Share via


Beveiliging in de Microsoft Cloud Adoption Framework voor Azure

Net zoals cloudimplementatie een traject is, is cloudbeveiliging een doorlopend traject van incrementele vooruitgang en volwassenheid, geen statische bestemming.

Een eindstatus voor de beveiliging instellen

Een reis zonder beoogde bestemming is een zwerftocht. Deze aanpak kan uiteindelijk leiden tot verlichting, maar zakelijke doelstellingen en beperkingen vereisen vaak dat u zich richt op doelstellingen en belangrijke resultaten.

De secure-methodologie biedt een visie op de volledige eindstatus, die de verbetering van uw beveiligingsprogramma in de loop van de tijd begeleidt. De volgende visual toont de belangrijkste manieren waarop beveiliging kan worden geïntegreerd met een grotere organisatie en toont de disciplines binnen beveiliging.

Visual met de bedrijfsuitlijning en beveiligingsdisciplines van de CAF Secure-methodologie.

De Cloud Adoption Framework begeleidt dit beveiligingstraject door duidelijkheid te bieden over de processen, best practices, modellen en ervaringen. Deze richtlijnen zijn gebaseerd op geleerde lessen en ervaringen uit de praktijk van echte klanten, het beveiligingstraject van Microsoft en het werken met organisaties, zoals NIST, The Open Group en het Center for Internet Security (CIS).

In de volgende video ziet u hoe de veilige methodologie helpt bij het begeleiden van beveiligingsverbeteringen in de loop van de tijd.

Toewijzen aan concepten, frameworks en standaarden

Beveiliging is een zelfstandige organisatiediscipline en een kenmerk dat is geïntegreerd of bedekt met andere disciplines. Het is moeilijk om nauwkeurig te definiëren en in detail in kaart te komen. De beveiligingsindustrie maakt gebruik van verschillende frameworks om te werken, risico's vast te leggen en controles te plannen. De disciplines in de CAF Secure-methodologie hebben betrekking op andere beveiligingsconcepten en richtlijnen op de volgende manieren:

  • Zero Trust: Microsoft is van mening dat alle beveiligingsdisciplines de Zero Trust principes moeten volgen. Hierbij wordt ervan uitgegaan dat inbreuk wordt geschonden, expliciet wordt gecontroleerd en toegang met minimale bevoegdheden wordt gebruikt. Deze principes staan ten grondslag aan een goede beveiligingsstrategie en moeten in balans worden gebracht met bedrijfsdoelstellingen. Het eerste en meest zichtbare deel van Zero Trust bevindt zich in toegangsbeheer, dus het wordt gemarkeerd in de beschrijving van de beveiligingsdiscipline voor toegangsbeheer.

  • De open groep: Deze beveiligingsdisciplines komen nauw overeen met de Zero Trust onderdelen in de whitepaper over kernprincipes van The Open Group, waar Microsoft actief aan deelneemt. Een opvallende uitzondering is dat Microsoft de discipline van innovatiebeveiliging heeft verhoogd, zodat DevSecOps een element op het hoogste niveau is vanwege hoe nieuw, belangrijk en transformerend deze discipline is voor veel organisaties.

  • NIST-cyberbeveiligingsframework: Voor organisaties die het NIST-cyberbeveiligingsframework gebruiken, hebben we vetgedrukte tekst gemarkeerd waarbij het framework het meest overeenkomt. Modern toegangsbeheer en DevSecOps worden breed toegewezen aan het volledige spectrum van het framework, zodat deze items niet afzonderlijk worden genoteerd.

Toewijzen aan rollen en verantwoordelijkheden

In het volgende diagram ziet u een overzicht van de rollen en verantwoordelijkheden in een beveiligingsprogramma.

Diagram van de verantwoordelijkheden en functies van een bedrijfsbeveiligingsteam.

Zie Cloudbeveiligingsfuncties voor meer informatie.

Beveiligingstransformatie

Wanneer organisaties overstappen op de cloud, merken ze snel dat statische beveiligingsprocessen het tempo van veranderingen in cloudplatforms, de bedreigingsomgeving en de evolutie van beveiligingstechnologieën niet kunnen bijhouden. Beveiliging moet veranderen naar een voortdurend veranderende aanpak die overeenkomt met het tempo van deze wijziging. Het transformeert de organisatiecultuur en dagelijkse processen in de hele organisatie.

Deze methodologie begeleidt de integratie van beveiliging met bedrijfsprocessen en beveiligingstechnische disciplines. Deze processen en disciplines maken zinvolle en duurzame vooruitgang in uw beveiligingstraject mogelijk om de risico's van de organisatie te verminderen. Er zijn maar weinig organisaties die al deze procedures in één keer perfect kunnen maken, maar alle organisaties moeten elk proces en elke discipline gestaag ontwikkelen.

Stuurprogramma's wijzigen

Beveiligingsorganisaties ervaren twee soorten belangrijke transformaties op hetzelfde moment.

  • Beveiliging als bedrijfsrisico: Beveiliging is vanuit een puur technische kwaliteitsgerichte discipline naar het domein van bedrijfsrisicobeheer gebracht. De twee krachten die de beveiliging aandrijven, zijn:
    • Digitale transformatie: De digitale voetafdruk neemt toe en vergroot voortdurend de potentiële kwetsbaarheid voor aanvallen van de organisatie.
    • Bedreigingslandschap: Toename van aanvalsvolume en verfijning die worden aangedreven door een geïndustrialiseerde aanvalseconomie met gespecialiseerde vaardigheden en continue commoditisering van aanvalstools en -technieken.
  • Platformwijziging: Beveiliging heeft te maken met een technische platformwijziging in de cloud. Deze verschuiving is op de schaal van fabrieken die verschuiven van het runnen van hun eigen elektrische generatoren naar het aansluiten op een elektriciteitsnet. Hoewel beveiligingsteams vaak over de juiste basisvaardigheden beschikken, worden ze overweldigd door de wijzigingen in bijna elk proces en elke technologie die ze dagelijks gebruiken.
  • Verschuiving in verwachtingen: In het afgelopen decennium heeft digitale innovatie hele branches opnieuw gedefinieerd. Bedrijfsflexibiliteit, met name flexibiliteit met betrekking tot digitale transformatie, kan een organisatie als marktleider snel uit de weg gaan. Het verlies van het vertrouwen van de consument kan een vergelijkbaar effect hebben op het bedrijf. Het was ooit acceptabel voor beveiliging om te beginnen met 'nee' om een project te blokkeren en de organisatie te beschermen. Nu moet de urgentie van het omarmen van digitale transformatie het betrokkenheidsmodel veranderen in 'laten we praten over hoe we veilig kunnen blijven terwijl u doet wat nodig is om relevant te blijven'.

Duurzame transformatie begeleiden

Als u wilt transformeren hoe de bedrijfs- en technische teams naar beveiliging kijken, moet de beveiliging worden afgestemd op de prioriteiten, processen en het risicokader. Belangrijke gebieden die tot succes leiden zijn:

  • Cultuur: De cultuur van beveiliging moet gericht zijn op het veilig voldoen aan de bedrijfsmissie, niet om deze te belemmeren. Beveiliging moet een genormaliseerd onderdeel worden van de cultuur van de organisatie. Het internet, waar het bedrijf actief is, is geopend en biedt kwaadwillende gebruikers de mogelijkheid om op elk gewenst moment aanvallen uit te proberen. Deze culturele verschuiving vereist verbeterde processen, partnerschappen en doorlopende leiderschapsondersteuning op alle niveaus om de verandering te communiceren, het gedrag te modelleren en de verschuiving te versterken.
  • Eigendom van risico: De verantwoordelijkheid voor beveiligingsrisico's moet worden toegewezen aan dezelfde rollen die eigenaar zijn van alle andere risico's. Deze verantwoordelijkheid maakt beveiliging vrij om een vertrouwde adviseur en deskundige te zijn in plaats van een zondebok. Beveiliging moet verantwoordelijk zijn voor goed en evenwichtig advies dat wordt gecommuniceerd in de taal van die leiders, maar mag niet verantwoordelijk worden gehouden voor beslissingen die ze niet bezitten.
  • Beveiligingstalent: Beveiligingstalent heeft een chronisch tekort en organisaties moeten plannen hoe ze beveiligingskennis en -vaardigheden het beste kunnen ontwikkelen en distribueren. Naast het rechtstreeks uitbreiden van beveiligingsteams met technische beveiligingsvaardigheden, diversifiëren volwassen beveiligingsteams hun strategie door zich te richten op:
    • Groeiende beveiligingsvaardigheden en kennis binnen bestaande teams in IT en binnen het bedrijf. Deze vaardigheden zijn vooral belangrijk voor DevOps-teams met een DevSecOps-benadering. De vaardigheden kunnen vele vormen aannemen, zoals een helpdesk voor beveiliging, het identificeren en trainen van kampioenen binnen de community of programma's voor het wisselen van werk.
    • Werving van diverse vaardighedensets voor beveiligingsteams om nieuwe perspectieven en frameworks te bieden voor problemen (zoals bedrijfskunde, menselijke psychologie of economie) en betere relaties binnen de organisatie op te bouwen.

Bedrijfsafstemming

Vanwege deze verschuivingen moet uw cloudacceptatieprogramma zich sterk richten op bedrijfsafstemming in drie categorieën:

  • Risico-inzichten: Beveiligingsinzichten en risicosignalen of bronnen afstemmen en integreren met de bedrijfsinitiatieven. Zorg ervoor dat herhaalbare processen teams informeren over de toepassing van deze inzichten en teams verantwoordelijk houden voor verbeteringen.
  • Beveiligingsintegratie: Integreer beveiligingskennis, -vaardigheden en -inzichten in de dagelijkse activiteiten van de bedrijfs- en IT-omgeving. Integreer herhaalbare processen en diep partnerschap op alle niveaus van de organisatie.
  • Operationele tolerantie: Zorg ervoor dat de organisatie tolerant is door bewerkingen tijdens een aanval voort te zetten (zelfs als ze een gedegradeerde status hebben). De organisatie moet snel weer volledig operationeel zijn.

Beveiligingsdisciplines

Deze transformatie heeft een andere invloed op elke beveiligingsdiscipline. Elk van deze disciplines is belangrijk en vereist investeringen. De volgende disciplines zijn geordend (grofweg) op basis van welke de meest directe kansen voor snelle overwinningen bieden wanneer u overstapt op de cloud:

  • Toegangsbeheer: De toepassing van netwerk en identiteit creëert toegangsgrenzen en segmentatie om de frequentie en het bereik van beveiligingsschendingen te verminderen.
  • Beveiligingsbewerkingen: Bewaak IT-bewerkingen om een inbreuk te detecteren, te reageren en te herstellen. Gebruik de gegevens om het risico op een inbreuk continu te verminderen.
  • Activabescherming: Maximaliseer de beveiliging van assets, zoals infrastructuur, apparaten, gegevens, toepassingen, netwerken en identiteiten, om het risico voor de algehele omgeving te minimaliseren.
  • Beveiligingsgovernance: Gedelegeerde beslissingen versnellen innovatie en brengen nieuwe risico's met zich mee. Bewaak beslissingen, configuraties en gegevens om beslissingen te beheren die worden genomen in de omgeving en binnen workloads in de hele portfolio.
  • Innovatiebeveiliging: Aangezien een organisatie DevOps-modellen gebruikt om het innovatietempo te verhogen, moet beveiliging een integraal onderdeel worden van een DevSecOps-proces. Integreer beveiligingsexpertise en -resources rechtstreeks in deze snelle cyclus. Dit proces omvat het verschuiven van de besluitvorming van gecentraliseerde teams om werkbelastinggerichte teams mogelijk te maken.

Richtsnoeren

Beveiligingsactiviteiten moeten worden afgestemd op en worden vormgegeven door een dubbele focus op:

  • Bedrijfsinschakeling: Afstemmen op de bedrijfsdoelstelling en het risicokader van de organisatie.
  • Beveiligingsgaranties: Richt u op de toepassing van de Zero Trust principes. Dit zijn:
    • Ga ervan uit dat er sprake is van schending: Wanneer u beveiliging voor een onderdeel of systeem ontwerpt, vermindert u het risico dat een aanvaller de toegang uitbreidt door ervan uit te gaan dat andere resources in de organisatie zijn gecompromitteerd.
    • Expliciete verificatie: Valideer vertrouwen expliciet met behulp van alle beschikbare gegevenspunten, in plaats van vertrouwen te veronderstellen. Valideer bijvoorbeeld in toegangsbeheer de gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen in plaats van toegang toe te staan vanuit een impliciet vertrouwd intern netwerk.
    • Toegang met minimale bevoegdheden: Beperk het risico van een gecompromitteerde gebruiker of resource door just-in-time en just-enough-access (JIT/JEA), adaptief beleid op basis van risico's en gegevensbescherming te bieden om gegevens en productiviteit te beveiligen.

Volgende stappen

De secure-methodologie maakt deel uit van een uitgebreide set beveiligingsrichtlijnen die ook het volgende omvatten: