses berulang mendidik semua tim tentang penerapan wawasan tersebut dan minta pertanggungjawaban tim atas perbaikan.
  • Integrasi keamanan: Mengintegrasikan pengetahuan keamanan, keterampilan, dan wawasan lebih dalam ke dalam operasi sehari-hari bisnis dan lingkungan TI melalui proses berulang dan kemitraan yang mendalam di semua tingkat organisasi.
  • Ketahanan operasional: Fokus pada memastikan organisasi tangguh dengan mampu melanjutkan operasi selama serangan (bahkan jika pada kondisi terdegradasi) dan bahwa organisasi dengan cepat bangkit kembali ke operasi penuh.

Disiplin keamanan

Transformasi ini akan memengaruhi setiap disiplin keamanan secara berbeda. Meskipun masing-masing disiplin ilmu ini sangat penting dan membutuhkan investasi, ini diperintahkan (kira-kira) yang memiliki peluang paling cepat untuk menang cepat saat Anda mengadopsi cloud:

  • Kontrol akses: Aplikasi jaringan dan identitas menciptakan batas akses dan segmentasi untuk mengurangi frekuensi dan jangkauan setiap pelanggaran keamanan
  • Operasi keamanan: Pantau operasi TI untuk mendeteksi, merespons, dan pulih dari pelanggaran. Gunakan data untuk terus mengurangi risiko pelanggaran
  • Perlindungan aset: Memaksimalkan perlindungan semua aset (infrastruktur, perangkat, data, aplikasi, jaringan, dan identitas) untuk meminimalkan risiko terhadap lingkungan secara keseluruhan
  • Tata kelola keamanan: Keputusan yang didelegasikan mempercepat inovasi dan memperkenalkan risiko baru. Memantau keputusan, konfigurasi, dan data untuk mengatur keputusan yang dibuat di seluruh lingkungan dan dalam semua beban kerja di seluruh portofolio.
  • Keamanan inovasi: Sebagai sebuah organisasi mengadopsi model Azure DevOps untuk meningkatkan laju inovasi, keamanan harus menjadi bagian integral dari proses DevSecOps dan mengintegrasikan keahlian keamanan dan sumber daya langsung ke dalam siklus kecepatan tinggi ini. Ini melibatkan pergeseran beberapa pengambilan keputusan dari tim terpusat untuk memberdayakan tim yang berfokus pada beban kerja.

Prinsip panduan

Semua kegiatan keamanan harus diselaraskan dan dibentuk oleh fokus ganda pada

  • Pengaktifan bisnis: Selaras dengan kerangka kerja objektif dan risiko bisnis organisasi
  • Jaminan keamanan: Berfokus pada penerapan prinsip-prinsip kepercayaan nol
    • Asumsikan pelanggaran: Saat merancang keamanan untuk komponen atau sistem apa pun, kurangi risiko penyerang memperluas akses dengan mengasumsikan sumber daya lain dalam organisasi dikompromikan
    • Verifikasi eksplisit: Secara eksplisit memvalidasi kepercayaan menggunakan semua titik data yang tersedia, daripada mengasumsikan kepercayaan. Misalnya, dalam kontrol akses, validasi identitas pengguna, lokasi, kesehatan perangkat, layanan atau beban kerja, klasifikasi data, dan anomali, bukan hanya mengizinkan akses dari jaringan internal yang dipercaya secara implisit.
    • Akses yang paling tidak istimewa: Batasi risiko pengguna atau sumber daya yang dikompromikan dengan menyediakan akses yang tepat waktu dan cukup (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data untuk membantu mengamankan data dan produktivitas.

Metodologi Aman adalah bagian dari seperangkat panduan keamanan komprehensif yang juga mencakup: