Sikre

  • 10 minutter

Du kan bruke Sikker metodikk for å forbedre sikkerhetsstillingen din. Denne veiledningen er relevant for alle metoder i Cloud Adoption Framework fordi du bør implementere sikkerhet som en integrert del av hver fase. Alle anbefalinger i sikker metodikk overholder Zero Trust-prinsippene for å påta seg kompromiss (eller påta seg brudd), minst privilegium og eksplisitt verifisering av tillit.

Dra nytte av sikkerhetsveiledning

Denne sikre veiledningen for cloud adoption Framework er én komponent i et større helhetlig sett med Microsofts sikkerhetsveiledning som er utformet for å hjelpe ulike team med å forstå og utføre sikkerhetsansvaret. Det fullstendige settet inneholder følgende veiledning:

  • Cloud Adoption Framework Secure-metodikk gir sikkerhetsveiledning for team som administrerer teknologiinfrastrukturen som støtter all arbeidsbelastningsutvikling og -operasjoner som driftes på Azure.

  • Sikkerhetsveiledning for Azure Well-Architected Framework gir veiledning for individuelle arbeidsbelastningseiere om hvordan du bruker anbefalte fremgangsmåter for sikkerhet på programutvikling og DevOps- og DevSecOps-prosesser. Microsoft gir veiledning som utfyller denne dokumentasjonen om hvordan du bruker sikkerhetspraksiser og DevSecOps-kontroller i en livssyklus for sikkerhetsutvikling.

  • microsoft cloud security benchmark gir veiledning for anbefalte fremgangsmåter for interessenter for å sikre robust skysikkerhet. Denne veiledningen inkluderer sikkerhetsgrunnlinjer som beskriver de tilgjengelige sikkerhetsfunksjonene og anbefalte optimale konfigurasjoner for Azure-tjenester.

  • Zero Trust-veiledning gir veiledning for sikkerhetsteam for å implementere tekniske funksjoner for å støtte et Zero Trust moderniseringsinitiativ.

Se etter muligheter for å forbedre den generelle sikkerhetsstillingen gjennom modernisering, forberedelse av hendelserog respons gjennom hele skyen gjennom modernisering, forberedelse av hendelserog svar. Din evne til å forberede deg på og svare på hendelser kan ha betydelig innvirkning på suksessen din i skyen. Velutformede forberedelsesmekanismer og operasjonelle praksiser muliggjør rask trusselregistrering og bidrar til å minimere eksplosjonsradiusen for hendelser.

Bruk CIA Triad-modellen

Den CIA Triade er en grunnleggende modell innen informasjonssikkerhet som representerer tre kjerneprinsipper: konfidensialitet, integritet og tilgjengelighet.

  • Konfidensielt sikrer at bare autoriserte personer har tilgang til sensitiv informasjon. Dette prinsippet omfatter mål som kryptering og tilgangskontroller for å beskytte data mot uautorisert tilgang.

  • Integrity opprettholder nøyaktigheten og fullstendigheten til dataene. Dette prinsippet betyr å beskytte data mot endringer eller manipulering av uautoriserte brukere, noe som sikrer at informasjonen forblir pålitelig.

  • Tilgjengelighet sikrer at informasjon og ressurser er tilgjengelige for autoriserte brukere ved behov. Dette prinsippet omfatter vedlikehold av systemer og nettverk for å hindre nedetid og sikre kontinuerlig tilgang til data.

Noen måter triadeprinsippene kan bidra til å sikre sikkerhet og pålitelighet inkluderer:

  • Databeskyttelse: Beskytt sensitive data mot brudd ved å dra nytte av CIA-triaden, som sikrer personvern og overholdelse av forskrifter.

  • Forretningskontinuitet: Sikre dataintegritet og tilgjengelighet for å opprettholde forretningsdriften og unngå nedetid.

  • Customer Trust: Implementer CIA Triaden for å bygge tillit med kunder og interessenter ved å demonstrere en forpliktelse til datasikkerhet.

Tilordne roller

Tilordne riktige sikkerhetsroller for å sikre at teamet ditt kan utføre sikkerhetsfunksjoner i alle faser av skylivssyklusen, fra utvikling til kontinuerlig forbedring.

  • Tilordne dine eksisterende roller og hvilke funksjoner de dekker.
  • Se etter hull.
  • Vurder om organisasjonen kan og bør investere for å løse disse hullene.

Du må sørge for at alle forstår sin rolle i sikkerhet og hvordan de arbeider med andre team. For å oppnå dette målet kan du dokumentere sikkerhetsprosesser på tvers av team og en delt ansvarsmodell for de tekniske teamene dine. En delt ansvarsmodell ligner på en ansvarlig, ansvarlig, konsultert, informert modell (RACI). En delt ansvarsmodell bidrar til å illustrere en samarbeidstilnærming, inkludert hvem som tar avgjørelser og hvilke team som må gjøre for å samarbeide for bestemte elementer og resultater.

Du må kontinuerlig forbedre sikkerheten for å opprettholde en robust sikkerhetsstilling i skyen fordi cybertrusler kontinuerlig utvikler seg og blir mer sofistikerte. Retrospektiver og overvåking kan hjelpe deg med å identifisere områder som kan dra nytte av forbedringer. Sørg også for at du gir riktig opplæring for å holde deg oppdatert med trusler og teknologier i utvikling.