Beveiliging in de Microsoft Cloud Adoption Framework voor Azure

Net zoals cloudimplementatie een traject is, is cloudbeveiliging ook een doorlopend traject van incrementele voortgang en volwassenheid, geen statische bestemming.

Een eindstatus voor de beveiliging instellen

Een reis zonder beoogde bestemming is een zwerftocht. Hoewel deze aanpak uiteindelijk tot verlichting kan leiden, moeten zakelijke doelstellingen en beperkingen vaak gericht zijn op doelstellingen en belangrijke resultaten.

De veilige methodologie biedt een visie op de volledige eindstatus om de verbetering van uw beveiligingsprogramma in de loop van de tijd te begeleiden. De volgende infographic biedt een visueel overzicht van de belangrijkste manieren waarop beveiliging kan worden geïntegreerd met de grotere organisatie en de disciplines binnen beveiliging.

Veilige CAF-methodologie

De Cloud Adoption Framework biedt beveiligingsrichtlijnen voor dit beveiligingstraject door duidelijkheid te bieden voor de processen, best practices, modellen en ervaringen. Deze richtlijnen zijn gebaseerd op de geleerde lessen en ervaringen in de praktijk van echte klanten, het beveiligingstraject van Microsoft en het werken met organisaties zoals NIST, The Open Group en het Center for Internet Security (CIS).

Bekijk de volgende video voor meer informatie over de beveiligingsmethodologie en hoe deze helpt bij het verbeteren van de beveiliging in de loop van de tijd.

Toewijzen aan concepten, frameworks en standaarden

Beveiliging zelf is zowel een zelfstandige organisatiediscipline als een kwaliteit/kenmerk dat is geïntegreerd of overlappend is in andere disciplines, waardoor het moeilijk is om nauwkeurig te definiëren en in detail in kaart te brengen. De beveiligingsindustrie gebruikt veel verschillende frameworks om risico's vast te leggen, controles te plannen en te werken. Hier volgt een beknopt overzicht van de relatie tussen de disciplines in de CAF Secure-methodologie en andere beveiligingsconcepten en richtlijnen:

  • Zero trust: Microsoft is van mening dat alle beveiligingsdisciplines de zero-trust-principes moeten volgen van schending, expliciet moeten verifiëren en toegang met minimale bevoegdheden moeten gebruiken. Deze principes zijn de basis van een goede beveiligingsstrategie en moeten ook worden afgewogen tegen de doelstellingen van de bedrijfsinschakeling . Het eerste en meest zichtbare deel van zero trust is in toegangsbeheer, dus het wordt gemarkeerd in de beschrijving van de beveiligingsdiscipline voor toegangsbeheer.

  • De open groep: Deze beveiligingsdisciplines zijn nauw verbonden met de zero-trust-onderdelen in het whitepaper over kernprincipes dat is gepubliceerd door The Open Group, waar Microsoft actief aan deelneemt. De enige opvallende uitzondering is dat Microsoft de discipline innovatiebeveiliging heeft verhoogd, zodat DevSecOps een element op het hoogste niveau is vanwege hoe nieuw, belangrijk en transformerend deze discipline is voor veel organisaties.

  • NIST-cyberbeveiligingsframework: Voor organisaties die het NIST-cyberbeveiligingsframework gebruiken, hebben we vetgedrukte tekst gemarkeerd waarbij het framework het meest overeenkomt. Modern toegangsbeheer en DevSecOps worden breed toegewezen aan het volledige spectrum van het framework, zodat deze items niet afzonderlijk worden genoteerd.

Toewijzing aan rollen en verantwoordelijkheden

Hoewel beveiliging een zeer technische discipline is, is het in de eerste plaats een menselijke discipline die de lange geschiedenis van menselijke conflicten weerspiegelt (maar bijgewerkt voor computers en internet). In het volgende diagram worden de rollen en verantwoordelijkheden in een beveiligingsprogramma samengevat.

Weergave van de verantwoordelijkheden/functies van een ondernemingsbeveiligingsteam

Zie Cloudbeveiligingsfuncties voor meer informatie.

Beveiligingstransformatie

Wanneer organisaties de cloud gebruiken, merken ze al snel dat statische beveiligingsprocessen het tempo van veranderingen in cloudplatforms, de bedreigingsomgeving en de ontwikkeling van beveiligingstechnologieën niet kunnen bijhouden. Beveiliging moet veranderen in een voortdurend evoluerende benadering die overeenkomt met deze verandering die de organisatiecultuur en de dagelijkse processen in de hele organisatie zal transformeren.

Om deze transformatie te begeleiden, biedt deze methodologie richtlijnen voor de integratie van beveiliging met bedrijfsprocessen (bovenste rij) en beveiligingstechnische disciplines (onderste rij). Deze maken samen zinvolle en duurzame vooruitgang mogelijk in uw beveiligingstraject om organisatorische risico's te verminderen. Weinig organisaties kunnen deze allemaal tegelijk onder de knie hebben, maar alle organisaties moeten elk proces en elke discipline geleidelijk verder ontwikkelen.

Stuurprogramma's wijzigen

Beveiligingsorganisaties ondervinden twee soorten belangrijke transformaties tegelijkertijd

  • Beveiliging als bedrijfsrisico: Beveiliging is vanuit een puur technische kwaliteitsgerichte discipline in het domein van bedrijfsrisicobeheer gebracht. Dit wordt aangedreven door twee krachten van:
    • Digitale transformatie: De toename van de digitale voetafdruk vergroot voortdurend de potentiële kwetsbaarheid voor aanvallen van de organisatie
    • Bedreigingslandschap: Toename van aanvalsvolume en verfijning die worden gevoed door een industriële aanvalseconomie met gespecialiseerde vaardigheden en continue commoditisering van aanvalstools en -technieken.
  • Platformwijziging: Beveiliging heeft ook te maken met een wijziging van het technische platform in de cloud. Deze verschuiving is op de schaal van fabrieken die veranderen van het runnen van hun eigen elektrische generatoren naar het aansluiten op een elektriciteitsnet. Hoewel beveiligingsteams vaak over de juiste basisvaardigheden beschikken, worden ze overweldigd door de veranderingen in bijna elk proces en elke technologie die ze dagelijks gebruiken.
  • Verschuiving in verwachtingen: In het afgelopen decennium heeft digitale innovatie hele branches opnieuw gedefinieerd. Bedrijfsflexibiliteit, met name flexibiliteit met betrekking tot digitale transformatie, kan een organisatie als marktleider snel uit de weg gaan. Op dezelfde manier kan het verlies van het vertrouwen van de consument een vergelijkbare impact hebben op het bedrijf. Hoewel het ooit acceptabel was voor beveiliging om te beginnen met 'nee' om een project te blokkeren en de organisatie te beschermen, moet de urgentie van het omarmen van digitale transformatie het betrokkenheidsmodel veranderen in 'laten we praten over hoe u veilig kunt blijven terwijl u doet wat nodig is om relevant te blijven'.

Duurzame transformatie begeleiden

Voor het transformeren van de manier waarop de zakelijke en technische teams naar beveiliging kijken, moet de beveiliging nauw worden afgestemd op de prioriteiten, processen en het risicoframework. Belangrijke gebieden die tot succes worden aangedreven, zijn

  • Cultuur: De cultuur van beveiliging moet gericht zijn op het veilig voldoen aan de bedrijfsmissie, zonder deze te belemmeren. Tegelijkertijd moet beveiliging een genormaliseerd onderdeel worden van de cultuur van de organisatie, omdat het internet waarop het bedrijf werkt open is, zodat aanvallers op elk gewenst moment aanvallen kunnen proberen. Deze culturele verschuiving vereist verbeterde processen, partnerschappen en doorlopende leiderschapsondersteuning op alle niveaus om de verandering te communiceren, het gedrag te modelleren en de verschuiving te versterken.
  • Eigendom van risico: De verantwoordelijkheid voor beveiligingsrisico's moet worden toegewezen aan dezelfde rollen die alle andere risico's bezitten, zodat beveiliging een vertrouwde adviseur en onderwerpexpert kan zijn in plaats van een zondebok. De beveiliging moet verantwoordelijk zijn voor gedegen en evenwichtig advies dat wordt gecommuniceerd in de taal van die leiders, maar mag niet aansprakelijk worden gesteld voor beslissingen die zij niet bezitten.
  • Beveiligingstalent: Beveiligingstalent heeft een chronisch tekort en organisaties moeten altijd plannen hoe ze beveiligingskennis en -vaardigheden het beste kunnen ontwikkelen en distribueren. Naast het rechtstreeks groeiende beveiligingsteam met technische beveiligingsvaardigheden, diversifiëren volwassen beveiligingsteams ook hun strategie door zich te richten op
    • Groeiende beveiligingsvaardigheden en kennis binnen bestaande teams in IT en het bedrijf. Dit is met name belangrijk voor DevOps-teams met een DevSecOps-benadering en kan vele vormen aannemen (zoals een beveiligingshelpdesk, het identificeren en trainen van kampioenen binnen de community of programma's voor het wisselen van taken).
    • Het rekruteren van diverse vaardighedensets voor beveiligingsteams om nieuwe perspectieven en frameworks te bieden voor problemen (zoals bedrijfskunde, menselijke psychologie of economie) en betere relaties binnen de organisatie op te bouwen. Voor een hamer zien alle problemen eruit als nagels.

Bedrijfsafstemming

Vanwege deze verschuivingen moet uw cloudacceptatieprogramma zich sterk richten op bedrijfsafstemming in drie categorieën

  • Risico-inzichten: Beveiligingsinzichten en risicosignalen/-bronnen afstemmen en integreren met de bedrijfsinitiatieven. Zorg ervoor dat herhaalbare processen alle teams informeren over de toepassing van deze inzichten en teams verantwoordelijk houden voor verbeteringen.
  • Beveiligingsintegratie: Integreer beveiligingskennis, -vaardigheden en -inzichten dieper in de dagelijkse bedrijfsvoering van de bedrijfs- en IT-omgeving via herhaalbare processen en diepgaande samenwerking op alle niveaus van de organisatie.
  • Operationele tolerantie: Zorg ervoor dat de organisatie tolerant is door de bewerkingen tijdens een aanval te kunnen voortzetten (zelfs als ze een gedegradeerde status hebben) en dat de organisatie snel terugkeert naar volledige bewerkingen.

Beveiligingsdisciplines

Deze transformatie heeft een andere invloed op elke beveiligingsdiscipline. Hoewel elk van deze disciplines uiterst belangrijk is en investeringen vereist, worden deze (grofweg) geordend op basis van welke de meest directe kansen voor snelle overwinningen bieden wanneer u de cloud overneemt:

  • Toegangsbeheer: Toepassing van het netwerk en de identiteit creëert toegangsgrenzen en segmentatie om de frequentie en het bereik van eventuele beveiligingsschendingen te verminderen
  • Beveiligingsbewerkingen: Bewaak IT-bewerkingen om inbreuk te detecteren, te reageren en te herstellen. Gegevens gebruiken om het risico op inbreuk voortdurend te verminderen
  • Activabescherming: De beveiliging van alle assets (infrastructuur, apparaten, gegevens, toepassingen, netwerken en identiteiten) maximaliseren om het risico voor de algehele omgeving te minimaliseren
  • Beveiligingsbeheer: Gedelegeerde beslissingen versnellen innovatie en brengen nieuwe risico's met zich mee. Bewaak beslissingen, configuraties en gegevens om beslissingen te beheren die worden genomen in de omgeving en binnen alle workloads in het portfolio.
  • Innovatiebeveiliging: Aangezien een organisatie DevOps-modellen gebruikt om het innovatietempo te verhogen, moet beveiliging een integraal onderdeel worden van een DevSecOps-proces en beveiligingsexpertise en -resources rechtstreeks in deze snelle cyclus integreren. Dit omvat het verleggen van een deel van de besluitvorming van gecentraliseerde teams om workloadgerichte teams mogelijk te maken.

Richtsnoeren

Alle beveiligingsactiviteiten moeten worden afgestemd op en worden vormgegeven door een dubbele focus op

  • Bedrijfsinschakeling: Afstemmen op de bedrijfsdoelstelling en het risicokader van de organisatie
  • Beveiligingsgaranties: Gericht op het toepassen van zero trust-principes van
    • Ga uit van schending: Bij het ontwerpen van beveiliging voor een onderdeel of systeem vermindert u het risico dat aanvallers de toegang uitbreiden door ervan uit te gaan dat andere resources in de organisatie zijn gecompromitteerd
    • Expliciete verificatie: Valideer vertrouwen expliciet met behulp van alle beschikbare gegevenspunten, in plaats van vertrouwen aan te nemen. Valideer bijvoorbeeld in toegangsbeheer de gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen in plaats van alleen toegang toe te staan vanuit een impliciet vertrouwd intern netwerk.
    • Toegang met minimale bevoegdheden: Beperk het risico van een gecompromitteerde gebruiker of resource door just-in-time en just-enough-access (JIT/JEA), adaptief beleid op basis van risico's en gegevensbescherming te bieden om zowel gegevens als productiviteit te beveiligen.

De beveiligingsmethodologie maakt deel uit van een uitgebreide set beveiligingsrichtlijnen die ook het volgende omvat: